19.09.2001, среда

 

Средства обнаружения попыток несанкционированного доступа

По статистике параллельно с развитием IT-технологий растет и цифра компьютерных преступлений, совершаемых в сфере высоких технологий. С другой стороны, масштаб ущерба от промышленного шпионажа (хищение частной или корпоративной информации по заданию конкурента), на практике ниже, чем от вынужденного простоя предприятия в результате вторжений во внутрисетевые процессы.

К сожалению, исключительно средствами межсетевого экрана невозможно полноценное обнаружение и предупреждение сетевых атак. Некоторые компании предлагают на рынке достаточно эффективные инструменты для решения этих задач. В частности, межсетевой экран Symantec Enterprise Firewall призван обеспечивать необходимую защиту предприятия, в т.ч. интерфейса между корпоративной сетью и интернетом, внутренних сетей, частных подсетей и филиалов. В архитектуру продукта включены шлюзы прикладного уровня для подтверждения достоверности информации на всех уровнях стека протоколов, сетевые схемы, фильтрации пакетов. Основное отличие данного продукта - обеспечение интуитивно понятного управления, быстродействие и многопоточные службы. Так же, как и все продукты этого класса, межсетевой экран позволяет фильтровать URL, задавать для разных пользователей различные правила, запрещающие или разрешающие доступ к тем или иным веб-сайтам, а также группам новостей.
Таким образом, межсетевые экраны и средства проверки подлинности (аутентификации) пользователей системы помогают обезопасить систему от несанкционированного проникновения, но остается еще потребность от тщательно спланированных и профессиональных попыток вторжения в компьютерные системы компаний. То есть встает вопрос мониторинга системы, выявления злонамеренных действий и своевременного предупреждения о потенциальной и реальной опасности. Продукты класса Intrusion Detection System (IDS) - Средства Обнаружения Атак призваны предоставлять дополнительные возможности оперативного мониторинга сетевой активности, благодаря чему удается предохранить системы, приложения и данные от кражи, умышленного уничтожения или подмены.

История IDS-систем началась со времен развития больших информационных систем. Малое количество и дороговизна мейнфремов вынуждали, ограничивать и жестко контролировать доступ к ресурсам системы. В начале 1970-х системы аудита были адаптированы под нужды администраторов, позволяя просматривать лог-файлы на предмет аномалий, который могли повлечь несанкционированные изменения в системе.

В середине 80-х системы мониторинга стали работать в режиме реального времени, а в 1990-м году были разработаны системы для мониторинга внутрисетевой активности. Этот принцип по-прежнему остается основополагающим и в современных IDS-системах. Сущность работы IDS проста - "агент" производит мониторинг за внутрисетевым трафиком и за обращением к файлам на сервере, и в случае нарушений стандартных установок производит уведомление администратора.
Времена, когда системные администраторы, установив межсетевые экраны, могли спать спокойно - прошли. Теперь компании выстраивают сложную и запутанную политику информационной безопасности, чаще всего состоящую из нескольких слоев с превентивными и реагирующими функциями. В новых условиях применение систем обнаружения атак становится таким же обычным и необходимым условием, как и применение криптографии, аутентификации и антивирусной защиты.

Основная идея в реализации IDS-систем - установка ряда "агентов", производящих мониторинг входящего и исходящего сетевого трафика и выявление совпадений с шаблонами известных сетевых и системных атак. Тем не менее, эволюция развития интернета внесла свои коррективы в первоначальную установку.

IDS-системы делятся на две группы:
  • Host-based IDS (решения на базе хоста),
  • "Сетевые" (network-based) IDS-системы.
Host based IDS (решения на базе хоста)
Данный вид систем добавляет новый "слой" безопасности в комплексе охраны уязвимой или особо важной системы. Система производит аудит системных журналов на предмет "неправильного поведения", например, множественных попыток подключения к сети или попыток изменения атрибутов файлов. В указанные моменты времени может выполняться проверка контрольных сумм важных файлов для выявления фактов их изменений. Таким образом, основная задача "агента" централизованной IDS-системы - отслеживать внутренние процессы и сообщать о критических событиях.

Польза от использования системы - возможность выявления и классификации внутренних и внешних злоупотреблений, что сетевые мониторы и межсетевые экраны обычно не могут делать. Учитывая, что многие проблемы исходят от сотрудников фирмы, а не от проникновения в сеть извне, предлагаемая функция IDS очень полезна.

Агент изначально устанавливается в только что развернутой системе, имея своей целью контролировать неизменность установок хоста, и записывает важные атрибуты системных файлов. Соответственно, если на "охраняемых" станциях работают разные операционные системы (Microsoft Windows NT/2000, Sun Solaris или Linux), администратору придется устанавливать IDS-системы на каждую из платформ. Рекомендуемый объем оперативной памяти и производительность процессора у разных IDS-систем различаются.

Основные поставщики подобных решений:
Symantec, CyberSafe, Internet Security Systems (ISS), Intrusion.com.

"Сетевые" IDS-системы (NIDS)
"Сетевые" IDS-системы располагаются в локальной сети предприятия и производят мониторинг внутрисетевого трафика в режиме реального времени на предмет соответствия происходящих процессов заранее определенным "шаблонам" (сигнатурам) атак. Признаки известных атак хранятся в регулярно обновляемой базе данных.

Например, во время атаки по DoS-принципу в сеть посылаются сконфигурированные специальным образом пакеты данных, вызывающие в принимающей системе сбой.

Монитор распознает такие пакеты и принимает меры к противодействию - выдает сигнал тревоги или отключает соединение. В последнем случае IDS-система напрямую взаимодействует с межсетевым экраном и маршрутизаторами.

Проблема такого подхода состоит в том, что постоянный мониторинг трафика может стать "узким местом" в скоростной локальной сети. Внедрение ПО определения атак на маршрутизаторах всегда вызывало споры, так как проверка каждого проходящего пакета по сигнатурам атак обычно отнимает заметную часть общей производительности маршрутизатора. Тем не менее, пограничные маршрутизаторы (расположенные на стыке внутренних сетей и публичных) предоставляют отличную возможность для распознавания и пресечения атак до того, как они попадут во внутреннюю корпоративную сеть.

База данных шаблонов сетевых атак поставляется вместе с IDS-системой и может пополняться ее разработчиками. Кроме того, администраторы системы сами могут добавлять новые шаблоны и правила. В некоторых случаях происходит запись протекающих сессий для последующего анализа.

Также системные администраторы могут определят основные установки сетевой инфраструктуры (объём трафика, размер пакетов), после чего "агенты" устанавливаются на периодический мониторинг сегментов сети и серверов на предмет соответствия базовым установкам.

Таким образом, разработчики IDS-систем сталкиваются с теми же проблемами, что и разработчики антивирусного ПО - обе системы основаны на необходимости разработки и настройки пользователем как можно более совершенной модели реакции на те или иные действия, основанной на постоянно обновляемой базе данных "сигнатур" сетевых атак.

Сетевые мониторы имеют ряд важных достоинств. Сигнал тревоги в режиме реального времени позволяет администратору быстро реагировать на атаку; сохранение истории внутрисетевой активности даёт возможность для его дальнейшего анализа. Кроме того, сетевые мониторы не зависят от операционных системы, используемых в сети. Основным требованием является наличие выделенной станции, которая должна находиться в "наблюдаемом" сегменте, и при этом иметь сетевую карту, умеющую переходить в режим перехвата всех пакетов (promiscuous mode). Кроме этого, возможна настройка шифрованного канала связи между станцией и консолью управления.

Следует иметь в виду, если атакующему удастся "сломать" анализатор пакетов, дальнейшие действия по сети уже не будут отслежены. Все это должно приниматься во внимание в процессе моделирования системы безопасности. Также как и на межсетевом экране, доступ к администрированию IDS-системы не должен предоставляться посторонним учетным записям, кроме привилегированных (root или Administrator) пользователей; возможность выполнения ненужных сетевых функций на выделенной станции должна быть заблокирована; интерактивное управление настроено только через консоль. В случае если система работает в многозадачной, многопользовательской ОС, то в целях экономии скорости анализа пакетов в трафике следует избавить станцию от обработки большинства задач пользователей.

Если защищаемые данные имеют высокую ценность для компании, следует установить резервную IDS-систему от другого производителя и разместить ее на отличной от первой системы станции, с целью предотвращения одновременного вывода из строя обеих систем.

Основные поставщики "сетевых" IDS:
Axent/Symantec, Cisco, Enterasys Networks, ISS, Intrusion.com, Network ICE и Network Flight Recorder.
Первый шаг в установке выбранной IDS-системы - логично вписать систему в корпоративную политику информационной безопасности. Прежде всего, нужно определить каким образом приложение будет работать со всей архитектурой системы безопасности, выделить процессы, которые будут под надзором и назначить ресурсы (ПО, "железо" и люди, ответственные за технологию).

Непосредственно перед составлением плана внедрения выбранной IDS-системы, необходимо как можно точнее и полнее расписать всю сетевую структуру с указанием характеристик каждого сегмента сети. Проанализировать пограничные сегменты сети (маршрутизаторы, переключатели и межсетевые экраны). Составить список, разрешенных пользователей сети (внутренних и внешних). Перечислить все станции, с указанием процессов, обрабатываемых станциями и списком допущенных пользователей.

После установки выбранной системы, администратор должен грамотно настроить приложение, особенно учитывая тот объем информации, накапливаемый системой для последующего анализа. Также файлы записей истории должны быть защищены от возможности умышленного уничтожения следов проникновения в систему. Как и антивирусная база данных, база шаблонов атак должна периодически актуализироваться производителем.

Что выбрать host-based или network-based IDS?

