Проводим аудит системы с помощью SNARE

Сергей Яремчук

Полноценный контроль за системными событиями является трудоемкой задачей, забирающей много времени и ресурсов. Тем не менее просмотр регистрационных записей журналов позволяет получить наиболее полную информацию о работе системы и отдельных сервисов и использовать их для обнаружения вторжения.

Для защиты компьютерных систем в настоящее время разработано приличное количество разнообразного программного обеспечения, выполняющего какую-то определенную задачу. Антивирусы оберегают пользователей от вирусов, межсетевые экраны блокируют нежелательный трафик, целый класс систем обнаружения и остановки атак в той или иной мере противостоит действиям злоумышлеников.

События, происходящие в последнее время, показывают пока только неэффективность традиционных средств защиты, не срабатывающих при появлении новых алгоритмов нападения. Пока действительно хорошо справляются со своей задачей инструменты, позволяющие определить уже произошедшее проникновение. Поэтому в настоящее время особым вниманием пользуются проактивные системы защиты, реагирующие на системные события, а не сравнивающие сигнатуры, сгенерированые специалистами по безопасности. Такие средства аудита контролируют различные системные выводы и в результате дают полную картину происшедшего на контролируемом узле. А именно: кто, когда обращался, к какому файлу, заходил по сети, модифицировал те или иные данные, т.е. в итоге позволяют получить полную картину происшедшего на контролируемом компьютере. Во всех операционных системах ведутся более или менее подробные логи, но большей частью на основные события (за исключением модуля BSM (Basic Security Module) в Solaris), чего в большинстве случаев достаточно. Но, например, в спецификациях выдвигаются дополнительные требования по регистрации событий для защищенных систем, начиная с класса С. К тому же такие возможности могут понадобиться в системах, предназначенных для обработки конфиденциальной информации. Естественно, отслеживая потенциально опасные события, можно предотвратить взлом и утечку информации, поэтому одним из требований к таким системам является быстрая реакция (под реакцией в данном случае подразумевается оповещение). Для централизованного сбора, хранения и обработки данных о событиях, происходящих на подчиненных системах, приветствуется отправка сообщений на удаленные системы.

Австралийская фирма, занимающаяся безопасностью, InterSectAlliance (http://www.intersectalliance.com/projects/Snare), в разработке SNARE – System iNtrusion Analysis and Reporting Environment основной упор сделала на регистрацию как можно большего количества событий. В том числе контролируются открытые сетевые соединения, чтение и запись в файлы и каталоги, модификация данных пользователя и групп, изменение программ. Система SNARE может быть сконфигурирована в двух вариантах. Первый позволяет обнаружить, когда какой-либо пользователь остановил ключевую программу, переключился к учетной записи администратора или установил файлы в системный каталог. В другом варианте использования SNARE контролирует непосредственно определенные системные вызовы, например, открывающие или переименовывающие файлы, chroot, reboot, mkdir, mknod и другие операции. Система реализована на нескольких платформах с учетом особеностей каждой, при этом она может использоваться как автономный инструмент анализа или быть удаленным сенсором для центрального сервера: Linux (обеспечивает аудит, принятый в системах класса C2 или CAPP), Windows, Solaris, Irix, AIX, IIS Web Server (используется для обработки файлов регистрации в реальном времени) и ISA Server. Распространяется SNARE под GNU Public License. В статье мы рассматриваем Linux-реализацию.