Bro: программная система для распознавания вторжения в сеть

Открытая система Вrо предназначена для распознавания вторжений в сеть (network intrusion detection system — NIDS). Она выполняет мониторинг сети и следит за подо­ зрительной активностью. Эта система была написана Верном Паксоном (Vern Paxson) и доступна на сайте bro-ids.org.

Система Вrо проверяет весь трафик, поступающий в сеть и исходящий из нее. Она может функционировать в пассивном режиме, генерируя предупреждения о подозритель­ ной активности, или в активном режиме, в котором она пресекает враждебные действия. Оба режима, скорее всего, потребуют внесения изменений в конфигурацию вашей сети.

В отличие от других систем NIDS, система Вrо отслеживает потоки трафика, а не просто сопоставляет образцы внутри отдельных пакетов. Это значит, что система Вrо

Глава 22. Безопасность 965

может распознавать подозрительную активность, основываясь на информации о том, кто с кем говорит, даже не сравнивая никаких строк или шаблонов. Например, система Bro может решать следующие задачи.

• Распознавать системы, использующие “мостики” (“stepping stones”), определяя корреляцию между входящим и исходящим трафиками.

• Распознавать сервер, имеющий лазейку, инсталлированную для неожиданных ис­ ходящих соединений сразу после входящего соединения.

• Распознавать протоколы, выполняемые на нестандартных портах.

• Сообщать о правильно угаданных паролях (и игнорировать неправильные догадки).

Некоторые из этих функциональных возможностей требуют существенных систем­ ных ресурсов, но система Bro имеет поддержку кластеризации, облегчающую управле­ ние группами машин, распознающих вторжение.

Система Bro имеет сложный язык конфигурации, требующий значительного опыта кодирования. К сожалению, в системе нет конфигурации, заданной по умолчанию, ко­ торую было бы легко инсталлировать новичкам. Большинство сайтов требует умеренно­ го уровня настройки.

Система до некоторой степени поддерживается Группой сетевых исследований Международного института компьютерных наук (Networking Research Group of the International Computer Science Institute (ICSI)), но в большей степени она поддерживает­ ся сообществом ее пользователей. Если вы ищете готовую коммерческую систему NIDS, то, вероятно, будете разочарованы системой Bro. Однако она может делать то, что не доступно коммерческим системам NIDS, и может служить дополнением или заменой коммерческого продукта.

Snort: популярная программная система для распознавания проникновения в сеть

Открытая система Snort предназначена для предотвращения и распознавания не­ санкционированного проникновения в сеть; написана Марти Решем (Marty Roesch) и в настоящее время поддерживается коммерческой компанией Sourcefire (snort.org). Она де-факто стала стандартом для кустарных систем NIDS, а также основной для многих коммерческих реализаций систем NIDS с “управляемыми услугами”.

Сама по себе система Snort распространяется как пакет с открытым кодом. Однако компания Sourcefire взимает плату за подписку на доступ к новейшим правилам рас­ познавания.

Большое количество платформ, созданных сторонними производителями, включают в себя или экспортируют систему Snort, причем некоторые из этих проектов являют­ ся программами с открытым кодом. Ярким примером является проект Aanval (aanval. com), собирающий данные от многочисленных датчиков системы Snort на веб-консоль.

Система Snort перехватывает пакеты из кабеля и сравнивает их с наборами правил, которые называются сигнатурами. Когда система Snort распознает событие, которое представляет интерес, она может предупредить системного администратора или устано­ вить контакт с сетевым устройством и, помимо прочего, заблокировать нежелательный трафик.

Несмотря на то что система Bro намного мощнее, система Snort намного проще и легче конфигурируется, благодаря чему является удачным выбором для стартовой плат­ формы NIDS.

966 Часть II. Работа в сети

OSSEC: система для распознавания вторжения в сеть на уровне узла

Мучались ли вы бессонницей из-за опасения, что ваша система безопасности сети будет взломана? Не предполагали ли вы, что ваш рассерженный сотрудник может ин­ сталлировать вредоносную программу в ваших системах? Если на один из этих вопросов вы ответили положительно, то подумайте над инсталляцией системы для распознавания проникновения на уровне узла (HIDS), такой как OSSEC.

Система OSSEC — это свободное программное обеспечение, доступное в виде от­ крытого кода по лицензии GNU (General Public License). Ее коммерческая поддерж­ ка обеспечивается компанией Third Brigade (недавно приобретенной компанией Trend Micro). Система OSSEC имеет версии для систем Linux, Solaris, HP-UX, AIX и Windows. Она обеспечивает следующие функциональные возможности.

• Распознавание руткитов.

• Проверка целостности файловой системы. • Анализ регистрационных файлов.

• Выдача сигналов по расписанию.

• Активные реакции.

Система OSSEC работает в заданной операционной системе и отслеживает ее актив­ ность. Она может выдавать сигналы или предпринимать действия, предусмотренные на­ бором правил, которые устанавливает пользователь. Например, система OSSEC может выполнять мониторинг операционных систем с целью выявления добавления неавто­ ризованных файлов и посылать по электронной почте уведомления, похожие на при­ веденное ниже.

Subject: OSSEC Notification - courtesy - Alert level 7

Date: Fri, 15 Jan 2010 14:53:04 -0700

From: OSSEC HIDS <ossecm@courtesy.atrust.com>

To: <courtesy-admin@atrust.com>

OSSEC HIDS Notification.

2010 Jan 15 14:52:52

Received From: courtesy->syscheck

Rule: 554 fired (level 7) -> "File added to the system."

Portion of the log(s):

New file

'/courtesy/httpd/barkingseal.com/html/wp-content/uploads/2010/01/hbird.jpg'

added to the file system.

--END OF NOTIFICATION

Таким образом, система OSSEC работает круглосуточно, следя за операционной си­ стемой. Мы рекомендуем запускать эту систему на каждой операционной системе, одно­ временно изменяя политику управления (см. главу 32).

Основные принципы системы OSSEC

Система OSSEC состоит из двух основных компонентов: менеджера (сервера) и аген­ тов (клиентов). В сети нужен один менеджер, который необходимо инсталлировать пер­ вым. Менеджер хранит базу данных для проверки целостности файловой системы, реги-

Глава 22. Безопасность 967

страционные журналы, события, декодеры, основные варианты конфигурации, а также записи об аудите системы для всей сети. Менеджер может соединяться с любым агентом OSSEC, независимо от его операционной системы. Менеджер также может отслеживать работу определенных устройств, которые не имеют специального агента OSSEC.

Агенты работают в системах, которые подвергаются мониторингу, и сообщают ин­ формацию менеджеру. Они имеют маленькую зону обслуживания и оперируют неболь­ шим объемом привилегий. Большую часть конфигурации агент получает от менеджера. Соединение между сервером и агентом зашифровано и аутентифицировано. Для каждо­ го агента менеджер должен создать отдельный ключ аутентификации.

Система OSSEC классифицирует серьезность сигналов по уровням от 0 до 15; число 15 соответствует высшему уровню опасности.

Поиск по сайту: