Министерство образования инауки РФ
Федеральное агентство пообразованию
ГОУ ВПО УГТУ-УПИ им. С.М.Кирова
РЕФЕРАТ
«Системы обнаружения атак.
(Анализаторы сетевыхпротоколов; сетевые мониторы)»
КУРС: Методы исредства защиты информации
Студент: IntegratoRR
Преподаватель: доцент
Екатеринбург
2005
ВВЕДЕНИЕ
Сети Ethernet завоевали огромную популярность благодаря хорошейпропускной способности, простоте установки и приемлемой стоимости установки сетевогооборудования.
Однако технология Ethernet не лишена существенных недостатков. Основной из нихсостоит в незащищенности передаваемой информации. Компьютеры, подключенные ксети Ethernet, в состоянии перехватывать информацию, адресованную своимсоседям. Причиной тому является принятый в сетях Ethernet так называемыйшироковещательный механизм обмена сообщениями.
Объединение компьютеров в сети ломает старыеаксиомы защиты информации. Например, о статичности безопасности. В прошломуязвимость системы могла быть обнаружена и устранена администратором системыпутем установки соответствующего обновления, который мог только через нескольконедель или месяцев проверить функционирование установленной«заплаты». Однако эта «заплата» могла быть удаленапользователем случайно или в процесс работы, или другим администратором приинсталляции новых компонент. Все меняется, и сейчас информационные технологиименяются настолько быстро, что статичные механизмы безопасности уже необеспечивают полной защищенности системы.
До недавнего времени основным механизмомзащиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевыеэкраны, предназначенные для защиты информационных ресурсов организации, частосами оказываются уязвимыми. Это происходит потому, что системные администраторысоздают так много упрощений в системе доступа, что в итоге каменная стенасистемы защиты становится дырявой, как решето. Защита с помощью межсетевыхэкранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей снапряженным трафиком, поскольку использование многих МСЭ существенно влияет напроизводительность сети. В некоторых случаях лучше «оставить двери широкораспахнутыми», а основной упор сделать на методы обнаружения вторжения всеть и реагирования на них.
Для постоянного (24 часа в сутки 7 дней внеделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаруженияатак предназначены системы «активной» защиты — системы обнаруженияатак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют наних заданным администратором безопасности образом. Например, прерываютсоединение с атакующим узлом, сообщают администратору или заносят информацию онападении в регистрационные журналы.
IP-ALERT 1 или первый сетевой монитор.
Дляначала следует сказать пару слов о локальном широковещании. В сети типаEthernet подключенные к ней компьютеры, как правило, совместно используют одини тот же кабель, который служит средой для пересылки сообщений между ними.
Желающий передать какое-либо сообщение пообщему каналу должен вначале удостовериться, что этот канал в данный моментвремени свободен. Начав передачу, компьютер прослушивает несущую частотусигнала, определяя, не произошло ли искажения сигнала в результатевозникновения коллизий с другими компьютерами, которые ведут передачу своихданных одновременно с ним. При наличии коллизии передача прерывается икомпьютер «замолкает» на некоторый интервал времени, чтобы попытатьсяповторить передачу несколько позднее. Если компьютер, подключенный к сетиEthernet, ничего не передает сам, он тем не менее продолжает«слушать» все сообщения, передаваемые по сети соседними компьютерами.Заметив в заголовке поступившей порции данных свой сетевой адрес, компьютеркопирует эту порцию в свою локальную память.
Существуют два основных способа объединениякомпьютеров в сеть Ethernet. В первом случае компьютеры соединяются при помощикоаксиального кабеля. Этот кабель прокладывается от компьютера к компьютеру,соединяясь с сетевыми адаптерами Т-образным разъемом и замыкаясь по концам BNC-терминаторами. Такая топология на языкепрофессионалов называется сетью Ethernet 10Base2. Однако ее еще можно назватьсетью, в которой «все слышат всех». Любой компьютер, подключенный ксети, способен перехватывать данные, посылаемые по этой сети другимкомпьютером. Во втором случае каждый компьютер соединен кабелем типа«витая пара» с отдельным портом центрального коммутирующегоустройства — концентратором или с коммутатором. В таких сетях, которыеназываются сетями Ethernet lOBaseT, компьютеры поделены на группы, именуемыедоменами коллизий. Домены коллизий определяются портами концентратора иликоммутатора, замкнутыми на общую шину. В результате коллизии возникают не междувсеми компьютерами сети. а по отдельности — между теми из них, которые входят водин и тот же домен коллизий, что повышает пропускную способность сети в целом.
В последнее время в крупных сетях сталипоявляться коммутаторы нового типа, которые не используют широковещание и незамыкают группы портов между собой. Вместо этого все передаваемые по сетиданные буферизуются в памяти и отправляются по мере возможности. Однакоподобных сетей пока довольно мало — не более 5% от общего числа сетей типаEthernet.
Таким образом, принятый в подавляющембольшинстве Ethernet-сетей алгоритм передачи данных требует от каждогокомпьютера, подключенного к сети, непрерывного «прослушивания» всегобез исключения сетевого трафика. Предложенные некоторыми людьми алгоритмыдоступа, при использовании которых компьютеры отключались бы от сети на времяпередачи «чужих» сообщений, так и остались нереализованными из-за своейчрезмерной сложности, дороговизны внедрения и малой эффективности.
Что такое IP Alert-1 и откуда он взялся? Когда-то практическиеи теоретические изыскания авторов по направлению, связанному с исследованиембезопасности сетей, навели на следующую мысль: в сети Internet, как и в другихсетях (например, Novell NetWare, Windows NT), ощущалась серьезная нехваткапрограммного средства защиты, осуществляющего комплексныйконтроль (мониторинг) на канальном уровне за всем потоком передаваемой по сетиинформации с целью обнаружения всех типов удаленных воздействий, описанных в литературе.Исследование рынка программного обеспечения сетевых средств защиты для Internetвыявило тот факт, что подобных комплексных средств обнаружения удаленныхвоздействий не существовало, а те, что имелись, были предназначены дляобнаружения воздействий одного конкретного типа (например, ICMP Redirect илиARP). Поэтому и была начата разработка средства контроля сегмента IP-сети,предназначенного для использования в сети Internet и получившее следующееназвание: сетевой монитор безопасности IPAlert-1.
Основная задача этого средства, программноанализирующего сетевой трафик в канале передачи, состоит не в отраженииосуществляемых по каналу связи удаленных атак, а в их обнаружении,протоколировании (ведении файла аудита с протоколированием в удобной дляпоследующего визуального анализа форме всех событий, связанных с удаленнымиатаками на данный сегмент сети) и незамедлительным сигнализированииадминистратору безопасности в случае обнаружения удаленной атаки. Основной задачей сетевого мониторабезопасности IP Alert-1 являетсяосуществление контроля за безопасностьюсоответствующего сегмента сети Internet.
Сетевой монитор безопасности IP Alert-1 обладает следующимифункциональными возможностями и позволяет путем сетевого анализа обнаружитьследующие удаленные атаки на контролируемый им сегмент сети:
1. Контроль засоответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами,находящимися внутри контролируемого сегмента сети.
Нахосте IP Alert-1 администратор безопасности создает статическую ARP-таблицу,куда заносит сведения о соответствующих IP- и Ethernet- адресах хостов,находящихся внутри контролируемого сегмента сети.
Даннаяфункция позволяет обнаружить несанкционированное изменение IP-адреса или егоподмену (так называемый IP Spoofing, спуфинг, ип-спуфинг (жарг.)).
2. Контроль закорректным использованием механизма удаленного ARP-поиска. Эта функция позволяет, используя статическуюARP-таблицу, определить удаленную атаку «Ложный ARP-сервер».
