Кафедра Управленияи Информационных Технологий
СпециальностьПрикладная информатика
ПОЯСНИТЕЛЬНАЯЗАПИСКА
к курсовомупроекту
на тему:Способ и устройство обнаружения аномалий в сетях
Задание на курсовую работу
студенту группы
фамилия, имя, отчествополностью
Тема работы: Способ иустройство обнаружения аномалий в сетях
1. Исходные данные
Регламентирующиедокументы Гостехкомиссии РФ по обеспечению информационнойбезопасности
1.1 Руководящий документ «Программное обеспечение средств защиты информацииклассификация по уровню контроля отсутствия недекларированных возможностей».
1.2 РД «Автоматизированные системы. Защита от несанкционированного доступа кинформации. Классификация автоматизированных систем и требования по защитеинформации».
2 Содержание расчетно-пояснительнойзаписки (перечень вопросов, подлежащих разработке)2.1 Из истории обнаружения вторжений2.2 Обзор технологий обнаружения вторжений
2.3 Проблемы сбора данных
2.4 Средства обнаружения атак
2.5 Парадигмы в обнаружении вторжений
2.6 Методы обнаружения
2.6.1Обнаружение аномалий
2.6.2Обнаружение злоупотреблений
2.7 Ответные действия: после вторжения
2.8 Эффективность системы
2.8 Производительность
2.8 Анализ в масштабе всей сети
2.8 Уведомления о взломе
5. Консультанты по работе (указаниемотносящихся к ним разделов работы)
Храмов В.В.
6. Срок сдачи студентом законченнойработы
7. Дата выдачи задания
Руководитель профессорХрамов В.В., к.т.н.
(подпись)
Задание принял кисполнению
Студент
(подпись)
Оглавление
Введение. 6
Из истории обнаружениявторжений. 7
Обзор технологий обнаружениявторжений. 8
Проблемы сбора данных. 9
Средства обнаружения атак. 10
Парадигмы в обнаружениивторжений. 12
Методы обнаружения. 14
Обнаружение аномалий. 14
Обнаружение злоупотреблений. 15
Ответные действия: послевторжения. 16
Эффективность системы… 17
Производительность. 18
Анализ в масштабе всей сети. 19
Уведомления о взломе. 20
Заключение. 24
Список используемой литературы… 26
Введение
Даже с самой совершеннойзащитой компьютерные системы нельзя назвать абсолютно неуязвимыми. В настоящеевремя актуальное значение приобрела проблема обнаружения аномалий в работесетевых устройств, являющихся как результатом сетевых атак хакеров, так и сбоевв работе аппаратуры и программного обеспечения.
Существующие системы,решающие эту проблему, имеют серьезные ограничения, связанные с принципамифункционирования реализованных в них сигнатурных методов обнаружения:
— для любой новойаномалии (атаки) требуется создание новой сигнатуры;
— существуют методы,позволяющие хакерам «обходить» сигнатуры на основе разнообразных методовизменения атакующих воздействий.
Понятие«обнаружение аномалий» возникло сравнительно недавно и сразупривлекло внимание специалистов в области сетевой безопасности. В середине 2003года на рынке средств защиты информации появились первые западные иотечественные системы обнаружения аномалий, а поставщики услуг сетевойбезопасности начали активно предлагать соответствующие решения. Согласнопрогнозам Gartner, 85% крупнейших международных компаний с вероятностью 0.8воспользуются к 2007 году функциями современных систем обнаружения аномалий.
Вразработанном Научно-техническим советом НАТО ранжированном списке из 11важнейших технических задач на период 2002-2007 гг. три первые ориентированы наразработку аппаратных и аппаратно-программных систем обнаружения аномалийвычислительных процессов в современных и перспективных распределенныхвычислительных системах на основе TCP/IP. Актуальность этой задачи объясняетсятем, что согласно стратегическим отчетам НАТО существующие системы обнаружениявторжений (IDS) ежедневно обнаруживают в среднем 400-600 попытокнесанкционированного автоматического вторжения. При этом эксперты подчеркивают:данное число составляет не более 14-17% от общего числа реально осуществляемыхатак и воздействий нарушителей. По понятным причинам эти факты настораживают ивызывают определенное беспокойство у специалистов в области защиты информации.
Из историиобнаружения вторжений
Первоначальносистемные администраторы обнаруживали вторжения, сидя перед консолью ианализируя действия пользователей. Они могли заметить атаку, обратив, кпримеру, внимание на то, что пользователь, который должен находиться в отпуске, вошел в систему, причемлокально, либо необычайно активен принтер, который крайне редко используется.Когда-то достаточно эффективная, эта форма обнаружения вторжений была вместе стем сугубо ориентированной на конкретные ситуации и не обладаламасштабируемостью.
На следующемэтапе для обнаружения вторжений стали использоваться журналы регистрации,которые системные администраторы просматривали в поисках признаков необычныхили злонамеренных действий. В конце 70-х и в начале 80-х годов администраторы,как правило, печатали журналы регистрации на перфорированной бумаге, которая кконцу рабочей недели представляла собой кипу высотой в полтора-два метра. Поискпо такому листингу, безусловно, занимал уйму времени. При огромном количествеинформации и исключительно ручных методах анализа, администраторы зачастуюиспользовали журналы регистрации в качестве доказательства нарушения защиты ужепосле того, как оно произошло. Надежда на то, что удастся обнаружить атаку вмомент ее проведения, была крайне мала.
По мере того,как дисковая память становилась все дешевле, журналы регистрации сталисоздавать в электронном виде; появились программные средства для анализасобранных данных. Однако подобный анализ выполнялся очень медленно и зачастуютребовал значительных вычислительных ресурсов, так что, как правило, программыобнаружения вторжений запускались в пакетном режиме, по ночам, когда с системойработало мало пользователей. Большинство нарушений защиты по-прежнемувыявлялись уже постфактум.
В начале 90-хгодов были разработаны системы обнаружения вторжений в оперативном режиме,которые просматривали записи в журнале регистрации сразу, как только онигенерировались. Это позволило обнаруживать атаки и попытки атак в момент ихпроведения, что, в свою очередь, дало возможность немедленно принимать ответныемеры, а, в некоторых случаях, даже предупреждать атаки.
Самыепоследние проекты, посвященные обнаружению вторжений, сосредоточиваются вокругсоздания инструментов, которые могут эффективно развертываться в крупных сетях.Эта задача отнюдь не проста, учитывая все большее внимание, уделяемое вопросамбезопасности, бесчисленное количество новых методов организации атак инепрерывные изменения в окружающей вычислительной среде.Обзортехнологий обнаружения вторжений
Цель обнаружениявторжений, на первый взгляд, очень проста: выявить проникновение винформационную систему. Однако это весьма сложная задача. На самом деле,системы обнаружения вторжений никаких вторжений вообще не обнаруживают — онитолько выявляют признаки вторжений либо во время таких атак, либо постфактум.
Такиесвидетельства иногда называют «проявлениями» атаки. Если никаких проявленийнет, если о таких проявлениях нет необходимой информации, либо если информацияесть, но не внушает доверия, система не в состоянии обнаружить вторжение.
Например,предположим, что система мониторинга дома анализирует данные, полученные скамеры слежения, которая показывает человека, пытающегося открыть дверь.Видеоданные камеры — проявление происходящего вторжения. Если объектив камерызапачкан или не в фокусе, система не сможет определить, что это за человек —грабитель или хозяин дома.
Проблемы сбораданных
Для точногообнаружения вторжений необходимы надежные и исчерпывающие данные о происходящемв защищаемой системе. Сбор надежных данных — вопрос сложный сам по себе.Большинство операционных систем содержит определенные виды аудита, которыепозволяют создавать различные журналы регистрации операций для разныхпользователей. Эти журналы можно ограничить только событиями, связанными сбезопасностью (например, неудачные попытки входа в систему); кроме того, онимогут предоставлять полный отчет по каждому системному вызову, инициированномукаждым процессом. Маршрутизаторы и межсетевые экраны также ведут журналырегистрации событий для сетевой деятельности. Эти журналы могут содержатьпростую информацию, такую как открытие и закрытие сетевых соединений, илиполную запись о каждом пакете, появляющемуся в сети.
Объеминформации, которую собирает система, — это компромисс между накладнымирасходами и эффективностью. Система, которая записывает каждое действие во всехподробностях, может серьезно потерять в своей производительности и потребоватьчересчур большого дискового пространства. Например, на сбор полной регистрационнойинформации о сетевых пакетах в канале Fast Ethernet ежедневно могутпотребоваться сотни гигабайт дисковой памяти.
Сборинформации — дело дорогостоящее, а сбор нужной информации — крайне важное.Вопрос о том, какую информацию следует регистрировать и где ее следуетнакапливать, остается открытым. Например, установка в системе охраны домамонитора для контроля уровня загрязнения воды обойдется недешево, но никоимобразом не позволит предотвратить проникновение в дом грабителей. С другойстороны, если модель потенциальных угроз дому предполагает атаки террористов,то контроль загрязнения воды, возможно, оправдан.
/>Средства обнаружения атак
Классификациясредств обеспечения секретности информации по уровням модели ISO/OSI в стандарте ISO 7498:
- Физическийуровень. Средства, предоставляемые на этом уровне, ограничиваются конфиденциальностьюдля соединений и конфиденциальностью для потока данных, согласно ISO 7498-2.Конфиденциальностьна этом уровне обеспечивается обычно с помощью шифрования бит. Эти средства могутбыть реализованы как почти прозрачные, то есть без появления дополнительных данных(кроме установления соединения).
Целостность иаутентификация обычно невозможны здесь из-за того, что интерфейс на уровне бит этогоуровня не имеет возможностей для передачи дополнительных данных, требуемых приреализации этих средств. Тем не менее, использование соответствующих технологийшифрования на этом уровне может обеспечить предоставление этих средств на болеевысоких уровнях.
- Канальный уровень. Согласно ISO 7498-2, средствами, предоставляемыми наканальном уровне, являются конфиденциальность для соединений иконфиденциальность для дейтаграмм.
- Сетевой уровень. Средства секретности сетевого уровня могут предоставлятьсямежду конечными системами в сети, независимо от используемых коммутаторов(например, коммутаторов пакетов Х.25). ISO 7498-2 отмечает применимость несколькихсредств секретности для этого уровня: конфиденциальность для соединений, конфиденциальностьдля дейтаграмм, конфиденциальность потока данных, целостность (для соединений безвосстановления и для дейтаграмм), аутентификацию источника данных и взаимодействующихсущностей, а также управление доступом.
- Транспортный уровень. Для транспортного уровня ISO 7498-2 определяет следующие средствасекретности: конфиденциальность (для соединений или дейтаграмм), целостность(любая, кроме отдельных полей), аутентификация источника данных ивзаимодействующих сущностей, и управление доступом. Существует лишь одноотличие между средствами секретности, предоставляемыми для дейтаграммного взаимодействияна транспортном уровне и средствами, предлагаемыми над сетевым уровнем. Онозаключается в способности обеспечить защиту в промежуточных системах (используямеханизмы сетевого уровня), а не только в конечных системах (используямеханизмы транспортного уровня).
- Сеансовый уровень. ISO 7498-2 не позволяетпредоставлять средства на сеансовом уровне. Этот уровень мало, что дает в смыслесредств взаимодействия по сравнению с транспортным или прикладным уровнем.Основываясь на принципе, что не стоит предоставлять средства секретности, не соответствующиебазовым средствам взаимодействия на данном уровне, можно возражать против предоставлениясредств секретности на сеансовом уровне. Кроме того, можно утверждать, чтосредства секретности лучше предоставлять на транспортном, представительном илиприкладном уровнях.
- Представительный уровень. Так как этот уровень используется для преобразования данныхмежду обычным и сетевым представлениями, то выгодно шифровать данные на этомуровне, а не на прикладном. Если приложение выполняет шифрование, оно предохраняетпредставительный уровень от реализации этой функции. Это аргумент противреализации шифрования на прикладном уровне для приложений, которыевзаимодействуют напрямую (а не через посредников). Альтернативой этому являетсядублирование возможностей представительного уровня в приложениях. В стекеTCP/IP, из-за того, что функции представления включены в состав приложений, а невыделены в отдельный уровень, этот конфликт преодолен.
- Прикладной уровень. ISO 7498-2 утверждает, что все секретные средства могут бытьпредоставлены на прикладном уровне, а контроль за участниками взаимодействияможет быть предоставлен только на этом уровне. Фактически, приложения, такие,как средства электронной почты и справочника, могут быть засекречены только спомощью секретности прикладного уровня./>Парадигмы в обнаружении вторжений
Исследователиработают над системами обнаружения вторжений уже длительное время, но так и недостигли того, что можно было бы назвать «настоящим прорывом».Обычно, направление исследований сфокусировано на направлении, котороеназывается «обнаружение аномального поведения» (Anomaly DetectionIntrusion Detection Systems, AD-IDS). В принципе, AD-IDS «изучает»то, что составляет «нормальный» сетевой трафик; на его основеразрабатываются наборы моделей, которые обновляются с течением времени. Затемэти модели применяются для нового трафика, и трафик, который не соответствуетшаблону «нормального» трафика, отмечается как подозрительный(аномальный). AD-IDS являются привлекательными по своей концепции, но онитребуют предварительного обучения. Однако реальность такова, что очень трудноклассифицировать «нормальный» трафик. И это грустно. Поскольку сетисо временем становятся достаточно крупными, число приложений, установленных вних, становится настолько большим и они настолько сложны, что сеть выглядит хаотичной.Хакер может анализировать и генерировать трафик для того, чтобы получить шаблон«нормального» трафика. Так что, рано или поздно, атака будетвыглядеть как «нормальный» трафик и сможет пройти для IDSнезамеченной. Если IDS является консервативной относительно составных частейатаки, она будет иметь тенденцию генерировать большое количество «falsepositives» — ложных предупреждений об опасности. Рано или поздно сообщениясистемы обнаружения атак начнут игнорировать.
По-прежнему вобласти аномального обнаружения проводятся обширные исследования. Обещаетсяпоявление новых средств, включая объединение анализа защиты с методамивизуализации и анализа данных. Однако по прошествии времени, кажется, чтоAD-IDS не являются той «серебряной пулей», которая может решить проблему.Поэтому многие коммерческие фирмы реализуют более простые и легкие вэксплуатации формы IDS, называемые «системами обнаружениязлоупотреблений» (Misuse Detection Intrusion Detection Systems, MD-IDS).
MD-IDS сильнонапоминают антивирусные системы, подключенные к сети. Обычно они содержат наборсигнатур, которые описывают типы соединений и трафика, которые указывают на то,что развертывается конкретная атака. Другие типы MD-IDS основаны на информацииот хостов, например, из журналов регистрации операционной системы, дляобнаружения событий, свидетельствующих о подозрительной деятельности.
ПреимуществаMD-IDS заметны сразу: быстрота, отсутствие «false positives». Слабаясторона MD-IDS заключается в том, что также как и сканеры вирусов, они не могутобнаружить того, о чем они не знают. К сожалению, атака, о которой не знаютсистемные администраторы, это именно то, что они очень сильно хотели быобнаружить. Для того чтобы поддерживать MD-IDS в рабочем состоянии, вамнеобходимо будет проводить постоянные обновления ее базы данных сигнатур засчет какого-нибудь поставщика, который содержит и платит стабильную зарплатуприрученным хакерам. Но даже в этом случае можно по-прежнему оставатьсяуязвимым к атакам, которых пока еще никто не видел. Кроме того, как это ниприскорбно, хакер довольно легко скрывает следы атаки, дурача MD-IDS путемиспользования трюков вроде вставки пробела в поток данных, тем самым, изменяясигнатуру атаки.
