BSM SunSHIELD — инструмент системного аудита

Вопросы информационной безопасности не могут успешно решаться, если нет средств контроля за происходящими событиями. В самом деле, только имея хронологическую запись всех производимых пользователями действий, можно оперативно выявлять случаи нарушения режима информационной безопасности, определять причины нарушения, а также находить (и потом устранять) потенциально слабые места в системе безопасности. Кроме того, наличие аудита в системе играет роль сдерживающего фактора: многие, зная, что их действия фиксируются, не будут совершать наказуемых действий.

Программные средства, осуществляющие описанный выше контроль, называются средствами аудита. Поскольку в информационной системе предприятия присутствуют несколько функциональных уровней, на каждом из них желательно иметь средства мониторинга событий. В настоящее время наличие механизмов аудита является обязательным требованием к крупным программным продуктам, работающим на любом из уровней. Что касается средств аудита ОС Solaris 2.x, то они принадлежат преимущественно системному уровню, лишь частично покрывая сетевой и тем более внешний функциональные уровни.

Модуль SunSHIELD, входящий в состав Solaris 2.x, осуществляет аудит в соответствии с требованиями к классу безопасности C2 (по классификации Национального Центра Компьютерной Безопасности США) (соответствует пятому классу защищенности средств вычислительной техники по классификации Гостехкомиссии РФ).

Аудит невозможен без идентификации и аутентификации пользователей. С этой целью при входе в систему программой аудита пользователю присваивается уникальный идентификатор, ассоциируемый с пользовательскими процессами, который не меняется, даже если пользователь с помощью команды su меняет свое имя.

Регистрационные действия выполняются специализированным аудит-демоном, который проводит запись событий в регистрационный журнал в соответствии с текущей конфигурацией. Аудит-демон стартует в процессе загрузки системы.

Анализ записей регистрационного журнала позволяет выявлять несанкционированную деятельность пользователей. Системный администратор может выбирать, что будет отслеживаться для каждого из пользователей.

Некоторые события не имеют пользовательской принадлежности, поскольку происходят как прерывания в ядре либо совершаются перед идентификацией и аутентификацией. SunSHIELD позволяет отслеживать и их.

Каждое событие принадлежит какому-либо классу аудита. Такое деление упрощает анализ большого количества событий. Принадлежность событий к классам и набор классов могут быть сконфигурированы системным администратором путем редактирования файла /etc/security/audit_event . Все события пронумерованы от 0 до 65535, причем первые 2048 номеров отведены для событий, связанных с ядром ОС, с 2048 по 32767 — под пользовательские события ОС UNIX, а остальные — под прочие приложения. Таким образом достаточно легко производится настройка на круг событий, для которых требуется аудит.

В общем случае существует около двадцати классов отслеживаемых событий. Каждый класс имеет два имени — полное и сокращенное. Список классов аудита включает в себя:

no_class. исключается из классификации

file_read. события, связанные с чтение

file_write. модификация файлов

file_attr_acc. доступ к атрибутам файла

file_attr_mod. модификация атрибутов файла

file_creation. создание объекта

file_deletion. уничтожение объекта

file_close. системный вызов close

process. операции, связанные с процессами: fork, exec и др.

network. сетевые события: доступ, контакт и т.д.

ipc. операции межпроцессного взаимодействия

non_attrib. события без атрибутов

administrative. действия администрирования

login_logout. вхо

application. события, связанные с приложениями

ioctl. системный вызов ioctl

exec. выполнение программ

other. прочие события

Для любого класса устанавливается один из трех флагов аудита: аудит в случае успешного выполнения действия, аудит неудачных попыток, безусловный аудит. Все указанные описания содержатся в файле /etc/security/audit_control .

Если желательно проводить аудит действий каких-либо пользователей в большем или меньшем объеме, чем всех остальных, администратору достаточно внести соответствующие изменения в файл /etc/security/audit_users .

Аудит-демон выполняется от имени суперпользователя. Соответственно, владельцем всех создаваемых им файлов является пользователь root. Даже если никаких классов для аудита не определено, аудит-демон постоянно работает, причем в каждый момент времени может существовать только один экземпляр демона. В случае, если проведение аудита наталкивается на какие-либо трудности (пример — исчерпание дискового пространства), аудит-демон с помощью программы audit_warn посылает соответствующее сообщение системному администратору.

При работе модулей аудита на нескольких машинах они могут администрироваться как части распределенной системы, когда каждая машина регистрирует события, а затем при помощи программы audit_reduce локальные регистрационные журналы собираются вместе, что позволяет анализировать все события, относящиеся к какому-либо классу или пользователю.

Как и все остальные программные средства, системный аудит является лишь инструментом для проведения какой-либо политики безопасности. Для эффективного использования указанного инструмента необходимо выработать стратегию проведения и анализа системного аудита. Возможны следующие решения:

Все регистрационные журналы хранятся в бинарном виде. При необходимости они могут просматриваться при помощи программы praudit . Программа выводит содержимое журналов в текстовом виде в одном из трех вариантов: обычном, сокращенном или числовом (пользовательские идентификаторы и номера событий приводятся в числовом виде).

Дополнительной особенностью модуля BSM SunSHIELD является возможность резервирования внешних устройств за определенным пользователем. Это позволяет исключить, например, считывание информации с магнитной ленты в период, когда ее хозяин уже закончил работу с устройством, но ленту еще не снял.

Встроенные средства аудита позволяют проводить подробный мониторинг событий, связанных с безопасностью ОС Solaris 2.x (системными ресурсами) на системном и частично сетевом уровнях работы информационной системы.


ASET — средство проверки корректности конфигурации системы Содержание Сетевые средства защиты
Copyright ╘ 1993-2000, Jet Infosystems