3. Контроль закорректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить всевозможные виды удаленных атак на службу DNS
4. Контроль закорректностью попыток удаленного подключения путем анализа передаваемыхзапросов. Эта функция позволяетобнаружить, во-первых, попытку исследования закона изменения начальногозначения идентификатора TCP-соединения — ISN, во-вторых, удаленную атаку«отказ в обслуживании», осуществляемую путем переполнения очередизапросов на подключение, и, в-третьих, направленный «шторм» ложныхзапросов на подключение (как TCP, так и UDP), приводящий также к отказу вобслуживании.
Такимобразом, сетевой монитор безопасности IPAlert-1 позволяет обнаружить, оповестить и запротоколировать большинствовидов удаленных атак. При этом данная программа никоим образом не являетсяконкурентом системам Firewall. IPAlert-1, используя особенности удаленных атак на сеть Internet, служитнеобходимым дополнением — кстати, несравнимо более дешевым, — к системамFirewall. Без монитора безопасности большинство попыток осуществления удаленныхатак на ваш сегмент сети останется скрыто от ваших глаз. Ни один из известных Firewall-ов не занимается подобным интеллектуальныманализом проходящих по сети сообщений на предмет выявления различного родаудаленных атак, ограничиваясь, в лучшем случае, ведением журнала, в которыйзаносятся сведения о попытках подбора паролей, о сканировании портов и осканировании сети с использованием известных программ удаленного поиска.Поэтому, если администратор IP-сети не желает оставаться безучастным идовольствоваться ролью простого статиста при удаленных атаках на его сеть, тоему желательно использовать сетевой монитор безопасности IP Alert-1.
Итак, пример IP Alert-1 показывает, какое важное место занимаютсетевые мониторы в обеспечении безопасности сети.
Разумеется, современные сетевые мониторыподдерживают куда больше возможностей, их и самих стало достаточно много. Естьсистемы попроще, стоимостью в пределах 500 долларов, однако есть и мощнейшиесистемы, снабженные экспертными системами, способные проводить мощныйэвристический анализ, их стоимость многократно выше – от 75 тысяч долларов.
ВОЗМОЖНОСТИСОВРЕМЕННЫХ СЕТЕВЫХ МОНИТОРОВ
Современные мониторы поддерживают множестводругих функций помимо своих основных по определению (которые рассматривалисьмной для IP Alert-1). Например,сканирование кабеля.
Сетевая статистика (коэффициент использованиясегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика,определение скорости распространения сигнала); роль всех этих показателейсостоит в том, что при превышении определенных пороговых значений можноговорить о проблемах на сегменте. Сюда же в литературе относят проверкулегитимности сетевых адаптеров, если вдруг появляется «подозрительный»(проверка по МАС-адресу и т.п.).
Статистика ошибочных кадров. Укороченныекадры (short frames) – это кадры, имеющие длину меньшедопустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса –короткие кадры с корректной контрольной суммой и коротышки (runts), не имеющие корректной контрольной суммы. Наиболеевероятной причиной появления таких вот «мутантов» является неисправностьсетевых адаптеров. Удлиненные кадры, которые являются следствием затяжнойпередачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являютсяследствием наводок на кабель. Нормальный процент ошибочных кадров в сети недолжен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности,либо произведено несанкционированное вторжение.
Статистика по коллизиям. Указывает наколичество и виды коллизий на сегменте сети и позволяет определить наличиепроблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) иудаленные (в другом сегменте по отношению к монитору). Обычно все коллизии всетях типа Ethernet являются удаленными. Интенсивность коллизийне должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.
Существует еще очень много возможных функций,все их перечислить просто нет возможности.
