Задачи полноценного аудита корпоративных сетей (X)

Ведущий научный сотрудник
Центрального экономико-математического института РАН,
кандидат технических наук А.М.Терентьев

Поднятая в одном из предыдущих номеров журнала [1] тема информационной безопасности в крупных локальных сетях включала ряд положений, рекомендованных для внедрения. Первая из рекомендаций касалась аудита сети. В данной работе дела­ется попытка раскрыть современное значение этого термина применительно к локальным и корпоративным сетям предприятий, фирм и организаций.

Современные информационные сети средних и крупных предприятий, как исторически выросшие из бывших «локалок», так и вновь образуемые, имеют 50¸200 рабочих станций, 2¸10 (иногда и больше) серверов различного назначения и специализации, один или более выходов в Интернет, функционирующий доступ пользователей к сети по телефону (DialUp). Могут встречаться также иные сетевые устройства: сетевые принтеры, роутеры подсетей, web-камеры, разнообразные датчики – температуры, влажности, движения, задымления и пр.

Все эти сети, несмотря на многообразие их построения, базируются на «витой паре» и технологии Ethernet-II/10Base-T. Физической основой информационных потоков таких сетей служит интерфейс D-Link 16 bit с поддержкой пакетов типов Ethernet-II и IEEE802.3. Переход на 100Base-T не меняет типа пакетов. Основным принципом передачи информации в этих сетях является прием всеми сетевыми адаптерами каждого испущенного пакета, независимо от его адресата. Таким образом, весь обмен информацией всего многообразия сетевых устройств, в принципе, доступен для наблюдения в любой точке сети. Для «обрезания» таких видимых потоков, а также для обеспечения необходимой длины отдельные фрагменты сети объединяются в общее целое с помощью специальных устройств: свитчей, маршрутизаторов и роутеров. Широко известные хабы, являясь разветвителями, не делят сеть на фрагменты и не препятствуют полному пропусканию всех пакетов во все стороны.

Вся передача информации в сети регламентирована довольно сложными моделями, в которые входят сотни сетевых протоколов – многоуровневых процедур приема/передачи. Даже основных форматов пакетов циркулирующей информации существует несколько десятков. Каж­дое сетевое устройство имеет сетевой адаптер – средство соединения с сетью, снабженное фабрично встроенным уникальным технологическим номером, присутствую­щим во всех испускаемых сетевым адаптером пакетах.

Как неоднократно [2,3] указывалось, большинство известных средств наблюдения пред­ставляют из себя весьма дорогие коммерческие разработки, специализированные для обна­ру­жения/устранения физических помех, либо задач оптимизации построения сети. Средства текущего наблюдения, встроенные в современные операционные системы, ориентированы на недолгие (несколько секунд) процедуры выяснения параметров или сетевых настроек, причем в большинстве случаев дают результаты только при корректных настройках. Целый ряд хакерских разработок, в основном в Linux, ориентирован на взлом серверов, вылавливание паролей доступа, получение списка и тому подобные задачи. Вместе с тем, целый ряд как оперативных, так и долговременных задач различного профиля удовлетворительного решения не получает. К числу таких задач можно было бы отнести следующие.

Наложенные требования однозначно не допускают построения программных средств аудита как одного из приложений многозадачной среды типа Windows на рабочей станции или сервере. Такие средства зависели бы от работоспособности среды Windows, сервера авторизации, запуска посторонних приложений и вынужденного обмена встроенными в Windows драйверами в случаях обязательного по регламенту ответа (ping и др.).

Оптимальным решением представляется создание наблюда­ющей станции аудита как выделенного ПК, работающего под управлением DOS или Unix, со стандартными сетевыми адаптерами и специальными драйверами, позволяющими задаче аудита получать все пакеты в режиме Promiscuous Mode. В ЦЭМИ РАН в течение ряда лет успешно эксплуатируется наблюдающая станция под MS-DOS [3], удовлетворяющая этим условиям и решающая все вышеперечисленные задачи.


Литература
  1. Информационная безопасность в крупных локальных сетях//Концепции, N1(9)-2002, с. 25-30.
  2. Вопросы информационной безопасности узла Интернет в научных организациях. / Сб.трудов под ред. М.Д.Ильменского. – М: ЦЭМИ РАН, 2001.
  3. Терентьев А.М. Методы и средства наблюдения загрузки локальных вычислительных сетей на примере ЦЭМИ РАН. / Препринт #WP/2001/110. – М.: ЦЭМИ РАН, 2001. – 74 с.

(X)Работа выполнена при финансовой поддержке РФФИ, проект N 01-07-90062

Статья опубликована в 2003 г.