Использование программы определяется опциями, задаваемыми при запуске.

 

Литература

1.Simson Garfinken, Gene Spafford. Practical UNIX & Internet Security. OљReilly & Associates, Inc. 1996.

2.Paul Buis, Chris Hare, Robert Kelley. Internet Security. New Riders Publishing, Indianopolis, IN. 1996.

 

 

 

А. В. АЗАРКИН, Г. В. ФОМЕНКОВ

ИКСИ АКАДЕМИИ ФСБ РФ

ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ СЕТИ INTERNET ПУТЕМ ИНСПЕКЦИИ ПОТОКОВ ДАННЫХ

Предлагаем вашему вниманию вторую часть доклада на Российской научно-технической конференции по Северо-Западному региону "Методы и технические средства обеспечения безопасности информации". Первая часть опубликована в N 5 за 1997 г.

 

2. Методика применения средств инспекции

2.1. Функциональный состав средств инспекции

Средства инспекции потоков данных состоят из следующих основных частей:

1.аппаратная платформа, которая включает в себя сетевой адаптер, соответствующий требованиям ПО инспекции; 2.операционная система, поддерживающая программный интерфейс доступа к канальному уровню для анализа циркулирующих в сети пакетов; 3.основной загружаемый модуль (средство инспекции потоков данных), который декодирует протоколы и выполняет заданные действия согласно своей конфигурации, установленной специальным механизмом; 4.конфигурационный механизм, обеспечивающий широкий выбор критериев, по которым будет производиться фильтрация и регистрация отслеживаемых запросов; 5.регистрационный механизм, осуществляющий запись отслеживаемой информации в сжатом формате в архивный файл; 6.средства просмотра отслеживаемых запросов в режиме реального времени, а также сохраненных в архивном файле; 7.пользовательский графический интерфейс, обеспечивающий простое и удобное взаимодействие с системой оператора.

2.2. Требования, предъявляемые к средствам инспекции

Рассмотрим более подробно некоторые основные части этих систем. Основной загружаемый модуль должен соответствовать следующим требованиям:

•обладать достаточной производительностью для обработки всех циркулирующих в сети данных; •поддерживать широкий спектр протоколов: TCP/IP, Lan Manager, Netware, DEC, AppleTalk и т. д.; •переключать драйвер сетевого адаптера в "прозрачный" режим, позволяющий принимать все пакеты, проходящие по сегменту сети (promiscuous mode).

Механизм конфигурации должен обладать широким спектром настроек, позволяющих загружаемому модулю осуществлять эффективную инспекцию потоков данных.

Данные настройки должны фиксировать запросы:

•на установку соединения, •на разрыв соединения, •по определенному протоколу, •по определенному порту, •выдаваемые определенной рабочей станцией, •принимаемые определенной рабочей станцией, •уходящие из сети (подсети), •приходящие в сеть (подсеть).

Кроме запросов должны регистрироваться данные:

•по определенному протоколу, •по определенному порту, •принимаемые определенной рабочей станцией, •передаваемые определенной рабочей станцией, •приходящие в сеть (подсеть), •выходящие из сети (подсети).

Механизм просмотра отслеживаемых запросов должен позволять:

1.отслеживаемые информационные потоки в режиме реального времени; 2.отслеживаемые информационные потоки из архивного файла; 3.выдаваемые отчеты по следующим параметрам: время, протокол, порт, сеть, адрес источника, адрес приемника; 4.задавать шаблоны подозрительных действий абонентов; 5.при обнаружении совпадения шаблона сигнализировать о подозрительных действиях абонентов.

Для доступа к сетевому уровню, то есть для идентификации и фильтрации пакетов, проходящих по сети, возможно использование следующих сетевых интерфейсов: DLPI (Data Link Provider Interface), BPF (Berkeley Packet Filter), NIT (Network Interace Tap). Применение средствами инспекции того или иного сетевого интерфейса связано с использованием определенных алгоритмов перехвата сетевого информационного обмена. Поддержка интерфейсов типа NIT и DLPI говорит о работоспособности данного средства в системах типа UNIX System V Release 4 (куда относятся Solaris и SunOS), интерфейс BPF используется в клоне BSDI (которому принадлежат Linux, FreeBSD и др.). Использование различных интерфейсов существенно влияет на возможности средства анализа. Например, интерфейс BPF примерно в 20-30 раз эффективнее NIT с точки зрения производительности.

2.3. Рекомендации по применению средств инспекции

Рекомендации по применению средств инспекции потоков данных следующие:

1.средство инспекции можно установить как на специально выделенную рабочую станцию, так и на совмещающую несколько функций в сети, но при этом выбранная рабочая станция должна удовлетворять следующим требованиям:

•сетевой адаптер должен работать в "прозрачном" режиме, •рабочая станция должна быть достаточно производительна (необходимая производительность определяется средствами ОС путем выявления загруженности системы во время работы средств инспекции);

1.политика надежности и безопасности функционирования системы должна обеспечивать стойкость последней по отношению к внешним и внутренним несанкционированным воздействиям, а также устойчивость к сбоям в электросети; 2.принимая во внимание механизм трансляции пакетов в технологии Ethernet, необходимо учесть следующую особенность архитектуры сети: если сеть узла Internet разбита на подсети с использованием маршрутизаторов с двумя и более сетевыми интерфейсами, то рабочая станция с установленным средством инспекции должна находиться в подсети, маршрутизатор которой является основным для всех остальных подсетей; 3.вся фиксируемая информация должна периодически подвергаться архивированию на внешний носитель.

2.4. Особенности применения средств инспекции

При принятии решения о выборе места подключения средства инспекции необходимо учитывать следующее:

•средство инспекции, как правило, нельзя обнаружить с других рабочих станций; •средство инспекции обнаруживается опытным пользователем, имеющим бюджет на той рабочей станции, где функционирует данное средство; •активизация закладок в средстве инспекции может привести к созданию скрытого канала передачи в Internet всей перехватываемой информации.

Принимая во внимание характер анализируемой информации, необходимо предусмотреть создание надежной защиты, препятствующей возникновению таких каналов. В качестве защитных мер можно применять анализ программного кода средств инспекции или, в случае невозможности такого анализа, использовать межсетевые экраны, ограничивающие несанкционированный выход в сеть Internet информации с данного компьютера.

3. Примеры применения средств инспекции

3.1. Определение факта и источника атаки

При проведении еженедельных плановых работ по анализу информационных потоков программное средство инспекции организации ABC выдало отчет о несанкционированных обращениях к WWW-серверу ABC.
1 2 3 4 5