2) пассивная инспекция информационных потоков позволяет: 

•фиксировать действия, производимые определенным компьютером сети, •записывать информацию, передаваемую в сети по определенному протоколу между определенными машинами, •записывать вся почтовую переписку, •записывать информацию, передаваемую в течении telnet-сессии, включая пароль, запрашиваемый при аутентификации пользователя в системе, •собирать статистику обращений к участку сети в целом или к компьютеру из глобальной сети, •собирать статистику обращений компьютера или участка сети в глобальную сеть, •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый конкретный компьютер.

Комплекс программ SNIFFIT разработан для работы на платформах SunOS 4.x, SunOS 5.x (Solaris), Linux, FreeBSD, Irix, использующих сетевые интерфейсы NIT, DLPI и BPF.

Средство SNIFFIT состоит из трех частей: резидентная часть, конфигурационный файл, файл данных.

Резидентная часть состоит из модуля sniffit, загружаемого в оперативную память. Во время старта программного комплекса модуль sniffit считывает свою конфигурацию из файла sniffit.conf. После окончания загрузки модуль начинает регистрировать проходящие информационные данные и запросы согласно своей конфигурации, описанной в файле sniffit.conf. При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос.

Конфигурационный файл описывает действия, выполняемые загружаемым модулем sniffit при обработке трафика сети. Этот файл можно задать таким образом, что будут выполнятся следующие действия:

•фиксироваться вся почтовая переписка, выходящая за пределы сети, •записываться все передаваемые данные по протоколам telnet и ftp, •регистрироваться все запросы на установление или разрыв соединения, •регистрироваться все действия определенного сетевого компьютера, •регистрироваться все внешние запросы.

Файл сохраненных отслеживаемых запросов содержит информацию в формате ASCII. Все записи о зарегистрированных запросах включают в себя дату, время, источник и адресат запроса, протокол и порт, по которым произошел запрос. Данные о почтовой переписке можно прочитать при помощи любого текстового редактора. Информация соединения telnet содержит управляющие символы, поэтому для просмотра данной информации необходимо специальное средство.

Использование программы определяется опциями, задаваемыми при запуске.

 

Литература

1.Simson Garfinken, Gene Spafford. Practical UNIX & Internet Security. OљReilly & Associates, Inc. 1996.

2.Paul Buis, Chris Hare, Robert Kelley. Internet Security. New Riders Publishing, Indianopolis, IN. 1996.

 

 

 

А. В. АЗАРКИН, Г. В. ФОМЕНКОВ

ИКСИ АКАДЕМИИ ФСБ РФ

ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ СЕТИ INTERNET ПУТЕМ ИНСПЕКЦИИ ПОТОКОВ ДАННЫХ

Предлагаем вашему вниманию вторую часть доклада на Российской научно-технической конференции по Северо-Западному региону "Методы и технические средства обеспечения безопасности информации". Первая часть опубликована в N 5 за 1997 г.

 

2. Методика применения средств инспекции

2.1. Функциональный состав средств инспекции

Средства инспекции потоков данных состоят из следующих основных частей:

1.аппаратная платформа, которая включает в себя сетевой адаптер, соответствующий требованиям ПО инспекции; 2.операционная система, поддерживающая программный интерфейс доступа к канальному уровню для анализа циркулирующих в сети пакетов; 3.основной загружаемый модуль (средство инспекции потоков данных), который декодирует протоколы и выполняет заданные действия согласно своей конфигурации, установленной специальным механизмом; 4.конфигурационный механизм, обеспечивающий широкий выбор критериев, по которым будет производиться фильтрация и регистрация отслеживаемых запросов; 5.регистрационный механизм, осуществляющий запись отслеживаемой информации в сжатом формате в архивный файл; 6.средства просмотра отслеживаемых запросов в режиме реального времени, а также сохраненных в архивном файле; 7.пользовательский графический интерфейс, обеспечивающий простое и удобное взаимодействие с системой оператора.

2.2. Требования, предъявляемые к средствам инспекции

Рассмотрим более подробно некоторые основные части этих систем. Основной загружаемый модуль должен соответствовать следующим требованиям:

•обладать достаточной производительностью для обработки всех циркулирующих в сети данных; •поддерживать широкий спектр протоколов: TCP/IP, Lan Manager, Netware, DEC, AppleTalk и т. д.; •переключать драйвер сетевого адаптера в "прозрачный" режим, позволяющий принимать все пакеты, проходящие по сегменту сети (promiscuous mode).

Механизм конфигурации должен обладать широким спектром настроек, позволяющих загружаемому модулю осуществлять эффективную инспекцию потоков данных.

Данные настройки должны фиксировать запросы:

•на установку соединения, •на разрыв соединения, •по определенному протоколу, •по определенному порту, •выдаваемые определенной рабочей станцией, •принимаемые определенной рабочей станцией, •уходящие из сети (подсети), •приходящие в сеть (подсеть).

Кроме запросов должны регистрироваться данные:

•по определенному протоколу, •по определенному порту, •принимаемые определенной рабочей станцией, •передаваемые определенной рабочей станцией, •приходящие в сеть (подсеть), •выходящие из сети (подсети).

Механизм просмотра отслеживаемых запросов должен позволять:

1.отслеживаемые информационные потоки в режиме реального времени; 2.отслеживаемые информационные потоки из архивного файла;
1 2 3 4 5