Жизненный цикл управления безопасностью
Установка оповещения веб-службы
Аналогично оповещениям операционной системы можно установить оповещения для событий в веб-службах IIS. Используется широкий набор порогов веб-служб для создания правил: число вхождений событий в секунду, текущее количество подключений, общее число отклоненных событий и другие. В таблице 7.3 показаны некоторые полезные оповещения (этот список далеко не полон).
Для установки оповещения веб-службы выполните процедуры, описанные в разделе "Установка оповещения операционной системы", но в диалоговом окне Select Counters (Добавить счетчики) укажите другие параметры.
- Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2), щелкните правой кнопкой мыши на значке Alerts (Оповещения). Во всплывающем меню выберите команду New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее данный параметр.
- Определите правила для создаваемого оповещения в диалоговом окне Logon Failures (Ошибки входа) (см. рис. 7.3). Добавьте комментарий в верхней части окна и нажмите на кнопку Add (Добавить), чтобы начать создание правила.
- В диалоговом окне Select Counters (Добавить счетчики) (см. рис. 7.6) еще раз выберите опции Use Local Computer Counters (Использовать локальные счетчики) и Select Counters From List (Выбрать счетчики из списка). На этот раз в поле Performance Object следует выбрать Web Services (Веб-службы).
- Станет активной правая часть окна. Выберите All Instances (Все вхождения), если нужно, чтобы счетчик был активен на всех веб-сайтах сервера, либо укажите определенные сайты.
- Откройте вкладку Action (Действие) и выберите действие, инициирующее правило (см. рис. 7.4). После этого нажмите на кнопку Add (Добавить) для добавления правила и закройте окно.
- Вернувшись к окну Logon Failures (Ошибки входа), нажмите на кнопку Apply (Применить) для активирования правила, затем нажмите на OK для выхода из окна.
Использование журнала и уведомлений о сбоях в качестве средства защиты
Для получения доступа к серверу хакеры, скорее всего, будут пытаться вызвать на нем сбой, поэтому желательно отслеживать информацию о сбоях. В дополнение к файлу журнала сбоев используются еще два метода уведомления и фиксирования сбоев посредством изменения некоторых переменных в реестре Windows 2000.
Для настройки уведомления о сбоях сервера выполните следующие шаги.
- Выберите команду Start\Run (Пуск\Выполнить) и запустите программу Regedit.
- В редакторе реестра включите административное уведомление посредством присвоения параметру HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CrashControl/SendAlert значения 1. При следующем сбое сервера сгенерируется административное оповещение.
- Включите журнал операционной системы, фиксирующий сбои в журнале событий, присвоив параметру HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CrashControlLogEvent значение 1 для фиксирования точного времени сбоев.
Включенное уведомление о сбоях оповестит о возникших проблемах. Информация, записанная в журнале, используется в аудите безопасности для определения того, был ли сбой сервера вызван умышленно.
Отслеживание признаков атак
Часто случается так, что атаки не сразу выводят из строя сервер, а оставляют на нем программы, заражающие сайт и воздействующие на него в течение продолжительного времени. Следует следить за содержимым журналов для выявления таких программ. Как и вирусы, многие атаки с использованием червей или "троянских коней" являются автоматизированными атаками, оставляющими признаки присутствия (предсказуемые наборы событий или записанных файлов) в файлах журналов, по которым можно судить об их наличии в системе. Например, во многих организациях червь Code Red был выявлен посредством нахождения характерного GET-запроса на файл default.ida в файлах журналов. Подпишитесь на рассылки с новостями в области информационной безопасности или регулярно посещаете сайт CERT для получения новых сведений об этих признаках, чтобы обнаруживать их в журналах.
Другие признаки атаки
Атаки некоторых типов выявить довольно легко, например атаки на переполнение буфера, которые немедленно выводят из строя сервер, но некоторые атаки имеют менее явные симптомы. Журналы и оповещения Windows 2000 и IIS обнаруживают попытки выполнения таких атак. Ниже приведены некоторые общие признаки атак, которые следует искать.
- Неожиданное увеличение исходящего трафика. Это могут быть как действия легальных пользователей сайта, так и злоумышленные действия, особенно при исходящем трафике, как было в случае с червем Code Red. Данный признак наблюдается и тогда, когда компьютер сети управляется для участия в распределенной атаке на отказ в обслуживании. Маршрутизаторы или сетевые экраны должны иметь возможность измерять как входящий, так и исходящий трафик. В самых лучших устройствах этого типа имеются средства, генерирующие отчеты, проверяемые еженедельно, ежедневно или немедленно.
- Большое число пакетов, обнаруженное фильтрами выхода маршрутизатора или сетевого экрана. Фильтрами выхода называются наборы политик маршрутизаторов, проверяющие исходящие пакеты и отслеживающие их исходные адреса. Так как в большинстве организаций известны сетевые адреса, защищенные сетевым экраном, сразу отбрасываются пакеты, исходные адреса которых не совпадают с адресами сети. Такие системы блокируют потенциально опасный трафик, который возникает при скрытом захвате хакерами узла и генерировании исходящих от него пакетов, которые призваны перегрузить заранее известную цель в интернете. Фильтры выхода предотвращают выход исследующих пакетов из сети, поэтому при обнаружении таких пакетов необходимо выяснить их источник, так как они являются признаками проникновения в сеть.
- Неожиданный скачок числа некорректных пакетов на сетевом экране. Большинство сетевых экранов и маршрутизаторов ведут сбор статистики о пакетах на границе сети, используя коммерческое программное обеспечение. Неожиданные скачки числа некорректных пакетов, как правило, говорят о том, что система подвергается атаке на отказ в обслуживании.