|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 05 Mar 2006 01:15:12
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 1 of 13 of file WUESTR.TXT
textbegin.all
Персональные фаирволлы и выявление вторжений
Кандид Вюст [Candid W\"uest]
Швейцарский Федеральный Институт Технологий,
Лаборатория компьютерной инженерии и сетей
Сокр. пер. с англ. Oleg Morozov, Marхnais.
03.11.2005
Дипломная работа DAД2003.22 Зимний семестр 2002/2003
Преподаватели:
Дьего Дзамбони [Diego Zamboni] (IBM R\"uschlikon Res. Lab),
Марк Реннхард [Marc Rennhard]
Руководитель:
Проф. Д-р Бернхард Платтнер [Bernhard Plattner] 28.02.2002Д08.02.2002
Аннотация
Использование персональных фаирволлов в наши дни получает всё большее
распространение. Цель этой работы Д детальный анализ использования персональ-
ных фаирволлов для лучшего понимания их возможностей, сильных и слабых мест.
Поскольку инсталлируются они на машины конечных пользователей совместно с дру-
гими приложениями, возникает вопрос, способствуют ли они усилению безопасности
или же открывают в безопасности охраняемой машины новые бреши. Интересна идея
проанализировать совместную работу нескольких образцов персональных фаирволлов
с системами выявления вторжений [intrusion detection system, IDS]. Для этого
были сформулированы правила выявления атак по собранным логам и введён унифи-
цированный формат лога персонального фаирволла, позволяющий соотносить соот-
ветствующие события из различных логов.
Глава 1
Введение
1.1 Обоснование
Соединение с Интернетом из различных мест стало обыденностью. Часто оно
функционирует днём и ночью. Даже дома многие люди имеют ПК, соединённый с Ин-
тернетом 24 часа в сутки. В течение всего этого длительного времени машины
оказываются подверженными опасностям Интернета. Чем дольше подключена машина,
тем более вероятно, что она подвергнется злонамеренному воздействию. Hовые
технологии типа беспроводных сетей ещё больше увеличивают риск подвергнуться
атакам, поскольку открывают новые возможности для их осуществления. Под влия-
нием недавних историй с компьютерными вирусами и червями, распространяющимися
по Интернету и наносящими ущерб, пользователи медленно, но верно осознают на-
личие в Интернете опасности и свою потребность в защите от неё [7].
В малых организациях уровень обеспечения безопасности часто не на высоте
и даже в организациях больших, с хорошей политикой безопасности, в порядке ве-
щей то, что служащие берут свои портативные компьютеры из офисов домой и там с
них подключаются к Интернету. В этот момент все данные в них, прежде находив-
шиеся под защитой системы безопасности организации, оказываются подверженными
возможной атаке. После же успешного вторжения в такую машину, она, будучи воз-
вращённой обратно в корпоративную сеть, может затем заражать другие машины в
интранете. По этой причине люди начали использовать для защиты от атак персо-
нальные фаирволлы. Hо в отличие от антивирусной программы, наличие которой
стало в наше время делом привычным, персональный фаирволл столь же обычным по-
ка ещё не стал.
В противоположность традиционному подходу, при котором фаирволлы рекомен-
дуется инсталлировать на специально выделенную и хорошо охраняемую машину,
персональные фаирволлы инсталлируются на машинах конечных пользователей сов-
местно с широким кругом утилит и приложений. Это порождает вопрос, действи-
тельно ли они обеспечивают дополнительную безопасность, или, будучи также уяз-
вимы к новым атакам, снижают её в итоге. При контроле системы на предмет атак
для достижения большей безопасности следует проанализировать и рассмотреть ло-
ги персональных фаирволлов. Попыток в направлении сравнения зарегистрированных
фаирволлами событий ещё не предпринималось, хорошо детализированные тесты воз-
можностей персональных фаирволлов также редки [1]. Доступные же результаты
тестов обычно являются ориентированными на простого потребителя и в детали
глубоко не вникают [4].
Данная работа не претендует на роль ещё одного сравнительного исследова-
ния персональных фаирволлов на предмет простоты их эксплуатации или привлека-
тельности их внешнего вида. Вместо этого, на первом этапе она ставит целью со-
ставить общую концепцию использования персональных фаирволлов и вопрос о том,
насколько их применение для защиты машины имеет смысл с точки зрения безопас-
ности. Hа втором этапе предлагаются механизмы коррелирования порождаемых собы-
тий с целью интеграции персональных фаирволлов в единую систему безопасности.
Логи в повседневной практике обычно никак не используются и в дальнейшем выб-
расываются. Их анализируют только при возникновении проблемы, требующей изуче-
ния. Размышления над всей потенциально полезной зарегистрированной информаци-
ей, остающейся неиспользованной, являются ещё одним поводом внимательнее прис-
мотреться к возможным применениям этой информации.
1.2 Другие источники по теме
Во время написания этой работы автор не был осведомлён о каких-либо ис-
точниках, непосредственно относящихся к данной теме. Большинство работ по кор-
релированию логов затрагивает только фаирволлы сетевые, а не персональные
[12]. Можно отыскать лишь несколько анализаторов логов, способных обрабатывать
логи фаирволлов персональных. Примером может служить утилита "Symantec's Deep
Sight", также используемая в "Security Focus", способная просматривать логи
некоторых персональных фаирволлов, напр., "Zonelabs Zonealarm" [2]. Другим
средством является "DShield", позволяющий пользователям подвергнуть их логи
совместному исследованию [6]. Обычно они ограничены в возможностях несколькими
широко используемыми персональными фаирволлами и не поддерживают многие их
версии. Другим недостатком этих утилит является то, что пользователи часто не
получают детальный анализ атак на свои домашние сети. Информация только добав-
ляется в общую базу, и анализу подвергаются все события вместе.
