Системы обнаружения атак

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Следовательно, необходимы динамические методы, позволяющие обнаруживать и предотвращать нарушения безопасности. Одной из технологий, которая может быть применена для обнаружения нарушений, которые не могут быть идентифицированы при помощи моделей контроля доступа, является технология обнаружения атак.

Средства защиты информации на основе методов построения систем обнаружения атак (СОА) принято условно делить на два класса:

1. СОА на уровне сети анализируют сетевой трафик. Принципиальное преимущество сетевых СОА в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации, практически не снижают производительности сети.

2. СОА на уровне хоста анализирует регистрационные журналы операционной системы или приложений. Они были разработаны для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Используя знание того, как должна себя «вести» операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми СОА.

Однако зачастую это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации.

Системы, входящие в первый класс, анализируют сетевой трафик, используя, как правило, сигнатуры атак и анализ «на лету», в то время как системы второго класса проверяют регистрационные журналы операционной системы или приложения.

Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность. К таким строкам, к примеру, можно отнести /etc/passwd (описывает путь к списку паролей ОС UNIX).

Анализ журналов регистрации - один из самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т. д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак.

Системы анализа защищенности

Уровень защищенности компьютерных систем от угроз безопасности определяется многими факторами. Одним из определяющих факторов является адекватность конфигурации системного и прикладного ПО, средств защиты информации и активного сетевого оборудования существующим рискам.

Для проведения активного аудита безопасности могут использоваться специализированные программные средства, выполняющие обследование АС с целью выявления уязвимых мест (наличия «дыр») для электронного вторжения, а также, обеспечивающие комплексную оценку степени защищенности от атак нарушителей. Специальные открытые и коммерческие средства анализа защищенности позволяют оперативно проверить десятки и сотни территориально разнесенных узлов сети. При этом они не только выявляют большинство угроз и уязвимых мест информационной системы, но и позволяют выработать рекомендации администраторам безопасности по их устранению.

Существуют два метода автоматизации процессов анализа, защищенности:

- использование технологии интеллектуальных программных агентов;

- активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС.

В первом случае система защиты строится на архитектуре консоль/менеджер/ агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи по контролю защищенности АС. , (Управление агентами осуществляется по сети программой менеджером.)

Менеджеры являются центральными компонентами подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу.

Для активного тестирования механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС применяются сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых протоколов, а также алгоритмов осуществления попыток вторжения (сценариев атак). Например, сетевые сканеры Nessиs и Symantec NetRecon являются достойными представителями данного класса программных средств анализа защищенности.

Таким образом, программные средства анализа защищенности условно можно разделить на два класса:

- Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня.

- Второй класс, к которому относятся все остальные рассмотренные здесь средства, иногда называют средствами, анализа защищенности системного уровня.

Данные классы средств имеют свои достоинства и недостатки, а на практике взаимно дополняют друг друга.

Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора безопасности АС.

Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых протоколов, они выполняют четыре основные задачи:

- идентификацию доступных сетевых ресурсов;

- идентификацию доступных сетевых служб;

- идентификацию имеющихся уязвимостей сетевых служб;

- выдачу рекомендаций по устранению уязвимостей.

В функционaльность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые службы.

Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит. При этом используются известные уязвимости сетевых служб, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к 1000. Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec, база данных которого содержит около 800 уязвимостей UNIX,Windows и NetWare систем и постоянно обновляется через Web.

Преимущества сетевых сканеров. Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего агента (своего для каждой ОС). Кроме того, сканеры являются более простым,, доступным, дешевым и, во многих случаях, более эффективным средством анализа защищенности.

К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток осуществления атак. Сетевыми сканерами также с успехом пользуются злоумышленники.

Средства анализа защищенности системного уровня выполняют проверки конфигурационныx параметров ОС и приложений «изнутри». Такого рода системы зачастую строятся с применением интеллектуальных программных агентов. Это обусловлено тем, что системы анализа защищенности, построенные на интеллектуальных программных агентах, обладают следующими достоинствами:

- являются потенциально более мощным средством, чем сетевые сканеры;

- обычно способны выполнять более сложные проверки и анализировать параметры ПО, недоступные сетевым сканерам, поскольку действуют изнутри; D анализ защищенности может планироваться по времени и выполняться одновременно на всех контролируемых компьютерах;

- не оказывают большого влияния на пропускную способность сети;

- осуществляют шифрование (защита данных путем использования криптографических методов и гарантия невозможности чтения информации без знания секретного ключа) результатов проверок при передаче данных по сети.

Примером развитого средства анализа защищенности системного уровня рассматриваемого типа является автоматизированная система управления безопасностью предприятия ESM компании Symantec и System Scanner компании ISS. Система ESM построена на архитектуре консоль/менеджер/агент. Программные агенты ESM

Виртуальные частные сети

На сегодняшний день практически ни одна компания, использующая Интернет в связи с ИБ, не обходится без применения технологии VPN – виртуальной частной сети.

В основе построения лежит следующая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым каналам информации необходимо построить виртуальный туннель , доступ к которому должен быть затруднен всем возможным активным и пассивным внешним наблюдателям.

Под термином виртуальная частная сеть чаще всего понимается организация защищенных информационных потоков между объектами виртуальной сети, организованных через сети общего пользования.

При этом потоки данных локальной и общей сетей не должны влиять друг на друга. Термин виртуальная указывает на то, что соединение между двумя узлами сети не является постоянным и существует только во время прохождения трафика по сети. Объектами виртуальной корпоративной сети могут выступать объединения локальных сетей и отдельных компьютеров.

Инфраструктура сети VPN моделируется на основе реальных каналов связи: выделенных линий – проводных линий, соединенных с провайдером, который обладает высокоскоростными магистральными каналами (оптоволоконными, спутниковыми, радиорелейными), объединенными в Интернет, или коммутируемых линий – обычных телефонных каналов. При этом реальная открытая сеть может служить основой для целого множества VPN, конечное число которых определяется пропускной способностью открытых каналов связи.

VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по Интернет шифруется не только данные пользователя, но и сетевая информация – сетевые адреса, номера портов и т.д. Технология виртуальных частных сетей позволяет использовать сети общего пользования для построения защищенных сетевых соединений.

Технология VPN выполняет две основные функции: шифрование данных для обеспечения безопасности сетевых соединений и туннелирование протоколов.

Под тУllllелuроваlluем понимают безопасную передачу данных через открытые сети при помощи безопасного логического соединения, позволяющего упаковывать данные одного протокола в пакеты другого .

. Защищенные потоки (каналы) виртуальной частной сети могут быть созданы между VРN:-шлюзами сети, VРN-шлюзами и VРN-кл~ентами, а также между VPNклиентами. Создание виртуальных защищенных каналов достигается за счет шифрования трафика и туннелирования протоколов между объектами VРN-сети.

VРN-шлюз - сетевое устройство, установленное на границе сети, выполняющее функции образования защищенных VРN-каналов, аутентификации и авторизации клиентов VPN-сеТИ.VРN-шлюз располагается аналогично МЭ таким образом, чтобы через него проходил весь сетевой трафик организации. В большинстве случаев VPN-сеть для пользователей внутренней сети остается прозрачной и не требует установки специального программного обеспечения.

VРN-клuеllт - программное оБGспечение (иногда с аппаратным акселератором), устанавливаемое на кqмпьютеры пользователей, осуществляющих подключение к сетиVРN (через VРN-шлюзы). VРN-клиент выполняет функции передачи параметров аутентификации и шифрования/дешифрования трафика.

В большинстве случаев необходимо одновременно обеспечить функционирование двух каналов - Internet и VPN. При этом можно использовать или различные физические линии связи, или одну. Однако стоимость эксплуатации одного канала связи для доступа к сети Internet и поддержки VPN обходится значительно ниже.