Оружие хакеров
Поле битвы
Мой командир говорил мне, что для того, чтобы защититься от врага, сначала нужно узнать, что он собой представляет: его методы нападения, приемы, тактику, цель. Эта военная доктрина верна не только в армии, но и в области обеспечения компьютерной безопасности.
Проект Honeynet
Если бы вы еще совсем недавно спросили профессионала в области обеспечения безопасности о том, кто такие «плохие парни», то, скорее всего, услышали насыщенный техническими подробностями рассказ о разнообразных инструментах взлома и какие-нибудь обширные предположения относительно тактики и мотивов различных нападающих. Наше знакомство с хакерами было ограничено техническими приемами, которые применялись ими
Система Honeypot
Идея создания honeypot (горшочка с медом) разрабатывалась многие годы. Проще говоря, honeypot - это система, разработанная для того, чтобы на нее напали. После взлома ее можно использовать для разнообразных целей, например для разработки механизма оповещения или для жульничества. Впервые эта идея была рассмотрена в ряде очень хороших статей, написанных экспертами в области обеспечения компьютерной безопасности
Сеть Honeynet
Honeynet отличается от разработок honeypot, которые мы уже обсудили. Это инструмент исследования - сеть, созданная особым образом для того, чтобы ее взломали хакеры. После того как ее взломают, Honeynet можно использовать для изучения инструментов, тактики и мотивов сообщества хакеров. Существуют следующие различия между honeypot и проектом Honeynet:
Назначение Honeynet
Традиционно при обеспечении информационной безопасности придерживались оборонительной стратегии. Брандмауэры, системы обнаружения вторжения, шифрование - все эти механизмы используются как оборонительные средства для защиты чьих-то ресурсов. Стратегия заключается в том, чтобы как можно лучше защитить организацию, обнаружить прорывы в обороне, а затем прореагировать на них.
Система Honeypot в сети Honeynet
Чтобы как можно лучше изучить сообщество взломщиков, наши honeypot представляют собой установленные с параметрами по умолчанию используемые системы. Мы ничего не делали для того, чтобы защитить их, но мы ничего не делали и для того, чтобы снизить степень защищенности. Наша цель заключалась в использовании систем, которые легко можно найти в Internet.
Как работает Honeynet
Одной из самых больших проблем при обнаружении и фиксации подозрительных действий, с которыми сталкиваются администраторы и приложения, обеспечивающие безопасность, такие как системы обнаружения вторжения, является перегрузка данных. На них обрушивается море информации, поэтому очень трудно определить, что относится к производственному трафику, а что - к подозрительным и «ненормальным» действиям.
Контроль данных
Контроль данных - это учет входящей и исходящей информации. Вы, администратор, решаете и проверяете, какие данные могут идти по определенному адресу. Эта функция имеет огромное значение. После того как система, входящая в Honeynet, будет взломана, мы несем ответственность за то, чтобы ею не воспользовались для нападения на производственные системы в других сетях.
Запись данных
Запись данных - это фиксация всех действий, происходящих в пределах Honeynet, в том числе на уровне системы и сети. Запомните, что в этом и заключается цель Honeynet, а именно, в записи и изучении данных. Если мы не сумеем записать данные, потеряет значение весь проект. Что толку обнаружить «элитарный» взлом системы honeypot, если мы потеряем или не сможем зафиксировать информацию?
Уровень контроля доступа
Первый уровень контроля доступа состоит из устройств контроля доступа, таких как брандмауэр и маршрутизатор. Любой пакет, входящий или исходящий из Honeynet, должен пройти через эти устройства, вот почему они являются превосходным источником информации. Как правило, они отслеживают пакеты, входящие и исходящие из сети Honeynet. Многие пользователи считают журналы регистрации брандмауэра бесполезными
Сетевой уровень
Второй, сетевой, уровень сбора данных состоит из записи и анализа всех пакетов, путешествующих в сети. На этом уровне собирается информация двух видов: предупреждения о подозрительных сигнатурах и полезная нагрузка пакетов. Предупреждения означают процесс поиска подозрительных или злонамеренных действий на основании использования сигнатур пакетов. После того как таковые определяются, может быть послано извещение
Системный уровень
При записи всех данных нельзя зависеть от регистрационных журналов (log) брандмауэра или модулей проверки текущего состояния. Например, если взломщик использует при работе с Honeynet шифрование данных, в частности ssh, запись их усложняется, так как сетевые данные зашифрованы. Мы должны записывать комбинации клавиш и действия в системе внутри программ, например в ssh. Запись данных в системах составляет следующий уровень.
