|
А.В.Лукацкий Опубликовано: dl, 05.04.02 18:36 Обычно, когда речь заходит об обмане в области информационной безопасности, сразу вспоминаются попытки злоумышленников использовать те или иные скрытые лазейки для обхода используемых средств защиты. Будь то кража паролей и работа от имени авторизованного пользователя или несанкционированное использование модемов. Однако обман может сослужить хорошую службу не только для злоумышленников, но и для защитников корпоративных ресурсов. Сразу необходимо отметить, что обман очень редко используется в качестве защитного механизма. Обычно, когда речь заходит о средствах защиты, на ум сразу приходят современнейшие межсетевые экраны, блокирующие любые попытки проникновения хакеров. Или, если обратиться к фантастической литературе, то для защиты от проникновения используются системы с искусственным интеллектом, которые "адаптируются" к нападениям злоумышленников и противопоставляют им адекватные защитные меры. Такие системы описаны в "Лабиринте отражений" Сергея Лукьяненко или "Neuromancer" Уильяма Гибсона. Но "не межсетевым экраном единым". Приходится обращать свое внимание и на другие "нестандартные" защитные механизмы. Это частично собьет с толку злоумышленников и нарушителей, привыкших к широко известным средствам обеспечения информационной безопасности.
Существует множество различных вариантов использования обмана в благих целях [1]. Вкратце перечислю некоторые механизмы обмана, основываясь на классификации Даннигана (Dunnigan) и Ноуфи (Nofi):
В той или иной мере эти механизмы используются в практике работ отделов безопасности. Однако, как правило, эти механизмы используются не для информационной, а для иных областей обеспечения безопасности (физическая, экономическая и т.д.). В области информационной безопасности наибольшее распространение получил первый метод - сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT. Это существенно увеличит время, необходимое для "успешной" реализации атаки. Во многих американских фирмах о хакерах, последние, атакуя военные системы Пентагона, мгновенно определяли тип программного обеспечения военной системы лишь взглянув на приглашение ввести имя и пароль. Как правило, каждая операционная система обладает присущим только ей способом идентификации пользователя, отличающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение; текстом самого приглашения, местом его расположения и т.д. Камуфляж позволяет защититься именно от такого рода атак. И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система уязвима. Например, если в сети используется почтовая программа sendmail версии 8.9.3, а возвращаемый ею заголовок утверждает обратное, то нарушитель потратит много времени и ресурсов, чтобы попытаться эксплуатировать уязвимости, присущие ранним версиям sendmail (до 8.9.3). Рассмотрим только 2 и 3 классы обманных методов, как менее известные и наиболее интересные. Работа систем их реализующих заключается в том, что эти системы эмулируют те или иные известные уязвимости, которых в реальности не существует. Использование средств (deception systems), реализующих камуфляж и дезинформацию, приводит к следующему:
Обычно в информационной системе используются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т.д. Если обманные системы эмулируют использование еще 100 и более портов, то работа нападающего увеличивается во стократ. Теперь злоумышленник обнаружит не 5-10, а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т.д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под дамокловым мечом, опасаясь своего обнаружения. Есть и другая особенность использования обманных систем. По умолчанию обращение ко всем неиспользуемым портам игнорируется. Тем самым попытки сканирования портов могли быть пропущены используемыми защитными средствами. В случае же использования обманных систем все эти действия будут сразу же обнаружены при первой попытке обращения к ним. В настоящий момент широко известны две обманные системы, в той или иной степени, реализующие описанные выше методы. Первая из них - The Deception Toolkit (DTK) предназначена для работы под управлением различных Unix. Вторая - CyberCop Sting компании Network Associates, функционирует под управлением ОС Windows NT. The Deception ToolkitНабор инструментальных обманных средств (The Deception Toolkit, DTK) является первым средством, предназначенным для реализации механизма обмана злоумышленников, пытающихся проникнуть в сеть организации. Данное средство разработано Фредом Коэном (Fred Cohen), чтобы ввести в заблуждение автоматизированные средства анализа защищенности путем создания ложных уязвимостей. Создаваемые сканерами безопасности отчеты не смогут помочь злоумышленнику определить какие из обнаруженных уязвимостей являются реальными, а какие нет. Тем самым злоумышленнику придется тратить время и ресурсы на проверку всех обнаруженных уязвимостей, что позволит своевременно обнаружить такие попытки и противопоставить им эффективные средства защиты и, возможно, обнаружить злоумышленника. DTK может быть легко настроен под различные требования пользователей, но обычно это программирование ограничивается созданием ответных реакций на действия нападающих. Например, можно создать заголовок (banner) программы