Работа пользователей в корпоративных локальных сетях, как и любой технологический процесс, нуждается в соответствующих средствах наблюдения и контроля. Различными примерами решения отдельных задач аудита могут служить целевые пакеты: низкоуровневый и очень дорогой Spectroum фирмы Cabeletron (UNIX), весьма сложный OpenView фирмы Hewlett-Packard, недавний румынский PeepNet и даже отдельные команды UNIX (snoop, atp -a, tcpdump в BSD и ряд других).
Известен также неисчислимый ряд популярных хакерских разработок, ориентированных главным образом на вылавливание паролей Dial-Up и Novell Netware, выведение из действия файл-серверов Novell с присвоением прав Супервизора, многотипных атак на серверы Sun, попыток чтения чужой почты и пр.
Каждое из этих средств либо представляет узко специфицированную информацию, либо, являясь сложным и весьма дорогостоящим коммерческим пакетом, ориентировано опять-таки на специфические задачи решения проблем взаимодействия клиент-сервер, устранения физических помех, управление сетью с помощью установки на каждом ПК агентов (OpenView), построение виртуальных сетей (Spectroum) и иные задачи.
В то же время, остается актуальной задача полноценного аудита действий конкретного пользователя. К примеру, в условиях ЦЭМИ РАН физические соединения витой парой обеспечивают:
- работу нескольких файл-серверов под Novell Netware 3.12;
- взаимодействие различных ПК в ряде одноранговых сетей Microsoft;
- функционирование хоста удаленной связи с файл-сервером SERVER_2 по протоколу IPX;
- функционирование блока хостов удаленной связи по TCP/IP;
- доступ по TCP/IP к серверам Sun и маршрутизаторам Cisco, обеспечивающим Интернет-почту, службу имен DNS, сопровождение сети и, собственно, выход в Интернет;
- доступ к нескольким доменным NT-серверам, число которых растет.
Разумеется, каждая служба имеет (по крайней мере, теоретически) в своем составе те или иные средства сбора статистики, ориентированные на традиционную идентификацию клиента в этой среде. Однако, интегрированные данные при этом отсутствуют. Так, один из авторов этой статьи, входя через хост удаленной связи с файл-сервером Novell Netware, известен последнему как TRENTY (получая при этом доступ к файл-серверу SERVER_2, но не имея доступа к Интернету). Устанавливая модемное соединение по TCP/IPс блоком хостов Cisco-516 для связи с Интернетом тот же автор известен под именем cemi13 (но в этом случае уже не имеет доступа к файл-серверам Novell). Наконец, включение ПК на рабочем месте идентифицирует того же автора маршрутизатору Cisco и серверам Sun по MAC-адресу "00 40 05 41 1A A6", IP-адресу 193.232.194.126 и, опционально, именем TRENTY для файл-серверов Novell Netware. Для снятия почты используется имя tam, для связи в сети Microsoft - имя компьютера ALEX... Только отсутствие реальной потребности не позволило тому же автору подключиться (вероятно, еще с каким-нибудь именем) к одному из NT-серверов через NETBIOS.
Все указанные способы участия в перечисленных функционирующих сетях реально обусловлены одними и теми же соединениями витой парой. Однако, как анализ полного трафика этой агрегированной физической сети, так и какой бы то ни было интегрированный аудит до настоящего времени никем в ЦЭМИ РАН не ведется.
Одним из решений указанной проблемы представляется комплексный анализ пакетов IEEE 802.2, IEEE802.3 и Ethernet-II, циркулирующих в локальной сети, специально выделенной наблюдающей станцией (НС). Снабженная современной сетевой картой и прилагаемым к карте пакетным драйвером нижнего уровня, такая НС могла бы в режиме постоянного наблюдения осуществлять круглосуточный аудит всех циркулируемых пакетов с выдачей на экран необходимой информации, вести сводный протокол наблюдения и, при необходимости, выборочно по нужному классу/типу пакета, имени пользователя или иным исходным данным дампировать нужные пакеты для последующего анализа.
Такая НС не вносит помех в работу сети не обнаруживаема ни одним программным средством в рамках любого существующего протокола, принципиально не подвержена хакерским атакам и может быть работоспособна без специального обслуживания в течение значительного периода времени (недели).
Требования к компонентам hardware в этом случае могут быть весьма умеренными: IBM PC DX4-100 с сетевой картой PCI и минимумом оперативной памяти (4-8Мб) представляется вполне соответствующей просмотру всех пакетов сети с их типологизацией "на лету", подсчетом минимальной статистики, протоколированием подключений пользователей и подсчетом их трафика при сети 10МБит/с и общем количестве пользователей до 100 человек.
Поскольку большинство современных (версий свыше 1.10) пакетных драйверов сетевых карт под DOS позволяют работу в Extended-режиме с приемом всех пакетов сети, нужное программное обеспечение вполне может быть создано в MS-DOS. Затраты на разработку такого программного средства на языке макроассемблера вполне по ресурсным силам и программной квалификации небольшому (1-2 чел.) коллективу авторов за несколько рабочих кварталов.
Эксплуатационные требования к указанному программному средству, представляется, должны были бы включать:
- надежную и устойчивую работу на приеме и первоначальной идентификации пакетов с разбором заголовков "на лету" и автоподсчетом основной статистики;
- возможность автоматизированного повторного запуска в последнем из установленных режимов работы при случайных перезагрузках НС из-за отказов питания;
- возможность сбрасывания по заказу оператора промежуточных результатов работы на сменный носитель (вероятно, HDD) без ущерба для основных функций;
- исключение в основных режимах работы просмотра информационных полей принимаемых датаграмм с целью обеспечения конфиденциальности сетевых пакетов;
- усиленную авторизацию: запуск исключительно на ПК, на котором была выполнена процедура установки и инициализации данного программного средства; допуск к управлению исключительно лиц, знающих пароль; прерывание управления до повторного ввода пароля при превышении лимита 5-10с между набором пароля и кодом управления либо по вводу любого некорректного управляющего кода.
Помимо заявленных основных функций, возможны и другие полезные применения описанной НС. Среди прочего, актуальными могут быть контроль и учет посещений конкретных Интернет-адресов, обнаружение излишних пакетов вследствие некорректно настроенных ПК пользователей, обнаружение и типологизация хакерских атак с улучшенной возможностью идентификации исходящих адресов и многое другое.