16.6.5 Аудит, учет и ведение журнала Аудит, учет и ведение журнала могут снизить эффективность, но они полезны в нескольких областях, включая безопасность. Ведение журнала может быть общим или специфическим. Вызовы всей системы могут быть заблокированы при анализе поведения (или неправильного поведения) программы. Как правило, подозрительные события регистрируются. Ошибки аутентификации и авторизации могут многое рассказать нам о попытках взлома. Учетные данные - еще один потенциальный инструмент в наборе администратора безопасности. Его можно использовать для поиска изменений производительности, что, в свою очередь, может выявить проблемы с безопасностью. Один из первых, когда компьютерные взломы UNIX были обнаружены, был Cliff Stoll, когда он проверял журналы учета и обнаружил аномалию.
16.6.6. Брандмауэр для защиты систем и сетей. Теперь вопрос о том, как доверенный компьютер может быть безопасно подключен к ненадежной сети. Одним из решений является использование брандмауэра для разделения доверенных и недоверенных систем. Пожарная связь - это компьютер, устройство, процесс или маршрутизатор, которые используются для защиты доверенных от недоверенных. Сетевая пожарная сигнализация ограничивает доступ к сети несколькими доменами безопасности и мониторами и блокирует все соединения. Он также может ограничивать соединения на основе адреса источника или места назначения, источника или порта назначения, или направления соединения. Например, веб-серверы используют HTTP для связи с веб-браузерами. Таким образом, брандмауэр может разрешить только HTTP проходить от всех узлов вне брандмауэра к веб-серверу внутри брандмауэра. Первый червь, интернет-червь Morris, использовал протокол finger для взлома компьютеров, поэтому, например, finger не пропускается. Фактически, сетевой брандмауэр может разделить сеть на несколько доменов. Обычная реализация использует Интернет как ненадежный домен; полузакрытая и полуобезопасная сеть, называемая демилитаризованной зоной (demilitarized zone - DMZ), в качестве другого домена; и компьютеры компании в качестве третьего домена (рисунок 16.10). Соединения разрешены из Интернета с компьютерами DMZ и с компьютеров компании в Интернет, но не разрешены из Интернета или компьютеров DMZ с компьютерами компании. Опционально может быть разрешена контролируемая связь между DMZ и одной или несколькими компьютерами компании. Например, веб-сервер DMZ может запросить сервер базы данных в корпоративной сети. Однако с помощью брандмауэра доступ ограничен, и любые взломанные системы DMZ по-прежнему не могут получить доступ к компьютерам компании. Конечно, сам брандмауэр должен быть безопасным и защищенным от атак. В противном случае его способность защищать соединения может быть нарушена. Кроме того, брандмауэры не предотвращают атаки, которые туннелируют, или распространяются внутри протоколов или соединений, которые разрешает брандмауэр. Атака переполнения буфера на веб-сервере не будет остановлена брандмауэром, например, потому что разрешено HTTP-соединение, это относится к соединению HTTTP с этой атакой. Аналогично, атаки типа «отказ в обслуживании» могут воздействовать на брандмауэры так же, как и на любые другие машины. Еще одной уязвимостью брандмауэров является спуфинг, в котором неавторизованный хост притворяется авторизованным хостом, удовлетворяя некоторому критерию авторизации, например, если правило брандмауэра разрешает соединение с хоста и идентифицирует этот хост по его IP-адресу, тогда другой хост может отправлять пакеты с использованием того же адреса и пропускается через брандмауэр. В дополнение к наиболее распространенным сетевым брандмауэрам, существуют другие, более новые виды брандмауэров, каждый из которых имеет свои права и ресурсы. Это уровень программного обеспечения, включенный в операционную систему или добавленный в качестве приложения. Вместо того, чтобы ограничивать связь между доменами безопасности, он ограничивает связь (и, возможно, от) с данным хостом. Пользователь может добавить персональный брандмауэр к своему ПК, чтобы, например, трояну было отказано в доступе к сети, к которой подключен ПК. Брандмауэр прокси-сервера приложений понимает протоколы, с которыми приложения общаются по сети. Например, SMTP используется для пересылки почты. Прокси-сервер приложения принимает соединение так же, как SMTP-сервер, а затем инициирует соединение с исходным целевым SMTP-сервером. Он может следить за трафиком во время пересылки сообщения, отслеживать и отключать недопустимые команды, пытаться использовать ошибки и т. д. Некоторые брандмауэры предназначены для одного конкретного протокола. Например, брандмауэр XML предназначен для анализа XML-трафика и блокирования запрещенного или искаженного XML. Межсетевые экраны системных вызовов находятся между приложениями и ядром, отслеживая выполнение системных вызовов. Например, в Solaris 10 функция «наименьших привилегий» реализует список из более чем пятидесяти системных вызовов, которые могут или не могут быть разрешены процессам. Например, процесс, которому не нужно создавать другие процессы, может лишиться этой способности.
Достарыңызбен бөлісу: |