Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
Глава 9 Обнаружение нештатной сетевой активности Вирусная эпидемия или атака на информационную систему не возникают «вдруг». Обычно им предшествует некий период, характеризующийся повышенной нештат- ной сетевой активностью. Периодический анализ файлов протоколов систем и ис- пользование тех или иных обнаружителей сетевых атак могут предупредить ад- министратора и дать ему возможность предпринять встречные шаги. Хотя профессиональные программы, предназначенные для обнаружения сетевых атак, весьма дороги, требуют высокого уровня знаний от администратора и обычно не используются в малых и средних предприятиях, администраторы легко могут найти в Сети пакеты, которые позволяют прослушивать активность на TCP/IP- портах системы. Сам факт обнаружения активности на нестандартных портах уже может быть свидетельством нештатного поведения системы, а наличие сетевого трафика в неожидаемые периоды времени может косвенно свидетельствовать о ра- боте троянов. Приведем несколько бесплатных программ, которые часто применяются для скани- рования сети: nmap: http://www.insecure.org/nmap/ — версии для Windows и Linux; Nessus: http://www.nessus.org — Linux-версии; NSAT: http://sourceforge.net/projects/nsat/ — Linux-системы. Следует отметить, что преобладание Linux-версий объясняется большими возмож- ностями настройки этой операционной системы на низком уровне — по сравнению с Windows-вариантами. Контроль состояния программной среды серверов и станций При эксплуатации системы администратор должен быть уверен в том, что на серве- рах и рабочих станциях отсутствуют известные уязвимости, и что установленное программное обеспечение выполняет свои функции без наличия каких-либо закла- док, недокументированных обменов данными и т. п. Понятно, что собственными силами проверить это невозможно, поэтому мы вынуждены доверять изготовите- лям программ и обеспечивать со своей стороны идентичность используемого ком- плекта ПО оригинальному дистрибутиву. Индивидуальная настройка серверов В большинстве случаев типичная (по умолчанию) конфигурация операционной системы позволяет сразу же приступить к ее использованию. При этом, также в большинстве случаев, система будет содержать лишние функции — например, службы, которые запущены, но не нужны вам. Такие функции в целях повышения безопасности следует отключать. Например, по умолчанию при установке Linux часто устанавливается веб-сервер (некоторые дистрибутивы грешат этим). Но Безопасность 451 он вам не нужен, — следовательно, вы его на безопасную работу не настраивали, и у него осталась конфигурация по умолчанию. Злоумышленник может использо- вать ненастроенные службы для атаки на вашу систему. Более того, поскольку вы считаете, что на том или ином компьютере веб-сервера нет, вы даже не будете кон- тролировать на нем эту службу. Именно поэтому все неиспользуемые службы нужно отключить. Включить их об- ратно, как только они вам понадобятся, — не проблема. Какие именно службы от- ключить, зависит от применения компьютера, поэтому привести универсальные рекомендации на этот счет в нашей книге не представляется возможным. Security Configuration Manager В составе Windows Server присутствует программа Security Configuration Manager (SCM). Как видно из ее названия, SCM предназначена для настройки параметров безопасности сервера. Практически, программа предлагает применить к системе один из шаблонов безопасности, выбрав ту или иную роль вашего сервера. SCM привлекательна тем, что предлагает применить комплексно все те рекоменда- ции, которые содержатся в объемных руководствах по безопасности. Однако в ре- альных системах редко можно найти серверы с «чистой» ролью — обычно присут- ствуют те или иные их модификации, заставляющие администратора тщательно проверять предлагаемые к назначению настройки. Поэтому SCM следует рассмат- ривать только как первый шаг настройки сервера. Security Compliance Manager Microsoft разработала специальное средство для анализа и разворачивания на пред- приятии групповых политик безопасности — Microsoft Security Compliance Mana- ger. Утилита доступна к бесплатной загрузке со страницы: http://go.microsoft.com/ fwlink/?LinkId=182512 . Установить ее можно на системы под управлением Windows 7/8/10 и Windows Server 2008/2012/2016. При этом продукт требует серве- ра базы данных (бесплатная его версия может быть загружена и настроена в про- цессе установки утилиты). С ОВЕТ При установке продукта необходимо наличие подключения к Интернету — возможно, придется загрузить SQL Server Express. Кроме того, после установки продукт загружа- ет с сайта Microsoft последние версии рекомендуемых параметров безопасности. Microsoft подготовила и рекомендуемые параметры настроек безопасности для сис- тем, предназначенных для эксплуатации в типовых условиях, в условиях предпри- ятия и для организаций с повышенным уровнем безопасности. Эти рекомендации представляют собой наборы рекомендуемых параметров групповой политики для рабочих станций (Windows 7/8/10) и серверов (Windows Server 2008/2012/2016). Обычно