RealSecure и Internet Scanner от ISS позволяют выявить в сети слабые места, о существовании которых вы и не догадывались.
Битве за эффективное управление соединениями Internet и связанными с ней сервисами никогда не суждено завершиться полной и окончательной победой, но не стоит думать, что прогресс в этой области невозможен. В тестовых лабораториях и за их пределами специалисты придумывают различные подходы к данной проблеме. Их усилия варьируются от простых решений типа реализации полезной службы каталогов до серьезных методик определения надежности защиты и ее аудита. В этой связи вопрос «Как нам продемонстрировать, что инфраструктура может противостоять атакам, а также узнать о самом факте атаки?» приходит на ум сам собой.
RealSecure 2.0 компании Internet Security Systems предназначен для просмотра трафика и представления на консоли распределенной информации в соответствии с потребностями как тестирования, так и аудита защиты TCP/IP. Это одновременно и мониторинговый, и активный инструмент, который вы можете использовать для решения задач защиты сотен сервисов TCP/IP.
Если RealSecure собирает и представляет информацию о проблемных событиях в вашей сети, то Internet Scanner, другой продукт ISS, генерирует эти события посредством применения известных методов атак, т. е. он предназначен для тестирования защиты вашей сети. Продукты могут взаимодействовать друг с другом в целях составления подробного анализа уязвимых мест сети.
Чтобы проверить действенность этого двухкомпонентного подхода, мы решили использовать сеть нашей компании в качестве подопытного кролика.
Родословная RealSecure
RealSecure относится одновременно к нескольким категориям продуктов. Этим он аналогичен анализатору протоколов на базе ПК. Признанные лидеры в данной категории - EtherVision32 от Triticom, EtherPeek от AG Group и почтенный Sniffer от Network Associates (ранее Network General). Эти продукты были когда-то простыми декодировщиками, но эволюционировали в соответствии с требованиями нового поколения администраторов, многие из которых не имели возможности изучить все нюансы TCP/IP - в наши дни по крайней мере некоторые из них говорят на языке, понятном простым смертным. Ряд нюансов, которые могут быть утеряны в результате либо упрощенного перевода пакетной информации, либо презентации в удобном для понимания неофитов виде, способны скрывать явные и неявные проблемы защиты, ждущие, пока кто-нибудь воскликнет: «Нашел!» Эффективная интерпретация данных - ключ к использованию анализаторов протоколов.
В ранние дни сетевых вычислений анализаторы протоколов были специальным образом оптимизированы под аппаратные/программные/сетевые платформы и могли следить за (и сообщать о) трафиком в домене коллизий Ethernet или сегменте Token Ring. Новые анализаторы протоколов и пакетов шли голова к голове с ростом трафика; поддержка максимальной скорости, с которой пакеты могут быть поданы в сетевой канал, стала требованием хорошего тона.
Это привело к развитию «черной магии» - способности читать данные анализатора и выдавать осмысленную интерпретацию той информации, которая была декодирована во время выхода сети из строя. Другие анализаторы чаще используются как простые мониторы импульсов. Novel LANalyzer до сих пор живет в нашей сети - компьютер NEC формата «коробка с обедом» с пост-Novell'овским программным обеспечением от NDD (Network Probe 4.2). Сегодня наш почтенный LANalyzer справляется с самым быстрым сегментом нашей сети не лучше, чем с прогнозом погоды. Объемы собираемых данных возросли, а базовые сегменты Fast Ethernet в 10 раз быстрее, чем сетевая плата Ethernet на анализаторе. Мы держим LANalyzer для отображения бегущей гистограммы трафика по протоколам (IP в сравнении с IPX в сравнении с AppleTalk и т. д.) в сети нашей лаборатории - и в качестве памятника постоянному стремлению быть на уровне современных требований.
Еще более трудная задача, чем соответствие возросшим скоростям передачи, - выявление мириад возможных брешей в защите и противодействии новым методам атак. Всего несколько лет назад основная задача сетевых администраторов состояла исключительно в том, чтобы заставить локальные и глобальные сети работать. Теперь, когда сети функционируют, они изо всех сил пытаются предотвратить получение несанкционированного доступа как извне, так и изнутри сети, злонамеренную порчу данных и атаки по типу «отказ в обслуживании».
Новые дыры, в особенности в Windows NT, обнаруживаются чуть ли не еженедельно - по крайней мере так пытаются нас убедить службы новостей. Слабости UNIX идут от принятой практики кодирования коммуникационных функций операционной системы всем миром. По меркам компьютерной истории, UNIX - очень старая операционная система, и люди имели достаточно времени, чтобы узнать все ее сильные и слабые стороны - настолько, что привычной практикой стало обращение на посвященные вопросам защиты серверы Internet для получения заплаток к различным приложениям TCP/IP.
План атаки
При подготовке этого материала мы использовали как RealSecure, так и Internet Scanner: сканер для аудита защиты сети, а RealSecure для мониторинга и оповещения о любых подозрительных событиях, генерируемых сканером.
Архитектура сети представлена на Рисунке 1. Как и многие сети, она гетерогенна, с прямым подключением к Internet, что типично для небольших сетей (до 125 ПК). Кроме того, наши филиалы связаны между собой по глобальной сети: два таких соединения показаны на диаграмме.
Во время испытаний мы хотели проверить сетевую инфраструктуру на наличие потенциальных дыр и непонятных изменений. С другой стороны, мы не хотели терять время, ожидая, пока поступит какое-нибудь шальное предупреждение SNMP. Вместо этого мы решили составить отчет по нескольким протоколам (но на базе TCP/IP) за определенный период. В то же время если бы произошло что-нибудь неординарное, то RealSecure отправил бы прерывание SNMP на консоль, а она передала сообщение на пейджер во многом так же, как когда начинает барахлить концентратор 3Com или SMC.
Настройка систем
RealSecure разделяет задачу сбора и представления сетевого трафика между двумя компонентами - механизмом и консолью. Механизмы просматривают и собирают сетевые данные, а консоли обеспечивают их представление. Наиболее любопытной чертой RealSecure является его способность сопоставлять данные между собой и углубляться до необходимого уровня детализации. Автоматический анализ данных можно настроить таким образом, что отклонения от типичных сценариев приводят к последующему запуску определяемых пользователем пусковых механизмов подачи сообщения о тревожной ситуации.
RealSecure и Internet Scanner выполняются на самых разных платформах - от Solaris и Linux до Windows NT 4. ISS рекомендует выполнение механизмов на выделенных системах, таких, как серверы и рабочие станции Windows NT.
Windows NT 4 Workstation и Windows NT 4 Server должны быть обновлены до Service Paсk 3 для работы с любым из продуктов ISS. Так, многие трудности, с которыми мы столкнулись во время тестирования, были связаны с необходимостью обновления NT 4.0. К счастью, ISS знает обо всех этих сервисных проблемах, а также об их решении.
ISS предоставляет открытый ключ для разблокирования программного обеспечения. В свою очередь, экземпляры программного обеспечения механизмов ISS умеют генерировать открытые ключи для других механизмов, установленных в иных доменах коллизий. Механизмы/компьютеры RealSecure осуществляют мониторинг только одного домена коллизий, но при установке второй платы они могут сообщать через нее на консоль информацию о подопечном домене коллизий. Это позволяет исключить служебный трафик при мониторинге сегментов. Применение двух плат - отличный способ следить за сегментом, так сказать, украдкой.
Запуск атаки
Мы провели наши испытания в несколько этапов. Первый этап включал сбор с помощью RealSecure данных о нашей сети с целью выявления каких-либо необычных проблем. Второй этап предполагал запуск Internet Scanner для проведения атаки на сеть. Целью в данном случае было, во-первых, выяснить, что он сможет найти, и, во-вторых, посмотреть, какие атаки RealSecure сможет идентифицировать и какую информацию он при этом будет сообщать.
Вначале мы запустили программное обеспечение RealSecure на два дня для сбора информации, чтобы узнать, какие именно данные он будет собирать. В конце цикла тестирования мы добавили Internet Scanner для зондирования дыр и для сравнения генерируемых им данных с тем, что собрал RealSecure.
Собираемый RealSecure объем данных оказался просто огромным. Продукт позволял отслеживать события по типам приложений (HTML, почта и т. д.), по адресам отправителей и получателей или по всем трем категориям сразу. Он также позволял производить просмотр последовательно в порядке дискретных событий (см. Рисунок 2).
Одной из отличительных особенностей RealSecure является наличие справочной системы, описывающей каждое событие и объясняющей, каков его смысл в текущем контексте - нейтральный или тревожный это признак (с вытекающими отсюда последствиями).
Контекстно зависимая справочная система может служить источником знаний сама по себе. Мы не заметили, как углубились в ее чтение строка за строкой, событие за событием, выясняя, что это были за диалоги и что они означали с точки зрения коммуникационных циклов, типичных для нашей сети. Большинство сообщений о событиях указывали на умеренный риск. Информации хватало, но она не требовала немедленных действий.
Запуск Internet Scanner дал нам сведения совершенно иного рода.
Сканер ISS предназначен для эмуляции и воспроизведения всех известных стратегий атак на сеть в целом и на каждый из ее компонентов в отдельности. Он находит все устройства, какие может, а затем подвергает их всевозможным типам атак от зондирования портов до атак по типу «отказ в обслуживании». Продукт оказался на удивление полным в этом отношении. Результаты его работы просто поразили нас. Несмотря на наше немалое знакомство с возможными методами взлома, оказывается, мы имели далекое от полноты представление об уязвимых точках нашей сети. Scanner нашел множество подобных точек, а RealSecure сообщил о всех попытках, которые он только мог видеть.
Мы установили Internet Scanner 5.0 на Compaq DeskPro 6150 с 64 Мбайт DRAM и запустили легкое сканирование сети. Вся операция для 65 машин заняла 190 секунд и привела к генерации нескольких сообщений. Мы увеличили глубину сканирования до средней, а затем до максимальной. Число подвергаемых сканированию элементов в последнем случае было таково, что их перечисление заняло десять экранов. К нашему стыду, аудит мы не прошли.
Scanner 5.0 потребовалось четыре часа на выполнение работы, причем в конце все серверы NT светились голубыми экранами (т. е. ненормальное завершение привело к появлению отладочных экранов), а компьютер с монитором RealScanner буквально сошел с ума - после последнего сканирования диск не мог остановиться в течение 20 минут.
Internet Scanner привел к полной остановке сети на шесть часов и вывел из строя 11 машин. Остальные едва подавали признаки жизни. В конце концов, мы вынуждены были перезагрузить 19 из них. К счастью, сканирование не привело к непоправимой порче или потере данных - оно вызвало только отказ в обслуживании до перезапуска компьютеров. Оба продукта документировали результаты атаки.
Данные, которые мы задали сохранять в формате базы данных Access, состояли почти наполовину из информации о проблемах. Большая их часть касалась неправильного задания прав на файлы. Но мы столкнулись и с более серьезными проблемами. Ни на одном из серверов NT не были установлены заплаты для защиты от атак по типу «отказ в обслуживании». Бранд-мауэр под управлением BSD 2.0 (SecureWare BorderWare 4.1, примерно конца 1996 года) имел несколько известных, но так и не исправленных ошибок.
Один из маршрутизаторов также оказался уязвим. Мы думаем, что даже наша кофеварка была в опасности. Все это радовать не могло.
После проведения атаки следующий шаг состоял в сравнении предоставленной Scanner информации с журналом RealSecure. Буфер, который мы использовали для хранения информации, был настроен на фиксирование последних 5000 событий по принципу «первым пришел, первым ушел» и не хранил в памяти все выполняемые Scanner 5.0 тесты. Проверка журналов показала, что оба продукта предоставляли одну и ту же информацию.
Любопытно, что RealSecure обнаружил дополнительные данные о взломе sendmail, осуществленном с адреса возврата UUNET. Кроме того, один из наших пользователей столкнулся с потенциально проблематичной ошибкой в Java. Что и говорить, мы прониклись уважением к возможностям контроля RealSecure.
Потенциальные проблемы
Мы не боимся преувеличить, говоря, что комбинация RealSecure/Internet Scanner выполняет значительную часть полезной работы по тестированию и аудиту сети. В то же время эти продукты имеют свои слабости. Мы упоминаем о них с некоторой неохотой, потому что в целом программы отлично справляются со своими задачами.
За время тестирования RealSecure 2.0 эта версия пять раз изменялась в рамках бета-цикла. Полученная нами версия была не вполне готова несмотря на то, что это был предназначенный для продажи вариант. Другая проблема связана со справочной системой: многие ссылки в справочном файле никуда не ведут.
Документация имеется только в электронном виде. Продукт приходится скачивать с сервера ISS.net, так как он не продается на физических носителях типа CD-ROM. Разблокирование RealSecure и Scanner производится с помощью ключей.
Жестокая правда
Эти два продукта ISS дополняют друг друга идеальным образом. RealSecure информирует о проблематичных событиях в сети, а Scanner генерирует множество таких событий, используя известные инструменты взлома защиты. Если вы действительно хотите знать душераздирающие подробности об уязвимости вашей защиты, то применение комбинации этих двух продуктов позволит составить полный список неотложных мер по укреплению защиты. Надо ли предупреждать, что результаты вряд ли вас обрадуют?
Том Хендерсон - консультант по сетям. С ним можно связаться по адресу: thenderson@compuserve.com.
Итог испытаний
RealSecure и Internet Scanner
Internet Security Systems
6600 Peachtree-Dunwoody Rd,Bldg 300
Atlanta, GA 30328
1-678-443-6000
www.iss.net
Тестируемый продукт или реализация. RealSecure 2.0 и Internet Scanner 5.0 для Windows NT 4.0.
Вопросы. Проверка инфраструктуры работающей сети на наличие потенциальных слабых мест в защите.
Цель. Тестирование защиты сети путем использования известных методов атак, а также просмотр трафика и представление на консоли распределенной информации в соответствии с потребностями контроля и аудита защиты TCP/IP.
Достоинства. RealSecure и Internet Scanner поддерживают большое количество платформ - от Linux до Windows NT. RealSecure позволяет отслеживать события как по типам приложений, так и по адресам отправителей и получателей или по всем трем категориям сразу. RealSecure имеет справочную систему, описывающую каждое событие и объясняющую его смысл в текущем контексте. Internet Scanner обеспечивает эмуляцию и воспроизведение всех известных типов и стратегий атак на сеть в целом и на каждый из ее компонентов в отдельности.
Недостатки. Предназначенная для продажи версия продукта еще не вполне готова; недостаточная проработанность справочной системы; продукты не поставляются на физических носителях, а должны быть скопированы с Internet.