На чем палятся вардрайверы: программы для обнаружения атак на беспроводную сеть. APS - обнаружение хакерских атак

28.06.2019

Дмитрий Костров ,
ЗАО "Эквант"
[email protected]

Не рост и мощь, а разум
Сулит в войне победу.
Уильям Шекспир

Системы обнаружения компьютерных атак (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия, учитывая, как растет в последние годы число проблем, связанных с компьютерной безопасностью (рис. 1). Хотя технология IDS не обеспечивает полную защиту информации, тем не менее она играет весьма заметную роль в этой области. Краткая история вопроса, а также некоторые экспериментальные и коммерческие системы были рассмотрены в статье ("BYTE/Россия", № 10"2001). Здесь же мы подробнее обсудим современные представленные на рынке продукты и направления дальнейшего развития IDS.

Рынок систем IDS бурно развивается с 1997 г. Именно в это время компания ISS (http://www.iss.com) предложила свой продукт под названием Real Secure. Год спустя Cisco Systems (http://www.cisco.com), осознав целесообразность разработки IDS, купила продукт NetRanger вместе с компанией Wheel Group. Нельзя не упомянуть здесь и объединение SAIC и Haystack Labs в Centrax Corporation (http://www.centrax.com).

Необходимо отметить, что обычные IDS своевременно обнаруживают только известные типы атак. Они работают в том же режиме, что и антивирусные программы: известные - ловятся, неизвестные - нет. Обнаружение неизвестной атаки - трудная задача, граничащая с областью систем искусственного интеллекта и адаптивного управления безопасностью. Современные IDS способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий могут учитываться уже произошедшие, что позволяет идентифицировать атаки, разнесенные во времени, и тем самым прогнозировать будущие события.

В 80-е годы большинство злоумышленников были экспертами в части взлома и сами создавали программы и методы несанкционированного проникновения в компьютерные сети; автоматизированные средства использовались редко. Сейчас появилось большое число "любителей", со слабым уровнем знаний в данной области, которые используют автоматические средства вторжения и эксплойты (exploit - вредоносный код, использующий известные ошибки в ПО и применяемый злоумышленником для нарушения нормальной работы программно-аппаратного комплекса). Иными словами, по мере усовершенствования автоматических средств вторжения снижались уровень знаний и квалификация большинства злоумышленников.

Существует много различных типов атак, и их можно ранжировать в соответствии с возрастанием возможной опасности следующим образом:

угадывание паролей
репликационный код
взлом паролей
использование известных уязвимых мест
отключение/обход систем аудита
воровство данных
back doors (специальные входы в программу, возникающие из-за ошибок при ее написании или оставленные программистами для отладки)
использование снифферов и sweepers (систем контроля содержимого)
использование программ диагностики сети для получения необходимых данных
использование автоматизированных сканеров уязвимостей
подмена данных в IP-пакетах
атаки типа "отказ в обслуживании" (DoS)
атаки на Web-серверы (CGI-скрипты)
технологии скрытого сканирования
распределенные средства атаки.

Теперь атака длится не больше нескольких секунд и может нанести очень чувствительный вред. Например, атака типа "отказ в обслуживании" может вывести из строя Web-магазин или online-биржу на длительное время. Такие атаки наиболее распространены, и способы защиты от них развиваются быстрыми темпами.

Цель любой IDS - обнаружить атаку с наименьшими ошибками. При этом объект атаки (жертва) обычно хочет получить ответ на следующие вопросы.

Что случилось с моей системой?
Что подверглось нападению, и насколько опасна атака?
Кто злоумышленник?
Когда атака началась и откуда?
Как и почему произошло вторжение?

Злоумышленник, в свою очередь, как правило, пытается узнать следующее. ·

Что представляет собой цель атаки?
Есть ли уязвимости и какие?
Какой вред можно нанести?
Какие эксплойты или средства проникновения имеются?
Есть ли риск быть раскрытым?

Типы IDS

Надежда победить приближает победу,
уверенность в победе лишает нас ее.
Тит Ливий

В первую очередь в IDS используются различные способы определения несанкционированной активности. Хорошо известны проблемы, связанные с атаками через межсетевой экран (брандмауэр). Межсетевой экран разрешает или запрещает доступ к определенным сервисам (портам), но не проверяет поток информации, проходящий через открытый порт. IDS, в свою очередь, пытается обнаружить атаку на систему или на сеть в целом и предупредить об этом администратора безопасности, в то время как атакующий полагает, что он остался незамеченным.

Здесь можно провести аналогию с защитой дома от воров. Закрытые на замок двери и окна - это межсетевой экран. А сигнализация для оповещения о взломе соответствует IDS.

Для классификации IDS существуют различные способы. Так, по способу реагирования различают пассивные и активные IDS. Пассивные просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, переконфигурируя межсетевой экран или генерируя списки доступа маршрутизатора. Продолжая аналогию, можно сказать, что если сигнализация в доме включает звуковую сирену для отпугивания вора - это аналог активной IDS, а если подает сигнал в милицию - это соответствует пассивной IDS.

По способу выявления атаки различают системы signature-based и anomaly-based. Первый тип основан на сравнении информации с предустановленной базой сигнатур атак. В свою очередь, можно классифицировать атаки по типу (например, Ping-of-Death, Smurf). Однако системы данного типа не могут отлавливать новые, неизвестные виды атак. Второй тип основан на контроле частоты событий или обнаружении статистических аномалий. Такая система ориентирована на выявление новых типов атак. Однако недостаток ее - необходимость постоянного обучения. В примере с охраной дома аналогом такой более продвинутой системы IDS выступают соседи, которые знают, кто приходил к вам, внимательно смотрят за незнакомыми людьми и собирают информацию о нештатной ситуации на улице. Это соответствует типу anomalous IDS.

Наиболее популярна классификация по способу сбора информации об атаке: network-based, host-based, application-based. Система первого типа работает по типу сниффера, "прослушивая" трафик в сети и определяя возможные действия злоумышленников. Поиск атаки идет по принципу "от хоста до хоста". Работа таких систем до последнего времени была затруднена в сетях, где использовались коммутация, шифрование и высокоскоростные протоколы (более 100 Мбит/с). Но недавно появились решения компаний NetOptics (http://www.netoptics.com) и Finisar (http://www.finisar.com) для работы в коммутируемой среде, в частности, технологии SPAN-портов (Switched Port Analyzer) и Network Tap (Test Access Port). Network Tap (в виде отдельного устройства или встроенного в коммутатор блока) позволяет проводить мониторинг всего трафика на коммутаторе. В то же время фирмы Cisco и ISS добились определенных успехов в реализации таких систем в высокоскоростных сетях.

Системы второго типа, host-based,предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Система, располагаясь на защищаемом хосте, проверяет и выявляет направленные против него действия. Третий тип IDS, application-based, основан на поиске проблем в определенном приложении. Существуют также гибридные IDS, представляющие собой комбинацию различных типов систем.

Работа современных IDS и различные виды атак

Общая схема функционирования IDS приведена на рис. 2. В последнее время появилось много публикаций о системах, называемых distributed IDS (dIDS). dIDS состоит из множества IDS, которые расположены в различных участках большой сети и связаны между собой и с центральным управляющим сервером. Такая система усиливает защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS. dIDS состоит из следующих подсистем: центральный анализирующий сервер, агенты сети, сервер сбора информации об атаке.

Рис. 2. Общая схема функционирования IDS.

Центральный анализирующий сервер обычно состоит из базы данных и Web-сервера, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса.

Агент сети - один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой - сообщать об атаке на центральный анализирующий сервер.

Сервер сбора информации об атаке - часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируется информация, полученная от агентов сети. Группировка может осуществляться по следующим параметрам:

IP-адресу атакующего;
порту получателя;
номеру агента;
дате, времени;
протоколу;
типу атаки и т. д.