Хочу отметить, что мониторы бывают какпрограммные, так и аппаратные. Однако они, как правило, играют большестатистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемоеаппаратное устройство, помогающее супервизорам и обслуживающим организациям централизованнообслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительностьсети и ее расширение. Информация о сети выводится на центральнойуправляющей консоли сети. Таким образом, аппаратные мониторы не обеспечиваютдостойной защиты информации.
В ОС Microsoft Windows содержится сетевой монитор (Network Monitor), однако он содержит серьезные уязвимости, окоторых я расскажу ниже.
Рис. 1. Сетевой монитор ОС WINDOWS класса NT.
Интерфейс программы сложноватдля освоения «на лету».
Рис. 2. Просмотр кадров в сетевом мониторе WINDOWS.
Большинствопроизводителей в настоящее время стремятся сделать в своих мониторах простой иудобный интерфейс. Еще один пример – монитор NetPeeker (не так богат доп. Возможностями, но всёже):
Рис. 3. Дружественный интерфейс монитора NetPeeker.
Приведу пример интерфейса сложной и дорогойпрограммы NetForensics (95000$):
Рис.4. Интерфейс NetForensics.
Существует некий обязательныйнабор «умений», которым мониторы обязательно должны обладать, согласнотенденциям сегодняшнего дня:
1. Как минимум:задание шаблонов фильтрации трафика; централизованное управление модулями слежения; фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; аварийное завершение соединения с атакующим узлом; управление межсетевыми экранами и маршрутизаторами; задание сценариев по обработке атак; запись атаки для дальнейшего воспроизведения и анализа; поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring; отсутствие требования использования специального аппаратного обеспечения; установление защищенного соединения между компонентами системы, а также другими устройствами; наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; минимальное снижение производительности сети; работа с одним модулем слежения с нескольких консолей управления; мощная система генерация отчетов; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.
2. Уметь создавать отчеты:Распределение трафика по пользователям; Распределение трафика по IP адресам; Распределение трафика по сервисам; Распределение трафика по протоколам; Распределение трафика по типу данных (картинки, видео, тексты, музыка); Распределение трафика по программам, используемыми пользователями; Распределение трафика по времени суток; Распределение трафика по дням недели; Распределение трафика по датам и месяцам; Распределение трафика по сайтам, по которым ходил пользователь; Ошибки авторизации в системе; Входы и выходы из системы.
Примеры конкретных атак, которые могут распознавать сетевыемониторы:
«Отказ в обслуживании» (Denial of service). Любое действие или последовательностьдействий, которая приводит любую часть атакуемой системы к выходу из строя, прикотором та перестают выполнять свои функции. Причиной может бытьнесанкционированный доступ, задержка в обслуживании и т.д. Примером могутслужить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.
"Неавторизованный доступ" (Unauthorizedaccess attempt). Любоедействие или последовательность действий, которая приводит к попытке чтенияфайлов или выполнения команд в обход установленной политики безопасности. Такжевключает попытки злоумышленника получить привилегии, большие, чем установленыадминистратором системы. Примером могут служить атаки FTP Root, E-mail WIZ ит.п.
«Предварительные действия перед атакой» (Pre-attackprobe)
Любое действие или последовательность действий по получению информации ИЗ или Осети (например, имена и пароли пользователей), используемые в дальнейшем дляосуществления неавторизованного доступа. Примером может служить сканированиепортов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.
«Подозрительная активность» (Suspicious activity)
Сетевой трафик, выходящий за рамки определения «стандартного»трафика. Может указывать на подозрительные действия, осуществляемые в сети.Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.
«Анализ протокола» (Protocol decode. Сетевая активность, которая может бытьиспользована для осуществления одной из атак вышеназванных типов. Можетуказывать на подозрительные действия, осуществляемые в сети. Примером могутслужить события FTP User decode, Portmapper Proxy decode и т.п.
ОПАСНОСТИ ПРИМЕНЕНИЯ СЕТЕВЫХ МОНИТОРОВ
Применениесетевых мониторов также таит в себе потенциальную опасность. Хотя бы потому,что через них проходит огромное количество информации, в том числе иконфиденциальной. Рассмотрим пример уязвимости на примере вышеупомянутого Network Monitor, входящего в поставку Windows семейства NT. Вэтом мониторе существует так называемая HEX-панель (см. рис. 2), которая позволяетувидеть данные кадра в виде текста ASCII. Здесь, например, можно увидеть гуляющие по сетинезашифрованные пароли. Можно попробовать, например, прочесть пакеты почтовогоприложения Eudora. Потратив немноговремени, можно спокойно увидеть их в открытом виде. Впрочем, начеку надо бытьвсегда, так как и шифрование не спасает. Здесь возможны два случая. Влитературе есть жаргонный термин «похабник» — это сосед определенной машины втом же сегменте, на том же хабе, или, как это называется сейчас, свитче. Таквот, если «продвинутый» «похабник» решил просканировать трафик сети иповыуживать пароли, то администратор с легкостью вычислит такогозлоумышленника, поскольку монитор поддерживает идентификацию пользователей, егоиспользующих. Достаточно нажать кнопку – и перед администратором открываетсясписок «хакеров-похабников». Гораздо более сложной является ситуация, когдасовершается атака извне, например, из сети Интернет. Сведения, предоставляемыемонитором, чрезвычайно информативны. Показывается список всех захваченныхкадров, порядковые номера кадров, времена их захвата, даже МАС-адреса сетевыхадаптеров, что позволяет идентифицировать компьютер вполне конкретно. Панельдетальной информации содержит «внутренности» кадра – описание его заголовков ит.д. Даже любопытному новичку многое здесь покажется знакомым.
Внешние атаки куда более опасны, так как, как правило, вычислитьзлоумышленника очень и очень сложно. Для защиты в этом случае необходимоиспользовать на мониторе парольную защиту. Если драйвер сетевого монитораустановлен, а пароль не задан, то любой, кто использует на другом компьютересетевой монитор из той же поставки (та же программа), может присоединиться кпервому компьютеру и использовать его для перехвата данных в сети. Кроме того,сетевой монитор должен обеспечивать возможность обнаружения других инсталляцийв локальном сегменте сети. Однако здесь тоже есть своя сложность. В некоторыхслучаях архитектура сети может подавить обнаружение одной установленной копиисетевого монитора другой. Например, если установленная копия сетевого монитораотделяется от второй копии маршрутизатором, который не пропускает многоадресныепосылки, то вторая копия сетевого монитора не сможет обнаружить первую.
Хакеры и прочие злоумышленники не теряют времени даром. Онипостоянно ищут все новые и новые способы вывода из строя сетевых мониторов.Оказывается, способов много, начиная от вывода монитора из строя переполнениемего буфера, заканчивая тем, что можно заставить монитор выполнить любуюкоманду, посланную злоумышленником.
Существуют специальные лаборатории, анализирующие безопасностьПО. Их отчеты внушают тревогу, так как серьезные бреши находятся довольночасто. Примеры реальных брешей в реальных продуктах:
1. RealSecure — коммерческая Система Обнаружения Вторжения (IDS) от ISS.
RealSecure ведет себя нестабильно при обработке некоторых DHCPсигнатур (DHCP_ACK — 7131, DHCP_Discover — 7132, и DHCP_REQUEST — 7133),поставляемых с системой. Посылая злонамеренный DHCP трафик, уязвимостьпозволяет удаленному нападающему нарушить работу программы. Уязвимость обнаружена в Internet Security Systems RealSecureNetwork Sensor 5.0 XPU 3.4-6.5
2. Программа: RealSecure 4.9 network-monitor
Опасность:Высокая; наличиеэксплоита: Нет.
Описание:Несколькоуязвимостей обнаружено в RS. Удаленный пользователь может определить местоположениеустройства. Удаленный пользователь может также определить и изменитьконфигурацию устройства.
