СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

Варианты реализации

Варианты построения

Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире.

1. Вариант «Intranet VPN», который позволяет объединить в единую защи­щенную сеть несколько распределенных филиалов одной организации, взаимо­действующих по открытым каналам связи.

2. Вариант «Remote Access VPN», который позволяет реализовать защищен­ное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпора­тивным ресурсам из дома (домашний пользователь) или через notebook (мобиль­ный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к за­щищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспече­ние, реализующее функции VPN.

3. Вариант «Client/Server VPN», который обеспечивает защиту передавае­мых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физиче­ской сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращаю­щихся к серверам, находящимся в одном физическом сегменте. Этот вариант по­хож на технологию VLAN, описанную выше. Но вместо разделения трафика испо­льзуется его шифрование.

4. Последний вариант «Extranet VPN» предназначен для тех сетей, к которым подключаются так называемые пользователи «со стороны» (партнеры, заказчики, клиенты и т. д.), уровень доверия к которым намного ниже, чем к своим сотрудни­кам.

Рис 8

 

Средства построения VPN могут быть реализованы по-разному:

• в виде специализированного программно-аппаратного обеспечения, пред­назначенного именно для решения задач VPN. Основное преимущество та­ких устройств — их высокая производительность и более высокая по срав­нению с другими решениями защищенность. Такие устройства могут при­меняться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что услож­няет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации На первое место эта проблема выходит при построении крупной и территориально-распределенной сети, насчитывающей десятки устройств построения VPN И это не считая такого же числа межсетевых экранов, систем обнаружения атак и т д. Примером такого решения является Cisco 1720 или Cisco 3000;

• в виде программного решения, устанавливаемого на обычный компьютер, функционирующий, как правило, под управлением операционной системы Unix. Российские разработчики «полюбили» ОС FreeBSD. Именно на ее изученной «вдоль и поперек» базе построены отечественные решения «Континент-К» и «Шип». Для ускорения обработки трафика могут быть исполь­зованы специальные аппаратные ускорители, заменяющие функции про­граммного шифрования. Также в виде программного решения реализуются абонентские пункты, предназначенные для подключения к защищаемой сети удаленных и мобильных пользователей;

• интегрированные решения, в которых функции построения VPN реализу­ются наряду с функцией фильтрации сетевого трафика, обеспечения каче­ства обслуживания или распределения полосы пропускания. Основное пре­имущество такого решения — централизованное управление всеми компо­нентами с единой консоли. Второе преимущество — более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Пожалуй, самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля модуль, реа­лизующий функции межсетевого экрана, модуль, отвечающий за баланси­ровку нагрузки, распределение полосы пропускания и т. д.

 

Обнаруживать, блокировать и предотвращать атаки можно несколькими пу­тями. Этот способ применяется в «классических» системах обнаружения атак (например RealSecure Network Sensor или Cisco Secure IDS), межсетевых экранах (например Check Point Firewall-1), системах защиты информации от НСД (например SecretNet) и т. п. Однако «недостаток» средств данного класса в том, что атаки могут быть реализованы повторно. Они также повторно обнаруживают­ся, блокируются. И так далее до бесконечности. Было бы эффективнее предотвращать атаки еще до их реализации. Это и есть второй путь. Осуществляется он путем поиска уязвимостей (то есть обнаружение потенциальных атак), которые могут быть исполь­зованы для реализации атаки. И, наконец, третий путь — обнаружение уже со­вершенных атак и предотвращение их повторного осуществления. Таким обра­зом, системы обнаружения нарушений политики безопасности могут быть классифицированы по этапам осуществления атаки (рис. 9):

• системы, функционирующие на первом этапе осуществления атак и позво­ляющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Иначе средства этой категории назы­ваются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners). Примером такой системы является Internet Scanner или SATAN;

• системы, функционирующие на втором этапе осуществления атаки и позво­ляющие обнаружить атаки в процессе их реализации, то есть в режиме ре­ального (или близкого к реальному) времени. Именно эти средства и приня­то считать системами обнаружения атак в классическом понимании. При­мером такой системы является RealSecure или Cisco Secure IDS. Помимо этого в последнее время выделяется новый класс средств обнаружения атак — обманные системы (cjeception systems). Примером такой системы является RealSecure OS Sensor или DTK;

• системы, функционирующие на третьем этапе осуществления атаки и по­зволяющие обнаружить уже совершенные атаки. Эти системы делятся на два класса — системы контроля целостности (integrity checkers), обнару­живающие изменения контролируемых ресурсов, и системы анализа журналов регистрации (log checkers). В качестве примеров таких систем могут быть названы Tripwire или RealSecure Server Sensor.

 

Рис. 9. Классификация систем обнаружения атак по этапам осуществления атаки

 

Помимо этого, существует еще одна распространенная классификация сис­тем обнаружения нарушения политики безопасности — по принципу реализации: host-based, т. е. обнаруживающие атаки, направленные на конкретный узел сети, и network-based, направленные на всю сеть или сегмент сети. Обычно на этом да­льнейшая классификация останавливается. Однако системы класса host-based можно разделить еще на три подуровня:

• системы обнаружения атак на уровне прикладного ПО (application-based), обнаруживающие атаки на конкретные приложения (например, на Web-сервер). Примером такой системы является RealSecure OS Sensor или WebStalker Pro;

• системы обнаружения атак на уровне ОС (OS-based), обнаруживающие атаки на уровне операционной системы. Примером такой системы является RealSecure Server Sensor или Intruder Alert;

• системы обнаружения атак на уровне системы управления базами данных (DBMS-based), обнаруживающие атаки на конкретные СУБД.

Выделение обнаружения атак на системы управления базами данных (СУБД) в отдельную категорию связано с тем, что современные СУБД уже вы­шли из разряда обычных прикладных приложений и по многим своим характери­стикам, в том числе и по сложности, приближаются к операционным системам. При этом системы обнаружения атак (точнее, системы анализа защищенности) на уровне СУБД могут функционировать как на самом узле, так и через сеть (на­пример Database Scanner).

В свою очередь система обнаружения атак на уровне сети может функциони­ровать и на конкретном узле, обнаруживая атаки, направленные не на все узлы сегмента, а только на тот узел, на котором она установлена. Пример такой систе­мы -- RealSecure Server Sensor.

Рис. 10. Классификация систем обнаружения атак по принципу реализации