ЦЕПНЫЕ ПСЫ

Vitls (vitls@chat.ru)

Спецвыпуск Xakep, номер #032, стр. 032-022-1

ЧЕМ NIDS ГРОЗИТ ХАКЕРУ?

Скажи мне по секрету, ты когда-нибудь яблоки воровал? Ну, в детстве. А еще какую-нибудь мелочь с чужого огорода? А случалось тебе нарываться на то, что за забором вдруг оказывалась милая такая собачка, ну доберманчик или не менее милый ротвейлер. Мда... приятного мало.

Ну так вот. Возжелал ты чужую систему хакнуть удаленно. Ну там разведочку провел более-менее грамотно. Выяснил, какие сервисы работают. Потом начал всяческие активные действия. И... бамц! Ни фига не получается. Или того хуже - твой провайдер тебе звонит и сообщает, что ты, типа, козел и нехорошестями всякими занимаешься.

Спрашивается, откуда информация? Отвечаю: админ узла, который ты вздрючить пытался, не совсем чайник, и у него в огороде сидит собачка. Называется ее порода Networl Intrusion Detection System - система обнаружения вторжений из сети (NIDS или просто IDS).

КАК РАБОТАЮТ IDS'Ы?

В природе существует несколько видов IDS. Системы обнаружения атак на сетевом уровне контролируют пакеты в сетевом окружении и обнаруживают попытки хакера-какера проникнуть внутрь защищаемой системы (или реализовать атаку типа "отказ в обслуживании"). Типичный пример - система, которая контролирует большое число TCP-запросов на соединение (так называемый SYN-пакет) со многими портам на выбранном компьютере. Таким макаром программа обнаруживает, что кто-то пытается осуществить сканирование TCP-портов. Система обнаружения атак на сетевом уровне (NIDS) может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, или на выделенном компьютере, прозрачно просматривающем весь трафик в сети (концентратор, маршрутизатор). Отмечу, что "сетевые" IDS контролируют много компьютеров, тогда как другие системы обнаружения атак контролируют только один (тот, на котором они установлены).

Системы контроля целостности (System integrity verifiers, SIV) проверяют системные файлы для того, чтобы определить, когда хакер внес в них изменения. В принципе, это мало интересно, если систему вскрыли. Но, тем не менее, позволяет довольно быстро определить, что подверглось изменению и, соответственно, быстро восстановить систему.

Мониторы системных журналов (Log-file monitors, LFM) контролируют регистрационные файлы, создаваемые сетевыми сервисами. Аналогично NIDS, эти системы ищут известные признаки атаки, только в файлах регистрации, а не в сетевом трафике, которые указывают на то, что злоумышленник осуществил атаку. Типичным примером является синтаксический анализатор для log-файлов HTTP-сервера, который ищет хакеров, пытающихся использовать хорошо известные уязвимости, например, проводя атаку типа "phf".

СОФТ?

Для операционной системы Linux есть несколько программ, реализующих IDS. Есть коммерческие и очень дорогие супер-пупер-профессиональные системы (например, RealSecure компании Internet Security Systems (http://www.iss.net) стоимостью в пару тысяч баксов), а есть и свободные или бесплатные программы начального уровня.

Среди свободных программ популярностью пользуются системы LIDS (Linux Intrusion Detection System, http://www.lids.org) и Snort (http://www.snort.org). Среди бесплатных популярна связка программ Portsentry, Hostsentry и Logsentry компании Psionic.