в конкретных условиях применить все рекомендации невозможно — на- пример, какие-то компоненты, рекомендуемые для отключения, у вас предполага- ется использовать. Утилита Security Compliance Manager и предназначена для того, 452 Глава 9 чтобы сравнить текущие параметры групповой политики с рекомендациями, отре- дактировать их и применить на предприятии эту групповую политику. Исключение уязвимостей программного обеспечения Ошибки наличествуют во всех программных продуктах, они свойственны как са- мим операционным системам, так и прикладному программному обеспечению. Уязвимость в программном обеспечении потенциально позволяет злоумышленнику получить доступ к данным в обход защиты. Поэтому установка обновлений являет- ся одним из наиболее критических элементов системы безопасности, причем адми- нистратору необходимо следить не только за обнаружением уязвимостей в опера- ционной системе, но и быть в курсе обновлений всего установленного программно- го обеспечения. П РИМЕЧАНИЕ Исторически существуют различные названия обновлений: «заплатки» (Hot fix), кото- рые обычно выпускаются после обнаружения новой уязвимости, сервис-паки (service pack), в которые включаются не только большинство реализованных ко времени вы- пуска сервис-пака «заплаток», но и некоторые усовершенствования и дополнения ос- новных программ, и т. п. В рассматриваемом контексте для нас не актуальны эти раз- личия. Уязвимости и эксплойты Каждый день в том или ином программном обеспечении обнаруживаются какие- нибудь уязвимости. А вот «заплатки», позволяющие закрыть «дыры» в информаци- онной безопасности выпускаются не так регулярно, как этого бы хотелось. Другими словами, с момента обнаружения уязвимости и до установки «заплатки» (заметьте, не до выхода, а до установки — «заплатка» уже вышла, а администратор ничего о ней и не подозревает) может пройти внушительное время. За это время кто-либо может воспользоваться уязвимостью и взломать вашу систему. Чтобы воспользоваться уязвимостью, не нужно быть «крутым хакером» — доста- точно подобрать эксплойт (специальную программу, которая реализует эту уязви- мость) и применить его к вашей системе. Найти эксплойт довольно просто — надо лишь уметь пользоваться поисковыми системами. В результате обычный пользова- тель получает инструмент, позволяющий ему, например, повысить свои права до уровня администратора или «свалить» сервер предприятия. Можно рассуждать о причинах такого поведения, но авторам неоднократно приходилось сталкиваться с наличием подобного пользовательского интереса. На сайте http://www. metasploit.com/ доступен бесплатный сканер уязвимостей, который можно исполь- зовать как для тестирования «дыр», так и для выбора метода атаки системы. Информация о найденных уязвимостях разработчиками ПО тщательно скрывается до момента выпуска исправлений программного кода. Однако этот факт не гаран- тирует отсутствие «прорех» в защите систем, которые уже начали эксплуатиро- ваться злоумышленниками. Безопасность 453 Поэтому своевременная установка «заплаток» является необходимым, но не доста- точным средством обеспечения безопасности данных. Как узнать об обновлениях? Информация об уязвимостях публикуется на специальных сайтах. Вот некоторые из них: SecurityFocus: http://www.securityfocus.com ; CERT vulnerability notes: http://www.kb.cert.org/vuls/ ; Common Vulnerabilities and Exposures (MITRE CVE): http://cve.mitre.org ; SecurityLab: http://www.securitylab.ru/vulnerability/ ; IBM Internet Security Systems: http://xforce.iss.net . Эти сайты нужно регулярно просматривать или же подписаться на существующие у них рассылки. Проверка системы на наличие уязвимостей При желании можно самостоятельно произвести проверку системы на наличие уяз- вимостей. Программ для такой проверки предостаточно: RkHunter, OpenVAS, SATAN, XSpider, Jackal, Strobe, NSS — как платных, так и бесплатных. Информа- цию об этих сканерах вы без проблем найдете в Интернете. Например, следующие статьи объясняют, как использовать RkHunter и OpenVAS соответственно: http://habrahabr.ru/company/first/blog/242865/ ; http://habrahabr.ru/post/203766/ . Администратор может воспользоваться и любой программой, предназначенной для анализа безопасности компьютерных систем. Сегодня на рынке подобных продук- тов представлено множество. Как правило, программы сканирования уязвимостей выполняют типовые операции: проверяют наличие уязвимостей по имеющейся у них базе, сканируют IP-порты, проверяют ответы на типовые HTTP-запросы и т. д. По итогам таких операций формируется отчет, предоставляемый админист- раторам, и приводятся рекомендации по устранению уязвимостей. Если необходимо сертифицированное решение, то можно использовать программу XSpider, которая имеет сертификат ФСТЭК России. Окно этой программы предос- тавлено на рис. 9.6. П РИМЕЧАНИЕ При тестировании информационной системы с помощью подобных программ следует проявлять особую осторожность. Во-первых, при тестировании резко повышается на- грузка на сеть. Во-вторых, отдельные тесты могут привести к аварийному завершению работы компьютеров. |