Несмотря на многочисленные упреки и сомнения в работоспособности IDS, пользователи уже широко применяют как коммерческие средства, так и свободно распространяемые. Разработчики оснащают свои продукты возможностями активного реагирования на атаку. Система не только определяет, но и пытается остановить атаку, а также может провести ответное нападение на атакующего. Наиболее распространенные типы активного реагирования - прерывание сессии и переконфигурирование межсетевого экрана.

Прерывание сессии наиболее популярно, потому что для этого не используются драйверы внешних устройств, таких, как межсетевой экран. В оба конца соединения, например, просто посылаются пакеты TCP RESET (с корректным номером sequence/acknowledgement). Однако уже существуют и описаны способы обхода такой защиты злоумышленниками (например, использование флага PUSH в пакете TCP/IP или использование трюка с current pointer).

Второй способ - переконфигурирование межсетевого экрана, позволяет злоумышленнику узнать о наличии экрана в системе. Посылая большой поток ping-пакетов на хост и видя, что через некоторое время доступ прекратился (ping не проходит), атакующий может сделать вывод, что IDS провела переконфигурацию межсетевого экрана, установив новые правила запрета ping на хост. Однако есть способы обойти и эту защиту. Один из них заключается в применении эксплойтов до переконфигурирования межсетевого экрана. Существует и более простой путь. Злоумышленник, атакуя сеть, может задавать в качестве адреса отправителя IP-адреса известных фирм (ipspoofing). В ответ на это механизм переконфигурирования межсетевого экрана исправно закрывает доступ на сайты этих компаний (к примеру, ebay.com, cnn.com, cert.gov, aol.com), после чего начинаются многочисленные звонки возмущенных пользователей в службу поддержки "закрытых" компаний, и администратор вынужден отключить данный механизм. Это очень напоминает отключение ночью автомобильной сигнализации, постоянные срабатывания которой не дают уснуть жителям окрестных домов. После этого машина становится намного доступнее для автомобильных воров.

При этом необходимо помнить, что уже существуют средства для выявления IDS, работающих в режиме "прослушивания" трафика (http://www.securitysoftwaretech.com/antisniff/download.html); кроме того, многие IDS подвержены атакам типа DoS (отказ в обслуживании).

Наиболее продвинулись в этой области "вольные" разработчики мира posix. Простейшие атаки используют уязвимости, связанные с использованием signature-based IDS. Например, использование одной из версий свободно распространяемого продукта Snort может быть сведено к нулю следующим образом. При попытке доступа к файлу /etc/passwd, где в UNIX хранятся имена пользователей, принадлежность к группам и shell, Snort использует следующую сигнатуру для выявления данной активности:

Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev:1;)

Однако можно просто поменять символы в запросе - GET /etc//\//passwd или /etc/rc.d/.././\passwd и обойти эту сигнатуру.

Конечно, разработчики систем IDS уже давно учитывают эти изменения и отлавливают атаки, однако все еще встречаются плохо написанные сигнатуры атак.

Существуют атаки, основанные на полиморфном shell code. Данный код был разработан автором http://ktwo.ca / и основан на использовании вирусов. Данная технология более эффективна против систем signature-based, чем против anomaly- или protocol analysis-based. Полиморфный код использует различные способы для обхода систем на базе string-matching (их можно найти по адресу http://cansecwest.com/noplist-v1-1.txt).

Можно также вспомнить атаки, использующие фрагментацию пакетов, отказ сервиса IDS, разделение атаки между несколькими пользователями, кодировку атаки в кодировке "ebcdic" с изменением типа терминала на "ebcdic", реализацию атаки по зашифрованному каналу, подавление порта модуля слежения, изменение таблицы маршрутизации, чтобы избежать попадания трафика к системе обнаружения атак, и т. п.

Системы IDS используются для выявления не только внешних, но и внутренних нарушителей. Их, как показывает практика, порой гораздо больше, чем внешних. Внутренние атаки не относятся к общим типам атак. В отличие от внешних нарушителей, внутренний - это авторизованный пользователь, имеющий официальный доступ к ресурсам интрасети, в том числе к тем, на которых циркулирует конфиденциальная информация. Общая же практика состоит в использовании служб информационной безопасности для защиты периметра интрасети, при этом защите от внутренних угроз уделяется гораздо меньше внимания. Здесь-то и помогают IDS. Настройка IDS для защиты от внутренних атак - непростая задача; она требует кропотливой работы с правилами и профилями пользователей. Для борьбы с внутренними атаками необходимо использовать комбинацию различных IDS.

Компании и продукты

На рынке представлено несколько десятков коммерческих систем IDS, что обеспечивает выбор наиболее приемлемого решения. К сожалению, отечественные продукты пока отсутствуют, хотя две российские компании к концу этого года готовят выпуск своих систем обнаружения атак.

Ниже описаны продукты более двадцати компаний. По мнению автора, порядок их расположения в статье примерно соответствует степени известности в России.

Cisco Systems

Серия продуктов Cisco IDS содержит решения для различных уровней. В нее входят три системы 42xx версии v.2.2.1 (network-based), среди которых 4210 (рис. 3) оптимизирована для среды 10/100Base-T (45 Мбит/с), 4235 - для среды 10/100/1000Base-TX, (200 Мбит/с) и 4250 - для 10/100/1000Base-TX (500 Мбит/с).

Подсистема IDS имеется в коммутаторе Сatalyst - Catalyst 6000 Intrusion Detection System Module (swithed-integrated network-based).

Cisco IDS Host Sensor 2.0 и Cisco IDS Host Sensor Web Server, разработанные компанией Entercept, обеспечивают защиту на уровне хоста (host-based). IDS на уровне маршрутизатора (Firewall Feature Set 12.1(4)T) способна отражать 59 наиболее опасных видов атак (система network-based). При использовании IDS на уровне межсетевого экрана PIX 535, 525, 515Е, 506Е, 501 (v.6.2.2) отражается более 55 наиболее опасных видов атак (система network-based). Управление системами защиты осуществляется с помощью CiscoWorks VPN/Security Management Solution (VMS) или Cisco IDS software version 3.1(2). Рис. 4 иллюстрирует работу сетевого сенсора Сisco при попытке узнать имена хостов.

Рис. 4. Работа сетевого сенсора Сisco при попытке узнать имена хостов.

Internet Security Systems

Компания ISS в свое время совершила резкий скачок в данной области и занимает ведущие позиции в части реализации систем обнаружения атак. Она также предлагает целое семейство решений для различных уровней.

RealSecure Network Sensor - программное решение, предназначенное для установки на выделенный компьютер в критичном сегменте сети. Анализируя сетевой трафик и сопоставляя его с базой сигнатур атак, сенсор обнаруживает различные нарушения политики безопасности (рис. 5).

Система RealSecure Gigabit Sensor обрабатывает более 500 тыс. пакетов в секунду, используя запатентованный алгоритм семиуровневого анализа, обнаруживает большое число атак, пропускаемых другими системами. Применяется главным образом в сетях, работающих с большой нагрузкой.

RealSecure Server Sensor позволяет обнаруживать атаки на всех уровнях, направленные на конкретный узел сети. Кроме того, может проводить анализ защищенности и обнаружения уязвимостей на контролируемом узле.

Программа RealSecure Desktop Protector (ранее называвшаяся BlackICE Agent) предназначена для обнаружения в реальном режиме времени атак, направленных на рабочие станции корпоративной сети.

RealSecure for Nokia - программно-аппаратное решение, разработанное компаниями ISS и Nokia. Оно объединяет все функциональные возможности RealSecure Network Sensor и Nokia IP Network Security Solutions. Система функционирует под управлением защищенной ОС IPSO, базирующейся на FreeBSD.

RealSecure Guard - программное решение, совмещающее в себе возможности межсетевого экрана и системы обнаружения атак в реальном режиме времени. Она устанавливается между защищаемым и открытым сегментами сети (так называемая inline-IDS) и анализирует весь проходящий через нее трафик в поисках запрещенных или опасных пакетов. Система может обнаруживать атаки как на сегменты сети, так и на отдельные, наиболее важные узлы.

