vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#179 Чужие здесь не ходят (IDS)

Дата публикации: 30.05.2004
Количество просмотров: 8358

Разное.

Конец весны, начало лета... Вроде бы уже давно должны схлынуть талые воды, но резервный ADSL у меня дома решил сбоить только сейчас. И основная сеть вырубилась на выходные по не слишком понятной причине :-(.

Так что пришлось сходить за карточками DialUp. Сказалось отсутствие опыта - первый купленный по старой памяти вариант дал связь просто ужасного качества. Не ожидал, что такое на DialUp еще бывает на втором десятке лет эры интернет. Серфить еще кое-как можно (очень медленно), но даже на свой ftp залить ничего не удалось.

Пришлось повторить поход, в ходе которого сформировалась мысль провести исследование доступа от разных операторов. До этого был уверен, что качество всех DialUp-провайдеров стало примерно одинаковым, и сравнивать нечего. Но практика показала обратное - и примерно через неделю будет миниобзорчик по DialUp в Екатеринбурге.

Перерыв в связи имел и второе неожиданное следствие. Оказалось, что работать за отключенным от Сети компьютером психологически невероятно трудно. Понятно, что off-лайновых дел более чем достаточно, можно подготовить материал, выложить на DialUp, опять подготовить... Как это делалось в далеких 90-х.

Однако, использовать не включенный в Сеть компьютер - практически то же самое, что работать одному в закрытой на ключ комнате без окон. Соответственно, есть и термин, которым можно использовать по данному случаю - это Интернет-клаустрофобия. Именно она - боязнь изолированного от Сети виртуального пространства.

Интересно, как долго ждать появления этого словосочетания в медицинских учебниках?

 


Продолжу обзор с прежним местечковым уклоном. Что должна представлять собой опорная сеть оператора связи (причем далеко не монополиста)?

Опорная сеть УТК

На карте Екатеринбург и пригороды. Красные линии, как легко догадаться, оптические магистрали Уральской телефонной компании (УТК). Общая протяженность - несколько сотен километров... Для передачи данных в основном используется Ethernet, для телефонии - традиционные потоки E1 и выше.

Думаю, что именно на эту сеть переключится большая часть домашних сетей в случае их "выдавливания" с "Уралсвязьинформовских" каналов ADSL (а тенденция к этому последнее время проявляется, к сожалению, все отчетливей).

Впрочем, тонкости местных межоператорских взаимоотношений едва ли интересны большинству читателей. Важно лишь понимать что "домашние сети" лишь выиграют с переходом на магистрального оператора с высокоскоростной оптикой (если, конечно, он постарается создать для этого хорошие условия). А в проигравших будет телефонный монополист, который так и не сможет (не успеет) вывести на рынок ADSL для конечного пользователя.

Не могу не сказать несколько слов к старому вопросу о создании сети передачи данных, открытой для использования другими операторами (транзитной сети, ТСПД, более подробно рассмотренной в #174). Примерно зная, сколько домашних сетей использует показанные на схеме магистрали, можно сделать однозначный (по крайней мере на мой взгляд) вывод - сеть "УТК" "продана" значительно меньше, чем инфраструктура ОАО "Сеть цифровых каналов" (СЦК), которая фактически использует парадигму ТСПД.

Причина - многие операторы видят в "УТК" прежде всего сильного конкурента, а не "магистрального" партнера. И не могут пойти на активное сотрудничество (прежде всего это относится к провайдерам среднего размера). Это практически не мешает "УТК" - понятно, что коммерческое предприятие заботится прежде всего о своей выгоде.

Но развитие интернет-рынка в городе все же от этого ощутимо замедляется...

 


Ну и весенняя тема.

Самодельные "классические" нетпротекты по схеме АРС, стояли на разных концах одного линка (около 100 метров П296).

Нетпротекты

Погорели недавно зимой, причина достоверно не известна. Предположительно выгорание связано с заземлением, потому что других вариантов не просматривается. Хабы на концах остались целыми, хотя запах в ящиках, где они находятся, стоял довольно крепкий (прислал Alexey Petrov).

Обновления в разделах невелики.

Чужие здесь не ходят (IDS).

Автор данного текста Эдуард Афонцев, Екатеринбург.

 


В настоящее время доктрина информационной безопасности любого уровня обязательно включает подсистему обнаружения (распознавания) атак и вторжений путем сбора и анализа данных - IDS (intrusion detection system - система детектирования вторжений).

Основная задача комплекса IDS - мониторинг враждебных действий, как человеческих (хакерских), так и программных, например вирусов), на конкретном сервере или в определенном сегменте сети.

Обилие программных средств и разрозненных описаний требует некоторой систематизации и классификации (особенно в прикладном аспекте).

IDS условно подразделяются на следующие классы:

  • HIDS (host based IDS) - аудиторы целостности файловой системы, анализаторы журналов (лог) файлов, анализаторы активности ОС, аудиторы работы приложений и изменений в системе.
  • NIDS (network based IDS) - анализаторы сетевой активности (трафика).
  • AIDS (application based IDS) - мониторинг определенных приложений (сервисов).