Популярные типы атакПример атакиNetworkHost
Отказ в обслуживанииSynFlood Attack+-
Сканирование и определение типа/параметров системыSatan++/-
Атака на парольL0phtCrack-+/-
Захват привилегийBuffer Overflow +
Повреждение программного кодаMalformed URL-+
ВандализмMelissa Virus-+
Кража информацииTargeting Key Sources +/-
МошенничествоB02K-+/-
Аудит сетиCovering a Trail +
Атака на привилегии администратора безопасностиBackdoor insert +

+  лучший выбор
+/-  хороший выбор
-  плохой выбор
Источник: Symantec

Таким образом, IDS-система - это не некое приложение, установив которое можно забыть о нем. Политика информационной безопасности должна быть адекватна, база данных - обновляться, записи логов - просматриваться и анализироваться. При соблюдении этих условий компания может надеяться на эффективную защиту своих информационных ресурсов.

Так, сетевая IDS-система может не отследить попытки вторжения, основанные на использовании конкретных "дыр" безопасности программного обеспечения. В тоже время, host-based IDS-системы в состоянии отслеживать весь комплекс параметров системного ПО. Возможно, самый положительный момент от использования централизованной IDS-системы - способность выявления внутренних попыток нарушения внутрикорпоративной политики информационной безопасности. С другой стороны, централизованная IDS-система не сможет уберечь компанию от классических сетевых атак (DoS, SYN flooding, ping of death, land attack и т.п.).

По мере развития рынка информационной безопасности и числа попыток вторжений в информационные системы предприятий, большое значение приобретает время реакции системы на зафиксированную попытку вторжения. Последние разработки систем обнаружения атак применяют механизм автоматической защиты.

Однако основная проблема подобных разработок - конечный результат реакции системы защиты может оказаться именно тем, что и хотел бы добиться атакующий. Например, атака хакера может представляться адресом другого хоста (IP-spoofing или подмена адреса отправителя, чаще всего нужна для того, чтобы нежелательный пакет дошёл до внутреннего незащищённого компьютера), что ведёт к фильтрованию доступа невинного хоста к Вашей сети (возможно, вашего партнёра по бизнесу или даже вашего клиента). В этом случае, хакер использовал вашу ответную реакцию для того, чтобы произвести атаку "отказ в обслуживании" (DoS) одновременно против Вашей сети и того хоста, который он "подставил".

Таким образом, перед тем как принимать решение - прерывать связь, объявлять тревогу или просто произвести запись и архивирование происходящих событий, гораздо полезнее собрать как можно больше информации об атакующей стороне. Например, воспользоваться обратной трассировкой сервера, reverse-DNS lookup IP-адреса атакующего, попытаться идентифицировать атакующую станцию (тип ОС) и используемого сервис-провайдера.



Основные поставщики IDS-систем


Компания Symantec предлагает на рынке продукт Intruder Alert (для хостов) и NetProwler (для сетей).

Cisco Systems предлагает продукт Cisco Secure IDS (бывший NetRanger) и Cisco Secure Scanner (бывший NetSonar). Cisco Secure IDS состоит из двух компонентов: Sensor и Director. Sensor "работает" поверх протокола TCP/IP и производит мониторинг сегментов локальной сети, шлюза соединения с интернетом, а также модемного пула, соединяющего компанию со сторонними бизнес-партнерами. Данная часть продукта проверяет каждый пакет IP в отдельности и в потоке данных.

Например, если пользователь часто получает запросы от утилиты Ping, которая чаще всего безопасна, Sensor может быть настроен таким образом, чтобы игнорировать такие запросы с указанного адреса. Когда Sensor обнаруживает возможное нарушение, посылается сигнал на Director-консоль - второй компонент Cisco Secure IDS. Director осуществляет надзор за параллельными процессами мониторинга, и в случае нарушения штатных установок, посылается сигнал на пейджер или электронную почту. Администратору предоставляется возможность быстро найти место, в котором произошла ошибка и насколько серьезны нарушения. Интегрированная база данных предоставляет информацию о возможных мерах противодействия по устранению атаки.

Компания Computer Associates выпускает продукт eTrust, предлагающий решения проблем сетевой безопасности на уровне предприятий, включая интернет-соединения, PKI, доступ к серверам, VPN, предотвращение от умышленного повреждения, антивирусная защита, IDS-функции и т.д. Предоставляется возможность распознавания сигналов атаки на взлом, вирусной атаки, подозрительная активность Java-апплетов и ActiveX. Также происходит хранение логов электронной почты, интернет-серфинга, Telnet и FTP-подключений. В случае подозрительной активности, посылаетс предупреждение на электронную почту или пейджер и блокирует подозрительные процессы. Продукт позволяет создавать правила, на основании которых происходит блокировка аналогичных сессий.

Компания Internet Security Systems (ISS), один из самых известных разработчиков систем IDS, предлагает на рынок гибридный продукт RealSecure (Manager, Network Sensor, OS Sensor, Server Sensor). RealSecure выявляет подозрительные процессы как на уровне сетевой инфраструктуры, так и на уровне ОС.

Также производством IDS-систем занимаются следующие компании:

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS