Анализ типовых нарушений безопасности в сетях

Введение

Эта книга задумывалась как справочное пособие для специалистов в области анализа нарушений безопасности в сетях. Когда мы с Джуди Новак (Judy Novak) готовили второе издание книги Network Intrusion Detection: An Analyst's Handbook, нам постоянно приходилось идти на компромисс: с одной стороны, хотелось описать побольше признаков типовых нарушений, а с другой, - жаль было жертвовать остальной информацией. Надеюсь, нам удалось решить эту проблему, но мне все же хотелось увидеть книгу, о которой можно было бы сказать: все в одном флаконе. Кроме того, я хотел бы помочь кандидатам на получение сертификата в области анализа нарушений безопасности, предложив им хорошее учебное пособие, благодаря которому они могли бы привести свои знания в соответствие требованиям программы сертификации центра GIAC. Наконец, оценивая практические работы студентов, представленные ими для получения сертификата, я не перестаю удивляться встречающимся в них великолепным описаниям обнаруженных нарушений и примерам глубокого анализа. Мне всегда хотелось, чтобы дарование этих аналитиков получило общественное признание.

Поэтому я встретился с Мэтью Фирноу и предложил ему идею собрать лучшие практические работы нынешних студентов центра, создав на их основе справочное руководство для аналитиков. Мы решили, что в книге должны рассматриваться достаточно сложные вопросы, но написать ее надо так, чтобы с ней было легко работать. Придя к единому мнению, мы начали формировать команду авторов и редакторов для работы над книгой.

В информационном бюллетене GIAC Daily Incident от 13 августа 2000 года я опубликовал объявление, приглашая всех желающих присоединиться к нашей команде. В течение недели команда была сформирована, и мы приступили к работе. Прошло всего три месяца, и вот я уже пишу это введение. Не перестаю удивляться тому, чего могут достичь люди, когда они работают сообща. Я получил удовольствие, работая с членами нашей команды, и открыл для себя в процессе подготовки книги немало нового. Всякий, кто считает себя крупным специалистом в области выявления нарушений, для которого уже не осталось "белых пятен", наверняка безнадежно отстал от жизни и должен снова сесть за парту!

Соглашения, принятые в книге

На страницах этой книги вы часто будете встречать ссылки на n-ный байт заголовка. Некоторые начинают от счет от "нулевого" байта, тогда как другие - от "первого" байта, в связи с чем могут возникнуть разночтения. Поэтому хотим предупредить, что в этой книге, если не указано иное, отсчет всегда ведется от "первого" байта. Ниже приведены примеры для иллюстрации того, как на практике интерпретировать соглашения.

• Запись IP[0] означает первый байт в заголовке пакета IP, который находится по смещению 0.
• Запись IP[9] означает десятый байт в заголовке пакета IP, который находится по смещению 9 (этот байт определяет протокол).
• Запись TCP[13] означает четырнадцатый байт в заголовке пакета TCP, который находится по смещению 13 и биты которого соответствуют флажкам TCP.

Подобные "мелочи" относятся к разряду тех, которые должны всегда быть в поле зрения аналитика. Если вы разговариваете с коллегой по телефону и он сообщает вам какие-то порядковые номера байтов, например "первый" или "пятый", тут же остановите его и выясните, какую систему нумерации он использует. Скажем, ваш коллега говорит вам по телефону: "В девятом байте заголовка пакета IP содержится шестнадцатеричное 33. Что бы это значило?" Тут же выясните, действительно ли он говорит о девятом байте, т.е. о байте IP[9], который находится по смещению 9 (поле протокола)? Точность здесь имеет решающее значение: "Если считать от нуля, то в девятом байте заголовка пакета IP содержится значение 0x33... Хммм... Что ж, это заголовок аутентификации IPSec".

Основная идея книги

Книга задумывалась для того, чтобы познакомить вас с анализом трассировок, который поможет на практике идентифицировать нарушения безопасности. Эти трассировки были получены группами CIRT в учебных лабораториях, в реальных корпоративных сетях и даже на домашних компьютерах, подключенных к Internet с помощью кабельного или DSL-модема. В книге рассмотрены примеры как самых новых методов взлома, так и "классических".

Возьму на себя смелость утверждать, что эта книга сослужит вам неплохую службу.

Невзирая на тщательное редактирование, возможно (учитывая сложность рассмотренного материала), вам встретится пара-тройка не выловленных нами ошибок. Что ж, если вы столкнетесь с какой-то проблемой, дайте нам об этом знать.

Со мной можно связаться по адресу [email protected].

Спасибо!

С.Н.

Об авторах

Стивен Норткат (Stephen Northcutt) написал несколько книг: Network Intrusion Detection - An Analyst's Handbook (издательство New Riders опубликовало уже второе издание этой книги), Incident Handling Step by Step и Intrusion Detection Shadow Style (издательство института SANS Institute). Кроме того, под его редакцией в издательстве SANS Institute была подготовлена к изданию книга Securing NT Step by Step. Он был первым разработчиком системы обнаружения вторжений Shadow и впоследствии два года возглавлял группу по обнаружению вторжений с помощью системы Shadow в Министерстве обороны США. Впоследствии г-н Норткат занимал должность руководителя службы информационного противодействия в Главном управлении противоракетной обороны США, а в настоящее время работает директором программы обучения и сертификации в Центре анализа глобальных происшествий (GIAC).

Марк Купер (Mark Cooper) получил степень бакалавра, а в 1991 году - степень магистра в области схемотехники микроэлектронных устройств в университете UMIST. За плечами у Марка многолетний опыт работы инженером-программистом и системным администратором UNIX. Сейчас он работает консультантом в области защиты информации.

Мэтт Фирноу (Matt Fearnow) до недавнего времени работал в учебном центре Pearson Education в качестве сетевого администратора и администратора системы безопасности. До этого Мэт служил в подводном флоте Военно-морских сил США как инженер по локационному оборудованию. В круг его нынешних обязанностей входит решение сложнейших задач по реагированию на инциденты, информация о которых поступает в центр GIAC института SANS. Именно он впервые разработал систему классификации трассировок. В свое время Мэт был сертифицирован центром GIAC как аналитик по обнаружению вторжений (Certified Intrusion Analyst).

Карен Фредерик (Karen Frederick) занимает должность ведущего инженера по безопасности в проекте Network Flight Recorder. Университетом University of Wisconsin-Parkside ей была присвоена степень бакалавра компьютерных наук. На момент написания этой книги она готовилась к защите дипломной работы в области обнаружения вторжений для соискания степени магистра по программе переподготовки инженеров в университете University of Idaho. Высокая квалификация Кэрен подтверждена рядом сертификатов, среди которых MCSE+I, Check Point Certified Security Administrator и SANS GIAC Certified Intrusion Analyst.

Я знаю, как много усилий прилагает каждый студент центра GIAC, выполняя практические задания. Можно без преувеличения сказать, что все эти задания даются им "потом и кровью", так как они разработаны для того, чтобы выпускники центра глубоко овладели искусством анализа. Мы даем каждому возможность повысить свое мастерство в области практической защиты информации на реальных примерах, требующих анализа и исследований. Институт SANS горячо приветствует каждого слушателя, который решается вступить на эту стезю.

Стивен Норткат

Личное общение с преподавателем во время занятий - прекрасный способ интерактивного изучения нового материала. Однако посещая занятия, можно ознакомиться со взглядами и практическим опытом лишь нескольких специалистов. Работая над этой книгой, мне пришлось изучить множество прекрасных практических примеров, в каждом из которых присутствовал нетрадиционный подход и новый взгляд на эту увлекательную область. Я в долгу перед многими студентами - как опубликовавшими свои работы, так и никому не известными - за то, что они позволили мне изучить их поистине бесценный опыт.

Марк Купер

Написание практического задания для сертификации в центре GIAC требует уйму времени. Однако мой труд приносит плоды - задания, которые получают студенты, построены по отработанной методике, что значительно облегчает им работу. Я прочитал все до единого практические задания и могу отметить, что на страницах каждого из них видно, как много усилий потрачено для получения результата. Сертификация центра GIAC позволила раскрыться множеству талантов. Выражаю благодарность всем студентам за прилежание, так как без них эта книга не состоялась бы.

Мэтью Фирноу

Прочитав все практические задания, собранные в этой книге, я узнала много нового о практике анализа нарушений безопасности. В действительности это смесь искусства и науки, требующая как глубоких технических познаний в области сетевых технологий и операционных систем, так и хорошо развитой интуиции, без которой подчас невозможно обнаружить злонамеренные действия. Каждое практическое задание - это своего рода головоломка: хотя не всегда удается найти ее решение, но сам процесс получения общей картины из отдельных фрагментов доставляет немало удовольствия.

Карен Фредерик

Благодарности

Стивен Норткат. Выражаю признательность сотрудникам издательства New Riders Publishing за то, что они решили обратиться к этой теме; сотрудникам центра GIAC за то, что поделились своими знаниями с читателями; моим друзьям и коллегам по институту SANS; моей семье за долготерпение и смиренно благодарю Бога за предоставленную мне возможность участвовать в работе над этой книгой.

Марк Купер. Мое имя никогда не появилось бы на обложке этой книги, если бы не поддержка моей семьи и близких друзей, перед которыми я в неоплатном долгу. Хочу сказать спасибо моей жене Вивьен за то, что терпела мое вынужденное отсутствие (работая над книгой, я частенько "отсутствовал", даже когда был дома); моим родителям за поддержку обеих сторон в бесконечных дискуссиях о выборе между полезной и вкусной пищей; моим друзьям Линн, Терри и Дэниелу за их убежденность в том, что я справлюсь с этой работой. Наконец, спасибо Стивену Норткату за то, что пригласил меня в этот проект. Вы были правы - эта книга действительно освежила мои знания и навыки!

Мэтью Фирноу. Хочу поблагодарить Брайана Фивокса (Bryan Fewox) и Чака Каймса (Chuck Kimes) из компании Eaglenet за то, что взялись за мое обучение, вели и направляли меня и относились ко мне, как к члену семьи. Также хочу поблагодарить Стивена Нортката: он был само вдохновение, и без него я никогда бы не узнал того, что знаю сегодня. Хочу поблагодарить сотрудников института SANS за их вклад в решение проблемы безопасности сетей. Выражаю горячую признательность редакторам нашей команды, каждый из которых помог "поднять" эту книгу. Моей семье, моим друзьям и сотрудникам - вы все были великолепны. Наконец, последняя (по очередности, но не по важности) благодарность - моей любимой жене. Я надеюсь, что ты и впредь будешь вдохновлять и поддерживать меня. И, наконец, спасибо Господу и за эту возможность и за способности, которые Он дал мне.

Карен Фредерик. Спасибо маме и папе, Бэтти и Норвилле Кент, а также моему мужу Бойду за их любовь и поддержку. Моя мама всегда говорила, что, если мне что-нибудь втемяшиться, то я не успокоюсь, пока не сделаю того, что задумала, - что ж, надо было вовремя прислушаться к ее мнению!