Возможности современных сетевых анализаторов

Современные мониторы поддерживают множество других функций помимо своих основных по определению (которые рассматривались мной для IP Alert-1). Например, сканирование кабеля.

Сетевая статистика (коэффициент использования сегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика, определение скорости распространения сигнала); роль всех этих показателей состоит в том, что при превышении определенных пороговых значений можно говорить о проблемах на сегменте. Сюда же в литературе относят проверку легитимности сетевых адаптеров, если вдруг появляется «подозрительный» (проверка по МАС-адресу и т.п.).

Статистика ошибочных кадров. Укороченные кадры (short frames) – это кадры, имеющие длину меньше допустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса – короткие кадры с корректной контрольной суммой и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот «мутантов» является неисправность сетевых адаптеров. Удлиненные кадры, которые являются следствием затяжной передачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являются следствием наводок на кабель. Нормальный процент ошибочных кадров в сети не должен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности, либо произведено несанкционированное вторжение.

Статистика по коллизиям. Указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) и удаленные (в другом сегменте по отношению к монитору). Обычно все коллизии в сетях типа Ethernet являются удаленными. Интенсивность коллизий не должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.

Существует еще очень много возможных функций, все их перечислить просто нет возможности.

Хочу отметить, что мониторы бывают как программные, так и аппаратные. Однако они, как правило, играют больше статистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемое аппаратное устройство, помогающее супервизорам  и обслуживающим организациям  централизованно обслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительность сети и ее расширение. Информация о сети выводится на центральной управляющей консоли сети. Таким образом, аппаратные мониторы не обеспечивают достойной защиты информации.

В ОС Microsoft Windows содержится сетевой монитор (Network Monitor), однако он содержит серьезные уязвимости, о которых я расскажу ниже.

Рис. 1. Сетевой монитор ОС WINDOWS класса NT.

 

Интерфейс программы сложноват для освоения «на лету».

 

Рис. 2. Просмотр кадров в сетевом мониторе WINDOWS.

 

Большинство производителей в настоящее время стремятся сделать в своих мониторах простой и удобный интерфейс. Еще один пример – монитор NetPeeker (не так богат доп. Возможностями, но всё же): 

 

Рис. 3. Дружественный интерфейс монитора NetPeeker.

    Приведу пример интерфейса сложной и дорогой программы NetForensics (95000$):

Рис.4. Интерфейс NetForensics.

 

Существует некий обязательный набор «умений», которым мониторы обязательно должны обладать, согласно тенденциям сегодняшнего дня:

 

1. Как минимум:

· задание шаблонов фильтрации трафика;

· централизованное управление модулями слежения;

· фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP;

· фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;

· аварийное завершение соединения с атакующим узлом;

· управление межсетевыми экранами и маршрутизаторами;

· задание сценариев по обработке атак;

· запись атаки для дальнейшего воспроизведения и анализа;

· поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring;

· отсутствие требования использования специального аппаратного обеспечения;

· установление защищенного соединения между компонентами системы, а также другими устройствами;

· наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;

· минимальное снижение производительности сети;

· работа с одним модулем слежения с нескольких консолей управления;

· мощная система генерация отчетов;

· простота использования и интуитивно понятный графический интерфейс;

· невысокие системные требования к программному и аппаратному обеспечению.

2. Уметь создавать отчеты:

· Распределение трафика по пользователям;

· Распределение трафика по IP адресам;

· Распределение трафика по сервисам;

· Распределение трафика по протоколам;

· Распределение трафика по типу данных (картинки, видео, тексты, музыка);

· Распределение трафика по программам, используемыми пользователями;

· Распределение трафика по времени суток;

· Распределение трафика по дням недели;

· Распределение трафика по датам и месяцам;

· Распределение трафика по сайтам, по которым ходил пользователь;

· Ошибки авторизации в системе;

· Входы и выходы из системы. 

Примеры конкретных атак, которые могут распознавать сетевые мониторы:

"Отказ в обслуживании" (Denial of service). Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

"Неавторизованный доступ" (Unauthorized access attempt). Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode. Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.