Ցանցային անվտանգություն ապոհովելն այսօր գերխնդիր է դարձել բոլոր ՏՏ ստորաբաժանումների համար: Բայց վերահսկել օր-օրի երկրաչափական պրոգրեսիա ապրող վտանգները պահանջում է բավականին լուրջ և տքնաջան մոտեցում:
Այսօր ամբողջ աշխարհի ՏՏ ստորաբաժանումների մասնագետներն իրենց ցանցի անվտանգությունն ապահովելու համար ստիպված են օգտագործել բազմապիսի ծրագրեր, որոնք լրացնում են մեկը մյուսին և ի դերև են հանում գրեթե բոլոր վտանգները: Մյուս կողմից անընդհատ պետք է հետևել օգտագործվող ծրագրերի թարմացումներին: Մի խոսքով պետք է ձեռքդ միշտ լինի զարգացման պուլսին:
Ընդհանուր առմամբ կարելի է ասել, որ անվտանգության ապահովումն իրենից ներկայացնում է հետևյալ հասկացողությունների համադրությունը` միջցանցային էկրան, կորպորատիվ հակավիրուսային ծրագրեր, Snort հարձակումների հայտնաբերում BASE համակարգի միջոցով, հայտնի սխալների հայտնաբերում Nessus կամ OpenVAS համակագերի միջոցով, ցանցային սքաներ Nmap և մի քանի այլ մանր մունր գործողություններ, որոնք պետք է կատարել ինչ-որ հաջորդական կարգով: Այսինքն, սկզբում օգտագործվում է առաջին ծրագիրը, ուսումնասիրվում նրա արդյունքները, հետո հաջորդը և այդպես շարունակ: Այս ամենը զգալի մեծ ժամանակի կորուստ և ծանրաբեռնվածություն են գցում ՏՏ ստորաբաժանումների աշխատակիցների վրա…
Այս ամենը դեռ ոչինչ, բայց երբ պարզվում է, որ ցանցի ներսում առաջացած խնդիրը հնարավոր չէ ուղղել նշված քայլերից և ոչ մեկի արդյունքում, այդ դեպքում հարկ է լինում կատարել մեխանիկական աշխատանք` ուսումնասիրելով բոլոր ձեռք բերված ստատիկ արդյունքները:
Հենց այս պատճառով էլ ստեղծվել են ավտոմատացված համակարգեր, որոնք կատարում են վերը նշված քայլերից յուրաքանչյուրը, և էկրանին արտաբերում բոլոր գտնված թերությունները` մարդկային հասկանալի տեսքով:
Իհարկե գոյություն ունեն ավտոմատացված համակարգերի բազաթիվ տեսակներ, որոնք այնքան թանկ են, որ նույնիսկ մեխանիկական աշխատանքի վրա ծախսվող սեփական ժամանակը չես գնահատի այդքան: Այդպիսիք են օրինակ` Microsoft Security Response Center (MSRC), IBM Internet Security Systems, Lumension Vulnerability Management (նախկինում PatchLink), QualysGuard, Symantec Control Compliance Suite (SCCS), MaxPatrol և այլն:
Փորձենք շրջանցել վճարովի այս համակարգերը և ուսումնասիրել նմանատիպ բայց բաց կոդով մի համակարգ:
Անվտանգության վերահսկում OSSIM-ի միջոցով
OSSIM (Open Source Security Information Management, ossim.net) համակարգի գլխավոր խնդիրն է մաքսիմալ իր մեջ ինտեգրել իրար հետ շաղկապված անվտանգություն վերահսկող համակարգերը: Ներկա պահին OSSIM-ն իր մեջ ներառում է այնպիսի ծրագրեր, ինչպիսիք են` Arpwatch, P0f, pads, Nessus/OpenVAS, Ntop, Snort, tcptrack, tcpdump, Nmap, Spade, Nagios, Osiris, OCSInventory-NG, OSSEC, RRDTool (հնարավոր է նաև ուսումնասիրություններ կատարել preludeIDS, NTsyslog, Snare, Cisco Secure IDS ծրագրերի արդյունքներից ելնելով): Ահա այս մեծ ցուցակի ծրագրերի աշխատանքի արդյունքում հնարավոր է ունենալ հստակ պատկերացումներ Ձեր ցանցի ներսում տիրող վիճակի վերաբերյալ: Վերջնական արդյունքները կարելի է պահել բազաթիվ եղանակներով` syslog, plain log, SNMP, OPSEC, սոկետ և այլն: Առանձին ուշադրություն է դարձվում համակարգի ընթացիկ վիճակին, մասնավորապես օրական թրաֆիկներին, ինչպես նաև հետևել օգտագործողների ակտիվությանը` էլ.փոստ, ICQ, http, ftp և այլն: OCSInventory-NG համակարգը տվյալներ է տալիս ցանցի յուրաքանչյուր համակարգի ՕՀ(օպերացիոն համակարգի) և սարքավորումների վերաբերյալ: OSSIM-ը հսկում է նաև ցանցի համակարգիչների կապը և տեղեկցանում առկա ռիսկերի մասին: Այդ նպատակով ստեղծվում են TCP սեսսիաների պարբերական գրաֆիկներ, UDP, TCP և ICMP-ի ներքին կապերի փոփոխական գրաֆիկներ, որը հնարավորություն է տալիս հստակ իմանալ գոյություն ունեցող այնպիսի ցանցային հարձակումները, որոնք կատարվում են միաժամանակ տարբեր համակարգիչներից: Արդյունքում OSSIM-ը ծառայում է արպես հարձակումներ կանխարգելող համակարգ (IPS, Intrusion Prevention System)` հենվելով բազաթիվ աղբյուրներից ստացած արդյունքների վրա:
OSSIM-ը հիմնականում բաղկացած է`
- Սերվեր – կատարում է հսկողություն համակարգի նկատմամբ, նորմավորում է տվյալները, գնահատում ռիսկը և կարգավորում գործողությունների հաջորդականությունը,
- Framework-ի հսկման դեմոն (deamon) – աշխատում է սերվերի վրա և տարբեր աշխատող մասեր կապակցում է իրար,
- Տվյալների բազա – իր մեջ պահում է ստացված տվյալները (բաղկացուցիչ մասերը – MySQL, OSSIM, Snort/ACID և Phpgacl),
- Ագենտներ – սրանք բազայի մեջ են ներմուծում Snort, Pads, Ntop, Tcptrack, p0f, Arpwatch, Nessus և այլ ծրագրերի կողմից ստացված արդյունքները ,
- Ղեկավարման վեբ համակարգ – սրա միջոցով ղեկավարվում է ամբողջ գործընթացը` ստացված տվյալների անալիզ և արտաբերում, ռիսկի գնահատականների հաշվարկ (Apache, PHP` ADOdb-ով, Phpgacl, Rrdtool, Mrtg, ACID, Nessus, Nmap, Ntop, FPDF և այլն)
Ընդ որում, այս նշված մասերից յուրաքանչյուրը կարելի է տեղադրել տարբեր համակարգիչների վրա: Այդ դեպքում նրանց միջև ապահովվում է կոդավորված կապ` SSL-ի միջոցով:
Դե ինչ, OSSIM-ի մասին կարող եք մանրամասն կարդալ իրենց կայքից, իսկ ես ասեմ, որ իմ կարծքիով համակարգը իդեալական է ՏՏ ստորաբաժանումների համար:
Այս հոդվածիս մեջ գրեցի միայն OSSIM-ի մասին: Բայց դա չի նշանակում, որ այն միակն է իր ձևի մեջ: Կան բազմաթիվ այլընտրանքներ, որոնց մասին կգրեմ առանձին-առանձին:
Վարդան Գրիգորյան / NeoMedia նախագիծ
I’ve been absent for a while, but now I remember why I used to love this blog. Thanks , I’ll try and check back more often. How frequently you update your web site?
Outstanding information it is definitely. I have already been waiting with this info.
אתר עם מידע על הזמנות לבת מצווה, הזמנות לבר מצווה, נוסח הזמנה לחתונה והזמנה לחתונה מומלץ!