Решение:Установитеобновленную версию программы. Обратитесь к производителю.
АНАЛИЗАТОРЫ ПРОТОКОЛОВ, ИХ ДОСТОИНСТВА,ОПАСНОСТИ И МЕТОДЫ ЗАЩИТЫ ОТ ОПАСНОСТЕЙ
Анализаторыпротоколов являются отдельным классом программного обеспечения, хотя они, посути, есть часть сетевых мониторов. В каждый монитор встроено как минимумнесколько анализаторов протоколов. Зачем же тогда их применять, если можнореализовать более достойную систему на сетевых мониторах? Во-первых,устанавливать мощный монитор не всегда целесообразно, а во-вторых, далеко некаждая организация может позволить себе приобрести его за тысячи долларов.Иногда встает вопрос о том, не будет ли монитор сам по себе дороже тойинформации, защиту которой он призван обеспечить? Вот в таких (или подобных)случаях и применяются анализаторы протоколов в чистом виде. Роль их схожа сролью мониторов.
Сетевой адаптер каждого компьютера в сетиEthernet, как правило, «слышит» все, о чем «толкуют» междусобой его соседи по сегменту этой сети. Но обрабатывает и помещает в своюлокальную память он только те порции (так называемые кадры) данных, которыесодержат уникальный адрес, присвоенный ему в сети. В дополнение к этомуподавляющее большинство современных Ethernet-адаптеров допускаютфункционирование в особом режиме, называемом беспорядочным (promiscuous), прииспользовании которого адаптер копирует в локальную память компьютера все безисключения передаваемые по сети кадры данных. Специализированные программы,переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сетидля последующего анализа, называются анализаторами протоколов.
Последние широко применяются администраторамисетей для осуществления контроля за работой этих сетей. К сожалению,анализаторы протоколов используются и злоумышленниками, которые с их помощьюмогут наладить перехват чужих паролей и другой конфиденциальной информации.
Надоотметить, что анализаторы протоколов представляют серьезную опасность.Установить анализатор протоколов мог посторонний человек, который проник в сетьизвне (например, если сеть имеет выход в Internet). Но это могло быть и деломрук «доморощенного» злоумышленника, имеющего легальный доступ к сети.В любом случае, к сложившейся ситуации следует отнестись со всей серьезностью.Специалисты в области компьютерной безопасности относят атаки на компьютеры припомощи анализаторов протоколов к так называемым атакам второго уровня. Этоозначает, что компьютерный взломщик уже сумел проникнуть сквозь защитныебарьеры сети и теперь стремится развить свой успех. При помощи анализаторапротоколов он может попытаться перехватить регистрационные имена и паролипользователей, их секретные финансовые данные (например, номера кредитныхкарточек) и конфиденциальные сообщения (к примеру, электронную почту). Имея всвоем распоряжении достаточные ресурсы, компьютерный взломщик в принципе можетперехватывать всю информацию, передаваемую по сети.
Анализаторы протоколов существуют для любойплатформы. Но даже если окажется, что для какой-то платформы анализаторпротоколов пока еще не написан, с угрозой, которую представляет атака накомпьютерную систему при помощи анализатора протоколов, по-прежнему приходитсясчитаться. Дело в том, что анализаторы протоколов подвергают анализу неконкретный компьютер, а протоколы. Поэтому анализатор протоколов может бытьинсталлирован в любой сегмент сети и оттуда осуществлять перехват сетевоготрафика, который в результате широковещательных передач попадает в каждыйкомпьютер, подключенный к сети.
