Logo    
Деловая газета CitCity.ru CITKIT.ru - все об Open Source Форумы Все публикации Учебный центр Курилка
CitForum    CITForum на CD    Подписка на новости портала Море(!) аналитической информации! :: CITFORUM.RU
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

23.03.2017

Google
WWW CITForum.ru
С Новым годом!
2006 г.

Обнаружение несанкционированных подключений к локальной сети в режиме реального времени

Антон Костров

Многие крупные и средние компании, заботящиеся о своей информационной безопасности, наверняка сталкивались с проблемой обнаружения несанкционированных подключений к своей локальной сети. Ведь ни для кого не секрет, что 80% атак происходит изнутри компании и важной задачей хакера является подключение своего компьютера или шпионского устройства к сети компании.

Для эффективного решения этой задачи необходимо обеспечить работу системы обнаружения в режиме реального времени, причем информация о неавторизованном соединении должна содержать не только сетевые параметры (MAC адрес, IP адрес, VLAN, IP адрес и номер порта коммутатора), но и географическое расположение подключенного компьютера (здание, этаж, номер комнаты, номер розетки).

Ниже мы рассмотрим технологию построения Системы Обнаружения Несанкционированных Подключений (СОНП), основывающуюся на анализе нотификационных SNMP сообщений об изменении статуса порта, получаемых от сетевых коммутаторов, и определение неавторизованных подключений на основе отсутствия MAC адреса устройства в базе данных авторизованных хостов сети.

Обработка SNMP сообщений - ядро

SNMP сообщение, содержащее IP адрес коммутатора и номер вновь включившегося порта, посылается сетевым коммутатором на центральный сервер мониторинга при изменении статуса любого порта с "Выключен" на "Включен". Отправку таких сообщений поддерживают даже самые простые модели сетевых коммутаторов, поэтому реализовать инфраструктуру мониторинга всех портов локальной сети достаточно просто.

В качестве серверной части, обеспечивающей сбор SNMP сообщений, может выступать существующий в компании сервер сетевого мониторинга (HP OpenView, IBM Tivoli, Microsoft MOM, и т.п.).

Далее сообщение поступает на обработку, где производится определение (discovery) основных идентификационных параметров подключения.

Первым делом необходимо определить всю возможную информацию о новом соединении. Как показано на схеме, в качестве источников информации о соединении могут быть сами сетевые коммутаторы, база данных СКС компании (о ней мы поговорим отдельно), а также база данных разрешенных соединений, в которой сохраняются все когда-либо обнаруженные подключения.

Схема. Получение информации о новом соединении

Анализ соединения позволяет определить важную информацию о сетевых свойствах (MAC адрес, IP адрес, VLAN, номер порта сетевого коммутатора, сетевое имя), и месторасположение подключенного компьютера.

После этого, с помощью базы данных соединений, хранящей информацию о соединениях и их статусе "Разрешено/Запрещено", производится проверка соединения на легитимность. Если обрабатываемое соединение зарегистрировано в базе, как разрешенное, то на этом его обработка завершается. Т.е. система просто игнорирует произошедшее события, расценивая его, как нормальную активность.

Если же соединение опознано как Запрещенное или неопознанное (новое) на консоль Администратора безопасности высылается Тревожное сообщение, а в БД Соединений заносится информация о факте нового или запрещенного соединения.

Рабочее место Администратора Безопасности

Уведомление Администратора Безопасности может быть реализовано любым из множества доступных способов. Например, если в компании реализован диспетчерский центр на базе таких продуктов, как HP OpenView, IBM Tivoli или Microsoft MOM, то можно выводить уведомления на консоль диспетчера. Другими возможными вариантами являются уведомления по электронной почте, SMS, всплывающие сообщения на экран рабочей станции Администратора безопасности.

По получении уведомления, Администратор Безопасности должен иметь возможность просмотреть детали соединения, чтобы принять решение о его разрешении или запрещении. В этот момент Администратор Безопасности может либо осуществить физическую проверку подключенного компьютера, имея информацию о расположении подключенного компьютера внутри здания, либо, обладая данными о сетевых параметрах подключения, запросить службу IT о легитимности нахождения данного устройства в корпоративной сети.

При положительном решении Администратор безопасности регистрирует Соединение, как разрешенное. Информация об этом заносится в БД Соединений.

Если данное соединение рассматривается, как нежелательное, предпринимаются соответствующие административные меры, а информация об устройстве заносится в БД соединений с пометкой "Запрещенное". Любое последующее подключение этого устройства в сеть вызовет тревожное уведомление.

База данных СКС

База данных СКС - это, пожалуй, один их самых востребованных компонентов Системы Обнаружения Несанкционированных Подключений. При ее наличии Сервер Мониторинга на этапе анализа SNMP сообщения может по номеру порта сетевого коммутатора с точностью до настенной розетки определить вероятное месторасположение подключенного компьютера.

К сожалению, не во всякой компании ведется строгий учет соединений СКС. В этом случае можно начать с реализации БД СКС в виде простого файла, содержащего IP адрес коммутатора и описание его месторасположения и обслуживаемых им помещений. Таким образом, на первом этапе, удастся локализовать месторасположение искомого подключения.

Другие возможности

Однако, на этом возможности СОНП не ограничиваются. Используя рассмотренный выше алгоритм, как основу, несложно использовать Систему для выполнения следующих функций.
  • От мониторинга к проактивному управлению:
    • При обнаружении запрещенного подключения СОНП автоматически выключает соответствующий порт коммутатора.
    • При обнаружении нового подключения СОНП автоматически помещает соответствующий порт коммутатора в гостевой VLAN.
  • Интеграция с другими системами:
    • Система заявок - ИТ регистрирует заявку на новый компьютер. После одобрения заявки службой информационной безопасности информация о новом разрешенном соединении автоматически заносится в БД Соединений.
    • Система заявок - при возникновении тревожного события соответствующий инцидент автоматически генерируется в системе регистрации заявок и направляется на исполнение службе информационной безопасности.
    • БД СКС, поэтажные планы - вывод информации о месторасположении несанкционированного подключения на поэтажном плане.
    • Базы данных учета компьютерного оборудования и СКС - при регистрации нового разрешенного соединения информация о подключенном компьютере автоматически заносится в БД учета компьютерного оборудования и БД СКС.
  • Ведение журналов истории соединений:
    • Ведение истории физического перемещения устройств в сети.
    • Ведение журнала включений и выключений устройств в сети.

Конечно, при проектировании и реализации подобной системы необходимо отталкиваться в первую очередь от запросов клиента - службы Информационной Безопасности компании. Если какие-то из описанных выше функций уже реализованы с помощью других информационных систем, то остается только с умом воспользоваться уже имеющимися наработками. Если же в компании не внедрены сопутствующие системы (учета инцидентов, диспетчерского центра, управления СКС), то начать можно с реализации основной функции - обнаружения несанкционированных подключений к локальной сети компании.

Отвечая на вопросы скептиков

Почему SNMP?
В последнее время все большее распространение получает протокол 802.1x, обеспечивающий авторизацию любого подключаемого к сети компьютера. Почему не использовать 802.1х вместо SNMP. К сожалению, эта технология обладает рядом серьезных недостатков.

Во-первых, используя 802.1х практически невозможно обеспечить полное покрытие всей локальной сети предприятия. Все устройства в сети (включая активные сетевые устройства) должны поддерживать этот протокол. На сегодняшний день абсолютное большинство принтеров, сканеров, а также нестандартных сетевых устройств (системы видео-наблюдения и т.п.) не поддерживают 802.1х. Для подключения их к сети приходится либо организовывать выделенные сети (что не всегда удобно, например, для принтеров), либо отключать авторизацию 802.1х на портах активного сетевого оборудования, к которым подключены эти устройства. Таким образом, злоумышленнику достаточно найти сетевой принтер или другое устройство, которое не поддерживает авторизацию 802.1х и подключить туда свой компьютер - поскольку авторизация на этом сетевом порту не включена, то определить или запретить это подключение не удается.

Кроме того, протокол 802.1х не обладает собственными средствами мониторинга, т.е. служба информационной безопасности не может получить сигнала о том, что в каком-либо месте сети произошла попытка неавторизованного подключения.

И наконец, протокол 802.1х требует для своей реализации построения инфраструктуры PKI в масштабах всей локальной сети, что само по себе является достаточно трудоемкой задачей.

Как можно полагаться на MAC-адреса?
Кое-кто предполагает, что идентификация соединения на основе MAC-адреса не может считаться достоверной. В целом, это утверждение можно считать верным, т.к. современные программные средства, доступные любому начинающему хакеру, позволяют с легкостью изменять MAC-адрес компьютера. Однако, существует несколько доводов в пользу выбранного метода.

Поскольку система знает все разрешенные MAC-адреса и хранит их привязку к портам сетевого оборудования, то для того, чтобы ее "обмануть" придется попотеть - найти компьютер уже подключенный в сеть, "украсть" его MAC-адрес (при этом, легальный компьютер необходимо отключить) и подключиться в тот же порт сетевого коммутатора. По-настоящему защищенную сеть можно создать только с использованием различных средств защиты на всех уровнях. Описанная в настоящей статье СОНП может выступать, как система раннего оповещения о возможном несанкционированном проникновении в сеть. Можно даже сравнить ее с интеллектуальной системой видеонаблюдения, постоянно записывающей изображение с камер, но включающей сигнал оповещения только в случае возникновения подозрительного движения.

Полное или частичное цитирование данной статьи запрещено

Размещение рекламы — тел. +7 495 4119920, ICQ 232284597

Подписка на новости IT-портала CITForum.ru
(библиотека, CITKIT.ru, CitCity)

Новые публикации:

24 декабря

CITKIT.ru:

  • Новогодние поздравления
  • Сергей Кузнецов. Цикл Операционные системы: Ностальгия по будущему:

  • Алексей Федорчук. OpenSolaris 2008.11 Release

  • Сергей Голубев:

  • Евгений Чайкин aka StraNNik (Блогометки):

    17 декабря

  • С.Д.Кузнецов. Базы данных. Вводный курс

    10 декабря

    CITKIT.ru:

  • OpenSolaris 2008.11 Release

  • Альтернативные ОС: две грустные истории (С.Кузнецов)
  • Nokia N810 — доведение до ума
  • CitCity:

  • Платформа 2009: заоблачные перспективы Microsoft

    4 декабря

  • Лекция С.Д.Кузнецова Понятие модели данных. Обзор разновидностей моделей данных

    CITKIT.ru:

  • OpenSolaris 2008.11 Release. Первые впечатления

  • Linux vs FreeBSD: продолжим "Священные войны"?

  • Nokia N810 as is

  • Индульгенция для FOSS

  • Друзья СПО'2008

    26 ноября

  • Нечеткое сравнение коллекций: семантический и алгоритмический аспекты

    CitCity:

    CITKIT.ru:

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • 19 ноября

  • Проблемы экономики производства крупных программных продуктов

  • Язык модификации данных формата XML функциональными методами

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Заметки к книге:

  • FreeBSD: монтирование сменных устройств и механизм HAL
  • Текстовый редактор ee

    12 ноября

  • Правило пяти минут двадцать лет спустя, и как флэш-память изменяет правила (Гоц Грейф, перевод: Сергей Кузнецов)

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:
  • OSS в России: взгляд правоведа (В.Житомирский)

  • Новая статья из цикла С.Голубева "Железный марш":

    29 октября

  • О некоторых задачах обратной инженерии

  • Веб-сервисы и Ruby

  • Тестирование web-приложений с помощью Ruby

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

  • PuppyRus Linux - беседа с разработчиком (С.Голубев)

  • Сергей Кузнецов. Заметка не про Linux

    22 октября

  • Обзор методов описания встраиваемой аппаратуры и построения инструментария кросс-разработки

    CITKIT.ru:

  • Сергей Кузнецов. Почему я равнодушен к Linux

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • Что надо иметь
    3. Базовые познания

    CitCity:

  • Управление IT-инфраструктурой на основе продуктов Microsoft

    15 октября

  • Методы бикластеризации для анализа интернет-данных

    CitCity:

  • Разъемы на ноутбуках: что они дают и зачем их так много?
  • AMD Puma и Intel Centrino 2: кто лучше?

    CITKIT.ru:

  • Новый цикл статей С.Голубева
    Железный марш:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    8 октября

  • Автоматизация тестирования web-приложений, основанных на скриптовых языках
  • Опыт применения технологии Azov для тестирования библиотеки Qt3

    Обзоры журнала Computer:

  • SOA с гарантией качества
  • Пикоджоуль ватт бережет
  • ICT и всемирное развитие

    CitCity:

  • Пиррова победа корпорации Microsoft

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Статья из архива:

  • Я живу в FreeBSD (Вадим Колонцов)

    Новые Блогометки:

  • Перекройка шаблона Blogger или N шагов к настоящему
  • Blogger. Comment style
  • Screenie или глянцевый снимок экрана

    2 октября

    CITKIT.ru:

  • Сага о FreeBSD (А. Федорчук)

    Zenwalk: пакет недели

  • Банинг — интеллектуальное развлечение (С.Голубев)

    CitCity:

    25 сентября

  • Клермонтский отчет об исследованиях в области баз данных

    CITKIT.ru:

  • Пользователям просьба не беспокоиться... (В.Попов)

  • Снова про ZFS: диск хорошо, а два лучше
  • Командная оболочка tcsh (А.Федорчук)

    Zenwalk: пакет недели

    17 сентября

  • T2C: технология автоматизированной разработки тестов базовой функциональности программных интерфейсов
  • Технология Azov автоматизации массового создания тестов работоспособности

    CITKIT.ru:

  • FreeBSD: ZFS vs UFS, и обе-две — против всех (А.Федорчук)

    Zenwalk: пакет недели

  • Дачнет — практика без теории (С.Голубев)

    10 сентября

  • За чем следить и чем управлять при работе приложений с Oracle
  • Планировщик заданий в Oracle
    (В.Пржиялковский)

    CITKIT.ru:

  • Microsoft: ответный "боян" (С.Голубев)

  • Причуды симбиоза, или снова "сделай сам" (В.Попов)

  • Файловые системы современного Linux'а: последнее тестирование
  • Zsh. Введение и обзор возможностей
    (А.Федорчук)

    Описания пакетов Zenwalk: Zsh, Thunar, Thunar-bulk-rename, Xfce4-places-plugin, Xfce4-fsguard-plugin

    Блогометки:

  • Google Chrome
  • Лончер для ASUS Eee PC 701

    3 сентября

    CITKIT.ru:

  • Заметки о ядре (А.Федорчук):

    Добавлены описания пакетов Zenwalk: Galculator, Screenshot, Gnumeric, Pidgin

    В дискуссинном клубе:

  • И еще о Википедии и Google Knol

  • Лекция для начинающего линуксоида (С.Голубев)

    26 августа

  • Транзакционная память (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Открыт новый проект Zenwalk: пакет недели

  • Статья Текстовые процессоры и их быстродействие: конец еще одной легенды?

    21 августа

    CITKIT.ru:

  • Почему школам следует использовать только свободные программы (Ричард Столлман)
  • Беседа Сергея Голубева с учителем В.В.Михайловым

  • Википедия или Гуглезнание? Приглашение к обсуждению (Алексей Федорчук)
  • Народная энциклопедия от Google (StraNNik)

  • Обзор Mandriva 2009.0 Beta 1 Thornicrofti
  • Новичок в Линукс: Оптимизируем Mandriva 2008.1

  • Книга Zenwalk. Приобщение к Linux:

    13 августа

    CitCity:

  • Мирный Atom на службе человеку. Обзор платы Intel D945GCLF с интегрированным процессором
  • Обзор процессоров Intel Atom 230 на ядре Diamondville

  • iPhone - год спустя. Скоро и в России?

    CITKIT.ru:

  • Интермедия 3.4. GRUB: установка и настройка (из книги Zenwalk. Приобщение к Linux)

    6 августа

  • СУБД с хранением данных по столбцами и по строкам: насколько они отличаются в действительности? (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Интермедия 2.2. Что неплохо знать для начала (из книги Zenwalk. Приобщение к Linux)

  • И снова про шрифты в Иксах (А.Федорчук)

  • 20 самых быстрых и простых оконных менеджеров для Linux

  • Дело о трех миллиардах (С.Голубев)

    30 июля

  • OLTP в Зазеркалье (Пересказ: С. Кузнецов)

    CitCity:

  • Будущее BI в облаках?
  • Тиражные приложения и заказная разработка. Преимущества для заказчика
  • Дискуссия со сторонниками заказной разработки

    CITKIT.ru:

  • Новые главы книги Zenwalk. Приобщение к Linux:
  • Глава 8. Пакеты: средства установки, системы управления, системы построения
  • Глава 9. Zenwalk: репозитории, пакеты, методы установки

    23 июля

    CITKIT.ru:

  • Все против всех. 64 vs 32, Intel vs AMD, tmpfs vs ext3
  • Две головы от Intel

  • Zenwalk: обзор штатных приложений (глава из книги "Zenwalk. Приобщение к Linux")

  • Нормально, Григорий...

    16 июля

    Обзоры журнала Computer:

  • Перспективы и проблемы программной инженерии в XXI веке
  • Большие хлопоты с большими объемами данных
  • Перспективы наноэлектроники

    CITKIT.ru:

  • Интермедия о лицензиях (А.Федорчук. "Zenwalk. Приобщение к Linux")

  • Есть ли будущее у KDE?

  • Linux в школе: альтернативный вариант в задачах

  • Шифр (приключения агента Никодима)

    10 июля

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия вступительная. Linux или GNU/Linux? Как вас теперь называть?
  • Глава 5. Среда Xfce
  • Глава 6. Xfce: приложения и плагины

  • ZUR (Zenwalk User Repository) FAQ

    2 июля

  • Персистентность данных в объектно-ориентированных приложениях (С. Кузнецов)

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия 1.2. Дорога к Zenwalk'у. Период бури и натиска
  • Интермедия 3.3. Немного о Linux'е и "железе"
  • Глава 4. Настройка: инструментами и руками
  • Интермедия 4.1. Zenpanel и конфиги: поиски корреляции

  • Интервью с Жан-Филиппом Гийоменом, создателем дистрибутива Zenwalk

  • Linux в школе: первые итоги (С. Голубев)

    25 июня

    CITKIT.ru:

  • Zenwalk. Приобщение к Linux (А. Федорчук)

  • Логика и риторика (С.Голубев)

  • Технология Tru64 AdvFS

  • Ханс Райзер предлагает отвести полицейских к телу Нины

    18 июня

  • Проекты по управлению данными в Google (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • ОС и поддержка "железа": мифы и реальность (А. Федорчук)

  • Linux в школе: другие дистрибутивы

  • Пинок (С. Голубев)

    4 июня

  • Ландшафт области управления данными: аналитический обзор (С. Кузнецов)

    CITKIT.ru:

  • Linux в школе: слово заинтересованным лицам

  • SlackBuild: пакеты своими руками

  • Linux от компании Novell. Установка и обзор openSUSE Linux

    Все публикации >>>




  • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 4119920, ICQ 232284597 Пресс-релизы — pr@citcity.ru
    Послать комментарий
    Информация для авторов
    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2007 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...