Рассмотрим наиболее известные некоммерческие IDS по порядку.

Host based IDS.
Приложения данного класса выполняются локально на конкретном сервере и служат для детектирования враждебных (нежелательных) изменений в его конфигурации, работе сервисов и расположенных на нем данных. Грубо говоря - сигнализируют о взломе или его попытках.

Аудиторы операционной системы (SIV - system integrity verifiers)

Tripware
Утилита мониторинга файловых изменений. Использует механизм контрольных сумм, снятия структуры директорий, отслеживания изменения размеров и атрибутов файлов и прочие методы. Проект перешел на коммерческие рельсы и в настоящее время доступна только древняя версия за 2001 год.

Aide
Практически полный аналог tripware (ее некоммерческий заменитель).

sXid
Монитор suid и sgid файлов. Используя suid и sgid атрибуты на исполняемых файлах локальный пользователь (нарушитель) может получить повышенные привелегии, что очень опасно. Поэтому небходимо следить за имеющимися в системе файлами с данными атрибутами.

Chrootkit
Утилита (скрипт) выявления троянизации системы. Предназначена для выявления известных ей закладок (штатных программ, замененных на троянские программы двойного назначения).

Кроме этого, можно использовать средства, встроенные в ОС. Дистрибутив практически каждой операционной системы содержит зачатки IDS - различные скрипты мониторинга безопасности. Например для FreeBSD - это security скрипт, выполняемый ежедневно.

В принципе не сложно сделать аудитор целостности своими руками: используя программы получения контрольных сумм файлов (md5sum или shalsum), а мониторинг suid файлов проводить утилитой find.

Анализаторы лог файлов (LFM - log files monitor)

LogCheck
Утилита проверки системных журналов (лог файлов) на отклонения. Мощное средство, позволяющее оповестить администратора в случае обнаружения в отчетах каких-либо проблем.

Swatch - Perl скрипт анализа лог файлов.

Logsurfer - Продвинутый анализатор лог файлов.

Расширения ОС (system security).

LIDS (linux intrusion detection system)
Комплект расширений для ядра linux (патч для ядра и утилиты), увеличивающих уровень безопасности и снижающих риск получения повышенных привилегий в системе. Включает в себя такие возможности как: MAC (mandatory access control) - систему разграничения полномочий и управления ими, детектор сканирования портов, а также защитные механизмы для файлов и процессов.

В результате даже суперпользователь (и его процессы), обычно всемогущественный в системе, будет ограничен в своих действиях в рамках заданных заранее правил.

OpenWall
Известный набор патчей ядра linux для предотвращения взлома самой операционной системы и локальных сервисов: защита от переполнения буфера (излюбленный метод хакеров), защита от атак через хардлинки, защита псевдофайловой системы proc и прочие.

Selinux
Security enhanced linux позволяет построить гибкую архитектуру принудительного контроля доступа (mandatory access control), с возможностью абстрактного описания необходимой политики безопасности.

Эффективен даже для отражения неизвестных атак. Доверие внушает как адрес сайта разработчика, так и то, что многие современные дистрибутивы linux включают в себя selinux.

MAC Framework
Интегрирование TrustedBSD MAC Framework в ос FreeBSD (версии 5). Представляет собой систему принудительного контроля доступа на уровне ядра, ограничивающую доступ к системным объектам и сервисам. По функциям данная подсистема аналогична Selinux.

Network based IDS

Firewalls

Практически все пакетные фильтры (ipfw freebsd, iptables linux, pf openbsd) имеют опции протоколирования, что позволяет проводить анализ сетевого трафика каким либо образом проходящего через шлюз или сервер.

Port scan detectors

PortSentry
Программа позволяющая в реальном режиме времени определить и блокировать попытки сканирования (в том числе скрытого) UDP и TCP портов сервера. Как известно, сканирование портов является первым этапом хакерской атаки и поэтому своевременная реакция в данном случае крайне важна.

Scanlogd - Solar Designer утилита детектирования сканирования с поддержкой raw socket.

Sniffers

Снифферами (от английского sniff - нюхать) называют программы, предназначенные для перехвата (прослушивания) сетевого трафика. Наиболее известными из них являются Tcpdump, Ethereal, Sniffit. Полноценными IDS они не являются (они вообще не являются IDS), но обрабатывая результаты их выполнения можно получить полезную информацию о сетевой активности (в том числе и враждебной).

Snort
Snort - это мощный перехватчик и анализатор сетевого трафика, основанный на библиотеке libpcap. Может производить как анализ протоколов (выявлять пакеты несоответствующие стандартам) так и анализ сигнатур (в перехватываемых пакетах выявляются враждебные образцы). С помощью многочисленных расширений может управлять файерволлами для блокирования нежелательного трафика (например fwsnort - iptables генератор).

В связке с sql сервером (mysql, postgresql) и php консолью acid представляет наиболее продвинутую систему NIDS.

