18.09.00(c)altsoph. Распределенный подход в вопросах безопасности ############################################## 1. Вступление Идея распределенных программных компонент не нова, однако в последнее время она приобретает все большую популярность. Такого рода подход открывает новые возможности информационной обработки, но и ставит при этом новые проблемы. Данная статья написана с целью осветить специфику построения распределенных инструментов, предназначенных как для защиты информации, так и для вторжения в информационные системы. 2. Механизмы распределенных вторжений Опыт последнего времени показывает, что распределенный подход находит свое применение в построении инструментов, используемых злоумышленниками при реальных атаках на информационные системы. Рассмотрим основные преимущества распределенных средств атаки перед обычными: + сильно усложненное обнаружение наличия атаки многими IDS по причине отсутствия стандартной сигнатуры атаки; + существенно затрудненная, подчас просто невозможная локализация источников атаки ввиду большого их числа; + повышенная эффективность атаки (как, например, в случае DDOS); + затрудненное устранение или блокирование источников атаки ввиду большого их числа; + качественное улучшение получаемой информации в случае распределенного сканирования (наличие нескольких различных сканирующих модулей может позволить получить "перспективное" представление о сканируемом объекте). При всех этих преимуществах следует однако учитывать и два основных минуса подобного подхода: - существенное усложнение алгоритмов координации и управления; - появление дополнительного траффика, связанное с необходимость координации действий отдельных компонентов системы. Указаные чуть ранее преимущества позволяют рассмотреть следующие наиболее перспективные направления развития распределенных средств информационной атаки: * Distributed Denial Of Service. Широко известны несколько атак этого типа (trinoo, TFN2K и т.п.) произошли в конце 1999 - начале 2000 года; * Distributed Port Scanning. Распределенное сканирование портов позволяет проверять порты целевой системы таким образом, что многие популярные системы обнаружения вторжений не могут обнаружить этого, поскольку такое сканирование имеет сигнатуру отличную от обычного port scanning-а. Уже существует несколько инструментов такого рода, например RIVAT DSCAN. Он состоит из двух скриптов на perl-е: server.pl - сканирующая компонента, и client.pl - управляющая компонента. Управляющая компонента позволяет подсоединиться к нескольким сканирующим и дать им общее задание. Те, в свою очередь, возвращают полученную при сканировании информацию. Данный инструмент довольно легко найти в интернете, и он, при наличии базового знания perl, просто модифицируется для решения конкретной задачи. Адрес электронной почты автора - xtremist@hobbiton.org; * Distributed Ping Sweep. Этот вид сканирования направлен на выяснение наличия включенных в сеть систем. В целом он имеет много общего с распределенным сканированием портов; * Distributed Password Sniffing. Данный вид инструментов состоит из сенсорных компонент, которые представляют собой несколько модифицированные снифферы, информация из которых поступает в головную компоненту, которая, в свою очередь, занимается организацией этой информации и передачей ее злоумышленнику. Подробнее о построении подобной системы можно почитать в 55 номере журнала Phrack (www.phrack.com); * Distributed Passive OS Fingerprinting. Этот вид алгоритмов сильно похож на предыдущий - с той лишь разницей что сенсорные компоненты, анализируя траффик, ипользуют алгоритмы обычного Passive OS Fingerprinting; * Distributed Active OS Fingerprinting. Эти инструменты могут быть реализованы на базе инструментов типа Distributed Port Scanning и Distributed Ping Sweep, но полученая информация должна быть обработана управляющей компонентой на предмет обнаружения в ней сигнатур, характерных для определенных операционых систем. Для сенсорных компонент может быть использован алгоритм популярного программного средства nmap (www.insecure.org, автор Feodor); * Distributed Brute Forcing. Такие средства могут применяться для, например, перебора паролей без активизации IDS типа Intruder Alert; * Наконец, обычные атаки могут быть "распределены" между несколькими источниками таким образом, чтобы последовательные шаги атаки приходились на различных исполнителей. Это может серьезно затруднить обнаружение атаки с помощью автоматизированных систем обнаружения вторжений. 3. Распределенные механизмы защиты В вопросах защиты распределенный подход применяется довольно давно и вполне успешно. Существует большое количество программных продуктов, позволяющих осуществлять администрирование, например, разпределенных баз данных паролей (такие как nis, nis+ и т.п.). Основное преимущество распределенной системы с точки зрения защиты - это ее повышенная жизнеспособность. Простейший пример использования этого свойства - резервное копирование журналов событий между различными компонентами сетевой системы. Кроме того, наличие распределенной сенсорной сети позволяет системе получать "перспективное" представление о состоянии защищаемого объекта. Одним из передовых в этом плане на сегодняшний день является проект GrIDS (http://olympus.cs.ucdavis.edu/arpa/grids/welcome.html). 4. Заключение При всей своей привлекательности данный подход ставит ряд достаточно сложных проблем. Первая из них - существенное усложнение алгоритмов взаимодействия компонент. Вторая - затруднения связанные с централизованным управлением ими. Третья - трудности связанные с мониторингом состояния распределенной системы в целом. Однако, несмотря на эти проблемы, дальнейшее развитие этого подхода кажется весьма перспективным. Оно со временем позволит реализовывать более эффективные алгоритмы, связанные, например, с миграцией кода и динамическим самообразованием кластеров из отдельных компонент системы. altsoph