Мониторинг трафика Одно из средств прослушивания трафика и сбора статистики называется ntop. Его можно скачать с сайта www.ntop.org, либо установить пакет с помощью пакетного менеджера. Для популярных дистрибутивов Linux, таких как Red Hat, Debian/Ubuntu и SUSE уже есть скомпилированные пакеты. Перед тем, как использовать ntop, нужно установить пароль администратора, введя следующую команду: sudo ntop --set-admin-password Программа запускается так: sudo /etc/init.d/ntop start Теперь можно открыть локальный адрес http://127.0.0.1:3000 и просмотреть статистику. Ntop - это мощнейшее средство, предоставляющее большой объем информации. Можно проводить сортировку по пакетам, портам, адресам хостов и т.п. Графики использования сети полезны при определении количества трафика, проходящего в вашу систему. Запомните, ни один пакет не считается допустимым в Darknet. Таким образом, это средство способно собрать статистику по тем хостам/сетям, которые генерируют недопустимый трафик. На рисунке 5 показан графический интерфейс ntop и его способность определять операционную систему, фирму-производителя и другие подробности о машинах сети. Рисунок 6 демонстрирует стандартные графические возможности ntop. Графики строятся с помощью средства RRDTool.
Предупреждения об угрозах Чтобы получать предупреждения о том, какие эксплойты существуют в вашей сети, нужно установить систему обнаружения вторжений (Intrusion Detection System, IDS). Лучшим свободным решением на данный момент является Snort. Систему можно скачать с сайта www.snort.org, во многих дистрибутивах система доступна как бинарный пакет. Единственное, что нужно изменить в файле конфигурации /etc/snort/snort.conf - это переменная $HOME_NETWORK. Она должна содержать ваш IP-адрес и маску подсети. Snort - это система обнаружения вторжений, основанная на базе данных шаблонов. Если трафик попадает под шаблон, предупреждение будет записано в журнал (по умолчанию, в файл /var/log/snort), а пакеты будут зафиксированы для последующего анализа (можно ответить на них с помощью команды tcpdump -r, либо исследовать их содержимое с помощью утилиты Wireshark). Мощные и простые правила позволяют вам писать свои собственные сигнатуры, либо редактировать уже существующие. Так вы сможете записывать трафик, подходящий вашим критериям. В дополнение к этому можно установить средства поддержки Snort, к примеру IDScenter (см. источники информации). Существует проект Honeynet, основанный на технологиях Snort и Sebek. Это урезанная Linux-система, основанная на Fedora и содержащая собственные графические средства управления инцидентами (см. рисунок 7). Желающие узнать больше в этой теме, могут обратиться к проекту HIHAT (Highly Interactive Honeypot Analyses Toolkit), преобразующий популярные PHP-приложения, такие как PHPNuke или osCommerce в полнофункциональные средства журналирования, создания отчетов и предупреждений. Здесь можно с легкостью обнаруживать команды и SQL-инъекции, XSS (cross-site scripting) и отображать обнаруженные IP-адреса в географические координаты, как показано на рисунке 8. Результаты Эта простая конфигурация, состоящая из одного сервера во внутренней сети Darknet, позволяет нам обнаруживать и получать предупреждения о следующих событиях: Активно распространяющееся вредоносное ПО. Тайные каналы и возможные утечки данных. Подозрительная активность (умышленная или нет), к примеру нарушение политики компании и разведка в сети (к примеру, сканирование портов). Предоставляет журнал аудита и записывает показания для дальнейших исследований. Предоставляет общую статистику использования сети. Не всякий трафик подозрителен Вы сами решили блокировать исходящий IRC-трафик, но это может быть неочевидно для других работников вашей компании. Когда Маша из соседнего отдела попытается в обед подключиться к своему любимому IRC-каналу, вы наверняка поймаете ее, но это вовсе не будет означать, что на машиной машине бот пытается соединиться с управляющим центром. Однако множество одинаковых соединений с одного или нескольких компьютеров зачастую ясно говорит о том, что что-то идет не так. В моей повседневной работе я наблюдаю странные вещи. Люди постоянно пытаются установить запрещенные программы, зачастую даже не догадываясь об этом - к примеру, ребенок сотрудника устанавливает Limewire на ноутбук компании, который ему дали поиграть или погулять в интернете. Спустя определенное время вы накопите большой объем статистики и сможете отличить настоящую угрозу от просто неправильного использования компьютеров и других изолированных инцидентов. Обеспечение безопасности информационных систем - это очень сложная задача. Сегодня мы ведем постоянную войну против агрессоров - это война за время и деньги. Время играет решающую роль в защите всех сетей, окруженных угрозами. Однако прежде всего, нужно знать о них. Когда вы знаете своего врага, его намерения и его вооружение, среагировать и смягчить удар будет проще. Вот для чего придуманы Darknet и honeypot'ы.
