Z poradnika administratora

Obie porady dotyczą ochrony sieci przed włamaniem

Obie porady dotyczą ochrony sieci przed włamaniem

Problem: Włamywacze stosują coraz to bardziej wyrafinowane metody znalezienia furtek w systemie informatycznym. Jak sprawdzić, czy w systemie istnieją słabe punkty i zawczasu zabezpieczyć się przed przykrymi niespodziankami? Gdzie znajdziemy potrzebne do tego narzędzia?

Rozwiązanie: Najpierw ważna uwaga. Zanim wdrożymy jakąkolwiek aplikację, wcześniej powinnyśmy ją przetestować i sprawdzić, jaki wpływ może ona mieć na cały system informatyczny. Użytkowników systemu należy poinformować, że testując pracę takich narzędzi, możemy zaburzyć działanie sieci. Nie ma na to rady, jeśli nie chcemy przykrych niespodzianek w przyszłości. Na początek dobrze jest odwiedzić stronęhttp://www.kyauditor.net/Public/Technology/checklist.htm . Znajdziemy tam wiele interesujących informacji i przydatnych, bezpłatnych narzędzi. Nie trzeba się martwić brakiem doświadczenia z Linuksem. Wszystkie programy umieszczone na tej stronie można od razu uruchamiać na komputerach z Windows.

W Internecie można znaleźć wiele narzędzi wykrywających słabe punkty sieci. Wart uwagi jest Nessus (http://www.nessus.org ). Dostępne są zarówno serwer (to oprogramowanie ma postać typowego demona i może być instalowane wyłącznie na komputerach linuksowych), jak i klient. Można też pobrać klienta w wersji Windows, który po zainstalowaniu skanuje systemy i sprawdza ich stan. Oprogramowanie Nessus jest ciągle uaktualniane (nieraz nawet codziennie) i bardzo przydatne - dokładnie testuje systemy w poszukiwaniu słabych punktów, które mogą być wykorzystane przez potencjalnych włamywaczy.

Problem: Czy to prawda, że jednym z lepszych narzędzi wykrywania włamań (IDS) jest Snort?

Rozwiązanie: Tak, to bardzo przydatne narzędzie. Na stronie www.snort.org, obok kodu źródłowego, można znaleźć skompilowaną już wersję dla komputerów z Windows.

Można też pobrać instrukcje - Snort Users Manual i Windows Guide. Zawarte są w nich informacje m.in. o tym, że przed zainstalowaniem właściwego programu Snort trzeba zainstalować sterownik do przechwytywania pakietów. Może to być sterownik winpcap lub packet2.

Usytuowanie oprogramowania Snort

Usytuowanie oprogramowania Snort

Oprogramowanie Snort pracuje w trzech trybach. Może pełnić rolę typowego sniffera, wyświetlającego cały ruch na ekranie komputera. Może przechwytywać pakiety i zapisywać je na dysku w pliku. Może też zachowywać się jak standardowe narzędzie IDS. Wtedy Snort definiuje, które pakiety mogą być niebezpieczne (ponieważ zawierają podejrzany kod), używając do tego celu pliku reguł snort.conf. Reguły i sposoby ich tworzenia są szczegółowo opisane na stroniehttp://www.snort.org.

Jak każdy system IDS, Snort współpracuje z kartą sieciową, która przechwytuje wszystkie pakiety transmitowane przez konkretne fizyczne łącze. Aby za pomocą jednego narzędzia monitorować ruch do wielu serwerów WWW, narzędzie trzeba umieścić w miejscu, przez które przechodzą wszystkie pakiety.

W prostej sieci LAN, w której nie ma strefy zdemilitaryzowanej (na rys. wariant A), narzędzie można umieścić w dwóch miejscach: między ruterem i Internetem lub między ruterem i siecią LAN. W pierwszej konfiguracji (oznaczonej nr. 1) można wykrywać wszystkie ataki, ale nie sposób określić, które przedostały się przez ruter i dotarły do sieci LAN. W drugiej konfiguracji można dokładnie stwierdzić, które ataki dostały się do sieci LAN.

W sieci LAN ze strefą zdemilitaryzowaną (i hostami bastion) narzędzie możemy zainstalować w jednym z trzech miejsc (wariant B). W miejscu oznaczonym nr. 1 wykrywa wszystkie ataki kierowane do sieci LAN. Narzędzie umieszczone w miejscu nr 2 wykrywa wszystkie ataki, które przedostały się przez ruter eksterytorialny. Jeśli chcemy wykrywać ataki kierowane do hostów bastion, to narzędzie powinno być umieszczone właśnie w tym miejscu. Będziemy wtedy w stanie wykrywać wszystkie ataki kierowane do sieci LAN, ale nie będziemy mogli określić, które z nich się powiodły. Po umieszczeniu narzędzia w miejscu nr 3 będziemy w stanie wykrywać ataki, które dotarły do sieci LAN, ale nie będziemy mogli rejestrować ataków kierowanych do hostów bastion.


TOP 200