Для управления перечисленными системами RealSecure используется модуль RealSecure SiteProtector, который служит основным компонентом централизованного управления и для систем Internet Scanner и System Scanner. Он ориентирован на применение в крупных, территориально распределенных сетях или в организациях, использующих одновременно несколько решений компании ISS.

Более простой модуль RealSecure WorkGroup Manager предназначен для управления только RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor и RealSecure for Nokia. Он может использоваться в отсутствие других решений ISS и при небольшом числе сенсоров в сети (до пяти).

RealSecure Command Line Interface предназначен для управления из командной строки только RealSecure Network Sensor и Gigabit Sensor. Этот модуль управления ориентирован на локальное использование.

Symantec

Продукты Intruder Alert и NetProwler (в настоящее время выпущены версии 3.6 и 3.5.1 соответственно) достаточно подробно описаны в упоминавшемся выше обзоре ("BYTE/Россия", № 10"2001, с.14).

Enterasys Networks

Enterasys Networks - часть бывшей компании Cabletron Systems. Она выпускает IDS Dragon (типа network-based). Внутренняя архитектура шестой версии системы обладает повышенной масштабируемостью. Система включает компоненты Network Sensor, Squire Host Sensor, управляющий модуль с Wеb-интерфейсом Dragon Policy Manager и систему централизованного мониторинга безопасности сети в реальном масштабе времени Dragon Security Information Manager.

Computer Associates

Система eTrust Intrusion Detection (прежнее название SessionWall) предоставляет средства для защиты и мониторинга локальной сети. Этот высокоэффективный и достаточно простой программный продукт предоставляет возможности мониторинга, обнаружения атак, контроля за WWW-трафиком, ведения журналов. Обширная библиотека шаблонов атак eTrust Intrusion Detection регулярно обновляется, и с ее помощью автоматически определяются атаки, соответствующие шаблонам.

Система может использоваться как сниффер, кроме того, позволяет ограничить доступ к узлам Интернета с помощью правил, содержащих ключевые слова. eTrust также ведет количественный учет трафика в сети.

Обнаруживаются вирусы и опасные компоненты Java/ActiveX. Идентифицируются и регистрируются попытки пользователей подобрать пароль для входа в систему, что может впоследствии пригодиться для организационных решений руководства компании.

eTrust Intrusion Detection обеспечивает контекстный просмотр всех циркулирующих в локальной сети пакетов и их блокировку при наличии определенных администратором ключевых слов.

NFR Security

Компания была основана в 1996 году с целью разработки перспективных систем IDS.

Система NFR NID обеспечивает мониторинг сетевого трафика в реальном масштабе времени, выявляя подозрительную активность, различные атаки, запрещенное поведение пользователей в сети и различные статистические отклонения. Используемые сенсоры могут работать со скоростями 1 Гбит/с и 100 Мбит/с без потерь пакетов. В отличие от традиционных систем IDS (сравнение трафика с сигнатурами атак), NFR NID использует специализированную базу знаний, проверяет активность в сети с использованием известных эксплойтов, что дает возможность выявлять в трафике новые виды атаки - такие, как Code Red и Nimda.

NFR HID работает на уровне хоста, позволяет идентифицировать уязвимости и слабые политики безопасности, выявлять подозрительную активность пользователей, проводить мониторинг защищаемого хоста на уровне сетевых атак. Способна поддерживать до 10 тыс. хостов, что очень удобно в больших сетях. В системе используются два типа программ-агентов: Log Analysis Agent проводит мониторинг ядра и файлов сетевых журналов, включая syslogs. Network Node Agent осуществляет мониторинг сетевого трафика и выявляет DoS-атаки на защищаемый хост (отказ в обслуживании), атаки FTP password grabbing, Web phf attacks, CGI scans, BackOrifice scans и т. п. Хорошо подходит для работы в сетях с шифрованием и в коммутируемых сетях.

Tripwire

История развития компаний Tripwire и NFR, а также некоторые функциональные особенности их продуктов изложены в том же обзоре в . Отметим, что существуют три основных продукта этой компании, названия которых говорят сами за себя (for Servers, for Network Devices и for Web Pages). Их главная технологическая особенность - вычисление контрольных сумм основных файлов и модулей.

Snort

Snort - облегченная система обнаружения вторжения. Программа анализирует протокол передачи, выявляет различные атаки, например, переполнение буфера, сканирование, CGI-атаки, попытки определения ОС и т. п. Snort использует специальные правила для поиска атак в трафике. Система проста в настройке и обслуживании, однако в ней довольно много приходится настраивать "руками", без удобного графического интерфейса.

Программа работает в трех режимах: sniffer, packet logger и network intrusion detection system. В первом случае система просматривает пакеты на сетевом уровне и выводит информацию о них на консоль, во втором - записывает файлы журнала на диск, в третьем - анализирует сетевой трафик на предмет совпадения сигнатур атак и сигнализирует о них.

Internetwork Research group, BBN Technologies

Продукты серии NIDS, SecureNet, включают устройства, предназначенные для высокоскоростных сетей (SecureNet 5000 и 7000), защиты персонального компьютера (SecureNet 2000), а также систему мониторинга SecureNet Provider и специальное ПО SecureNet Pro.

Система SecureHost (host-based IDS) разработана для защиты ПК и серверов с помощью внедрения специальных сенсоров - программ-агентов. Агенты обеспечивают принятие решения при возникновении атаки в реальном масштабе времени в соответствии с принятой политикой защиты. Набор программ Intrusion SecureHost состоит из управляющей консоли на базе ОС Microsoft Windows 2000 Server и агентов, работающих в системах с Microsoft Windows NT, Windows 2000 или Sun Solaris 2.8.

Firestorm

Высокоскоростная NIDS Firestorm, разработанная Джиани Тедеско и свободно распространяемая, пока представлена в основном в качестве сенсора, работающего под управлением ОС Linux. Особенности системы таковы:

сбор информации идет с помощью библиотек libpcap, позволяющих перехватывать пакеты из сетевого трафика;
система поддерживает правила, написанные для Snort;
легко настраивается путем редактирования файла firestorm.conf;
понимает режим работы stateful inspection (технология инспекции пакетов с учетом состояния протокола);
готовит файлы журналов в формате ASCII или tcpdump;
проводит корреляцию событий;
выдает сигналы об атаке на удаленное устройство - консоль.

Однако (как это часто бывает с бесплатными программами) данная система подвержена атакам. Существует возможность атаки на данную систему, которая приведет к "зависанию" NIDS. Атака уже описана в лентах новостей, проблема оказалась в ошибке модуля обработки памяти.

Psionic Technologies

Продукт TriSentry (ранее Abacus Project tools) предназначен для повышения защищенности сети компании путем выявления различных атак. Система состоит из трех базовых компонентов: PortSentry, HostSentry и LogSentry. IDS предназначена для работы в UNIX-окружении.

PortSentry - простой детектор сканирования, который прекращает связь между хостом-жертвой и атакующим. Хост "сбрасывает" локальные маршруты, устанавливает динамические правила доступа и добавляет хост в специальные файлы TCP wrappers hosts.deny, причем все это происходит в реальном времени.

Программа HostSentry позволяет администратору безопасности выявлять необычную активность пользователей (Login Anomaly Detection, LAD).

LogSentry (прежнее название Logcheck) автоматически проводит мониторинг файлов системных журналов нарушений безопасности в почтовых системах. Этот набор программ, ранее поставляемых с TIS Gauntlet firewall, был существенно переработан для аудита более широкого спектра систем.

Lancope

Программно-аппаратный комплекс StealthWatch - мощная система для мониторинга, детектирования и реагирования на атаки в высокоскоростной среде. В отличие от традиционных систем, имеет архитектуру flow-based, которая позволяет выявлять новые атаки без обращения к базе данных существующих сигнатур. Новая архитектура обеспечивает углубленное выявление атак на основе аномальной активности, работу в высокоскоростной среде (от полного дуплекса 100 Мбит/с до 1 Гбит/с), а также значительно меньше реагирует на ложные атаки.

