Главная | Обратная связь
МегаЛекции

Что я должен делать, если меня атаковали?




Читайте публикацию CERT: ftp://ftp.cert.org/pub/tech_tips/intruder_detection_checklist.

Главным образом, вы должны реализовать эффективные защитные меры, которые включают:

  • Создание команды реагирования на инциденты "Incident Response Team". Определите тех людей, которые должны быть вызваны всякий раз, когда зафиксирован инцидент.
  • Необходимо разработать руководящие документы, описывающие варианты реагирования. Например, вы должны решить позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суде или иной инстанции необходимо не прекращать атаку, а собирать дополнительную информацию об атакующем и его действиях.
  • Необходимо разработать руководящие документы, описывающие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т.д. вплоть до руководства компании или распространяете также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях как FIRST (или RU-CERT в России - примечание переводчика)? Вы сообщаете об атаке в милицию или иное силовое ведомство? Вы сообщаете об атаке Вашим партнерам, которые подключены к Вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от печатных изданий?
  • Создайте и опишите процедуры регистрации/аудита/мониторинга. Вы должны иметь адекватную и актуальную информацию о том, что, когда и откуда происходит в вашей сети.
  • Обучите свой персонал всем этим вопросам.

Так как сети постоянно изменяются настолько быстро, в организациях не хватает обученных людей, которые могут своевременно обрабатывать возникающие инциденты. Аналогично, сети растут таким образом, что регистрация и аудит не всегда адекватны текущему состоянию сети. Это приводит к тому, что люди не знают что делать, когда они атакованы и их сети недостаточно крепки для эффективного противостояния атакам.

Как я должен ответить, когда мне говорят, что кто-то был атакован с моего компьютера или из моей сети?

В списке рассылки по системам обнаружения атак как-то спросили, как они должны ответить на следующий e-mail:

Ниже показана запись журнала регистрации, говорящая о соединение по протоколу Telnet с компьютера из Вашего домена. Компьютер, с которым осуществлялось соединение, не предоставляет этот сервис для общего пользования, так что эта попытка может говорить об осуществлении поиска уязвимых узлов. Мы относимся к этой проблеме очень серьезно и надеемся на аналогичную реакцию с Вашей стороны.

Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx

Эта запись была сгенерирована TCP Wrappers. Она показывает попытку несанкционированного доступа с вашего компьютера на указанный узел.

В любом случае - это доказательство зондирования, но не атаки. Кроме того, никаких других доказательств нет. Как подчеркнуто Грэгом Дрю существует ряд благоприятных причин:

  • Кто-то напечатал "telnet xx.xx.xx.xx" и IP-адрес неправильно напечатан.
  • Кто-то хотел напечатать "telnet xx.xx.xx.xx 25" для соединения со службой SMTP для осуществления спама или иных действий. Этот кто-то мог забыть указать "25" или неправильно набрать номер порта.
  • Кто-то мог фактически зондировать целевые компьютеры в ответ на спам. Я лично для отслеживания источника спама просматриваю информацию finger, rusers и т.д.
  • Возможно, была зафиксирована обычная ошибка.

Имеются и другие менее вероятные возможности:

  • Ваш сервер уже может быть скомпрометирован и хакер сканирует целевой компьютер с скомпрометированного компьютера.
  • Один из ваших сотрудников использует указанный компьютер для того, чтобы атаковать целевой компьютер (я работал в компании, в которой случалось такое).

Существует и другая возможность: эта была попытка атаки типа "социальный инжиниринг". При помощи данного сообщения кто-то пытается войти с Вами в контакт, чтобы узнать, какие действия Вы предпринимаете по этому поводу. Если Вы сделаете так, то поможете злоумышленнику много нового узнать о Вашей сети:

  • Законный IP-адрес целевого компьютера (хотя он не так интересен).
  • Ваш собственный IP-адрес (вышеупомянутое сообщение было послано postmaster'у или иному известному адресату, но скорее всего ответите на него с Вашего собственного адреса).
  • Ваш уровень готовности: если Вы ответили "мы не можем принять соответствующие меры, потому что у нас нет регистрационных файлов", то нарушитель понимает, что Вы лакомый кусок для атак.
  • Это может быть "спам типа социальный инжиниринг". Отправителем сообщения может быть компания, продающая системы обнаружения атак.

Есть и положительные стороны от такого письма (особенно если вы не нашли ему подтверждения). Вы сможете проверить насколько эффективно работает ваша система регистрации и аудита. Если она отключена, то настало время включить ее.

Как мне собрать достаточно доказательств о деятельности хакера?

NIDS собирает немало информации для идентификации злоумышленника. Однако высококвалифицированные хакеры используют различные методы для скрытия своего реального местоположения. Например, использования уже скомпрометированной системы в качестве площадки для дальнейших атак. Или подмена IP-адреса, что приводит к тому, что атака как бы исходит от компьютера, который даже может быть не включен.

Лучше всего собирать настолько много информации, насколько это возможно. Я, например, использую программу-сниффер в своей T-1-сети и храню все журналы регистрации на диске объемом 16 Гбайт. Вы можете посчитать это забавным, но я часто просматриваю эти данные. Удивительно как много попыток TCP\UDP-сканирования я постоянно вижу.

Также вы должны быть уверены, что в ваших системах "смотрящих" в Internet включена подсистема аудита и регистрации. Она поможет Вам разобраться, если вас атакуют.

Продукты

В этом разделе описываются доступные продукты

Какие бесплатные системы обнаружения атак доступны?

Наиболее полный список систем обнаружения атак можно получить по адресу: http://www.cs.purdue.edu/coast/ids.

Network Flight Recorder (NFR)

Анализатор пакетов под UNIX, основанный на libcap/tcpdump. Насколько я знаю, NFR поставляется с небольшим число сигнатур атак, но так как исходный текст NFR доступен, то многие специалисты сами пишут фильтры для нее. (Однако не многие специалисты имеют необходимый опыт и время для такой работы - примечание переводчика). Общее описание можно найти по адресу http://www.nfr.net/forum/publications/LISA-97.htm.

Bro

Система обнаружения атак Vern Paxson's Bro. Также основана на libcap. Я не слышал о фактах применения этой системы. Более подробную информацию можно получить в: ftp.ee.lbl.gov/papers/bro-usenix98-revised.ps.

AAFID

Идея распределенного агента для обнаружения атак, предложенная COAST. Я не знаю, сколько в этой идее вымысла, а сколько реальности.

Shadow

Я думаю, что это проект используемый в Вооруженных силах США для обнаружения атак. Имеется интересный документ (http://www.nswc.navy.mil/ISSEC/CID/co-ordinated_analysis.txt) в котором описаны случаи распределенных в пространстве атак, обнаруженных этой системой.

Argus

Это не система обнаружения атак. Однако, она контролирует сетевые пакеты и события в журналах регистрации. Вы можете затем обрабатывать эти данные для обнаружения атак.

См. для большей информации ftp://coast.cs.purdue.edu/pub/tools/unix/argus или ftp://ftp.sei.cmu.edu/pub/argus-1.5

N Другие

Nnstat





©2015- 2017 megalektsii.ru Права всех материалов защищены законодательством РФ.