Наиболее частыми целями атак компьютерныхвзломщиков, которые те осуществляют посредством использования анализаторовпротоколов, являются университеты. Хотя бы из-за огромного количества различныхрегистрационных имен и паролей, которые могут быть украдены в ходе такой атаки.Использование анализатора протоколов на практике не является такой уж легкойзадачей, как это может показаться. Чтобы добиться пользы от анализаторапротоколов, компьютерный взломщик должен обладать достаточными знаниями вобласти сетевых технологий. Просто установить и запустить анализатор протоколовна исполнение нельзя, поскольку даже в небольшой локальной сети из пятикомпьютеров за час трафик составляет тысячи и тысячи пакетов. И следовательно,за короткое время выходные данные анализатора протоколов заполнят доступнуюпамять «под завязку». Поэтому компьютерный взломщик обычнонастраивает анализатор протоколов так, чтобы он перехватывал только первые200-300 байт каждого пакета, передаваемого по сети. Обычно именно в заголовкепакета размещается информация о регистрационном имени и пароле пользователя,которые, как правило, больше всего интересуют взломщика. Тем не менее, если враспоряжении взломщика достаточно пространства на жестком диске, то увеличениеобъема перехватываемого им трафика пойдет ему только на пользу и позволитдополнительно узнать много интересного.
В руках сетевого администратора анализаторпротоколов является весьма полезным инструментом, который помогает ему находитьи устранять неисправности, избавляться от узких мест, снижающих пропускнуюспособность сети, и своевременно обнаруживать проникновение в нее компьютерныхвзломщиков. А как уберечься от злоумышленников? Посоветовать можно следующее. Вообще,эти советы относятся не только к анализаторам, но и к мониторам. Во-первых,попытаться обзавестись сетевым адаптером, который принципиально не можетфункционировать в беспорядочном режиме. Такие адаптеры в природе существуют.Некоторые из них не поддерживают беспорядочный режим на аппаратном уровне(таких меньшинство), а остальные просто снабжаются спецдрайвером, который недопускает работу в беспорядочном режиме, хотя этот режим и реализованаппаратно. Чтобы отыскать адаптер, не имеющий беспорядочного режима, достаточносвязаться со службой технической поддержки любой компании, торгующейанализаторами протоколов, и выяснить, с какими адаптерами их программные пакетыне работают. Во-вторых, учитывая, что спецификация РС99, подготовленная внедрах корпораций Microsoft и Intel, требует безусловного наличия в сетевойкарте беспорядочного режима, приобрести современный сетевой интеллектуальныйкоммутатор, который буферизует передаваемое по сети сообщение в памяти иотправляет его по мере возможности точно по адресу. Тем самым надобность в«прослушивании» адаптером всего трафика для того, чтобы выуживать изнего сообщения, адресатом которых является данный компьютер, отпадает.В-третьих, не допускать несанкционированного внедрения анализаторов протоколовна компьютеры сети. Здесь следует применять средства из арсенала, которыйиспользуется для борьбы с программными закладками и в частности — с троянскимипрограммами (установка брандмауэров) В-четвертых, шифровать весь трафик сети.Имеется широкий спектр программных пакетов, которые позволяют делать этодостаточно эффективно и надежно. Например, возможность шифрования почтовыхпаролей предоставляется надстройкой над почтовым протоколом POP (Post OfficeProtocol) — протоколом APOP (Authentication POP). При работе с APOP по сети каждыйраз передается новая шифрованная комбинация, которая не позволяетзлоумышленнику извлечь какую-либо практическую пользу из информации,перехваченной с помощью анализатора протоколов. Проблема только в том, чтосегодня не все почтовые серверы и клиенты поддерживают APOP.
Другой продукт под названием Secure Shell,или сокращенно — SSL, был изначально разработан легендарной финской компаниейSSH Communications Security (http://www.ssh.fi) и в настоящее время имеетмножество реализаций, доступных бесплатно через Internet. SSL представляетсобой защищенный протокол для осуществления безопасной передачи сообщений покомпьютерной сети с помощью шифрования.
Особую известность приобрели программныепакеты, предназначенные для защиты передаваемых по сети данных путем шифрованияи объединенные присутствием в их названии аббревиа