OneSecure

В системе The OneSecure Intrusion Detection and Prevention (IDP) компания предложила специальный механизм - Multi-Method Detection (MMD), который объединяет наиболее известные способы выявления уязвимостей.

Recourse Technologies

Компания предлагает два продукта: ManTrap обеспечивает защиту наиболее критичных серверов, ManHunt выявляет атаки на уровне сети, в том числе в гигабитном окружении. Используются распределенные сенсоры и центральный сервер обработки и принятия решений. При этом разработанная компанией методика (zero-day) выявляет не только известные, но и новые атаки.

Продукты Emerald, NetStat, Shadow и Bro подробно рассмотрены в в "BYTE/Россия", № 10"2001.

Новые веяния

Коммутаторы все шире используются в корпоративных сетях, поскольку они обладают большей пропускной способностью по сравнению с концентраторами и защищают от атак с использованием программ-снифферов для перехвата конфиденциальной информации. Тем не менее проблемы с применением NIDS сохраняются. Существуют коммутаторы с зеркалированием портов (SPAN-порты), которые копируют данные, проходящие через коммутатор, на выделенный порт. Теоретически с помощью SPAN-порта возможно проверить весь поток данных, однако если объем зеркалируемого трафика превысит допустимый предел, то начинаются потери пакетов.

Сейчас уже существуют решения для гигабитной сети, но есть еще одна проблема - шифрование. Сегодня ни один уважающий себя администратор не работает удаленно со своими системами без SSH или SSL, а поскольку передача данных идет в шифрованном виде, проблема использования IDS остается. Она заключается в невозможности расшифровать весь трафик и, как следствие, проверить сигнатуры атак. В ближайшем будущем практически все производители (если они хотят занимать достойное место на рынке IDS) доработают свои продукты для применения в гигабитной сети.

Еще один вопрос - сбор информации и ее анализ. Даже самый серьезный специалист по безопасности - тоже человек и может не заметить некоторых деталей, которые скроют от него подготовку или проведение атаки на хост компании. Начаты проекты Spice и Spade, направленные на развитие технологии выявления аномальной активности, и они должны помочь в решении данной проблемы.

Несомненно, что IDS развиваются в направлении сбора и корреляции информации. При этом информация должна поступать от разнообразных источников (сенсоров). Скорее всего, различия между NIDS и HIDS постепенно исчезнут, и в дальнейшем будут созданы системы централизованного управления с возможностями принятия решения (хотя бы в простых случаях), что заметно снизит нагрузку на администраторов, ответственных за безопасность компьютерных сетей.

Категоря: Без рубрики

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой…

Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.

Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.

Большинство персональных межсетевых экранов обладают подобной функцией.

Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

UNIX-компьютеры:

Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».

Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.

Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.

Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.

Злоумышленнику, чтобы получить доступ к информации Вашей компании, необходимо пройти несколько эшелонов защиты. При этом он может использовать уязвимости и некорректные настройки конечных рабочих станций, телекоммуникационного оборудования или социальную инженерию. Атаки на информационную систему (ИС) происходят постепенно: проникновение в обход политик информационной безопасности (ИБ), распространение в ИС с уничтожением следов своего присутствия и только потом непосредственно атака. Весь процесс может занять несколько месяцев, или даже лет. Зачастую ни пользователь, ни администратор ИБ не подозревают об аномальных изменениях в системе и проводимой на нее атаке. Все это приводит к угрозам нарушения целостности, конфиденциальности и доступности информации, обрабатываемой в ИС.

Для противодействия современным атакам недостаточно традиционных средств защиты, таких как межсетевые экраны, антивирусы и т.п. Требуется система мониторинга и обнаружения потенциально возможных атак и аномалий, реализующая следующие функции:

обнаружение попыток вторжений в информационные системы;
детектирование атак в защищаемой сети или ее сегментах;
отслеживание неавторизованного доступа к документам и компонентам информационных систем;
обнаружение вирусов, вредоносных программ, троянов, ботнетов;
отслеживание таргетированных атак.

Важно учесть, что если в ИС компании обрабатывается информация, подлежащая обязательной защите в соответствии с требованиями российского законодательства (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами ФСТЭК России и/или ФСБ России.

С-Терра СОВ

На протяжении многих лет компания «С-Терра СиЭсПи» производит VPN-продукты для организации криптографической защиты передаваемых данных и межсетевого экранирования. В связи с возросшими потребностями пользователей в повышении общего уровня безопасности ИС, компания «С-Терра СиЭсПи» разработала специальное средство защиты информации, обеспечивающее обнаружение атак и аномальных активностей.

С-Терра СОВ представляет собой средство защиты, позволяющее администраторам информационной безопасности выявлять атаки, основываясь на анализе сетевого трафика. В основе работы данного средства защиты лежит использование механизмов сигнатурного анализа.

При анализе сетевого трафика с помощью сигнатурного метода администратор всегда сможет точно установить, какой конкретно пакет или группа пакетов вызвали срабатывание сенсора, отвечающего за детектирование аномальной активности. Все правила чётко определены, для многих из них можно проследить всю цепочку: от информации о деталях уязвимости и методах её эксплуатации, до результирующей сигнатуры. В свою очередь, база правил сигнатур обширна и регулярно обновляется, тем самым гарантируя надежную защиту ИС компании.

Для минимизации рисков от принципиально новых атак нулевого дня, для которых отсутствуют сигнатуры, в состав продукта С-Терра СОВ включен дополнительный метод анализа сетевой активности – эвристический. Этот метод анализа активности строится на основе эвристических правил, т.е. на основе прогноза активности ИС и ее сопоставления с нормальным «шаблонным» поведением, которые формируются во время режима обучения данной системы на основе ее уникальных особенностей. За счет применения данного механизма защиты, С-Терра СОВ позволяет обнаружить новые, ранее неизвестные атаки или любую другую активность, не попавшую ни под какую конкретную сигнатуру.

Сочетание сигнатурного и эвристического анализов позволяет обнаружить несанкционированные, нелегитимные, подозрительные действия со стороны внешних и внутренних нарушителей. Администратор ИБ может прогнозировать возможные атаки, а также выявлять уязвимости для предотвращения их развития и влияния на ИС компании. Оперативное детектирование возникающих угроз позволяет определить расположение источника атаки по отношению к локальной защищаемой сети, что облегчает расследование инцидентов ИБ.

Таблица 1. Функциональность С-Терра СОВ

Возможности продукта	Подробное описание
Варианты исполнения	Программно-аппаратный комплекс В виде виртуальной машины
Операционная система	Debian 7
Определение атак	Сигнатурный анализ Эвристический анализ
Управление	Графический интерфейс Командная строка
Регистрация атак	Запись в системный журнал Отображение в графическом интерфейсе
Обновление базы данных сигнатур	Off-line режим On-line режим
Механизмы оповещения	Вывод на консоль администратора Электронная почта Интеграция с SIEM-системами
Работа с инцидентами	Выборочный контроль отдельных объектов сети Поиск, сортировка, упорядочивание данных в системном журнале Включение/отключение отдельных правил и групп правил
Дополнительные механизмы защиты	Защита канала управления с использованием технологии VPN IPsec по ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012 и ГОСТ Р 34.11-2001/2012 Контроль целостности программной части и конфигурации СОВ
Сертификаты соответствия	Ожидается сертификация ФСТЭК России: СОВ 4, НДВ 4, ОУД 3

Система обнаружения атак С-Терра СОВ имеет удобный интерфейс, управление и контроль осуществляется по защищенному каналу с применением технологии IPsec на отечественных криптоалгоритмах ГОСТ.

Использование С-Терра СОВ в качестве компонента защиты повышает общий уровень защищенности ИС благодаря постоянному анализу изменений ее состояния, выявлению аномалий и их классификации. Наглядный и функциональный веб-интерфейс управления и контроля над системой обнаружения вторжений, а также наличие дополнительных утилит управления, позволяет корректно настроить сенсоры событий, эффективно обрабатывать и представлять результаты анализа трафика.

Схема включения С-Терра СОВ

С-Терра СОВ размещается в сегменте локальной сети (например, DMZ-зоне), весь трафик, циркулирующий в этом сегменте, дублируется и перенаправляется на средство защиты через «зеркалирующий» span-порт коммутатора. Управление осуществляется через отдельный интерфейс по защищенному каналу. Более подробная схема включения в ИС компании представлена на рисунке 1 .

Рисунок 1. Схема включения отдельных С-Терра СОВ и С-Терра Шлюз

На одном устройстве могут одновременно работать С-Терра Шлюз для шифрования трафика и межсетевого экранирования, а также С-Терра СОВ – для обнаружения сетевых атак. Подробная схема такого включения представлена на рисунке 2 .

Рисунок 2. Схема включения совместной работы С-Терра СОВ и С-Терра Шлюз

Выбор продуктов

С-Терра СОВ поставляется в виде программно-аппаратного комплекса или в виде виртуальной машины для популярных гипервизоров (VMware ESX, Citrix XenServer, Parallels, KVM).

Выбор конкретного исполнения зависит от объемов передаваемой по сети информации, количества используемых сигнатур и других факторов.

Если предпочтительной является аппаратная платформа, то есть возможность выбрать из трех вариантов производительности анализа информации – для скоростей 10, 100 и 1000 Мбит/с.

Производительность Виртуальной СОВ может изменяться в широких пределах и зависит от используемых настроек гипервизора и ресурсов аппаратной платформы, на которой виртуальная СОВ работает.

Получить помощь в выборе продуктов и оборудования, а также расчет стоимости решения для вашей организации Вы можете, обратившись к нашим менеджерам:
– по телефону +7 499 940-90-61
– или по электронной почте:
Вам обязательно помогут!

Системы обнаружения сетевых атак

Обзор систем обнаружения сетевых атак включает в себя описание наиболее популярных коммерческих и свободно распространяемых СОА. Каждая из систем рассматривается по следующим основным показателям:

Архитектура СОА - структура системы, описание ее составных частей, а также методов взаимодействия между ними;

Характеристики программно-аппаратной платформы, на основе которой функционирует СОА;

Функциональные возможности СОА в части выявления и предотвращения информационных атак;

Ключевые особенности и отличия от других продуктов, представленных на отечественном рынке информационной безопасности.

1. Система «Radware DefensePro»

СОА «Radware DefensePro» разработана компанией Radware и представляет собой программно-аппаратный комплекс, предназначенный для защиты от сетевых атак. В состав СОА входят датчики, устанавливаемые в разрыв каналов связи АС, а также программа управления, которая устанавливается на АРМ администратора безопасности. Датчики СОА

Рис. 1 Логическая структура датчика системы Radware DefensePro

реализованы в виде специализированных аппаратных блоков (так называемых «appliance»), которые состоят из следующих компонентов (рис. 6.1):

Сетевые процессоры, выполняющие функции коммутации пакетов данных, управления полосой пропускания и фильтрации данных. В одном датчике может быть установлено одновременно несколько процессоров;

Аппаратный акселератор «StringMatch Engine», предназначенный для сигнатурного анализа пакетов данных на основе метода контекстного поиска. Данный акселератор состоит из восьми специализированных микросхем ASIC, которые позволяют осуществлять параллельный строковый поиск более 250 тысяч сигнатур;

Шина данных, обеспечивающая функции приема и отправки пакетов данных по сети. Общая пропускная способность шины составляет 44 Гбит/с, в рамках которых можно подключать один 10-Гигабитный интерфейс, семь 1-Гигабитных интерфейсов и 16 интерфейсов типа Fast Ethernet;

Центральный RISC-процессор Power PC производства компании Motorola, который предназначен для управления работой аппаратного акселератора «StringMatch Engine» сетевых процессоров. Управление датчиками Radware DefensePro может осуществляться локально при помощи интерфейса командной строки или удаленно при помощи Web-интерфейса, протоколов telnet или SSH, а также протоколов управления SNMP. Одна консоль управления может взаимодействовать одновременно с несколькими датчиками СОА Radware.

Кроме функций обнаружения и предотвращения атак СОА может использоваться для распределения нагрузки (load balancing), управления полосой пропускания (traffic shaping) на основе механизмов качества обслуживания Quality of service (QoS) и мониторинга сетевых информационных потоков. Система Radware DefensePro также может эффективно применяться для защиты от распределенных атак класса «отказ в обслуживании» за счет того, что может корректно обрабатывать потоки SYN-запросов, поступающие со скоростью более чем 1 млн/с.

СОА реализует сигнатурный и поведенческий методы выявления сетевых атак, которые работают в реальном масштабе времени. Сигнатурный метод базируется на поиске определенных строковых выражений в обрабатываемых пакетах данных. Каждая сигнатура имеет один из трех уровней приоритета - низкий, средний или высокий. База данных сигнатур может регулярно обновляться через Интернет-сайт производителя. Кроме того, администратор безопасности может самостоятельно добавить новую сигнатуру атаки при помощи имеющихся интерфейсов системы. Поведенческий метод позволяет обнаруживать известные и новые типы атак путем выявления аномалий в пакетах. СОА также позволяет выявлять попытки маскирования несанкционированных действий путем обхода механизмов обнаружения.

В случае выявления атаки система позволяет выполнить произвольный набор из следующих методов реагирования:

Заблокировать пакет данных, в котором была найдена определенная сигнатура атаки;

Пропустить пакет данных, в котором была обнаружена сигнатура;

Записать информацию о выявленной атаке в журнал аудита;

Сформировать SNMP-trap сообщение об атаке и отправить его по заданному адресу;

Отослать сообщение об обнаруженной атаке по электронной почте;

Вывести сообщение об атаке на локальный терминал;

Передать сообщение о выявленной атаке серверу службы Syslog. СОА поддерживает два режима работы - активный и пассивный.

В пассивном режиме датчики системы анализируют весь проходящий через них трафик, но при этом не блокируют пакеты данных. Данный режим позволяет произвести настройку параметров СОА и адаптировать ее к особенностям защищаемой АС. Активный режим предоставляет возможность блокировать потенциально опасные пакеты и тем самым предотвращать сетевые атаки.

В СОА Radware DefensePro реализована поддержка многопользовательского режима, который позволяет работать с системой одновременно нескольким администраторам. При этом система позволяет разграничить права доступа администраторов на уровне различных датчиков.

В процессе работы системы ведется детализированный журнал аудита, в котором регистрируется следующая информация:

Дата и время выявленной атаки;

Имя и общее описание выявленной атаки. Все обнаруженные атаки могут быть автоматически отнесены к одной из следующих категорий:

сетевая аномалия, попытка сканирования, вторжение или атака типа «отказ в обслуживании»;

IP-адрес источника и объекта выявленной атаки;

Номера портов TCP и UDP-пакетов, в которых были выявлены признаки сетевых атак;

Количество пакетов, которые были выявлены в рамках сетевой атаки;

Статус сетевой атаки - начальная стадия, стадия реализация и атака уже была проведена;

Параметры методов реагирования, которые были применены в результате выявления атаки.

Система оснащена развитыми средствами генерации графических и текстовых отчетов на основе параметров, задаваемых администратором безопасности. В Radware DefensePro предусмотрено несколько встроенных шаблонов, на основе которых оператор может создавать готовые отчетные документы.

Отличительной особенностью системы Radware DefensePro является возможность выявления атак в высокоскоростных каналах связи, пропускная способность которых составляет несколько Гбит/с.

2. Система «ISS RealSecure»

Система «RealSecure» разработана компанией Internet Security Systems (в 2006 г. компания ISS была куплена корпорацией IBM и в настоящее время продукты RealSecure и Proventia продвигаются на рынке уже под маркой IBM). Система включает в себя следующие компоненты:

Сетевые сенсоры, предназначенные для выявления сетевых атак в заданном сетевом сегменте. Сетевой сенсор устанавливается на выделенный компьютер, который подключается к защищаемому сегменту АС при помощи концентратора или SPAN-порта коммутатора.

