Книги: [Классика] [Базы данных] [Internet/WWW] [Сети] [Программирование] [UNIX] [Windows] [Безопасность] [Графика] [Software Engineering] [ERP-системы] [Hardware]
Введение
Эта книга является учебным пособием и справочником для специалистов, занимающихся анализом обнаружения вторжения в сеть. В качестве вводного комментария стоит сказать, что Стивен был автором Shadow - системы обнаружения вторжения. Кроме того, он является обработчиком происшествий во Всемирном центре анализа происшествий. Джуди- старший аналитик-исследователь вторжения в сеть и член-основатель группы CIRT Министерства обороны США. Мы удостоены чести работать бок о бок с другими классными группами и специалистами по системному анализу. Одна из наших главнейших обязанностей - обучение и аттестация аналитиков вторжения. Несколько лет мы затратили на разработку официально утвержденного курса обучения. Мы охотно согласились на предложение усовершенствовать данную книгу. В этом случае мы имеем возможность добавить материал, который поможет в изучении темы обнаружения 'вторжения и в получении сертификата. Потребность в аналитиках обнаружения вторжения постоянно растет, и, надеемся, вы примете в этом участие. Работа над исходным проектом началась 22 декабря 1998 года, а последняя глава была готова в марте 1999 года. Эта редакция, где добавлены ряд глав, начала создаваться в январе 2000 года и была завершена в июне того же года. Процесс написания этой книги был весьма трудоемок, но она стоит того. Столь же серьезна работа и для получения по-настоящему профессиональных знаний в области обнаружения вторжения, и, надеемся, наша книга поможет ускорить прохождение данного курса.
История Shadow
Почти все приводимые примеры с TCPdump были получены с помощью системы обнаружения вторжения Shadow. Оставшаяся часть данного введения посвящена истории Shadow и обсуждению Snort. Если вы хотите обратиться к техническому материалу, сразу же переходите к главе 1. Если же планируете приобрести систему обнаружения вторжения, рекомендуем прочитать данное введение.
Shadow не была бы создана, если бы не мечтатели, работавшие в Организации противоракетной обороны. Мы встретились с ними в то время, когда Стивен создавал системы обнаружения вторжения, работающие по принципу соответствия последовательностей символов, используя старые системы Sparc 1+. Главным методом сбора информации был модифицированный файл ensnif.c из Phrack номер 45, и это была система второго поколения! Не стоит говорить о том, что старое оборудование и взломанные хакерские программные средства ограничивали возможности Shadow. ОПРО дала Shadow больше чем деньги; она позволила общаться с одними из умнейших людей на планете, помогавшими нам решать трудные задачи. Пожалуй, самый важный их совет носил отнюдь не технический, а философский характер, и мы бы хотели его привести: "Делай что-то одно, но хорошо".
В NSWC - лаборатории, где родилась Shadow,- большинство исследований проводится специальным исследовательским отделом. Когда Джон Грин - второй руководитель группы Shadow - перешел от разработки систем вооружений к исследованиям, его перевели в исследовательский отдел. Спустя примерно три недели он начал надоедать Стивену, говоря, что просто необходима некто по имени Вики.
Вики Ирвин в настоящее время является членом группы разработки Psionic и преподавателем усовершенствованных методов обнаружения вторжения. Мало того, она - двоюродная сестра кролика из рекламы "Энерджайзер"! Работая с завидным упорством по 18 часов в сутки, она быстро стала лучшим аналитиком в области обнаружения вторжения. Вики - одна из трех архитекторов Shadow.
В то время, когда создавалась Shadow, Джуди Новак из Исследовательской лаборатории армии США сосредоточила свои усилия на применении этой системы. Она выполнила большую часть технического анализа заголовков, и при чтении первых глав книги вы поймете, насколько это было полезно. На первый взгляд эти главы кажутся учебным пособием по TCP/IP, но затем, при анализе сетевых трассировок, становится ясно, что исследуется не только то, что нормально и вполне ожидаемо, но и то, что ненормально. Эти трассировки, полученные как в лабораторных условиях, так и при эксплуатации реальных систем, - результат сотен часов работы и наиболее ценные для аналитика источники информации.
В октябре 1997 года произошла встреча с Аланом Поллером, заместителем директора Института SANS по научно-исследовательской деятельности. Там проявили интерес к средствам обнаружения вторжения. Мы стали работать более интенсивно. В SANS предложили рассмотреть иной подход к обнаружению вторжения (не по соответствию последовательностей символов) и вывести проект из лабораторий в аудитории. Результаты очевидны. Если вы слышали о Shadow, заслугой тому SANS, а вовсе не Министерство обороны. SANS помог представить это программное средство для всеобщей оценки, что, возможно, ущемило чьи-то права, но, несомненно, имело положительное влияние на текст программы. В результате этой оценки на свет появилась небольшая книга, озаглавленная "Intrusion Detection - Shadow Style". В то время по данной теме существовало совсем немного книг, причем все они носили теоретический Характер. Мы сразу же показали, каким образом нужно работать, как это выглядит и что это значит. Над данным проектом работали несколько человек, но главными авторами были Вики и я. Это была наша первая попытка написания руководства для аналитиков. Кроме того, SANS предоставил помещение для наших классов. Мы разработали для специалистов базовый курс с инструкциями по обнаружению вторжения. При этом использовалась информация, полученная группой Shadow.
