Контроль безопасности сайта представляет собой очень сложный процесс. Для успешного реагирования на нарушения безопасности необходим достаточно большой объем знаний. С помощью структурного подхода можно сделать этот процесс намного проще, что увеличит шансы на успех. В этой лекции мы расскажем о некоторых хорошо зарекомендовавших себя подходах к управлению безопасностью.

Методология жизненного цикла

Жизненный цикл управления использует стандартизированный повторяемый набор процедур для обновления, переоценки и защиты сайта. Стандартизация обеспечивает правильную конфигурацию программного обеспечения, последовательное и предсказуемое выполнение задач. При помощи точно разработанных концепций политики обеспечивается эффективное реагирование. Схема жизненного цикла управления приведена на рис. 7.1.

Это очень важный подход, поскольку в динамической и изменяющейся среде интернета требуется процесс управления, постоянно адаптирующийся к возникающим ситуациям. Процесс укрепления системы основан только на фактах, о которых уже многое известно. Реализация жизненного цикла обеспечит переоценку подхода и знание тех изменений в технологиях, которые оказывают влияние на сайт.

Переоценка угроз и предупредительное отслеживание

Предупредительное отслеживание ограничивает попытки вторжений посредством периодической переоценки угроз. С точки зрения управления этот процесс выполняется на веб-сайте с целью своевременного обнаружения попыток вторжения и немедленного реагирования на возникшие угрозы. Отслеживание системы включает в себя регулярно проводимые обзоры журналов, а также более динамичные формы мониторинга с выводом уведомлений о потенциальных проблемах.

Переоценка угроз

Переоценка угроз представляет собой критический процесс, определяющий степень защищенности любой системы; этот процесс необходимо планировать как обычную процедуру управления безопасностью, так как в программно-аппаратных продуктах постоянно обнаруживаются все новые и новые слабые места. Программные продукты должны проверяться на стойкость к новым угрозам, выявляемым организациями типа института SANS после последних обновлений Microsoft.

Каждую систему нужно исследовать с помощью структурированного процесса, проверяющего текущее состояние защиты. Периодическая переоценка включает в себя мероприятия, описываемые в сводных перечнях этой книги и в других источниках информации о безопасности. Необходимо запускать новейшие средства безопасности, выпущенные Microsoft, для обработки всех возможных обстоятельств, связанных с безопасностью. Разумеется, средства, которые изначально использовались для повышения уровня безопасности (см. лекцию 3), обновляются Microsoft по мере обнаружения новые слабых мест.

Структурированный подход является ключом к успешной защите веб-сайта. Легко не выполнить какой-либо шаг или не завершить задачу, но вероятность таких ошибок уменьшится, если следовать упорядоченной схеме выполнения процесса. Ниже приведено краткое описание процесса переоценки.

• Примените последние исправления и процедуры по укреплению системы, имеющиеся в разделе безопасности веб-сайта Microsoft TechNet (www.microsoft.com/technet/security). Так как эти исправления часто меняются, то здесь не указан конкретный адрес URL.
• Дважды проверьте основу безопасности сайта, запустив новое средство Microsoft Security Baseline Analyzer (MSBA) для проверки политики Windows 2000 и слабых мест в конфигурации, которые не были исправлены при помощи надстроек безопасности. Более подробную информацию об этой программе и инструкции по ее загрузке можно найти в документе Q320454 на сайте TechNet.
• Еще раз выполните IIS Lockdown, чтобы удостовериться в корректности конфигурации и политики безопасности IIS (см. лекцию 3).
• Проведите тестирование безопасности системы, настраивая основные параметры безопасности и применяя рекомендации в качестве превентивных мер защиты.
• Повторите этот цикл в соответствии с политикой безопасности организации.

Двойная проверка безопасности сервера

Программа Microsoft Baseline Security Analyzer (MBSA) предназначена для сканирования компьютеров с Windows 2000 и определения примененных в системе обновлений безопасности, политик безопасности и соответствующих параметров. MBSA представляет расширенную версию HFNetChk – широко известной программы, используемой многими системными администраторами Windows 2000. MBSA сканирует сервер для определения операционной системы, наличия сервис-пакетов и программ, после чего исследует базу данных Microsoft и определяет надстройки безопасности для установленного программного обеспечения.

MBSA, как и HFNetChk, проверяет создаваемые надстройкой ключи реестра и наличие на сервере определенной надстройки, а также выясняет версию и контрольную сумму каждого файла, установленного надстройкой. MBSA проверяет также соответствие настроек системы общим рекомендациям по безопасности сервера, например, устойчивость паролей, состояние учетной записи Guest (Гость), тип файловой системы, общедоступные файлы, группу администраторов, наличие распространенных ошибок в конфигурации. После выполнения процедуры генерируется отчет. Ниже приведен список проверок MBSA для сервера IIS.

• Простые пароли. MBSA в процессе сканирования проверяет компьютеры на наличие пустых, простых и неправильно указанных паролей:
  • пароль пуст;
  • пароль = имя пользователя (имя учетной записи);
  • пароль = имя компьютера;
  • пароль = "password";
  • пароль = "admin";
  • пароль = "Administrator".
   
• Группа Administrators (Администраторы). Определяет и создает перечень учетных записей, принадлежащих группе Local Administrators (Локальные администраторы). При обнаружении более двух учетных записей администраторов программа выводит список их имен и обозначает потенциальное слабое место. Рекомендуется свести к минимуму число администраторов, так как они по природе своей деятельности осуществляют полный контроль над системой.
• Аудит. Определяет включение аудита на сканируемом компьютере. Аудит Microsoft Windows отслеживает и фиксирует в журнале определенные системные события, такие как успешные и неудачные попытки входа в систему. Следует всегда вести журнал и отслеживать события системы, чтобы определять потенциальные угрозы безопасности и вредоносные действия.
• Автоматический вход в систему. Определяет включение автоматического входа, наличие шифрования пароля входа в реестре или хранение его в открытом виде. Если включен автоматический вход в систему, и пароль хранится в открытом виде, это будет отражено в отчете безопасности как серьезное слабое место. Если включен автоматический вход, и пароль шифруется в реестре, это будет отражено в отчете безопасности как потенциальное слабое место.
• Проверка наличия ненужных служб. Определяет включение служб, содержащихся в текстовом файле services.txt. Если планировалось отключение какой-либо службы, но этого не произошло, или служба перезапустилась, то данная проверка выявит этот факт.
• Гостевая учетная запись. Определяет включение встроенной учетной записи Guest (Гость). Гостевая учетная запись используется для входа на компьютер с ОС Windows 2000 и должна быть отключена.
• Виртуальные каталоги MSADC и Scripts на сервере IIS. Определяет установку виртуальных каталогов MSADC (образцы сценариев доступа к данным) и Scripts. Сценарии в этих каталогах нужно удалить для снижения вероятности проведения атаки.
• Виртуальный каталог IISADMPWD. Определяет установку виртуального каталога IISADMPWD. В IIS 4.0 пользователи могут через него изменять свои пароли. IISADMPWD является слабым местом, через которое возможно раскрытие паролей. При обновлении сервера до IIS 5 этот каталог нужно удалить,
• Средство IIS Lockdown. Определяет выполнение на компьютере версии 2.1 программы IIS Lockdown. IIS Lockdown отключает ненужные возможности и настраивает политику безопасности IIS для уменьшения степени уязвимости защиты.
• Журнал IIS. Определяет включение журнала IIS и использование расширенного формата файла журнала W3C. Ведение журнала IIS выходит за рамки функций Windows и позволяет обнаружить возможные области атаки сервера или сайтов. Эта возможность должна быть всегда включена.
• Родительские пути IIS. Определяет включение параметра ASPEnableParentPaths. При включении родительских путей на страницах Active Server Pages (ASP) используются относительные пути от текущего каталога к домашнему каталогу (пути, использующие символ "..").
• Демонстрационные приложения IIS. Определяет установку на компьютере папок с демонстрационными файлами:
  \Inetpub\iissamples
  \Winnt\help\iishelp
  \Program Files\common files\system\msadc
  Эти каталоги и все виртуальные каталоги нужно удалить.
• Члены роли Sysadmin (Системный администратор). Определяет число членов роли Sysadmin и отображает результаты в отчете безопасности. Как правило, в роли Sysadmin должно содержаться как можно меньше пользователей.
• Окончание срока действия пароля. Определяет наличие в учетных записях локального пользователя пароля с неограниченным сроком действия. Пароли должны регулярно меняться для предотвращения атак на взлом паролей. Такие учетные записи будут указаны в отчете.
• Ограничение анонимных пользователей. Определяет использование ключа реестра RestrictAnonymous для ограничения анонимных подключений разрешениями Read (Чтение) или Read and Execute (Чтение и выполнение) в каталогах сценариев (если они имеются).
• Общие объекты. Определяет наличие общих папок. В отчете будут показаны все найденные на компьютере общие объекты, включая администраторские общие папки, а также их разрешения уровня общего доступа и уровня NTFS. На веб-сервере ни в коем случае не должны присутствовать общие папки!

Перед запуском MBSA следует уяснить две вещи. Во-первых, проверка входа вызовет создание записей в журнале событий безопасности, если на компьютере включен аудит событий входа/выхода из системы. Во-вторых, тест на ненужные службы использует файл services.txt в качестве контрольного списка. Отредактируйте этот файл таким образом, чтобы он содержал конкретные службы для проверки на каждом сканируемом компьютере. Файл services.txt, устанавливаемый по умолчанию с этой программой, содержит следующие службы:

Перечень остальных служб, которые необходимо отключить, см. в лекции 3.

Тестирование на уязвимость в реальном режиме

Специалисты в области информационной безопасности рекомендуют проводить тестирование в реальном режиме для проверки воздействия атак, посредством которых хакеры определяют степень защищенности веб-сайта. В статье "Переоценка уязвимости: превентивные меры по обеспечению безопасности вашей организации", опубликованной на веб-сайте SANS, говорится, что при проведении переоценки уязвимых мест используемый набор средств должен быть похож на тот набор инструментов, который использует противник. Это обеспечит защищенность систем от атак, которые в данный момент находятся на пике популярности среди хакеров.

Ниже приведен список некоторых полезных средств, которые можно бесплатно загрузить из интернета. Коммерческое программное обеспечение для сканирования выпускается такими производителями как Symantec, Network Associates, BindView, eDigital Security и Internet Security Systems.

• Nmap – утилита для исследования сети и/или аудита безопасности. Быстро и аккуратно сканирует сети и определяет доступные узлы, работающие службы и используемые операционные системы. Доступна по адресу http://www.insecure.org.
• Nessus – удаленный сканер безопасности. Осуществляет аудит сети и определяет наличие уязвимых мест. Программа запускает имеющиеся в ее комплекте эксплоиты и выводит отчет о степени успеха работы каждого из них. Доступна по адресу http://www.nessus.org.
• Whisker – интернет-сканер CGI. Осуществляет сканирование на предмет наличия известных уязвимых мест в веб-серверах с предоставлением URL, вызвавшего событие. Определяет тип функционирующего веб-сервера, легко обновляется и имеет множество полезных возможностей. Доступна по адресу http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2.
• Enum – консольная Win32-утилита для сбора информации. С помощью недействительных сеансов получает перечни пользователей, компьютеров, общих объектов, имен, групп и членов групп, а также информацию о паролях и политике. Осуществляет примитивную атаку грубой силы, направленную на отдельные учетные записи. Доступна по адресу http://razor.bindview.com/tools/index.shtml.

Некоторые из этих средств работают под Windows, некоторые – под UNIX или Linux. Если вы немного разбираетесь в хакерстве, имеете доступ к платформам, использующим отличную от Windows платформу, и достаточно времени для тестирования, то сможете самостоятельно выполнить нужные тесты для подтверждения защищенности сервера. Однако большинство из вас не сможет этого сделать.

Существует альтернативный подход. Один из вариантов – обращение к консультанту. Также можно использовать новый, доступный в интернете, тип служб, осуществляющий автоматическое сканирование сайта. Выполнив поиск в системе Google по строке "Online Vulnerability Testing Service", вы получите перечень компаний, предлагающих подобные услуги. Некоторые из этих услуг имеют бесплатные демонстрационные версии, и вам стоит потратить время на их изучение.

Дополнительные сведения об отслеживании файла журнала

В лекции 5 обсуждалось использование программы Event Viewer (Просмотр событий), с помощью которой можно вести журналы операционной системы и просматривать файлы формата W3C в поисках признаков атак.

Несмотря на то, что поиск слабых мест в защите подобен поиску иголки в стоге сена, все же обратите внимание на элементы, указывающие на наличие проблемы безопасности. Microsoft рекомендует уделять особое внимание событиям, приведенным в табл. 7.1. В ней содержатся идентификаторы событий и вопросы, которые нужно задать самому себе по мере изучения информации.

Если вы отслеживаете большое количество событий, то не будете страдать от отсутствия информации. Смысловая обработка этой информации достаточно сложна. Windows 2000 имеет программные средства, позволяющие просматривать и осмысливать зафиксированную информацию. Существуют и коммерческие продукты, предназначенные для этой цели (см. лекцию 9), однако мы остановимся на продуктах Microsoft.

Экспорт журналов в текстовые файлы

В файлы журнала можно записать неограниченное количество информации. В реальной жизни такой объем затрудняет работу. Иногда информацию экспортируют в текстовый файл и открывают в программе типа электронных таблиц или баз данных. В этих программах можно отсортировать списки по номерам событий или осуществить поиск определенных сообщений. Журналы IIS автоматически сохраняются в текстовом формате, а вот файлы журналов Windows 2000 необходимо преобразовывать.

Это делается двумя способами. Используйте команду Save As (Сохранить как) в программе Event Viewer (Просмотр событий) для сохранения файла в виде текста с разделителями-табуляцией либо в формате файла с разделителями-запятыми (CSV). Можно вывести журнал событий с помощью программы dumpel.exe – средства командной строки, доступного для загрузки по адресу http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.