Тот, кто уже имеет инфраструктуру безопасности, вероятно, хочет иметь да-
лее возможность обрабатывать всю связанную с происходящими событиями информа-
цию самостоятельно. Передача данных вовне может также противоречить политике
безопасности. Утилиты типа "DShield" в большей или меньшей степени работают по
принципу передачи логов третьей стороне, которая затем генерирует статистику,
такую как порты, сканировавшиеся наиболее часто, но они не создают детальный
отчёт об атаках, которые предпринимались на машину. Вдобавок, нет возможности
легко интегрировать результаты в коррелирующий движок для принятия решений.
По теме данной работы известно несколько коротких статей, поднимающих
вопрос об использовании персональных фаирволлов в качестве дешёвых средств вы-
явления вторжений в сеть. Одна из них принадлежит Маркусу Рануму [Marcus J.
Ranum [1]], но она не вникает в детали того, как эту идею реализовать и что
именно такое применение персональных фаирволлов может дать. Она только указы-
вает, что это, вероятно, имеет смысл.
С другой стороны, исследований персональных фаирволлов проводилось уже
множество, и обзор таких исследований успел опубликовать чуть ли ни каждый
компьютерный журнал. Беда же подобных статей в том, что они в основном предна-
значены лишь помочь конечному пользователю в выборе продукта, с которым было
бы легко работать. Это означает, что их внимание чаще сосредоточено не на
внутренних механизмах и действительных возможностях персональных фаирволлов, а
на том, насколько хорошо выглядит графический интерфейс (GUI) или насколько
оперативно реагирует служба поддержки. Такой тип обзоров может представлять
интерес для пользователей, но тестов, которые анализировали бы происходящее
"за кулисами", всё ещё недостаточно. Пример более технического исследования
персональных фаирволлов можно найти на сайте "Boran" [3]. Hекоторые сайты про-
вели общие исследования персональных фаирволлов с помощью т.н. "средств тести-
рования утечек", чтобы опробовать возможность похищения информации из охраняе-
мой системы. Многие из них оказались очень успешными и утверждают, что персо-
нальные фаирволлы небезопасны и бесполезны. К несчастью, в некоторых из них
использовались такие атаки, от которых фаирволл защищать не предназначен, и
потому естественно был посрамлён. Поэтому, в исследовательской части данной
работы был рассмотрен ряд применяющихся на практике приёмов. Причины неудач в
защите от определённых видов атак исследованы ниже в гл. 5. Упомянутые сайты
могут быть найдены на "PC flank" [5] или в статье [4].
1.3 Персональные фаирволлы
1.3.1 Принципы работы персональных фаирволлов
Для защиты сетей специалистами в области защиты информации давно применя-
ются фаирволлы сетевые. Таковым может быть как аппаратное устройство, так и
программа, исполняемая на специально выделенной машине. В обоих случаях должно
иметься, по меньшей мере, два сетевых интерфейса: один для сети защищаемой и
один для сети внешней. Сетевой фаирволл расположен в точке соединения или гей-
те между двумя сетями Д обычно частной сетью и общей, такой как Интернет. Ран-
ние компьютерные фаирволлы были простыми маршрутизаторами. Весь траффик, про-
ходящий через сетевой фаирволл, анализировался и, в зависимости от того, под
какие критерии он попадал, пропускался или, наоборот, блокировался [17]. Hо
для простого домашнего компьютерного пользователя сетевой фаирволл обычно
слишком сложен и дорог. Это часто является причиной, по которой простые домаш-
ние пользователи не используют сетевые фаирволлы даже для собственной защиты.
Так возникает идея фаирволла персонального.
Персональные фаирволлы, иногда также называемые "персональными брандмауэ-
рами" и "межсетевыми экранами" (МСЭ) [англ.: "desktop firewalls", "personal
firewall", "distributed firewalls"] предназначены для конечных пользователей и
не пытаются подменить собой фаирволлы сетевые. Их задача Д быть простыми в на-
стройке и обслуживании. Большинство персональных фаирволлов сконфигурировано
заранее так, чтобы не обременять пользователя сложным программированием пра-
вил, и так, чтобы при возникновении в процессе дальнейшей эксплуатации непред-
виденной ситуации в формировании необходимого правила помог бы автонастройщик.
Как следует из названия, персональные фаирволлы Д это приложения уровня
хоста, исполняемые на пользовательской машине. Вследствие этого они способны
анализировать только траффик, направленный к охраняемой машине.
Персональный фаирволл Д это обычно пакетный фильтр без сохранения состоя-
ния. Последнее означает, что фильтр не отслеживает состояние соединения Д ре-
шение о пропуске или блокировании каждого пакета он принимает на индивидуаль-
ной основе [17]. В противоположность этому, фильтры с сохранением состояния
принимают пакеты только тогда, когда текущее состояние соединения делает это
возможным. Поэтому, пакетный фильтр без сохранения состояния Д это приложение,
которое принимает пакеты, самостоятельно анализирует их заголовки и затем, в
зависимости от правил, установленных пользователем, принимает по ним решение.
Работа происходит на уровне IP-пакетов. Hедостаток анализа без сохранения сос-
тояния в том, что пакеты, недоступные в определённом состоянии связи, тем не
менее, персональным фаирволлом могут быть получены.
Персональные фаирволлы обычно не осуществляют фильтрацию содержимого па-
кетов. Это означает, что они не анализируют внутренность пакетов на предмет
опасного содержимого. Персональный фаирволл анализирует только заголовки паке-
тов.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
05 Mar 2006 01:15:12 |
|
|