sendmail, возвращаемый на попытку установления соединения с соответствующим портом. В данном заголовке может быть стандартная информация о версии программы, которая используется многими средствами анализа защищенности для принятия решения о наличии уязвимости [2]. DTK представляет собой набор программ на языке C и Perl, реализующих описанные выше механизмы обмана злоумышленников. Эти программы могут быть модифицированы под конкретные нужды пользователей. Как замечает автор, DTK может функционировать под управлением любой ОС, поддерживающей стек протоколов TCP/IP и имеющей реализацию транслятора с языка Perl. В частности под управлением большого числа различных Unix'ов. Теоретически, после небольшой доработки исходных текстов, DTK сможет функционировать и под управлением Windows NT с Resource Kit, однако пока таких опытов не проводилось. Настройка DTK осуществляется из командной строки путем редактирования конфигурационных файлов из текстового редактора. Пакет The Deception Toolkit распространяется бесплатно и может быть получен по следующему адресу: http://all.net/contents/dtk.html. Развивая пакет DTK автор разработал улучшенную версию - DTK-Pro, которая, реализуя все возможности DTK, дополняет его новыми механизмами:
CyberCop StingСистема CyberCop Sting разработана в компании Network Associates (http://www.nai.com) и предназначена для эмуляции Ethernet-сети, состоящей из маршрутизаторов Cisco с IOS 11.2 и серверов под управлением операционных систем Windows NT 4.0 и Solaris 2.6. Все посланные на смоделированные виртуальные хосты пакеты отслеживаются, что позволяет обнаруживать и отслеживать злоумышленников, в то время как они пытаются атаковать несуществующие узлы [3]. CyberCop Sting "создает" виртуальную сеть на выделенном узле, работающем под управлением Windows NT. Каждый из виртуальных узлов имеет один или несколько IP-адресов, на которые можно посылать сетевой трафик и получать вполне "реальный" ответ. В более сложных случаях виртуально созданных узел может выступать в роли ретранслятора пакетов на невидимый, но реальный компьютер, который и отвечает на все запросы злоумышленника. Главное достоинство системы CyberCop Sting в том, что для моделирования "приманки" для нарушителя вам не требуется большого количества компьютеров и маршрутизаторов, - все реализуется на единственном компьютере (рис.2.).
Однако в CyberCop Sting отсутствует та гибкость, которая имеется в DTK. Вы не можете задать эмулируемые уязвимости и даже для стандартных сетевых сервисов, моделируемых Sting'ом вы не можете задать специфичные варианты ответов на запросы. Кроме того, также как и в DTK, CyberCop Sting не обладает качественным механизмом анализа журнала регистрации. Вам придется просматривать сотни, а иногда и тысячи записей текста прежде чем вы найдете интересующую вас информацию. И хотя для этой цели можно использовать продукты третьих фирм, например, WebTrends Log Analyzer, неплохо было бы иметь и встроенные средства анализа журналов регистрации. ВыводыС помощью обманных систем злоумышленников бьют их же оружием и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите. Применение обманных систем - это достаточно интересный и при правильном применении - эффективный метод обеспечения информационной безопасности. Однако для большей эффективности можно порекомендовать использовать связку защитных средств "обманные системы - системы обнаружения атак", которая позволит не только обнаружить нападающего сразу же после первой попытки атаки, но и заманить его при помощи обманной системы, тем самым, давая время администраторам безопасности на обнаружение злоумышленника и принятие соответствующих мер. Но не стоит забывать, что обманные системы - это не панацея от всех бед. Они помогают в случае простых нападений, осуществляемых начинающими или неопытными злоумышленниками. В случае квалифицированных и опытных нарушителей обманные системы теряют свою эффективность. Предварительный анализ трафика позволяет злоумышленнику понять, какие из обнаруженных портов фиктивные. Моделирование атак на стенде и сравнивание результатов с тем, что выдается в реальной атакуемой системе, также позволяет обнаружить использование обманных средств. Однако число действительно квалифицированных злоумышленников не так велико и поэтому использование обманных средств может помочь в большинстве случаев. Но еще раз замечу, что не надо забывать и про другие средства защиты - межсетевые экраны, системы обнаружения атак, сервера аутентификации и т.д. Только комплексное применение всех этих технических средств наряду с организационными и законодательными мерами позволит обеспечить действительно надежную и эффективную защиту от злоумышленников. Используемые термины
Список литературы[1] Fred Cohen. A Note on the Role of Deception in Information Protection. 1998[2] Лукацкий А.В. Как работает сканер безопасности? HackZone, 1999 [3] CyberCop Sting. Getting Started Guide. Version 1.0. [4] RealSecure. Attack Signatures Glossary. Version 3.2. Об авторе: Алексей Викторович Лукацкий, руководитель отдела Internet-решений, Научно-инженерное предприятие "Информзащита", Москва, (095) 289-8998, luka@infosec.ru 25 октября 1999 г.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|