При обращении к прежним журналам для получения информации этот метод значительно облегчит задачу. Dumpel.exe преобразовывает журнал событий локальной или удаленной системы в текстовый файл с разделителями-табуляцией и осуществляет фильтрацию файла для нахождения искомой информации, руководствуясь указанными в командной строке параметрами. В программе dumpel.exe используется следующий синтаксис:

• -f file – указывает имя результирующего файла. Для параметра –f не установлено значение по умолчанию, поэтому обязательно укажите файл.
• -s \\server – указывает сервер, для которого записывается журнал событий. Обратные слэши перед именем сервера вводить необязательно.
• -l log – определяет, какой журнал (системный журнал, журнал приложений, журнал безопасности) следует записать. Если указано неправильное имя журнала, то записывается журнал приложений.
• -m source – указывает, в каком источнике (например, редиректор (rdr), последовательный порт и т.д.) следует преобразовать записи журнала в текстовый файл. Если указан источник, не зарегистрированный в реестре Windows, в журнале приложений будет осуществлен поиск записей данного типа.
• -e n1 n2 n3 – осуществляет фильтрацию события с идентификатором nn (можно указать до 10 элементов). При использовании ключа -r будут записываться только записи этих типов. Если ключ -r не используется, будут выбраны все события из указанного источника. Данный параметр нельзя использовать без ключа -m.
• -r – указывает, нужно ли осуществлять фильтрацию для поиска определенных источников или записей, либо отбросить их.
• -t – указывает, что отдельные строки разделяются символами табуляции. Если параметр -t не используется, строки разделяются пробелами.
• -d x – записывает события за последние x дней.

Настройка предупреждений Windows 2000 и IIS

Помимо изучения файлов журналов, которое представляет собой обработку уже произошедшего события, используется интерактивное отслеживание и обнаружение посредством предупреждений. Индикатор производительности Windows 2000 содержит функцию counters (счетчики), которая выявляет возможные атаки хакеров и автоматически сообщает о неполадках.

Performance Monitor (Индикатор производительности), как видно из названия программы, используется для отслеживания вопросов, связанных с производительностью системы. Эта программа обеспечивает безопасность, если созданы отдельные правила отслеживания системных событий или событий служб интернета. Правила инициируют определенное действие, когда встречается указанное условие. Например, с помощью функции counters для установки порога события можно отобразить через сеть сообщение в случае преодоления порога. При инициировании оповещения сервером предпринимаются следующие действия.

• Отправка сетевого сообщения.
• Создание записи в журнале событий приложений.
• Запуск журнала данных о производительности.
• Запуск указанной программы.

Установка оповещения операционной системы

Один из подходов к использованию счетчиков производительности и оповещений на веб-сервере без анонимной аутентификации заключается в выдаче уведомления при возникновении большого числа ошибок входа в систему, означающего атаку злоумышленника. Так, например, если установить порог, равный 25 ошибкам входа, то после превышения этого порога система будет выдавать сообщение.

Ниже приведена процедура настройки данного типа оповещения.

1. Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2). Щелкните правой кнопкой мыши на значке Alerts (Оповещения) и в появившемся меню выберите New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее параметр, например, Logon Failures (Ошибки входа).

    

   
   
   Рис. 7.2.  Используйте индикатор производительности для создания оповещения

    

    
2. После присвоения правилу имени появится диалоговое окно Logon Failures (Ошибки входа), в котором определяется правило для создаваемого оповещения (см. рис. 7.3) с пустыми полями. Эта процедура начинается на вкладке General (Общие). Добавьте комментарий в верхнее поле, после чего нажмите на кнопку Add (Добавить) для начала создания правила.

    

   
   
   Рис. 7.3.  Первым шагом в создании оповещения является добавление правила

    

    
3. Счетчики являются первым параметром правила, который необходимо определить. Диалоговое окно Select Counters (Добавить счетчики) изображено на рис. 7.4. При подсчете событий на локальном компьютере выберите опцию Use Local Computer Counters (Использовать локальные счетчики). При подсчете событий на другом сервере в домене Windows укажите имя компьютера, выбрав опцию Select Counters From Computer (Выбрать счетчики с компьютера).

    

   
   
   Рис. 7.4.  В диалоговом окне Select Counters (Добавить счетчики) определяются параметры счетчика

    

    
4. Выберите тип объекта производительности, отслеживаемого компьютером, в ниспадающем списке Performance Object (Объект). В нашем примере выберите Server Object (Сервер).
5. Определите сам счетчик. Внизу диалогового окна выберите опцию Select Counters From List (Выбрать счетчики из списка) и в списке выберите опцию Errors Logon (Ошибок входа). Будет доступна и другая опция – All Counters (Все счетчики), но правило столь широкого действия не потребуется для нашего примера.
6. Нажмите на кнопку Add (Добавить) для создания счетчика, после чего нажмите на Close (Закрыть) для выхода из окна и возврата к предыдущему окну.
7. В окне Logon Failures (Ошибки входа) (см. рис. 7.3) определите способ применения счетчика. Щелкните на ниспадающем меню рядом с полем Alert When The Value Is (Оповещать, когда значение) и выберите Over (Больше). Установите предел, равный 25.
8. Внизу диалогового окна показано, что правило установлено на съем показаний счетчика через каждые 5 с (значение по умолчанию). Так как это обеспечивает слишком частый съем показаний (даже автоматизированная программа вряд ли сможет осуществить столько попыток входа за 5 с), укажите более подходящее значение, равное 60 с, для уменьшения затрачиваемых ресурсов и повышения чувствительности счетчика.
9. Теперь определите действие, инициирующее оповещение. Откройте вкладку Action (Действие) (см. рис. 7.5). В появившемся диалоговом окне выберите параметры действий, которые необходимо предпринимать. В данном случае разумно установить всплывающее сетевое сообщение, отправляемое в консоль управления сервером (сервер будет отправлять сообщение самому себе для немедленного предупреждения администратора). Более того, при удаленном управлении нужно отправлять сообщение на вашу рабочую станцию, для чего необходимо указать имя вашего рабочего компьютера.

    

   
   
   Рис. 7.5.  Во вкладке Action (Действие) определите для сервера способ обработки оповещения

    

    
10. После определения действия правило готово к работе. Можно создать расписание работы правила с помощью вкладки Schedule (Расписание), однако Windows 2000 по умолчанию предусматривает немедленный запуск правила, если не указаны другие параметры.
11. Нажмите на кнопку Apply (Применить), чтобы созданное правило вступило в силу, после чего нажмите на OK для выхода из окна.

Очевидно, что определить правила для отслеживания всех объектов операционной системы просто нереально. Наиболее важные объекты, для которых необходимо выдавать оповещения, относятся именно к неудачным попыткам доступа к ресурсу, так как в этом случае у вас появится возможность остановить атаку или наблюдать за ее действием.

В таблице 7.2 приведены параметры, используемые при определении правил оповещения.

Совет. Оповещения и предупреждающие сообщения, встроенные в Windows 2000, довольно стандартны. Такие средства, как системы обнаружения вторжений (IDS), имеют более широкие возможности по оповещению и могут отправлять сообщения на пейджеры или в другие места.

Установка оповещения веб-службы

Аналогично оповещениям операционной системы можно установить оповещения для событий в веб-службах IIS. Используется широкий набор порогов веб-служб для создания правил: число вхождений событий в секунду, текущее количество подключений, общее число отклоненных событий и другие. В таблице 7.3 показаны некоторые полезные оповещения (этот список далеко не полон).

Для установки оповещения веб-службы выполните процедуры, описанные в разделе "Установка оповещения операционной системы", но в диалоговом окне Select Counters (Добавить счетчики) укажите другие параметры.

1. Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2), щелкните правой кнопкой мыши на значке Alerts (Оповещения). Во всплывающем меню выберите команду New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее данный параметр.
2. Определите правила для создаваемого оповещения в диалоговом окне Logon Failures (Ошибки входа) (см. рис. 7.3). Добавьте комментарий в верхней части окна и нажмите на кнопку Add (Добавить), чтобы начать создание правила.
3. В диалоговом окне Select Counters (Добавить счетчики) (см. рис. 7.6) еще раз выберите опции Use Local Computer Counters (Использовать локальные счетчики) и Select Counters From List (Выбрать счетчики из списка). На этот раз в поле Performance Object следует выбрать Web Services (Веб-службы).
4. Станет активной правая часть окна. Выберите All Instances (Все вхождения), если нужно, чтобы счетчик был активен на всех веб-сайтах сервера, либо укажите определенные сайты.

   Таблица 7.3. Оповещения IIS и их возможные причины

   Счетчик веб-служб	Описание
   Не обнаружено ошибок в секунду	При превышении значения означает попытку раскрытия на сервере адреса URL виртуальных каталогов.
   Всего попыток подключения	При превышении значения означает, что сайт подвергся атаке на отказ в обслуживании (DoS) посредством перегрузки сервера соединениями.
   Текущие анонимные пользователи	При превышении значения означает проникновение на веб-сайт для сохранения элементов, связанных с другим сайтом. Это менее опасно по сравнению с атакой DoS, так как сервер не выводится из рабочего состояния, но при этом используются ваши ресурсы. Набор аналогичных счетчиков, фиксирующих текущее или полное число одновременных событий, поможет выявить ненормальное использование ресурсов.

    

    

   
   
   Рис. 7.6.  При установке счетчика веб-служб укажите нужные веб-сайты

    

    
5. Откройте вкладку Action (Действие) и выберите действие, инициирующее правило (см. рис. 7.4). После этого нажмите на кнопку Add (Добавить) для добавления правила и закройте окно.
6. Вернувшись к окну Logon Failures (Ошибки входа), нажмите на кнопку Apply (Применить) для активирования правила, затем нажмите на OK для выхода из окна.

Использование журнала и уведомлений о сбоях в качестве средства защиты

Для получения доступа к серверу хакеры, скорее всего, будут пытаться вызвать не нем сбой, поэтому желательно отслеживать информацию о сбоях. В дополнение к файлу журнала сбоев используются еще два метода уведомления и фиксирования сбоев посредством изменения некоторых переменных в реестре Windows 2000.

Для настройки уведомления о сбоях сервера выполните следующие шаги.

1. Выберите команду Start\Run (Пуск\Выполнить) и запустите программу Regedit.
2. В редакторе реестра включите административное уведомление посредством присвоения параметру HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CrashControl/SendAlert значения 1. При следующем сбое сервера сгенерируется административное оповещение.
3. Включите журнал операционной системы, фиксирующий сбои в журнале событий, присвоив параметру HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CrashControlLogEvent значение 1 для фиксирования точного времени сбоев.

Включенное уведомление о сбоях оповестит о возникших проблемах. Информация, записанная в журнале, используется в аудите безопасности для определения того, был ли сбой сервера вызван умышленно.

Отслеживание признаков атак

Часто случается так, что атаки не сразу выводят из строя сервер, а оставляют на нем программы, заражающие сайт и воздействующие на него в течение продолжительного времени. Следует следить за содержимым журналов для выявления таких программ. Как и вирусы, многие атаки с использованием червей или "троянских коней" являются автоматизированными атаками, оставляющими признаки присутствия (предсказуемые наборы событий или записанных файлов) в файлах журналов, по которым можно судить об их наличии в системе. Например, во многих организациях червь Code Red был выявлен посредством нахождения характерного GET-запроса на файл default.ida в файлах журналов. Подпишитесь на рассылки с новостями в области информационной безопасности или регулярно посещаете сайт CERT для получения новых сведений об этих признаках, чтобы обнаруживать их в журналах.

Другие признаки атаки

Атаки некоторых типов выявить довольно легко, например атаки на переполнение буфера, которые немедленно выводят из строя сервер, но некоторые атаки имеют менее явные симптомы. Журналы и оповещения Windows 2000 и IIS обнаруживают попытки выполнения таких атак. Ниже приведены некоторые общие признаки атак, которые следует искать.

• Неожиданное увеличение исходящего трафика. Это могут быть как действия легальных пользователей сайта, так и злоумышленные действия, особенно при исходящем трафике, как было в случае с червем Code Red. Данный признак наблюдается и тогда, когда компьютер сети управляется для участия в распределенной атаке на отказ в обслуживании. Маршрутизаторы или сетевые экраны должны иметь возможность измерять как входящий, так и исходящий трафик. В самых лучших устройствах этого типа имеются средства, генерирующие отчеты, проверяемые еженедельно, ежедневно или немедленно.
• Большое число пакетов, обнаруженное фильтрами выхода маршрутизатора или сетевого экрана. Фильтрами выхода называются наборы политик маршрутизаторов, проверяющие исходящие пакеты и отслеживающие их исходные адреса. Так как в большинстве организаций известны сетевые адреса, защищенные сетевым экраном, сразу отбрасываются пакеты, исходные адреса которых не совпадают с адресами сети. Такие системы блокируют потенциально опасный трафик, который возникает при скрытом захвате хакерами узла и генерировании исходящих от него пакетов, которые призваны перегрузить заранее известную цель в интернете. Фильтры выхода предотвращают выход исследующих пакетов из сети, поэтому при обнаружении таких пакетов необходимо выяснить их источник, так как они являются признаками проникновения в сеть.
• Неожиданный скачок числа некорректных пакетов на сетевом экране. Большинство сетевых экранов и маршрутизаторов ведут сбор статистики о пакетах на границе сети, используя коммерческое программное обеспечение. Неожиданные скачки числа некорректных пакетов, как правило, говорят о том, что система подвергается атаке на отказ в обслуживании.

Ответные действия

Если система находится в интернете, она рано или поздно будет атакована. То же самое относится и к интранет-сети. Следовательно, необходим план ответных действий при обнаружении ненормальной активности в сети.

Помните, что за успешными атаками часто следует череда неудачных атак. Если средства отслеживания определили атаку, даже безуспешную, необходимо на нее отреагировать. Если атака на компьютер будет успешной, то чем раньше вы ее обнаружите и отреагируете, тем проще предотвратить повреждение системы.

Реагирование на атаку

Если выяснилось, что защита сервера преодолена, следует быстро и правильно принять решение об ответном действии. Во-первых, попытайтесь определить атакующего. Просмотрите журналы сервера и сетевого экрана, чтобы определить, из какого места исходила атака – с другой взломанной системы в сети или из интернета. Не делайте предположений – старайтесь выявлять факты.

Когда вы узнаете, откуда была выполнена атака, попытайтесь остановить ее. Можно применить фильтрацию адреса или домена для блокировки источника. Отключите компьютеры от сети, если уверены, что на них находятся вредоносные файлы, или что они заражены червем или вирусом. Если вы подверглись распределенной атаке на отказ в обслуживании (DDoS), обратитесь за помощью к поставщику коммуникационных услуг.

ПРОБЛЕМА

Обнаружив, что компьютер атакован, довольно трудно оставаться спокойным и хладнокровным, но это необходимо для принятия здравых и правильных решений. Не все инциденты, связанные с нарушением безопасности, являются реальными. Может возникнуть ложная тревога, если средства наблюдения зафиксировали происшествие, которое на самом деле не является атакой или вредоносным действием.

В таких стрессовых ситуациях поможет четкое и последовательное выполнение действий. Клиентам не особо понравится, если вы отключите сайт, и обиднее всего, если в действительности на сайт не было произведено никакой атаки. Ниже приведен перечень процедур, который поможет выявить и определить источник подозрительных событий.

В ситуациях, связанных с возможным нарушением безопасности сайта, выполните следующие шаги.

1. Определите все системы, задействованные в происшествии.
2. Предотвратите перезагрузку компьютера, вход и выход из системы или случайный запуск вредоносного кода.
3. Проверьте журналы аудита на наличие признаков несанкционированных действий. Отсутствие журналов или пустые места в файлах журналов представляют собой явные признаки сокрытия следов атаки.
4. Проверьте ключевые учетные записи и группы. Попробуйте обнаружить попытки входа через учетные записи по умолчанию. Проверьте группы Administrators (Администраторы), Backup Operators (Операторы учетных записей) и Web Site Operators (Операторы веб-сайта) на наличие несанкционированных записей или членов группы. Проверьте учетные записи на повышенные привилегии. Отследите активность в нерабочие часы.
5. Осуществите в каталогах веб-сервера поиск файлов, которые вы там не располагали. Осуществите поиск в системе средств хакеров ("троянских коней", таких как Subseven, и т.п.).
6. Проверьте Task Manager (Диспетчер задач) Windows 2000 (открывается нажатием комбинации Ctrl+Alt+Del) на наличие неизвестных приложений или процессов. Проверьте конфигурацию служб на наличие автоматически запускаемых служб, которые не включались в процессе укрепления системы.

   Если, выполнив все эти шаги, вы не обнаружили признаков вторжения, не делайте каких-либо заключений, положительных или отрицательных, – еще рано. Осуществите расширенный поиск и выполните следующие шаги.

    
7. Проверьте функциональность и сопоставьте производительность системы с обычными, зафиксированными ранее, параметрами.
8. Выполните процедуру регулярного просмотра журналов.
9. Проверьте журналы в системе IDS, если таковая используется, для определения подозрительных действий.
10. В качестве меры предосторожности смените все пароли веб-сервера.

Каждая ситуация индивидуальна, поэтому очень сложно предоставить рекомендации на все случаи жизни. Разумеется, лучше быть в безопасности, чем в печали. Поэтому, если у вас возникли сомнения, предпримите соответствующие меры, чтобы потенциально имеющаяся проблема не распространилась за ее текущие рамки. Если ваше исследование ни к чему не привело, дождитесь повторного проявления проблемы, перед тем как предпринимать такую экстренную меру как выключение системы.

Существует поговорка: "Не делай хуже, чем есть". Пока не будет проведен аудит сайта, на котором были зафиксированы подозрительные события, вы не поймете, что же все-таки с ним произошло. Не пытайтесь быстро вернуть атакованный сайт в исходное рабочее состояние, а попытайтесь получить больше информации о происшедшем. По возможности переустановите операционную систему на другом сервере и восстановите на нем резервную копию данных. Сайт CERT содержит перечень шагов по восстановлению атакованного сервера по адресу http://www.cert.org/tech_tips/root_compromise.html.