Серверные сенсоры, обеспечивающие защиту определенных хостов в АС. Сенсор данного типа представляет собой программный модуль, который устанавливается на защищаемый компьютер. Серверные сенсоры могут использоваться для защиты хостов, функционирующих под управлением разных операционных систем.

Консоль управления SiteProtector, предназначенную для просмотра результатов работы системы и управления параметрами ее функционирования. Консоль администратора взаимодействует только с сервером приложений СОА.

Базу данных, которая содержит информацию обо всех выявленных атаках. База данных реализуется на основе СУБД Microsoft SQL Server.

Сервер приложений, предоставляющий доступ консоли администратора к функциям управления сенсорами и просмотра содержимого базы данных.

Менеджер событий (Event Collector), обеспечивающий запись информации, генерируемой сенсорами в базу данных событий. В целях повышения отказоустойчивости в АС может одновременно использоваться два менеджера событий, которые дублируют друг друга на случай нарушения работоспособности одного из них.

На одном компьютере может быть установлено одновременно несколько компонентов. Так, например, на одном узле может размещаться консоль администратора, а также база данных активов и событий. Общая схема взаимодействия компонентов, входящих в состав СОА «Realsecure», показана на рис. 2.

Сетевые сенсоры СОА «RealSecure» являются пассивными и выполняют функции регистрации атак с возможным последующим реагированием на них. Серверные же сенсоры позволяют не только выявить, но и предотвратить обнаруженную атаку посредством фильтрации потенциально опасных пакетов данных.

Параметры работы сетевых и серверных сенсоров определяются при помощи политик безопасности. Каждая политика безопасности включает в себя определенный набор сигнатур, позволяющих сенсору обнаруживать атаки нарушителя на основе контекстного поиска информации. Все сигнатуры системы сгруппированы в различные категории, что значительно упрощает работу с ними. В системе «RealSecure» не предусмотрено встроенного языка для создания собственных сигнатур, однако вместо этого в состав поставки СОА включен программный модуль TRONS, позволяющий импортировать сигнатуры программного продукта «Snort», который будет рассмотрен далее. СОА также поддерживает возможность удаленного обновления базы данных сигнатур атак с Web-сайта производителя системы. Сигнатуры атак для системы «RealSecure» разрабатываются специализированной лабораторией X-Force, входящей в состав компании ISS. В случае выявления атаки датчик СОА может выполнить один или несколько методов реагирования, описание которых приведено в табл. 1

Рис. 2. Архитектура СОА «RealSecure»

Табл. 1. Описание методов реагирования СОА «RealSecure»

№	Метод реагирования	Описание метода реагирования
	BANNER	Метод посылает нарушителю предупреждающее текстовое сообщение, которое определяется администратором СОА
	BLOCK	Метод позволяет блокировать (отфильтровывать) трафик, поступающий от узла, с которого была зафиксирована атака
	DISABLE	Метод позволяет блокировать учетную запись пользователя, действия которого привели к срабатыванию сигнатуры атаки
	DISPLAY	Метод отображает на консоли управления информацию о событии, обнаруженном в результате срабатывания сигнатуры
	E-MAIL	Метод оповещает по электронной почте администратора безопасности о событии, обнаруженном в результате срабатывания сигнатуры
	LOGDB	Метод записывает в базу данных информацию о событии, обнаруженном в результате срабатывания сигнатуры
	SECURE-LOGIC	Метод позволяет запускать заданную программу, написанную на специальном сценарном языке TCL. Интерпретатор этого языка интегрирован в СОА «RealSecure»
	SNMP	Метод предназначен для посылки управляющих SNMP-trap-сообщений по указанному IP-адресу
	SUSPEND	Временно блокирует учетную запись пользователя, действия которого вызвали срабатывание сигнатуры. Время блокирования задается оператором
	USER SPECIFIED	Метод позволяет запустить произвольную программу с указанными параметрами вызова

Просмотр результатов работы СОА, а также управление параметрами функционирования системы осуществляется при помощи консоли администратора. По умолчанию интерфейс консоли администратора разделен на несколько разделов, каждый из которых отображает определенный тип информации. Помимо информации о выявленных атаках на консоли также отображаются данные о текущих настройках системы, а также о статусе работы компонент СОА. Консоль администратора СОА «RealSecure» может использоваться для управления другими средствами защиты производства компании ISS.

В консоли администратора предусмотрена возможность создания текстовых и графических отчетов по результатам работы СОА. Сформированные отчеты могут экспортироваться в файлы формата PDF, Word, RTF и др. Администратор также имеет возможность задавать свой формат отчетов на основе шаблонов Crystal Reports.

В СОА реализован режим многопользовательской работы администраторов с возможностью ролевого разграничения прав доступа. Так, например, в одной системе один администратор может обладать исключительно правами просмотра результатов работы, в то время как другой пользователь может дополнительно иметь права на управление сенсорами СОА. При этом действия всех пользователей регистрируются в журнале регистрации системы.

3. Система «ISS Proventia»

Система «Proventia» разработана компанией Internet Security Systems на основе программного продукта «RealSecure» и также предназначена для защиты от сетевых атак. Данная система представляет собой программно-аппаратный комплекс, который устанавливается в разрыв канала связи и позволяет блокировать вредоносные пакеты данных. Основным отличием СОА «Proventia» от системы «RealSecure», рассмотренной выше, является возможность не только выявлять, но и предотвращать атаки на уровне сети.

Система может иметь от двух до восьми сетевых интерфейсов и обрабатывать сетевой трафик, поступающий со скоростью до 2 Гбит/с. После установки система «Proventia» может функционировать в двух основных режимах:

Режиме пассивного мониторинга, в котором СОА проводит анализ проходящих через нее пакетов данных, не осуществляя при этом блокирования несанкционированного трафика. Данный режим используется на этапе обучения системы;

Режиме защиты, который позволяет функционировать СОА в качестве межсетевого экрана и блокировать выявленные сетевые атаки.

Для обнаружения атак СОА «Proventia» использует сигнатурные методы, которые основаны на механизмах, реализованных в описанной выше системе «RealSecure». Система поддерживает возможность удаленного обновления сигнатур при помощи службы X-Force. Управление СОА может осуществляться при помощи локальной консоли командной строки, Web-интерфейса по протоколу SSL или средствами консоли SiteProtector.

СОА «Proventia» реализует фирменную технологию компании ISS, которая получила название «Виртуальный модуль обновления ПО» (Virtual patch). В данном случае под виртуальным модулем обновления подразумевается совокупность настроек СОА, позволяющих обеспечить защиту АС от атак до того момента времени, когда в АС будет установлено реальное обновление ПО (patch, hotfix и т.д.), устраняющее уязвимости системы. Фактически технология обеспечивает блокирование попыток злоумышленников использовать уязвимости, которые не были исправлены при помощи соответствующих обновлений ПО.

Система «Proventia» поддерживает следующие основные виды пассивного и активного реагирования на атаки:

Оповещение администратора безопасности о выявленной атаке по электронной почте. СОА позволяет задать адрес сервера, через который должны отправляться почтовые сообщения, а также состав направляемой администратору информации;

Запись в базу данных содержимого пакета данных, который вызвал срабатывание сигнатуры атаки;

Помещение определенного узла АС в карантинную зону. Данный метод реагирования позволяет изолировать компьютеры, которые являются источником или объектом атаки;

Генерация SNMP-сообщений, содержащих заданную информацию о выявленных сетевых атаках;

запуск программы, определенной администратором безопасности. Отличительной особенностью СОА «Proventia» является возможность работы в АС высокой доступности (high availability), которые предусматривают резервирование всех узлов системы. В этом случае в АС устанавливаются два программно-аппаратных блока СОА, которые дублируют друг друга в случае возникновения сбоя (рис. 3). Некоторые модели семейства «Proventia» в дополнение к функциям выявления атак также включают средства защиты от компьютерных вирусов и спама.