Prelude
Современная и динамично развивающаяся гибридная система. Состоит из следующих компонентов:

  • детектирующие сетевые сенсоры,
  • процессоры обработки данных с сенсоров - менеджеры,
  • измерительные агенты выявляющие аномалии,
  • консоль управления,
  • развитая программная библиотека для самостоятельной разработки.

Application based IDS

Приманки (ловушки)

Honeypot (общая теория)
Honeypot (в переводе с английского honey pot - бочка с медом) - технология создания специальной программной среды, приманки, предназначенной для изучения действий нарушителя. Для регистрации нежелательных действий можно применять как встроенные в honeypots средства, так и внешние IDS.

Honeyd
Самый известный эмулятор сетевых сервисов. Параллельно с ним желательно установить snort для регистрации дополнительной информации.

Apache modules

Mod_security
Один из множества модулей популярного сервера apache, выполняющий функции application IDS.

Выводы.

Задача построения современной системы обнаружения вторжений средствами open source выполнима - практически для любого класса задач есть достойные приложения.

Сегодня наблюдается развитие средств IDS от пассивного наблюдения и сигнализации к активной обороне и автоматическому предотвращению нарушений. В связи с этим даже появился новый термин - IPS (intrusion prevention system). О принципах построения IPS и флагманских программных продуктах читайте в следующей заметке.

Зарисовки.

Сети в Якутске (письмо прислал Andrei Kopylov).

... Складывается ощущение что город опутал какой то неведомый гигантский паук, надо головой нависают провода, вдоль всей улицы до самого горизонта. Местами они уложены в короба между домами, но таких мест очень мало.

Сети в Якутске

Основная масса кабелей подвешена на тросе или на спирали (это видно на фото), но то ли от старости, то ли от плохого крепления, то ли от обилия снега и льда, большей частью спирали перестали выполнять свою функцию, сжались в кучу или вообще оборваны.

Местами стойки на крышах погнуло или сломало под тяжестью проводов. Они висят совершенно не натянутыми или провисли, так что их видимо подвязывают, чтобы не свисали слишком низко.

Сети в Якутске Сети в Якутске

Закапывать провода в землю невозможно, в условиях вечной мерзлоты грунт не прогревается глубже одного метра. Кроме этого, грунт постоянно "плывет". Все коммуникации, в том числе вода и канализация, сделаны поверху, а дома стоят на сваях.

Сети в Якутске Сети в Якутске

Тем не менее, оптика есть практически в каждом административном здании, подключение к сети по ethernet стоит около 6-9 тысяч рублей в зависимости от ситуации...

Антенна вверх ногами (прислал Vasyl Vakiv).

...Относительно недавно видел заметку о круговых антеннах для радиоезернета, установленных . для лучшей работы вверх "ногами".

Как мне кажется, это связано с неравномерным распределением мощности сигнала по элементам этой самой антенны. В результате диаграмма направленности получается не "блином", а конусом, с вершиной у конца и большей мощностью (вероятно, точка ввода фидера).

Поэтому при "нормальной" установке антенна "светит" немного в небо. Соответственно, после "переворота" излучение в сторону абонентов возрастает, поскольку большинство их все-таки на земле. :-)

Вероятно, это справедливо не для всех типов круговых антенн.

Кстати, вот интересная ссылка на самодельную антенну с очень детальным описанием изготовления, но некоторыми "промахами" в формулах (результат таки правильный). Интересно было бы посмотреть на конструкции антенн промышленного производства "изнутри" (они обычно защищены пластиковым кожухом).

Еще одна ссылка на изготовление антенн. Там много интересного, и много в формате PostScript. Но есть и в обычные pdf, png, jpg.

Попытка упорядочить хаос (Сергей, Комсомольск-на-Амуре).

Попытка упорядочить хаос

Попытка упорядочить хаос

Очень аккуратно вышло, надо сказать.

Узел в холодильнике.

... Наша сеть пока маленькая, всего 11 человек, но уже есть сервер (Pentium 100, 32 RAM, 2,5 HDD, FreeBSD 4.7). В связи с тем, что никому не хочется держать что-то дома, решили разместить его в подвале, благо подвалы все закрываются.

Узел в холодильнике

Кабель к узлу подводиться через дыру в плите, рядом с трубами отопления. Как говорится, температура стабильная, внутри "холодильника" не подымается выше 40 градусов.

Узел в холодильнике

Прислал Леванчук, город Улан-Удэ.

Анонс

 

  • Как придумывают свичи. Фотографии с центра разработки и испытания сетевого оборудования TCL.
  • Зарисовки узлов разных провайдеров (в основном стойки). Никак не получается их втиснуть...
  • Переход через железную дорогу (несколько фотографий);
  • Работа в диапазоне 6.3 ГГц;
  • Монтаж дополнения к офисной сети;
  • Сети учебных заведений в Германии (долгострой);
  • Традиционный пункт - ссылки на интересные места Сети. Присылайте письма - они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;
  • В "ужастиках" - "найден узел конкурента!". ;-)

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/reviews/16679/chujie-zdes-ne-hodyat-ids-.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться