Имеем дело с атакой
Итак, система защищена. Вы поставили tripwire, DTK и прочее. Но в 3am Вы получаете сообщение, что кто-то модифицировал первичный сервер NIS. Ваши действия? Действия при атаке зависят от ряда факторов. Например, нападение все еще идет, или хакер уже смылся? Вы обнаруживали, бизнес-план компании, отправляемый на адрес в hotmail? Вы примчались из дома, чтобы обнаружить кластер мертвых серверов? Каковы ваши приоритеты? Восстановление обслуживания? Обеспечение безопасности конфиденциальных данных? Преследование по суду нападавшего? Несколько вещей, которые надо иметь в виду:
- Действия администратора должны зависеть от среды в которой он работает. Поскольку хакер почти наверняка получил контроль над административными логинами системы, отправка почты может не работать.
- Большинство сайтов обычно не хочет сообщать о нападении (удачном или нет) из-за проблем связей с широкой публикой.
- Большинство быстрых атак и атак "denial of service" замаскирвоаны. Отследить атаковавшего очень трудно. Еще хуже, когда вышли на человека, который вроде бы подходит, но на самом деле не тот. (Замечание переводчика: приведу конкретный пример: в университете, где я учусь, кто-то взломал сервер. Хакер явно был умным, впрочем рукастых студентов там хватает, а администратор у нас, похоже, вообще не слышал о какой-либо защите сервера. Но хакер выяснил фирму, с которой у меня дружеские отношения (что тоже легко: меня многие знают), и обставил все так, будто я заходил с фирмы в 12 ночи. Конечно, явный спуфинг. Но никого это не интересует, все мои вопли в адрес проректора о том, что я физически не мог находиться на фирме в 12 ночи услышаны не были. То, что мне закрыли доступ на сервер ни за что, мне самому глубоко безразлично, но хакер-то остался безнаказанным! На все мои попытки обратить на сей печальный факт внимание администрации университета, я получил немало ответов, самым вежливым из которых был: "Не надо искать несуществующих злоумышленников. Прочитайте рассказ Драгунского "Тайное всегда становится явным" и оставьте меня в покое!". Никакого расследования, обязательного в таких случаях, никто даже не собирается проводить! Ну что ж, от души надеюсь, что ушедший безнаказанным хакер еще им покажет...).
- Даже если все идет хорошо, проверьте загрузку оборудования и потребление ресурсов: хакер может быть еще в системе...
- Если Вы знаете, как нападавший вошел (то есть, NFR сделал запись этого), заткните соответствующую дыру.
- Не пытайтесь игнорировать атаку! Но в то же самое время имеется много людей, которые просто развлекаются в сети, и на которых не стоит тратить впустую время и силы администраторов (возможно, такая атака отвлекает их от более тонких нападений).
Также при отражении атаки неплохо быть в курсе стратегии Вашей компании. Еще одна хорошая идея в том, чтобы иметь готовый план на случай нападения то есть, что проверять сначала, ччто потом. Есть хорошая книга ?Practical Unix and Internet Security?, в которой все это рассмотрено очень подробно.
Неплохо данная тема расмотрена в документе (см.
приложение D) ?How to Handle and Identify Network Probes?.