Коллектив авторов - Защита от хакеров корпоративных сетей

«Корпорации информатики в Сан-Антонио, Техас, требуется опытный создатель вирусов. Работа на авиационной базе Келли в Сан-Антонио. Сопутствующий опыт приветствуется».

Вопрос:Как предотвратить распространение червя при заражении компьютера? Ответ:Это во многом зависит от того, какая операционная система была инфицирована. Предотвратить заражение достаточно легко для серверов в демилитаризованной зоне: измените установки брандмауэра таким образом, чтобы запретить прямое соединение серверов с Интернетом.

В этой главе обсуждаются следующие темы:

• Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

• Уклонение на уровне пакетов

• Уклонение на уровне приложений

• Уклонение при помощи морфизма кода

· Резюме

· Конспект

· Часто задаваемые вопросы

Один из законов защиты гласит, что все основанные на анализе сигнатур механизмы обнаружения атак можно обойти. Это справедливо для систем обнаружения вторжений (IDS – Intrusion Detection System). Системы обнаружения вторжений просматривают сетевой трафик и отслеживают несанкционированные действия в сети. Они анализируют сетевой трафик при помощи сигнатур, которые похожи на сигнатуры вирусов. Системам обнаружения вторжений присущи те же проблемы, что сканерам вирусов. Плюс к этому надо иметь в виду, что в их обязанности входят моделирование сети, работа на нескольких уровнях семиуровневой модели OSI одновременно, причем на каждом из этих уровней их могут перехитрить.

Эта глава посвящена описанию способов противодействия системам обнаружения вторжений. В их число входят манипуляции на уровне пакета, приложений и модификация машинного кода. Каждый из названных способов может использоваться как отдельно, так и совместно с другими, позволяя злоумышленнику избежать обнаружения системой обнаружения вторжения.

В главе приведено несколько примеров, иллюстрирующих перечисленные способы уклонения от обнаружения.

Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую активность и известных злоумышленников. Эти системы реагируют на враждебную сетевую активность стандартным образом, используя базу данных сигнатур атак. Если в базе данных будет найдено соответствие наблюдаемому событию, то подается сигнал тревоги и для последующего анализа делается запись в журнале регистрации. Подлежащими регистрации сетевыми событиями и действиями определяется состав базы данных сигнатур атак, которая является ахиллесовой пятой систем обнаружения вторжений.

Сигнатура атаки содержит несколько компонентов, которые однозначно ее идентифицируют. Идеальная сигнатура – это такая сигнатура, которая, с одной стороны, полностью определяет атаку, а с другой – настолько проста, насколько это возможно (большие сложные сигнатуры могут стать причиной серьезных накладных расходов на их обработку). Поскольку существуют различные типы атак, то должны быть различные типы сигнатур. Некоторые сигнатуры можно получить, изучая уникальные характеристики отдельных режимов работы протокола IP. Возможно, что таким образом можно будет идентифицировать сканирование порта утилитой nmap. Другие сигнатуры получают в результате анализа программного кода атаки.

Большинство сигнатур было создано путем многократного выполнения известного программного кода атаки с контролем сопутствующих ему данных в сети и поиском в них уникальной последовательности двоичных кодов, повторяющихся при каждом выполнении. Этот способ создания сигнатур хорошо зарекомендовал себя в случае последовательных попыток известных типов атак на сеть. Автору приходилось иметь дело с некачественными сигнатурами. Некоторые из них были настолько примитивны, что оказались бесполезными против агрессивного злоумышленника, быстро просматривающего несколько Web-сайтов. Тем не менее помните, что идея заключается в уникальной идентификации атаки, а не просто в ее обнаружении.