Используйте опыт специалистов CERT и следуйте приводимым рекомендациям. В некоторых случаях, если вы даже уверены в своих действиях, эта уверенность оказывается необоснованной и остается таковой до тех пор, пока вы не проведете основательное исследование.

Наконец, выполните аудит безопасности и бережно сохраните "улики". Создавайте резервные копии всех генерируемых журналов, а также ведите детальный отчет для создания полного перечня обнаруженных элементов.

Проведение аудита безопасности

Итак, что же следует искать при аудите сайта после инцидента, связанного с нарушением безопасности? Ответ на этот вопрос либо очень прост – поиск всего, что свидетельствует о подозрительной или необычной активности, либо ответ заключается в отсутствии ответа на этот вопрос. В данном случае больше подходит вопрос: "С чего начать?". Начать следует с просмотра журналов на предмет обнаружения улик в различных областях.

Необходимо определить нанесенный ущерб. Утеряны ли файлы? Имел ли место явный сбой в работе сервера? Обнаружен ли признак хорошо известной атаки в журналах? Присутствует ли в системе вирус? Ответы на эти вопросы и будут той базой, на основе которой вы продолжите "разбор полетов".

После этого исследуйте каждую категорию событий для выявления этапов проведения атаки. При включенном аудите (см. лекцию 5) фиксируются данные о следующих категориях событий:

• события входа;
• управление учетными записями;
• доступ к объектам;
• использование привилегий;
• изменение политики;
• системные события.

В общем, с помощью исследования файлов или объектов, на которые было оказано воздействие, можно выявить последовательность событий, которая привела к сбою.

В лекции 6 содержатся подробные инструкции по аудиту, предоставленные Microsoft Security Operations Guide Windows 2000 Server (Руководство по безопасности сервера Windows 2000). Это руководство содержит детали всех конкретных событий, которые необходимо отследить. Адрес URL данного руководства очень велик и, скорее всего, уже изменился, поэтому здесь он не приводится. Можно найти это руководство через поиск на сайте Microsoft TechNet (www.microsoft.com/technet) строки "Security Operations Guide for Windows 2000 Server".

Устранение проблемы

В ответ на вторжение необходимо обеспечить защиту сайта от подобных атак в будущем. Хакеры придают взлом систем широкой огласке, регулярно предоставляют друг другу адреса систем и обмениваются информацией. Злоумышленники пытаются получить доступ по имеющимся у них адресам систем повторно через достаточно продолжительный период времени.

Перед тем как снова включать сайт в нормальную работу, необходимо удостовериться, что он более не является уязвимым. После определения источника атаки посетите веб-сайт Microsoft для выяснения того, появилась ли надстройка, устраняющая это уязвимое место. Если оно возникло в периметре сети, проверьте сайты фирм-производителей сетевых экранов и маршрутизаторов и обновите правила фильтрации.

В качестве компонента успешного вторжения злоумышленники, как правило, устанавливают "черные ходы", позволяющие впоследствии снова получить доступ к системе-жертве. Если вы не уверены, что подобные программные элементы отсутствуют на компьютере, то полностью переустановите все программное обеспечение системы. Так как трудно судить, что же именно было объектом атаки, многие администраторы предпочитают переустанавливать систему согласно устоявшейся политике. На сервере следует также сменить все имена и пароли учетных записей пользователей.

Сводный перечень действий, формирующих жизненный цикл управления безопасностью

• Дважды проверьте и протестируйте основные аспекты безопасности системы.
  • Примените самые последние обновления и надстройки безопасности.
  • Воспользуйтесь программой Microsoft Basic Security Analyzer.
  • Еще раз выполните IIS Lockdown.
   
• Осуществите проверку наличия уязвимых мест в реальных условиях.
  • Обеспечьте превентивный контроль безопасности.
  • Осуществляйте регулярный просмотр журналов.
  • Ведите аудит выключения сервера и просматривайте журналы сразу после сбоев.
  • Осуществляйте поиск признаков атак в файлах журналов.
  • Установите оповещения Windows 2000 и IIS.
   
• Попробуйте обнаружить внешние признаки атак в журналах сетевого экрана и маршрутизатора.
  • Реагируйте на инциденты, связанные с нарушением безопасности.
  • Попытайтесь отследить источник атаки.
  • Как можно скорее предотвратите действие атаки посредством фильтрации исходных адресов и отключения сервера от сети при необходимости.
  • Примите решение о том, чтобы оставить сайт функционирующим. Обратитесь за инструкциями к политике безопасности.
  • Осуществите аудит безопасности для определения размеров ущерба и источника атаки. Четко фиксируйте обнаруженные факты.
  • Определите, какие меры безопасности необходимо предпринять, и реализуйте их. Исключите всякую возможность проникновения в систему посторонних людей.
  • Верните систему к нормальному функционированию.