Защитник сети

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Защитник сети

Главной задачей администратора является обеспечение бесперебойной работы компьютеров и безопасности компьютерной сети. Если для малых сетей, когда компьютеры находятся в соседних помещениях, обычно обходятся установкой и конфигурированием firewall на маршрутизаторе и антивирусом на каждом компьютере, то в больших сетях задача усложняется. Уследить за происходящим в подопечной сети в этом случае задача уже далеко не тривиальная и требующая совсем другого подхода. Теперь сисадмину, чтобы не бегать по этажам в поисках неисправностей, желательно иметь систему удаленного мониторинга компьютеров. В целях же обеспечения безопасности, кроме установки firewall, необходимо использовать системы обнаружения вторжения, позволяющие оценить происходящее в сети в целом, не ограничиваясь только защитой наиболее важных компонентов сети по отдельности. И желательно, чтобы не прерывать контроля за подчиненной сетью в случае остановки сервера по какой-либо причине, установить эту систему на отдельный компьютер. В качестве последнего вполне может подойти любой из списанных (с подходящей мощностью, естественно).

Настройка и отладка подобных систем – задача совсем не простая и требующая много времени и сил для поиска и подбора необходимых компонентов и чтения документации и сбора всего этого воедино. Поэтому хотелось бы иметь инструмент, позволяющий установить все одним махом с удобной и понятной настройкой. Успех операционной системы Linux во многом состоит и в том, что каждый может собрать дистрибутив конкретно под свои нужды, а собрав, показать, естественно, другим. Нашелся среди того большого разнообразия и удовлетворяющий поставленной выше задаче.

Шведский дистрибутив Compledge Sentinel (http://compledge.com/sentinel) размером всего 147 Мб предназначен для мониторинга работы компьютеров, аудита безопасности сетей и обнаружения вторжения в компьютерные сети. То есть представьте себе отдельный компьютер с установленной Linux-системой, который только тем и занимается, что отслеживает происходящее в контролируемой сети и в случае чего сигнализирует сисадмину, принимает меры по недопущению распространения дальнейшей угрозы. И самое главное, так как Sentinel представляет собой законченное решение, поэтому и усилий для первоначальной настройки необходимо приложить минимум. Достаточно всего лишь установить его и запустить необходимые сервисы.

На сайте, кроме ISO-образа дистрибутива, можно найти исходники, документацию и несколько дополнительных пакаджей. Установка особой сложности не представляет, необходимо просто заполнять запрашиваемые пункты для последующей настройки, после чего просто распакуется архив с системой. Удобно, что в отличие от большинства дистрибутивов, предназначенных для администратора (ClarkConnect, SmoothWall, Astaro Security Linux), программа установки позволяет разбить диск вручную (при помощи cfdisk) с последующим указанием точек монтирования, а не автоматически уничтожая при этом все данные, что позволяет установить эту систему второй для первоначального ознакомления. В дальнейшем монитор с клавиатурой можно отключить и получать информацию при помощи веб-интерфейса. Для осуществления задуманного имеется полный комплект необходимых приложений.

Nagios (http://www.nagios.org) представляет собой программу удаленного системного мониторинга, позволяющую отслеживать ошибки в работе серверов и сервисов и выдавать собранную информацию через веб-интерфейс, в том числе и на пейджер или сотовый телефон посредством SMS и WAP, есть возможность пользователю добавлять свои программы оповещения. Nagios позволяет производить мониторинг таких сетевых сервисов, как SMTP, TELNET, SSH, HTTP, DNS, POP3, IMAP, NNTP и многих других. Кроме этого, есть возможность добавлять свои скрипты мониторинга и реакции на определенные события. Управлять системой мониторинга также можно не только локально, но и удаленно, в том числе и с мобильного телефона через wap-интерфейс. Nagios после запуска контролирует работоспособность только локального компьютера, для мониторинга остальных его необходимо предварительно настроить. Более подробно о настройке Nagios читайте в статьях Андрея Бешкова [1, 2, 3].

Nagat (http://nagat.sourceforge.net) – утилита веб-администрирования Nagios, использующая php. В настоящее время доступна только CVS-версия. Мне лично не очень нравится, но многие сочтут ее более удобной, чем настройка непосредственно в конфигурационных файлах.

Snort (http://www.snort.org) – cетевая cистема детектирования вторжения (NIDS), проверяющая сеть и выявляющая попытки атак и сканирования. Распознаются распространенные попытки осуществления атак buffer overflows, CGI attack и др., а также практически все методы сканирования и сбор «баннеров», т.е. информации о системах (fingerprinting).

 ACID – Analysis Console for Intrusion Databases (http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html) представляет собой систему на основе языка PHP, предназначенную для поиска и обработки базы данных инцидентов, замеченных при помощи программ защиты типа IDS и firewalls (например, в нашем случае Snort и tcpdump, есть вариант, анализирующий программы ipchains, iptables и ipfw). Программа содержит интерфейс поиска предупреждений, соответствующих фактически любым критериям, включая время прибытия, время сигнатуры, адрес/порт источника/адресата, флаги, полезный груз, и т. д. ACID также обеспечивает способность аннотировать и логически группировать связанные события, удалять ложные и уже обработанные предупреждения. Все это затем выводится в виде разнообразных статистических отчетов и графиков, в которые могут быть включены время, датчик, сигнатура, протокол, IP-адрес, TCP/UDP-порты, классификация и пр.

OpenMosix (http://openmosix.sourceforge.net) – приложение кластеризации для Linux, заставляющее несколько компьютеров работать как один. В комплекте Compledge Sentinel имеется четыре перекомпилированных ядра: два из которых передназначены для систем с одним процессором и два – для многопроцессорных систем, одно из двух ядер имеет поддержку openMosix и одно без таковой. Необходимое ядро выбирается при установке системы и в дальнейшем используется по умолчанию.

И для обеспечения работоспособности и доступа через веб-интерфейс для настройки вышеописанных сервисов имеется Apache c OpenSSL, PHP и MySQL (первоначальный пароль для доступа сompledge), которые используются для хранения событий ACID и получения информации через защищенный веб-интерфейс. При этом система выдает подробнейшую информацию по дням, протоколам, узлам, портам, сигнатурам и пр. Вся необходимая информация для функционирования этих сервисов – пароли, IP-адреса, расположение баз данных – вводится во время установки. И поэтому в дальнейшем по конфигурационным файлам лазить не придется, хотя для более тонкой настройки каждого сервиса все-таки придется, предварительно ознакомившись с документацией на сайте.

Что я могу сказать напоследок. Установка и настройка каждого из вышеописанных приложений требует больших временных затрат и усилий, не говоря уже о необходимых навыках, знаниях и желании этим всем заниматься. Но время обычно на стороне нападающего. Строить защиту по принципу «а кому это нужно» или «времени предостаточно» – плохая идея. После того как компьютер будет подключен к Интернету, сразу найдутся желающие покопаться в чужой информации. И в этой ситуации Compledge Sentinel может прийти на выручку. Он уже практически готов к бою.

Литература:

1. Бешков А. Установка Nagios. – Журнал «Системный администратор» №2(3), февраль 2003 г. – 6-14 с.
2. Бешков А. Мониторинг Windows-серверов с помощью Nagios. Часть 1. – Журнал «Системный администратор»№7(8), июль 2003 г. – 12-19 с.
3. Бешков А. Мониторинг Windows-серверов с помощью Nagios. Часть 2. – Журнал «Системный администратор»№8(9), август 2003 г. – 12-23 с.