Рис. 3 Схема установки СОА в системе высокой доступности

4. Система «Juniper Networks IDP»

Система «IDP» разработана компанией Juniper Networks и предназначена для выявления и предотвращения сетевых атак (ранее данная система выпускалась компанией NetScreen). COA «IDP» имеет трехуровневую архитектуру и включает в себя следующие компоненты:

Сенсоры «IDP», которые предназначены для защиты тех сегментов АС, в которых они установлены; представляют собой стоечные программно-аппаратные блоки, которые могут устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора;

Сервер управления «IDP», выполняющий функции хранения служебной информации, а также управления сенсорами СОА;

Консоль администратора, предназначенная для управления СОА.

В зависимости от модификации СОА позволяет обрабатывать трафик, поступающий со скоростью от 50 Мбит/с до 1 Гбит/с. Также как и ранее рассмотренные СОА система «IDP» может функционировать в пассивном и активном режимах. При размещении СОА в разрыв канала связи администратор может настроить сенсор системы в качестве моста или маршрутизатора. В первом случае установка сенсора не потребует внесения каких-либо дополнительных изменений в настройку коммуникационного оборудования АС, что делает его «невидимым» для хостов системы. Установка СОА в качестве маршрутизатора повлечет за собой необходимость изменения схемы IP-адресации в АС. Выбор того или иного варианта установки определяется в зависимости от топологии АС.

Для выявления атак СОА использует экспертную систему, включающую в себя базу данных правил, на основе которых осуществляется обнаружение вторжений в АС. СОА предусматривает наличие следующих типов правил:

Правила, предназначенные для выявления известных типов атак на основе сигнатур. В СОА предусмотрен встроенный язык, позволяющий администратору создавать собственные сигнатуры. Данный язык базируется на регулярных выражениях языка Perl.

Правила, обеспечивающие возможность выявления аномалий в сетевых протоколах. В данном случае в качестве аномалии понимается несоответствие формата пакета данных требованиям, описанным в стандартах RFC или других спецификаций. СОА поддерживает возможность выявления аномалий в более чем шестидесяти видов протоколов.

Правила, позволяющие выявлять наличие в АС вредоносного ПО типа «троянский конь». Правила данного типа используют эвристические алгоритмы выявления интерактивного сетевого взаимодействия, которое может являться признаком наличия троянского кода.

Правила, которые используются для выявления попыток сканирования портов АС.

Правила, предназначенные для выявления атак класса «IP spoofing», направленных на подмену реального IP-адреса отправителя пакета данных.

Правила, позволяющие выявить атаки класса «отказ в обслуживании», которые реализуются посредством посылки большого количества SYN-запросов на установление ТСР-соединений.

Правила для выявления атак, реализующихся на втором уровне стека TCP/IP. Большая часть данных атак связана с протоколом ARP и направлена на несанкционированный перехват передаваемой по сети информации.

Правила, обеспечивающие возможность создания ложных целей для атаки, тем самым выявляя потенциальных нарушителей АС.

В СОА имеются встроенные типовые шаблоны правил, которые могут быть использованы в качестве основы для формирования политики защиты Web-сервера, почтового сервера, файлового сервера и других объектов АС. В случае выявления атаки СОА имеет возможность выполнить как пассивные, так и активные методы реагирования. К активным методам относится блокирование вредоносного пакета данных, а также закрытие TCP-соединения. Пассивные методы реагирования включают в себя:

Оповещение администратора безопасности по электронной почте;

Генерация SNMP-trap-сообщений для систем управления;

Формирование и отсылка сообщения об атаке по протоколу Syslog;

Запуск заданной программы;

Запись в базу данных содержимого пакетов данных, в которых были выявлены признаки наличия атаки.

Сенсоры СОА «IDP» могут объединяться в единый кластер, который может использоваться для повышения отказоустойчивости работы системы, а также для распределения нагрузки между сенсорами. В случае, если будет нарушена работоспособность одного из сенсоров, то пакеты данных будут автоматически перенаправлены на другой сенсор кластера. Для выявления подобных сбоев все сенсоры одного кластера обмениваются между собой служебной информацией, на основе которой определяется текущий статус работы устройства. При этом в один кластер могут объединяться от двух до шестнадцати сенсоров.

Сервер управления СОА функционирует под управлением ОС Sun Solaris 8/9 (для платформы SPARC), а также Linux RedHat 7.2, 8 или RedHat Enterprise Linux 3.0 (для платформы Intel). Сервер обеспечивает централизованное хранение конфигурационных параметров СОА, а также информации, поступающей от сенсоров «IDP». Для взаимодействия сервера управления с сенсорами «IDP» используется специализированный криптографически защищенный протокол, созданный на основе модифицированного варианта UDP. Для хранения результатов работы СОА на сервере применяется специализированная СУБД собственного производства. Система поддерживает возможность многопользовательской работы, однако одновременно в системе может работать только один администратор.

Для управления СОА используется консоль администратора, реализованная в виде Java-приложения. Консоль администратора позволяет гибко настраивать параметры просмотра результатов работы СОА. Консоль также оснащена возможностью генерации отчетов по результатам работы СОА на основе заданного множества шаблонов.

5. Система «Cisco IDP 4200»

Системы «Cisco IDP» серии 4200 разработаны компанией Cisco Systems и предназначены для выявления и блокирования сетевых атак. СОА данного типа реализованы в виде специализированных стоечных устройств, которые могут устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора. Компания Cisco также поставляет специализированные модули СОА, которые могут быть установлены в коммутаторы Catalyst 6500. В общем случае системы «Cisco IDP» включают в себя компоненты двух типов - сенсоры, предназначенные для защиты от атак посредством анализа сетевого трафика, и консоль управления администратора безопасности.

Сенсоры «Cisco IDP» могут функционировать в пассивном или активном режимах и обрабатывать пакеты данных, поступающие со скоростью до 1 Гбит/с. Для выявления атак СОА используют сигнатурные методы. Отличительной особенностью сенсоров является наличие встроенного механизма корреляции событий безопасности Meta Event Generator (MEG). Данный механизм позволяет проводить автоматизированный анализ событий безопасности, регистрируемых сенсорами СОА, с целью генерации мета-событий. Так, например, если в АС в течение трех секунд будет зарегистрировано пять определенных событий, связанных с использованием уязвимостей Web-сервера Microsoft IIS, то сенсор сможет сгенерировать мета-событие, указывающее на несанкционированную активность Интернет-червя Nimda (рис. 4). Использование механизма MEG позволяет значительно упростить процесс анализа информации, которая собирается сенсорами СОА «Cisco IDP».

Управление СОА «Cisco IDP» может осуществляться при помощи одного из следующих способов:

На основе интерфейса командной строки CLI, который может использоваться удаленно при помощи протокола SSH или локально посредством подключения клавиатуры и монитора непосредственно к сенсору. Интерфейс командной строки аналогичен интерфейсам локального управления другими устройствами компании Cisco, базирующимися на ОС Cisco IOS.

При помощи консоли IPS Device Manager, реализованной в виде Java-приложения, которое хранится непосредственно на сенсоре. Доступ к этой консоли может осуществляться при помощи любого Интернет-браузера на основе криптопротокола TLS. Данная консоль позволяет одновременно управлять только одним сенсором и, как правило, используется для внесения оперативных изменений в один из сенсоров СОА.

Рис. 4 Пример корреляции событий безопасности на основе механизма MEG

Посредством системы управления CiscoWorks VMS, которая обеспечивает возможность централизованного управления и мониторинга различных средств защиты компании Cisco, включая СОА, межсетевые экраны, средства построения виртуальных частных сетей VPN и т. д. Для применения CiscoWorks VMS требуется наличие выделенного сервера управления, выполняющего функции хранения конфигурационной информации и результатов работы СОА.

В случае выявления атаки СОА может выполнить один из следующих методов реагирования:

Заблокировать пакеты данных, в которых были обнаружены признаки информационной атаки;

Модифицировать содержимое пакета данных, в котором была выявлена атака;

Закрыть TCP-соединение, в котором была выявлена атака;

Оповестить администратора безопасности о выявленной атаке посредством посылки сообщения на консоль или генерации SNMP-trap-сообщения.

Каждому событию, связанному с выявлением атаки, СОА присваивает определенный уровень риска, на основе которого выбирается подходящий метод реагирования. Значение риска рассчитывается на основе четырех основных параметров:

Коэффициент опасности события (Alert Severity Rating). Данный параметр определяет уровень приоритета событий на основе потенциального ущерба, который может быть нанесен АС в результате успешного завершения обнаруженной атаки. В соответствии с этим параметром событие может классифицироваться по четырем основным категориям: информационные, а также события с низким, средним или высоким уровнем приоритета. Значение коэффициента опасности может редактироваться администратором безопасности.

Коэффициент точности сигнатуры атаки (Signature Fidelity Rating), который определяет степень применимости сигнатуры к действующему окружению АС. Так, например, если атака направлена на использование уязвимости, которая отсутствует в АС, то коэффициент точности ее сигнатуры будет стремиться к нулю. Значение данного коэффициента устанавливается администратором безопасности.

Коэффициент релевантности атаки (Attack Relevancy Rating), являющийся внутренним параметром, который автоматически корректируется СОА по результатам своей работы. В процессе функционирования СОА получает дополнительные данные о характере сетевого трафика, циркулирующего в АС, на основе которых вносятся изменения к текущее значение коэффициента релевантности.

Коэффициент оценки узлов AC (Target Value Rating), который используется для определения уровня критичности того или иного узла системы. При помощи этого коэффициента администратор может регулировать значение риска с учетом того, какой узел является объектом для атаки. Так, например, если нападению подвергся сервер, обслуживающий критические бизнес-процессы компании, то такая атака должна иметь высокий уровень риска. И, наоборот, если злоумышленник атакует файловый сервер, на котором отсутствует значимая для компании информация, то такое вторжение должно иметь низкий уровень риска.

Для обработки информации о выявленных атаках на уровне консоли администратора используется специализированный программный модуль MARS (Monitoring, Analysis & Response System), который позволяет генерировать отчеты и проводить корреляционный анализ событий безопасности.

6. Система «Symantec SNS 7100»

Системы «SNS» (Symantec Network Security) серии 7100 разработаны компанией Symantec и предназначены для выявления и предотвращения атак на уровне сети. СОА состоит из консоли администратора и сенсоров, которые реализуются в виде стоечных программно-аппаратных блоков, функционирующих в пассивном или активном режимах. В первом случае, сенсоры СОА подключаются к SPAN-порту коммутатора, а во втором - устанавливаются в разрыв канала связи АС. Сенсоры имеют возможность обрабатывать трафик, поступающий со скоростью до 1 Гбит/с.

СОА оснащена подсистемой собственной безопасности, которая обеспечивает аутентификацию администратора при доступе к консоли управления, а также криптографическую защиту всей служебной информации, передаваемой между сенсорами и консолью. Для шифрования передаваемых данных используется криптоалгоритм AES.

Для выявления атак СОА может использовать сигнатурные методы, а также методы выявления аномалий в сетевых протоколах. СОА предоставляет администратору возможность создавать свои собственные сигнатуры на основе специализированного языка.

Для обновления сигнатурных баз данных СОА использует механизм «LiveUpdate», который также применяется в антивирусных продуктах компании Symantec. После выявления атаки СОА может выполнить активные или пассивные методы реагирования, аналогичные способам, которые были рассмотрены ранее.

Консоль управления СОА «SNS» поддерживает возможность многопользовательской работы. При этом можно выделить следующие группы пользователей:

Суперпользователи (SuperUsers) - администраторы, которые имеют абсолютные права по управлению параметрами работы СОА, созданию учетных записей пользователей и т. д.;

Администраторы (Administrators) - администраторы, которые имеют ограниченные права по изменению определенных параметров функционирования СОА;

Стандартные пользователи (StandardUsers) - категория пользователей, имеющих права на просмотр всей информации, к которой можно получить доступ посредством консоли администратора;

Ограниченные пользователи (RestrictedUsers) - пользователи, которые имеют ограниченный доступ к просмотру информации через консоль администратора.

Для хранения служебной информации в СОА «SNS» используются следующие типы баз данных:

Топологическая база данных, в которой содержится информация о конфигурации защищаемой АС;

База данных политик безопасности, содержащая параметры сигнатур, на основе которых осуществляется выявление сетевых атак;

База данных правил реагирования на выявляемые сетевые атаки;

Конфигурационная база данных, содержащая информацию о правах доступа суперпользователей и администраторов СОА;

База данных событий и инцидентов, в которой хранится информация обо всех выявленных сетевых атаках.

Сенсоры СОА могут объединяться в отказоустойчивые группы (failover groups) в целях обеспечения бесперебойной работы системы. Все сенсоры, входящие в такую группу, обрабатывают один и тот же трафик, однако только один из сенсоров выполняет методы реагирования на выявленные атаки. В случае нарушения работоспособности основного сенсора группы его автоматически заменяет резервный сенсор.

СОА позволяет объединять несколько сенсоров в один логический кластер с целью выполнения корреляционного анализа событий, которые поступают от различных сенсоров. Так, например, в случае обнаружения распределенной атаки «отказ в обслуживании» СОА имеет возможность определить источник вторжения на основе результатов работы всех сенсоров, входящих в один кластер.

Консоль администратора СОА оснащена гибкой системой фильтрации информации о событиях, связанных с выявленными атаками, а также средствами генерации текстовых и графических отчетов.

7. Система «Snort»

Система «Snort» является некоммерческим программным продуктом, распространяемым по лицензии GNU GPL вместе с исходными тестами. Несмотря на статус некоммерческого ПО система «Snort» используется в ряде российских компаний в качестве базового средства выявления сетевых атак.

Система «Snort» может функционировать в трех режимах:

Анализа пакетов данных (sniffer mode);

Регистрации пакетов данных в журнал аудита (packet logger mode);

Обнаружения атак (intrusion detection).

В режиме анализа пакетов данных система «Snort» перехватывает пакеты данных, передаваемые по сети, и выводит их содержимое на экран. Запуск СОА «Snort» в режиме регистрации пакетов данных позволяет записывать заголовки и поля передаваемых пакетов данных в журналы регистрации, представленные в виде текстовых файлов. Третий режим работы СОА «Snort» - режим обнаружения атак нарушителя - является основным и предназначен для выявления вторжений путем анализа содержимого передаваемых пакетов данных. Для выявления атак СОА применяет сигнатурный метод контекстного поиска. Результаты работы системы могут записываться в текстовый файл или регистрироваться в СУБД MySql.

СОА «Snort» не является функционально-замкнутой системой и может расширяться за счет подключаемых программных модулей, которые получили название препроцессоров. По умолчанию в состав СОА входят следующие препроцессоры:

«http_inspect» - данный препроцессор предназначен для выявления аномалий в содержимом передаваемых HTTP-запросов;

Препроцессор «portscan detector», позволяющий обнаруживать попытки сканирования портов хостов АС;

«frag2» - препроцессор, позволяющий выполнять дефрагментацию IP-дейтаграмм. Выполнение этой процедуры позволяет выявлять атаки типа «отказ в обслуживании», которые реализуются на основе неправильным образом дефрагментированных IР-дейтаграмм;

Препроцессор «spade», позволяющий обнаруживать атаки на основе статистического анализа;

Препроцессор «stream4», предназначенный для выполнение анализа TCP-сессий и выявлять несанкционированные пакеты, которые нарушают алгоритм установления ТСР-соединения;

«arpspoof» представляет собой препроцессор, позволяющий выявлять сетевые атаки, которые реализуются на основе уязвимостей протокола ARP;

Препроцессор «rpc_decode», который используется для обработки команд, передаваемых по протоколу RPC;

«bo» - препроцессор, предназначенный для выявления несанкционированной сетевой активности, связанной с работой вредоносного ПО «Back Orifice».

Система «Snort» может устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора. В состав СОА «Snort» не входят средства удаленного управления, поэтому единственным способом изменения параметров работы системы является интерфейс командной строки. В системе также не предусмотрены штатные средства для генерации отчетов по результатам работы СОА.