Документирование всех неудачных попыток

Все нарушения, которые были обнаружены, должны быть тщательно зарегистрированы в соответствующих журналах. На основе зафиксированных данных можно инициировать различные процедуры реагирования. Однако, как показывает опыт, далеко не всегда можно с уверенностью сказать, что было совершено нападение на некоторые ресурсы корпоративной сети. Иногда возникают какие-то подозрения, от которых не следует безоглядно отмахиваться. Особенно не стоит их игнорировать тогда, когда специалист становится более опытным. Эти подозрения также должны быть зафиксированы, чтобы в случае получения дополнительной информации к ним можно было вернуться и вновь начать "разбор полетов".

В тот же журнал, в котором регистрируются все атаки и попытки атак, необходимо записывать, какие действия были предприняты в результате расследования инцидента и реагирования на него, и к чему они привели. Это позволит в случае продолжения атак быстро воспроизвести удачные варианты противодействия. Более подробно процедуры реагирования рассматриваются далее.

Особенности анализа журналов регистрации

В политике безопасности должно быть сформулировано, какие журналы регистрации должны анализироваться; кто, когда и при помощи каких методов проводит такой анализ. Также в рамках реализуемой политики безопасности в отдельном документе должны быть указаны контактные лица, с которыми надо связываться в случае обнаружения атаки. В случае большого числа журналов регистрации, а также их территориальной разнесенности необходимо использовать автоматизированные средства централизованного сбора журналов в одном месте или дистанционного их анализа (первое предпочтительнее). В очень крупных сетях, в которых каждый филиал управляется своим персоналом (в том числе и по безопасности) более удобно, когда система управления журналами регистрации строится по иерархическому признаку. По такому принципу действует система обнаружения сетевых атак Cisco Secure IDS, в которой может существовать несколько уровней консолей управления. Например, информация об абсолютно всех событиях передается на локальную консоль (консоль филиала или удаленной территории), а информация о наиболее важных событиях дополнительно направляется на главную консоль, находящуюся в центральном офисе. Необходимо помнить, что в случае изменения или приобретения новых систем обнаружения атак ваши процедуры анализа журналов регистрации должны быть соответствующим образом пересмотрены. Эти процессы должны всегда соответствовать технологии обработки информации и инфраструктуре защиты вашей организации.

Анализ сетевого трафика

Данный раздел дополняет предыдущий, т.к. все примеры обнаружения атак и злоупотреблений в сетевом трафике основываются на журналах регистраций сетевого оборудования и средств защиты.

Обнаружение различных атак и злоупотреблений

Понимая, что в организациях, в которых работает читатель, применяются разнородные средства защиты, операционные системы и сетевое оборудова­ние, я буду приводить примеры для наиболее распространенных из них. Но т.к. охватить в одной книге все разнообразие используемого программного и аппаратного обеспечения невозможно, обнаружение большинства атак будет демонстрироваться на примере журналов регистрации TCPdump — универсальной утилиты, функционирующей под управлением многих опе­рационных систем. И хотя TCPdump не обнаруживает атаки, распределен­ные более чем по одному пакету, принципы, заложенные в нее, могут быть задействованы и в более ответственных приложениях.

Контроль взаимодействия узлов по определенному протоколу

Для контроля взаимодействия заданных узлов корпоративной сети по опре­деленному протоколу необходимо отслеживать 9-ый байт заголовка IP-пакета, который и идентифицирует тип протокола. Это можно делать как визуально, так и при помощи задания соответствующих фильтров. Напри­мер, факт использования в сети протокола маршрутизации EIGRP (номер протокола 88) в журнале регистрации утилиты TCPdump выглядит следую­щим образом:

23:06:37 10.1.101.1 > 224.0.0.10: IP-protо-88 40 [tos OxcO]

Если журнал регистрация слишком велик или не обязательно регистриро­вать все события, можно создать фильтр, который позволит фиксировать только те из них, которые удовлетворяют заданным критериям. В таком слу­чае фильтр примет следующий вид:

ip[9:l] = 88

где ip— идентификатор протокола IP, [9:1] соответствует одному байту, начиная с 9-ой позиции, а 88 — десятичному значению данного байта. Ис­пользование множества таких фильтров позволит быстро обнаруживать раз­личные события, характеризующие несанкционированную деятельность. При помощи этих же фильтров можно создать свою собственную простейшуюсистему обнаружения атак. Более подробно вопросы создания своей системы обнаружения атак на основе фильтров TCPdump освещены в главе 12, а список идентификаторов протоколов приведен в приложении. 4.