Автономный уровень
После взлома системы могут предоставить огромное количество информации. Для этого, как правило, требуется перевести системы в автономный режим или сделать их зарисовки. Системы могут располагать обширными данными, в том числе об использованных взломщиком инструментах, исходном коде, словаре паролей, файлах конфигурации и системных файлах, таких как
Социотехника
апись и локализация данных - наиболее важные элементы работы с Honeynet. Если они правильно выполняются, Honeynet обеспечит вас обширной информацией. Однако можно собрать еще и дополнительные сведения. Проблема текущей установки Honeynet заключается в том, что ее системы инсталлированы с параметрами по умолчанию. Эти системы определенно привлекут внимание взломщиков
Риск
Вместе с Honeynet появляется огромная ответственность. Необходимо убедиться, что вы сделали все возможное, чтобы минимизировать риск и продолжать наблюдать и поддерживать защищенное окружение. Мы заставляем взломщиков нападать и взламывать наши системы. С подобным окружением всегда есть вероятность, что что-то пойдет не так. С целью сдержать исходящие соединения мы установили брандмауэр
Создание сети Honeirnet
После того как мы обсудили, что такое сеть Honeynet и как она работает, постараемся применить полученные знания и рассмотрим поэтапный процесс создания Honeynet. В этой главе не даются подробные инструкции о том, как следует проектировать Honeynet, но рассказывается об одном возможном варианте. Сети Honeynet - это не отдельный продукт или разработка
Общая архитектура
Основа общей архитектуры Honeynet заключатся в ее уровнях. Как мы уже отмечали ранее, наличие нескольких уровней очень важно для записи
данных. Чем больше уровней контроля информации, тем легче анализировать нападение и извлекать из него уроки. Однако еще более весомым доводом в пользу многоуровневой системы безопасности является необходимость защиты от сбоев.
Контроль данных
После того как мы выбрали системы honeypot и определились с функциональными возможностями, необходимо указать способ контроля потоков данных. Основная задача контроля данных - гарантировать, что взломщики не смогут воспользоваться нашими системами honeypot, чтобы напасть или причинить ущерб другим системам. В нашей Honeynet мы создадим три уровня контроля данных.
Запись данных
После того как мы установили средства контроля за данными, нам необходимы средства записи данных. Как было описано в главе 3, три уровня записи данных состоят из системных журналов брандмауэра/маршрутизатора, сетевых системных журналов и самих систем.
Брандмауэр уже сконфигурирован для записи данных. В правилах 5 и б применяется сценарий предупреждения брандмауэра.
Поддержание honeynet и реагирование на атаки
Поддержание и забота о Honeynet требует постоянного внимания: системам обнаружения вторжения нужны обновленные базы данных сигнатур, регистрационные журналы брандмауэра необходимо просматривать и архивировать, а в исходные коды нужно вносить некоторые изменения. Honeynet не относится к решениям типа «поставил и забыл». Она нуждается в постоянной поддержке (модернизации), поскольку находится в процессе разработки и улучшения. Каждый раз при взломе honeypot мы узнавали много нового не только о взломщике, но и о нас самих.
Регистрационные журналы брандмауэра
Для большинства организаций системные журналы брандмауэра представляют мало ценности. Брандмауэр регистрирует столько данных, что среди них трудно выделить правомочный трафик и подозрительную активность, которая требует дальнейшего анализа. В организациях неделями или даже месяцами не просматриваются регистрационные журналы брандмауэров. Однако в Honeynet весь трафик подозрителен. Следовательно, весь записанный в регистрационном журнале трафик представляет собой полезную информацию.
Анализ IDS
IDS обеспечивает три источника информации. Первый источник - сами предупреждения IDS, когда обнаруживается какая-то подозрительная деятельность. Второй источник информации - записи пакетов. Эти подробные сведения хранятся в двоичном файле и после совершения нападения используются для детального анализа. Третий источник информации - журналы сеансов ASCII, где Snort IDS хранит все данные ASCII, обнаруженные в потоке пакетов, например комбинации клавиш. Давайте продолжим анализ сканирования RPC
Системные журналы
Мы уже обсудили, как брандмауэр и IDS обнаруживают, регистрируют и предупреждают о подозрительных действиях в сети. Теперь вместо предоставления сведений, перехваченных на сетевом уровне, мы объясним, как анализировать системные действия на самой honeypot. Возможно, вы помните из предыдущей главы, что все действия системы регистрируются на удаленном сервере syslog. Это гарантирует, что после ее взлома все равно сохранится верная копия системных журналов. У большинства систем, в том числе у различных видов UNIX
Нападение
26 апреля 2000 года в 6:43 Snort предупредила нас, что одна из систем honeypot была атакована при помощи команды NOP (no operation) - это указывало на атаку путем переполнения буфера, направленную на порт 53. В этом случае Snort определила начало атаки и сделала предупреждающую запись в файл /var/log/messages, который постоянно просматривается при помощи Swatch. (Внимание! В этой главе IP-адрес 172.16.1.107 принадлежит honeypot. Все остальные системы - это IP-адреса, используемые взломщиками.)
Анализ
При изучении нападения начинайте с самого начала. Где взломщик приступил к своим действиям? Как только мы определимся с началом, все нападение можно будет проследить шаг за шагом, анализируя его параметры. Помните, не надо ограничивать себя целью определения одних лишь действий взломщика. Нам нужно знать, что он делал до и после нападения, в частности технические приемы, тактику и мотивы нападения.
Взлом
Следующий этап заключается в анализе самого нападения. Для этого нам нужно просмотреть сетевые пакеты honeypot. IDS Snort записала всю эту информацию и сохранила в виде двоичного системного журнала. Теперь мы просмотрим его, чтобы определить и проанализировать действия взломщика. Большинство действий производится с целью получения доступа к оболочке с правами root или корневому каталогу на удаленной системе. После получения доступа к корневому каталогу взломщик может запустить любую команду как администратор.
Получение доступа