NARZĘDZIA ADMINISTRATORA W ZAKRESIE BEZPIECZEŃSTWA

Obrazek W prawidłowo administrowanych systemach komputerowych zwykły użytkownik nie może śledzić informacji krążącej w sieci. Chęć wykonania takiej operacji wiąże się z potrzebą nabycia uprawnień nadzorcy. Oznacza to po prostu włamanie się do systemu. Zadaniem administratora jest takie zarządzanie systemem, by zminimalizować zagrożenia polegające na nieuprawnionym pozyskaniu dostępu do funkcji nadzorcy. Wystarczy spojrzeć do sekcji Bugtraq strony http://www.securityfocus.org/, czy do Advisories pod adresem http://www.cert.org/advisories/, by się przekonać, jak wielkie wyzwanie stoi przed osobami administrującymi sieciowymi systemami operacyjnymi. Niestety, aż mnoży się od tzw. dziur w systemach, które upraszczają hackerom wdarcie się do systemu. Bezpieczeństwo sieci komputerowych to problem wieloaspektowy i bardzo trudny. Dużo łatwiej sformułować wymagania i postawić sobie cel. O wiele trudniej osiągnąć pożądany skutek. Nie istnieją jednoznaczne miary poziomu bezpieczeństwa, na domiar złego zasady bezpieczeństwa, które wprowadzamy obecnie mogą okazać się niewystarczające w sytuacji, która pojawi się nawet w bliskiej przyszłości. Internet nie jest środowiskiem przewidywalnym. Zależności między różnymi składowymi sieciowego środowiska pracy są tak duże, że nie sposób z góry ustalić, jakie są wszystkie potencjalne niebezpieczeństwa. Trzeba jednak zrobić wszystko, by wprowadzone techniki w sposób najlepszy (best efford, maksimum dobrej woli) chroniły sieciowy system komputerowy.

Obrazek Nowoczesne systemy komputerowe, z których obecnie powszechnie korzystamy cechuje wielodostępność. Oznacza to, że na jednym komputerze może jednocześnie pracować wielu użytkowników. Użytkownik, aby rozpocząć pracę w systemie, musi uwierzytelnić swoją tożsamość, czyli przejść przez procedurę logowania, podczas której w typowej sytuacji posługuje się swoim identyfikatorem i hasłem. Po zalogowaniu jest jednoznacznie identyfikowany w systemie i dysponuje własną przestrzenią dyskową. Do reszty zasobów systemu ma ograniczony dostęp, co najwyżej może odczytywać pewne dane. Standardowy proces logowania za pomocą pary danych identyfikator/hasło (uwierzytelnianie proste, simple authentication) jest jedną z podstawowych przyczyn zagrożeń bezpieczeństwa. Najczęściej użytkownik loguje się do stacji zdalnej, co oznacza, że poufne dane potrzebne do jego uwierzytelnienia w systemie są przekazywane przez sieć komputerową. Jest więc potencjalna możliwość podsłuchania danych i przechwycenia hasła. Często nie są jednak potrzebne tak skomplikowane techniki, gdyż właściciele kont na komputerach wielodostępnych niewystarczająco dbają o zabezpieczenie się przed atakami - wybierane hasła są zbyt proste. Liczne programy, posługując się specjalnymi słownikami, potrafią je złamać. Przejęcie danych uwierzytelniających jakiegoś użytkownika wystarcza, by intruz uzyskał dostęp do obcego systemu, a od tego tylko krok, by dorobił się praw nadzorcy - musi tylko znaleźć odpowiedni exploit, czyli specjalny program wykorzystujący słabości systemu operacyjnego.

Obrazek Zmierzając do zwiększenia bezpieczeństwa sieci komputerowej musimy pamiętać o właściwej konfiguracji usług oferowanych użytkownikom. Złym nawykiem jest nadmierna swoboda i liberalność w tym zakresie. Należy pamiętać, że każda otwarta usługa, to otwarty dostęp do portu na serwerze. Takiego portu włamywacz może użyć do unieszkodliwienia albo całego systemu, albo jakiejś aplikacji. Popularny jest atak denial of service, masowe zarzucanie komputerów zleceniami, prowadzące do zablokowania usługi, a nawet awarii pracy systemu. Poza tym należy szybko reagować na informację o zdiagnozowanych niedociągnięciach w oprogramowaniu serwerów. Drugą istotną sprawą jest definiowanie zasad korzystania z usług sieciowych: jaki użytkownik ma do nich prawo, jakie połączenia są akceptowane (z jakiego źródłowego adresu IP). Istnieje oprogramowanie wspomagające uszczelnianie systemu.

Obrazek Bardzo przydatnym narzędziami są programy tcpwraper czy tcpserver, które potrafią filtrować ruch wchodzący według ustalonych reguł. Z drugiej strony dzięki nim powstają dzienniki tzw. logs. Rejestrują one nieuprawnione próby dostępu do serwera. Jeśli zamiast standardowego programu inetd, domyślnie instalowanego w takich systemach jak Solaris, użyjemy ulepszonego serwera pełniącego funkcję nadzorcy usług sieciowych - xinetd, to bez potrzeby używania programu tcpwraper będzie można egzekwować reguły dostępu do usług. Ponadto zapewnione będzie ograniczenie liczby przychodzących połączeń, wykluczanie dostępu do usług na podstawie czasu dnia, eliminować połączenia przychodzące z określonego adresu lub połączenia do określonej usługi.



Obrazek


Obrazek Istotnym komponentem narzędzi administratora są obecnie systemy wykrywania infiltracji lub włamania Intrusion Detection Systems, IDSs. Dostępna jest duża różnorodność takich narzędzi, różniących się funkcjonalnością oraz stosowanymi metodami pracy. Nie jest łatwo podjąć decyzję, jaki system wybrać. Z nazwy już wynika, że zadaniem narzędzi IDS jest wykrywanie ataków oraz prób niewłaściwego wykorzystania stacji komputerowej oraz powiadamianie o wszelkich tego typu problemach właściwe osoby. Systemów służących do wykrywania infiltracji nie należy identyfikować ze ścianami ogniowymi firewalls. IDS to zestaw narzędzi umożliwiających śledzenie zdarzeń w systemie i informujących o nadużyciach. Natomiast firewall bywa porównywany do ogrodzenia wokół domu. Służy do ochrony systemu komputerowego, a raczej całej sieci lokalnej przed potencjalnymi intruzami. Może blokować wszystko co niedozwolone zarówno na wejściu, jak i na wyjściu.

Systemy wykrywania realizują trzy operacje:

Obrazek
Zdarzenia podlegające infiltracji definiuje wewnętrzna polityka bezpieczeństwa. Niektóre narzędzia IDS nie tylko wykrywają, ale również automatycznie reagują na atak, np. dopisując do tablic określających zasady ograniczania dostępu odpowiednie wpisy, by zapobiec podobnym wypadkom w przyszłości, czy blokując dostęp do konta. Z danych źródłowych wynika, że 80-85% incydentów z zakresu bezpieczeństwa pochodzi z wewnętrznej sieci. Znikoma reszta wiąże się z atakiem z zewnątrz takimi jak atak typu denial of service, czy próby penetracji infrastruktury sieci. Narzędzia wykrywające infiltrację muszą reagować na oba źródła zagrożenia bezpieczeństwa.

Wśród implementacji IDS rozróżnia się dwa podstawowe typy:

Pierwszymi rozwijanymi produktami były narzędzia IDS przeznaczone dla stacji komputerowych. Ich praca przebiega w oparciu o znany poprawny, oryginalny stan zasobów systemowych komputera. Dokonują okresowego przeglądu istotnych plików systemowych i powiadamiają o wszystkich niespójnościach. W ten sposób można wykryć atak wewnętrzny, czy nieautoryzowaną modyfikację zasobów.

Obrazek
Wadą takiego podejścia, w szczególności, gdy w sieciach lokalnych pojawia się coraz większa liczba stacji, jest konieczność skrupulatnego śledzenia zdarzeń wszystkich komputerach stanowiących potencjalne zagrożenie bezpieczeństwa. Systemy nakierowane na sieć komputerową analizują pakiety sieciowe (packet sniffing) przesyłane w sieci i na tej podstawie wykrywają nietypowe sytuacje. Przykładowo porównują przekazywane dane z empirycznymi wzorcami. Takie systemy są ze swojej natury rozproszone i ich zasięg jest szerszy. Mogą wykryć próbę nieautoryzowanego dostępu z zewnątrz, rejestrują logowanie nie zakończone sukcesem, zmasowany atak na konkretną usługę, czy zdarzenia polegające na zapychaniu dostępnego pasma. Oczywiście, ta technika nie sprawdza się, gdy przesyłane dane są zaszyfrowane, również jeśli mamy do czynienia z bardzo szybkim nośnikiem.



Powrót do spisu treści