Итак, мы, четыре слепых котенка: Джон, Джуди, Вики и я - начали действовать. У каждого из нас за плечами был опыт работы с компьютерами от пяти до пятнадцати лет. Каждый из нас днем писал свои собственные программы обнаружения вторжения, а ночью проводил анализ. С ростом объема программного текста мы дошли до того момента, когда работать со своими системами могли только мы сами. Несколько месяцев отделяли нас от критической ситуации, когда программы буквально бы взорвались. Но в это время в нашей группе появился Билл Ральф. Билл был ведущим системным программистом в группе суперкомпьютеров Cray, работающей в лаборатории Министерства энергетики. Сначала он был профессиональным программистом проекта, затем стал системным инженером, а начиная со второй недели своей работы - главным архитектором Shadow, создав несколько версий этой системы.
Обмен информацией
Сфере обнаружения вторжения присуще странное свойство. Те, кто "официально" занимается этим, не любят общаться друг с другом. Эта проблема проявляется следующим образом:
- Группы реагирования на происшествия не возвращают информацию тем сайтам, которые сообщают о нападении.
- Сайты не делятся информацией между собой.
- Люди, не имеющие представления о том, что делают, составляют собственный план, заявляют, что самые главные, и требуют, чтобы каждый обнаруживал вторжение самостоятельно.
- Каждый утверждает, что он первый, лучший и т.д.
- После этого следует борьба за деньги, но эта тема слишком болезненна, так что не стоит даже говорить о ней.
Каждый член группы Shadow согласился с тем, что такой порядок нужно изменить. Наиболее успешным проектом обмена информацией, в котором мы приняли участие, является Всемирный центр анализа происшествий (GIAC - Global Incident Analysis Center), адрес которого www.sans.org/giac.htm. Пока GIAC продолжает действовать, ваша книга актуальна. Здесь постоянно публикуются самые последние признаки нападения и сведения об анализе.
Следует поблагодарить издателя, от деятельности которого выигрывает все сообщество. Способы детектирования, о которых сообщается, помогли нам усовершенствовать эту книгу и учебные курсы по обнаружению вторжения. Были показаны те инструментальные средства, Которыми пользуются на самом деле. Много вопросов и критических замечаний касаются того, что не слишком глубоко описываются коммерческие инструменты. Если вы собираетесь приобрести какую-то систему, посетите GIAC, а также ознакомьтесь с практическими отчетами обучающихся. Чтобы получить сертификат аналитика вторжения, обучаемый должен продемонстрировать свое знание предмета. Он выполняет практическое задание, результаты которого показывают всем остальным студентам (www.sans.org/giactc.htm). Прочтите сотню-другую этих отчетов и скажите, на каком месте находятся методы детектирования ISS RealSecure, Dragon, Axent, Net Ranger и т.д. Методы коммерческих систем составляют лишь малую часть из всех, о которых сообщается. Мы приносим свои извинения тем, кого это обижает, но кто-то же должен об этом сказать. Голос сотен активных, опытных аналитиков не должен сбрасываться со счетов. Если вам необходимо средство обнаружения вторжения, обратите особое внимание на систему Snort,
Snort
В этой книге несколько раз упоминается так называемая проблема 2000 года (Y2K), причиной чего является резко возросший в тот момент объем отчетов о вторжении в сети. В декабре 1999 года большинство отчетов было основано на Shadow - верный признак того, что данная система обнаружения вторжения была ведущей в мире, если не в количественном отношении, то в смысле эффективности детектирования.
Через шесть месяцев картина резко изменилась. Теперь правит балом быстро растущая упрощенная система Snort, созданная Марти Решем. Разработаны фильтры (множество фильтров). Методы детектирования Snort поступают в GIAC. Мы постарались в кратчайшие сроки привести в соответствие свои учебные материалы, заменив примеры с Shadow примерами со Snort. За последними сведениями об этой ID-системе обращайтесь на www.snort.org.
Итоги
Теперь вы знаете нашу историю и в общих чертах представляете, чего ожидать от этой книги. Здесь содержатся теоретические сведения, справочные материалы и результаты исследований, но в основном книга носит практический характер. Надеемся, что она будет вам полезна и чтение ее доставит вам удовольствие. Для новичков, только начинающих, свой путь к званию аналитика обнаружения вторжения, она послужит интересным и важным пособием. Весьма необдуманно иметь высокоактивную DMZ - одну на множество атак. Если позволите, дадим вам три совета, основа которых - наш опыт практической работы:
- Не делайте поспешных выводов. На самом деле все может быть не таким, как кажется на первый взгляд.
- Организация не может считаться правильной, если работает автономно; не прекращайте поисков других аналитиков, с кем можно поделиться информацией.
- Обязательно делайте пометки в блокноте, рассматривая все в качестве лабораторных исследований. Делая ошибку, зачеркивайте ее.
Начало
Полное содержание
Предисловие
Об авторе
Заказать книгу в магазине "Мистраль"
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС
