Лабораторная работа 13. Использование системы обнаружения вторжений Kaspersky Endpoint Security 10 для Windows

Цель работы: изучение эффективности использования систем обнаружения вторжений для защиты от сетевых атак.

Теоретическая информация.

Общие принципы работы систем обнаружения вторжений

Система обнаружения вторжений - это программное или программноаппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть, обнаружения фактов сканирования портов, атак на отказ в обслуживании или переполнения буфера (различных способов удаленного вредоносного воздействия на защищаемый компьютер, когда на самом объекте атаки никакого кода не остается, но требуемое нарушителю действие выполняется) и детектирования атак других типов. Основное различие в методах работы систем обнаружения вторжений и сетевых экранов заключаются в следующем.

Сетевой экран задерживает или пропускает пакеты в соответствии с имеющимися у него правилами фильтрации. Сетевой экран может пропустить атаку, если она выполняется по правилам, разрешающим (с точки зрения самого сетевого экрана) взаимодействие между компьютерами.

В отличие от сетевого экрана, система обнаружения вторжений осуществляет свою деятельность, используя эвристические алгоритмы. При этом происходит обработка пакетов, получаемых от всех компьютеров. По этой причине следует, наряду с системами обнаружения вторжений, использовать сетевые экраны. Они будут блокировать попытки соединения с компьютерами, взаимодействие с которыми заведомо не предусмотрено для защищаемого объекта, то есть осуществлять «грубую фильтрацию». Таким образом, будет снижена нагрузка на систему обнаружения вторжений, главной задачей которой является обнаружение возможных сетевых вторжений. Обычно система обнаружения вторжений состоит из следующих частей:

  • - подсистемы индикаторов или сенсоров. Они используются для сбора событий, связанных с обеспечением безопасности защищаемой системы;
  • - аналитической подсистемы, выявляющей атаки и подозрительные действия. Работа аналитической подсистемы основана на сведениях, зафиксированных индикаторами;
  • - базы данных, где хранятся сведения о накопленных с использованием индикаторов событий и результатов их анализа;
  • - консоли, позволяющей настраивать систему обнаружения вторжений, наблюдать за ее состоянием, просматривать события.

В Kaspersky Endpoint Security настройки у компонента «Защита от сетевых атак» отсутствуют. Его активация происходит нажатием на соответствующий флажок (рис. 136). При использовании системы защиты от сетевых атак также желательно включать опцию блокирования атакующего компьютера. С помощью кнопки «Исключения» можно ввести адреса компьютеров, которые не будут контролироваться системой обнаружения вторжений. Например, это может быть адрес контроллера домена, серверов различного назначения - баз данных, файловых и т.п.

Центр управления

Настройка х

И Контроль рабочего места 0 Антивирусная защита 0 Файловый Антивирус 0 Почтовый Антіеірус 0 Веб-Антивирус 0 ІМ-Антивирус 0 Сетевой экран

[у Включить Защиту от сетевых атак

Обнаружь попытку атаки на ваш компьютер, Kaspersky Endpoint Security 10 для Windows блокирует любую сетевую активность атакующего компьютера в отношении вашего компьютера.

[У] Добавить атакующий компьютер в список

блокирования на 60 минут

|О Защита от сетевь х ата<|

  • 0 Мониторинг системы
  • 1(2 Задачи по расписанию

Дополнительные параметр

Настройка адресов исключений Исключения...

Сохранить Отменить

Рис. 136. Настройка системы защиты от сетевых атак

Для проверки эффективности работы этого компонента смоделируем несколько различных ситуаций, возникающих при проведении сетевой атаки.

С этой целью следует скачать любой свободно распространяемый сетевой сканер уязвимостей, например Nmap. Он будет установлен на компьютере BUH. Для этой рабочей станции разрешено ограниченное взаимодействие с защищаемым компьютером KADR.

Как правило, сетевая атака начинается со сканирования портов, что позволяет получить максимально возможную информацию об объекте нападения. Затем нарушитель, используя полученную в ходе сканирования информацию, определяет уязвимости объекта и выбирает методы их атаки. Третий этап представляє!' собой собственно атаку - попытку применения выбранных эксплойтов для нанесения ущерба информационной и программной среде жертвы. Поэтому задачей системы обнаружения вторжений является противодействие как сканированию, так и применению эксплойтов.

Задание 1. Выполнить моделирование ситуации, когда на атакуемом компьютере нет ни сетевого экрана, ни системы обнаружения вторжений.

Для рассмотрения ситуации такого рода на компьютере KADR надо отключить компоненты «Защита от сетевых атак» и «Сетевой экран».

Затем на компьютере BUH следует запустить сканер уязвимостей и в качестве объекта атаки указать ІР-адрес компьютера KADR. Для получения максимально полной информации об объекте атаки выполняется его полное сканирование. Результатом сканирования компьютера при полностью отключенной системе защиты от сетевых атак станет обнаружение открытых портом и сервисов, которые их используют. На рисунке 137 показаны открытые порты, обнаруженные с помощью сканера Nmap.

При включенном сетевом экране защищенность рабочей станции должна повыситься. Однако в данном случае важным условием является качество выполненных на сетевом экране настроек. Если администратор безопасности не настраивал работу с портами, а ограничился лишь блокировкой ограниченного перечня ІР-адресов во внутренней сети, то с разрешенного для взаимодействия компьютера сетевая атака пройдет успешно.

Порт <

Протокол <

Состояние <

Сервис <

Версия

445

tcp

open

microsoft-ds

Windows 7 Professional 7601 Service Pack 1

135

tcp

open

msrpc

Microsoft Windows RPC

49152

tcp

open

msrpc

Microsoft Windows RPC

49153

tcp

open

msrpc

Microsoft Windows RPC

49154

tcp

open

msrpc

Microsoft Windows RPC

49155

tcp

open

msrpc

Microsoft Windows RPC

49156

tcp

open

msrpc

Microsoft Windows RPC

139

tcp

open

netbios-ssn

Microsoft Windows netbios-ssn

137

udp

open

netbios-ns

Microsoft Windows netbios-ns (workgroup:

80

tcp

open

http

Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

1110

tcp

open

tcpwrapped

Рис. 137. Фрагмент списка открытых портов, обнаруженных Nmap

Для тестирования ситуации, когда атака ведется на компьютер, защищенный только сетевым экраном без системы обнаружения вторжений, выполним второе задание.

Задание 2. Исследовать защищенность компьютера при включенном «Сетевом экране» и отключенной «Системе обнаружения вторжения».

Активируйте компонент «Сетевой экран» антивирусного средства Kaspersky Endpoint Security на компьютере KADR и включите аудит событий для всех сетевых пакетных правил. Затем на компьютере BUH снова запустите сканирование рабочей станции KADR.

После запуска сканирования в журнале аудита событий компонента «Сетевой экран» на компьютере KADR будут видны многочисленные обращения к его различным портам, похожие на их последовательный перебор. Фрагмент журнала аудита работы сетевого экрана приведен на рисунке 138.

Удаленный ад...

Удаленный

Локальный а...

Локальный порт

192.168.101.13

53

192.168.101.12

1434

192.168.101.13

53

192.168.101.12

1434

192.168.101.13

53

192.168.101.12

5225

192.168.101.13

53

192.168.101.12

16000

192.168.101.13

53

192.168.101.12

2701

192.168.101.13

53

192.168.101.12

783

192.168.101.13

53

192.168.101.12

5269

192.168.101.13

53

192.168.101.12

42

192.168.101.13

53

192.168.101.12

987

192.168.101.13

53

192.168.101.12

2717

192.168.101.13

53

192.168.101.12

2068

192.168.101.13

53

192.168.101.12

8009

192.168.101.13

53

192.168.101.12

1152

192.168.101.13

53

192.168.101.12

17

Рис. 138. Фрагмент журнала аудита событий компонента «Сетевой экран»

При этом одна часть пакетов будет блокироваться, а другая, соответствующая разрешающим правилам сетевого экрана, пропускаться. Время проведения сканирования по сравнению с ситуацией, когда сетевой экран был отключен, значительно увеличится.

Безусловно, сетевой экран в состоянии детектировать входящие пакеты, однако он не может самостоятельно сделать вывод о том, что их характер и количество свидетельствуют не об обычной, рабочей обстановке, а о проводимой сетевой атаке. Именно для того, чтобы осуществить детектирование атаки, и нужна система обнаружения вторжений.

Задание 3. Исследовать защищенность компьютера при включенных компонентах «Сетевой экран» и «Защита от сетевых атак».

Активируйте компонент «Защита от сетевых атак» и включите аудит событий соответствующего журнала для средства антивирусной защиты Kaspersky Endpoint Security, установленного на компьютере KADR. Также установите опцию вывода сообщения о сетевой атаке компьютера на монитор пользователя.

Затем на компьютере BUH снова запустите сканирование рабочей станции KADR. Если опция вывода уведомления на экран о сетевой атаке была включена, то после запуска сканирования на мониторе компьютера KADR должно появиться сообщение, подобные тому, что показано на рисунке 139. Соответствующие записи появятся и в журнале аудита работы компонента «Защита от сетевых атак».

Kaspersky Endpoint Security 10 для ? x

Windows

Защита от сетевых атак

Обнаружена сетевая атака

Тип события: Обнаружена сетевая ата^а

Программа ^Название: Неизвестно

Пользователь: KADRUNB (Активный пользователь)

Компонент: Зашита от сетевых атак

Результат ’^Описание: Запрещено

Результат 'Назван;-е: Scan.Generic.TCP

Объект: TCP от 192.168.101.13 на локальньзі порт

19342

Объект Тип: Сетевой пакет

Объект’Название: TCP от 192.168.101.13 на

локальный порт 19842

Рис. 139. Уведомление о сетевой атаке компьютера

Содержание журнала сетевого экрана также покажет полную блокировку пакетов. На атакующем компьютере по итогам сканирования должно быть зафиксировано отсутствие данных об объекте атаки.

Отчет по лабораторной работе должен содержать:

  • 1) для первого задания - список открытых портов и самостоятельно найденных в глобальной сети возможных способов их использования;
  • 2) для второго задания - фрагменты содержимого журнала аудита работы компонента «Сетевой экран», из которых было бы видно наличие проводимой сетевой атаки (предпочтительнее в табличном виде);
  • 3) для третьего задания - скриншоты экрана и журнала аудита работы компонента «Защита от сетевых атак», на которых бы демонстрировались сообщения о блокировках сетевой атаки.

Контрольные вопросы

  • 1. В чем заключаются основные отличия между принципами работы сетевых экранов и систем обнаружения вторжений?
  • 2. Укажите основные компоненты системы обнаружения вторжений.
  • 3. Почему наличие только сетевого экрана не может в полной мере гарантировать защищенность от сетевых атак?
  • 4. Как по типу обработанных пакетов можно понять, что осуществляется сетевая атака?
  • 5. Каковы основные этапы осуществления сетевых атак?
  • 6. Насколько сильно отличалась информация об итогах сканиро

вания атакуемого компьютера при выполнении трех заданий данной работы?

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >