Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Что искать в файлах журналов? ССЫЛКА Сканирование сетей обсуждается в главе 25 «Использование средств наблюдения за сетью». ССЫЛКА В главе 23 о просмотре и анализе файлов журналов рассказывается подробнее.

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Что искать в файлах журналов?

После того как система протоколирования настроена, возможно, у вас возникнет вопрос, а что именно следует искать внутри файлов журналов? Другой, более грамотный вопрос: какую именно информацию следует получать от системы протоколирования для обеспечения приемлемого уровня защиты и как следует настроить систему протоколирования, чтобы получить от нее эту информацию? В большинстве случаев с точки зрения безопасности вас будут интересовать действия локальных пользователей, а также удаленные подключения к вашей системе.

Конечно же, система протоколирования является емким источником информации о функционировании самых разнообразных работающих в системе служб. Зачастую при помощи журналов syslog можно выполнить отладку конфигурации, а также получить сведения о неправильно работающих процессах. Зачастую сообщения, протоколируемые syslog, весьма детально описывают возникшую в системе проблему. Однако все это в первую очередь относится не к безопасности, а к системному администрированию, поэтому я не буду затрагивать всех этих вопросов в данной книге.

С точки зрения безопасности вам прежде всего необходимо знать, используют ли локальные пользователи команду su или приглашение на подключение к сиcтеме для того, чтобы получить доступ на уровне привилегий root. По содержимому журналов вы можете определить, когда некто подключается к системе в качестве обычного пользователя, а затем при помощи команды su переходит на уровень привилегий root. Чаще всего для получения доступа к системе на уровне привилегий root используются социальные контакты и умение общаться с людьми, то есть так называемая «социальная инженерия». Именно этот метод использовался печально известным взломщиком Кевином Митником (Kevin Mitnick) для получения несанкционированного доступа к системам. Чтобы улучшить защиту, ограничьте подключение на уровне root к локальным терминалам, полностью запретите подключение через telnet. В OpenLinux такой порядок вещей установлен в конфигурации по умолчанию.

Что касается внешних подключений, вы должны реагировать на попытки сканирования вашей системы в поисках открытых портов. Чтобы попытаться взломать вашу систему, злоумышленник должен вначале узнать, какими службами он может воспользоваться для этой цели. Таким образом, он будет пытаться подключиться к вашей системе через различные порты. Эти попытки вы сможете обнаружить, просмотрев содержимое журналов. Вы увидите, что некто последовательно подключается к разнообразным портам вашей системы. Чуть позже, возможно, поступает запрос о статусе сервера, при этом клиент не пытается использовать данный сервер. Это может указывать на то, что взломщик пытается определить разновидность и версию серверной программы, чтобы точнее подобрать инструменты, которые потребуются ему для взлома. Получив эти сведения и выполнив быстрый поиск уязвимых мест, злоумышленник может приступить к взлому. Сама попытка может выглядеть в журналах syslog как соединение с клиентом, через которое получены некорректные данные. Возможно, это попытка организовать переполнение буфера. Некорректные данные — это бессмысленный набор символов, среди которых можно обнаружить как бы случайно оказавшийся там полный путь к некоторому исполняемому файлу.


ССЫЛКА

Сканирование сетей обсуждается в главе 25 «Использование средств наблюдения за сетью».

В лучшем случае может произойти одно из двух:

а) возникает сбой серверной программы, выводится содержимое некоторого
участка оперативной памяти и программа завершает работу;

б) программа принимает неправильные данные, отказывается от их обработ
ки, заносит их в журнал и продолжает нормальное функционирование.

В любом из этих случаев можете считать, что вам повезло, — замысел злоумышленника провалился. Однако может произойти и другое: в момент своего аварийного завершения программа запускает командную оболочку на уровне привилегий root, к которой получает удаленный доступ злоумышленник. Слишком легко? Именно по причине такой легкости значительная часть Интернета в последнее время превратилась в настоящий детский сад, заполненный малолетними хулиганами.


ССЫЛКА

В главе 23 о просмотре и анализе файлов журналов рассказывается подробнее.

Заключение

В этой главе я рассказал вам о том, как настраивается механизм протоколирования данных о работе системы. Вы познакомились с форматом записей файла /etc/syslog.conf. Вы также узнали о том, какими бывают каналы и уровни приоритета и откуда они берутся. Вы узнали о том, как составлять спецификации протоколируемых сообщений, и о том, как указывать разнообразные цели для записи этих сообщений.

Затем я рассказал вам о параметрах командной строки демона syslogd. Вы также узнали о том, как настроить центральный сервер протоколирования и предотвратить атаку Denial of Service, направленную на этот сервер.

23Просмотр и анализ журналов syslog


В данной главе рассматриваются следующие вопросы:

- типы файлов журналов и их местоположение;

- разрешения на доступ к файлам журналов;

- как работает механизм протоколирования;

- использование dmesg;

- просмотр журналов в формате, отличающемся от ASCII.

В предыдущей главе я рассказал вам о том, как управлять механизмом syslog и как настроить его таким образом, чтобы он вносил в файлы журналов именно ту информацию, которая вам нужна. В данной главе я подробнее расскажу вам об этих файлах журналов.

Большая часть файлов журналов являются простыми текстовыми файлами ASCII. Для просмотра таких файлов вы можете воспользоваться любым текстовым редактором. Также вы можете просто вывести их содержимое на экран или в окно /terminal при помощи утилиты cat. Однако как только вы приступите к анализу содержимого любого из этих файлов, вы обнаружите множество однообразных сообщений, большую часть которых вам захочется игнорировать. Они вносятся в журнал на всякий случай, однако если попытаться просмотреть их все в поисках чего-либо ненормального, у вас могут возникнуть сложности.

Требуется некий способ анализа базовой информации о вашей системе для того, чтобы оперативно определять, что является нормальным, а что вызывает подозрения. При работе с файлами журналов вы имеете дело с сотнями или с тысячами (а возможно, и более того) записей ежедневно. Очевидно, что для упрощения этой работы удобнее использовать некий сценарий, позволяющий отбирать нужные вам записи и скрывать от ваших глаз ненужные записи (после того как вы поймете, что они вас не интересуют).


ВНИМАНИЕ

Если вы обнаруживаете что-либо странное, например запись, содержащую следующий текст: HNLKNHVL???/bin/sh???????????имейте в виду, что в отношении вашей системы была предпринята попытка взлома (возможно, успешная, а возможно — нет). Немедленно примите меры, так как комбинация символов /bin/sh в середине бессмысленного набора символов — это не простая случайность.