/>Методы обнаружения
Контрольсистемы не имеет никакого смысла без последующего анализа полученнойинформации. Крайне важная характеристика системы обнаружения вторжений, — то,как она анализирует накопленные ею данные.
Существуетдве основные категории методов обнаружения вторжений: обнаружение аномалий иобнаружение злоупотреблений./>Обнаружение аномалий
Обнаружениеаномалий использует модели предполагаемого поведения пользователей иприложений, интерпретируя отклонение от «нормального» поведения какпотенциальное нарушение защиты.
Основнойпостулат обнаружения аномалий состоит в том, что атаки отличаются отнормального поведения. Скажем, определенную повседневную активностьпользователей (ее тип и объем) можно смоделировать достаточно точно. Допустим,конкретный пользователь обычно регистрируется в системе около десяти часовутра, читает электронную почту, выполняет транзакции баз данных, уходит на обедоколо часа дня, допускает незначительное количество ошибок при доступе к файлами так далее. Если система отмечает, что тот же самый пользовательзарегистрировался в системе в три часа ночи, начал использовать средствакомпиляции и отладки и делает большое количество ошибок при доступе к файлам,она пометит эту деятельность как подозрительную.
Главноепреимущество систем обнаружения аномалий заключается в том, что они могутвыявлять ранее неизвестные атаки. Определив, что такое «нормальное» поведение,можно обнаружить любое нарушение, вне зависимости от того, предусмотрено ономоделью потенциальных угроз или нет. В реальных системах, однако преимуществообнаружения ранее неизвестных атак сводится на нет большим количеством ложныхтревог. К тому же, системы обнаружения аномалий трудно настроить корректнымобразом, если им приходится работать в средах, для которых характерназначительная изменчивость./>Обнаружение злоупотреблений
Системыобнаружения злоупотреблений, по существу, определяют, что идет не так, какдолжно. Они содержат описания атак («сигнатуры») и ищут соответствие этимописаниям в проверяемом потоке данных, с целью обнаружить проявление известнойатаки. Одна из таких атак, к примеру, возникает, если кто-то создает символьнуюссылку на файл паролей ОС Unix и выполняет привилегированное приложение,которое обращается по этой символьной ссылке. В данном примере атака основанана отсутствии проверки при доступе к файлу.
Основноепреимущество систем обнаружения злоупотреблений состоит в том, что онисосредотачиваются на анализе проверяемых данных и обычно порождают очень малоложных тревог.
Главныйнедостаток систем обнаружения злоупотреблений связан с тем, что они могутопределять только известные атаки, для которых существуют определеннаясигнатура. По мере обнаружения новых атак разработчики должны строитьсоответствующие им модели, добавляя их к базе сигнатур./>Ответные действия: после вторжения
Ответныедействия системы вторжений — это ее реакция на обнаруженную проблему. Ответныешаги могут осуществляться в разной форме; самая распространенная среди них —генерация предупреждения, которая описывает обнаруженное вторжение. Существуюттакже более активные ответные действия, такие как отправка сообщения на пейджерсистемного администратора, включение сирены или даже организация контратаки.
Контратакаможет включать в себя изменение конфигурации маршрутизатора с тем, чтобыблокировать адрес атакующего или даже организовать ответное нападение наподозреваемого. Активные ответные действия — весьма рискованная мера, посколькуони могут обрушиться на совершенно неповинных людей. Скажем, хакер можетатаковать сеть с помощью фальсифицированного трафика, как будто бынаправляемого с определенного адреса, но на самом деле генерируемого в некоторомдругом месте. Если система обнаружения вторжений выявит атаку и изменитконфигурацию сетевых маршрутизаторов, для того чтобы блокировать трафик,получаемый с данного адреса, по существу, это будет означать организацию атакитипа «отказ в обслуживании» (denial of service — DoS) против того сайта, закоторый выдает себя хакер./>Открытые вопросы
Хотя запоследние годы технология обнаружения вторжений развивалась очень быстро,многие важные вопросы до сих пор остаются открытыми. Во-первых, системыобнаружения должны стать более эффективными, научившись выявлять широкийдиапазон атак с минимальным количеством ложных тревог. Во-вторых, методыобнаружения вторжений должны развиваться с учетом роста размера, скорости идинамизма современных сетей. Наконец, необходимы методы анализа, которыеподдерживают идентификацию атак, направленных против сетей в целом.
/>Эффективность системы
Основнаязадача увеличения эффективности состоит в разработке системы, которая способнаопределять почти 100% атак с минимальным количеством ложных тревог. Пока мыдалеки от достижения этой цели.
Современныесистемы обнаружения вторжений, в основном, базируются на методах выявлениязлоупотреблений. Свободно распространяемая система Snort и коммерческое решениеISS RealSecure — вот два продукта, которые используют сигнатуры для анализасетевого трафика. Поскольку они моделируют только известные атаки,разработчикам приходится регулярно обновлять свой набор сигнатур. Такой подходнедостаточно эффективен. Необходимо научиться с помощью инструментарияобнаружения аномалий выявлять новые виды атак, но при этом избежатьсвойственного этому подходу большого числа ложных тревог. Многие исследователивысказываются за использование смешанного подхода, сочетающего в себевозможности обнаружения аномалий и обнаружения злоупотреблений, но для этогонеобходимы дальнейшие исследования./> Производительность
Простоопределять атаки недостаточно. Системы обнаружения вторжений должны иметьвозможность анализировать поток входных событий, генерируемых высокоскоростнымисетями и высокопроизводительными компьютерами, которые стоят в узлах сети.
Сети GigabitEthernet используются повсеместно, растет популярность быстрых оптическихканалов. Связанные сетями компьютеры также становятся быстрее, обрабатывают всебольше данных и генерируют все более объемные журналы регистрации. Этовозвращает нас к проблеме, которую когда-то вынуждены были решать системныеадминистраторы, сталкивавшиеся с огромными объемами информации. Существует дваспособа анализа такого количества информации в реальном времени: разделениепотока событий или использование периферийных сетевых датчиков.
При первомподходе модуль-«секатор» (slicer) расщепляет поток событий на более управляемыепотоки меньшего размера, которые датчики обнаружения вторжений могутанализировать в реальном времени. Для этого доступ ко всему потоку событийдолжен осуществляться в одном месте. В силу этого исследователи обычнорекомендуют использовать разделение событий в централизованных системах или насетевых шлюзах.
Недостатоктакого подхода состоит в том, что «секатор» должен делить поток событий такимобразом, чтобы гарантировать выявление всех соответствующих сценариев атак.Если поток событий делится произвольным образом, датчики могут не получитьнеобходимые данные для обнаружения вторжения, поскольку различные частипроявления атаки могут оказаться в разных фрагментах потока событий.
Второй подходсостоит в развертывании множества датчиков на периферии сети, близко к хостам,которые должна защищать система. Этот подход предполагает, что при переносеанализа на периферию сети возникает естественное разделение трафика.
Недостатоктакого подхода состоит в том, что развертывать широко распределенный набордатчиков, а затем управлять им достаточно трудно. Во-первых, корректноеразмещение датчиков может оказаться довольно сложным делом. Атаки, которыезависят от сетевой топологии (например, атаки, основанные на маршрутизации ифальсификации соединений), требуют, чтобы датчики устанавливались вопределенных позициях сети. Во-вторых, существуют серьезные вопросы управленияи координации. Сети — это весьма динамичные конструкции, которые развиваются вовремени, как и их потенциальные угрозы. Новые виды атак появляются чуть ли неежедневно; инфраструктура датчиков должна развиваться соответствующим образом./>Анализ в масштабе всей сети
Установкадатчиков в критических для работы сети местах позволяет администраторамвыявлять атаки против сети в целом. Другими словами, сеть, оснащеннаядатчиками, может дать интегрированную, полную картину состояния сетевой защиты.Атаки, которые представляются невинными действиями в рамках одного хоста, могутоказаться крайне опасными в масштабах всей сети.
Рассмотрим, кпримеру, атаку, которая ведется в несколько этапов. Пусть каждый этапосуществляется на своем хосте, но, поскольку атакуемая система поддерживаетразделяемую файловую систему, эффект проявится во всей сети. Система можетоказаться не в состоянии выявить каждый этап злонамеренных действий при анализеинформации с одного датчика, однако более развернутый анализ сетевой активностидолжен позволить выявить признаки атаки. Эта корреляция или объединениепредупреждений — идентификация шаблонов вторжения на основе группы сигналовдатчиков — является одной из самых сложных проблем в современных системахобнаружения вторжений./>Уведомления о взломе
Благодаряиспользованию метода, который называется «уведомления о взломе»(«burglar alarms»), IDS может предоставить полезное и надежноеуведомление об определенных классах инцидентов безопасности. Для того чтобыпонять, как работают уведомления о взломе, рассмотрим, как они применяются в«реальном мире». Рассмотрим простой пример. В доме есть сигнализация,которая проводит в жизнь простую политику безопасности: когда хозяина нет дома,никто не должен проникнуть через двери или окна, и никто не должен разбитьстекла. Более того, в доме есть несколько скрытых датчиков, размещенных внаиболее важных местах. Когда хозяина нет дома, никто не должен пройти черездверь невредимым. Опираясь на эту образную политику, можно спроектироватьсистему уведомления о взломе на основе датчиков на окнах и дверях, детекторовразбитого стекла и некоторых поддельных датчиках. Можно ещё добавитьтребование, что никто не должен передвигаться внутри дома, когда хозяина тамнет. Другой дом может иметь отличающуюся политику безопасности. В этом изаключается секрет: система уведомления о взломе — это IDS, которая опираетсяна понимание сети и того, что не должно происходить внутри нее.
Удивительно,но одним из самых лучших инструментов для построения системы обнаружения атак суведомлением о взломе (burglar alarm intrusion detection system) являетсяMD-IDS. Сетевому администратору надо сесть и описать, опираясь на свои знаниясети, какого типа события он хочет отслеживать. Затем настроить MD-IDS наобнаружение и уведомление о них. Например, предположим, что сеть находится замежсетевым экраном (МСЭ), который блокирует IP трафик из Internet: надопроанализировать его и отправьте уведомление, если диапазон внешних IP-адресовиз Internet виден в локальной сети. Предположим, что МСЭ не позволяет проходитькакому-либо трафику, за исключением E-mail (SMTP), новостей USENET (NNTP) изапросов к DNS-серверу: установите MD-IDS, чтобы она начинала выдаватьуведомления, если через МСЭ все же устанавливаются какие-либо соединения свнутренними системами для других, отличных от разрешенных, сервисов.
Вероятнонаиболее мощная способность IDS с уведомлением о взломе состоит в том, что онидействуют неожиданно для хакера. Администратор знаете свою сеть, а они нет.Если они проникли внутрь, им необходимо изучить сеть для того, чтобы эффективнореализовать свои атаки. Также как и взломщик, который может открыть несколькочуланов и шкафов в поисках денег или ювелирных изделий, сразу же после того,как он проник за охраняемый периметр, хакер будет сканировать сеть в поискахсистем, которые стоит атаковать, или шлюзов к другим сетям. Поиск попытоквнутреннего сканирования — эффективный способ обнаружения хакера. Большинствохакеров не ожидают встретить достойной обороны, — они проникают внутрь иполагают, что как только они прошли МСЭ, то их уже никто не видит. IDS суведомлением о взломе разрушает это предположение и, что также являетсямногообещающим, хакер будет ступать по виртуальному минному полю, как только онпроникнет за периметр защиты.
Вероятно,большинство IDS в настоящее время развертываются не как системы обнаружениявторжения (Intrusion Detection Systems), а как системы обнаружения атак (AttackDetection Systems, ADS). Обнаружение атак представляет парадокс: еслиадминистратор знает, что конкретная атака существует, и блокируете ее, зачемему заботиться о том, что кто-то пытается использовать ее против него?
Фактор,заставляющий сетевых администраторов использовать MD-IDS в ADS режиме — обычноелюбопытство. Интересно в короткий промежуток времени успеть задокументироватьчастоту и уровень атак, которым подверглась сеть. Но $10000 и больше — это кучаденег, которую придется потратить на это сомнительное удовольствие. Инструментыаудита также управляют рынком MD-IDS — если аудит сети проводится экспертами вобласти защиты, вы будете раскритикованы, если их операции по тестированию ипроникновению не будут обнаружены. Поскольку многие аудиторы используют широкийспектр автоматизированных средств анализа защищенности типа «InternetScanner» от компании Internet Security Systems. Inc. или «CyberCopScanner» от компании «Network Associates», то существуетвозможность немедленной, эмоциональной расплаты, если у администратора есть ADS,которая обнаруживает сканирование.
Теоретически,ADS вас будет предупреждать и повышать бдительность администратора в течениеопределенного периода времени, повышая его шансы в обнаружении ипротиводействии реальной атаке. Это является выгодным, поскольку хакер являетсядостаточно «вежливым», чтобы предупредить администратора запускомпрограммы SATAN против сети, прежде чем он запустит реальную атаку.
Маркус Ранум(Marcus Ranum) — CEO изNetwork Flight Recorder, Inc., работает в фирме, специализирующейся на ПО дляанализа сетевого трафика. В 1991 году он создал первый коммерческийInternet-продукт — межсетевой экран, и впоследствии разработал и внедрилнесколько других значительных систем защиты, включая комплект инструментов TIS Firewall,TIS Gauntlet и Whitehouse.gov. Маркус часто выступает с лекциями наконференциях и дает консультации как аналитик по сетевой защите промышленногоприменения.
Маркус Ранумпостроил свою первую защищенную и важную Internet-систему в 1991 году, какчасть Internet-шлюза крупной корпорации. Программное обеспечение на межсетевомшлюзе имело большое количество довольно элементарных систем уведомления овзломе, но даже в 1991 году тревоги раздавались приблизительно два раза внеделю. Уведомления были коварными и появлялись только после того, как системауже была взломана до определенной степени. Он обычно прослеживал атаки и частовылавливал хакеров. Процесс отслеживания атаки и документирование инцидентазанимал примерно 4 часа на каждую атаку. Конечно, его усилия не сыграли особойроли, потому что по мере увеличения количества пользователей сети Интернет,увеличилось и количество атак. В конце концов, Маркус Ранум понял, что еслиработать «по старинке», то это займет приблизительно 16 часов внеделю. Поскольку он создавал эту систему, то знал, что она может противостоятьатакам, которые были обнаружены. По сути, Маркус ничего не достиг в том, чтокасается его времени, потому что ему приходилось выполнять функции суррогатногородителя для кучи плохо подготовленных выпускников высших учебных заведений.Следующее поколение его систем уведомления о взломе было настроено наавтоматическое выполнение определенных процедур, когда возникали ситуации,которые, как он считал, никогда не должны были происходить.
Многиеорганизации, которые в настоящее время не обнаруживают и не учитывают атаки, неосознают, что их ждет неприятный сюрприз, когда они проинсталлируют IDS илиADS. Они обнаружат, что даже когда они знают, что атака запущена, не существуетэффективных способов противодействия, которые они могли бы применить противнее. Сегодня нельзя полагаться на адрес, из которого, как видно, происходитатака. Он может принадлежать безвредному «парню, чей компьютер ужескомпрометировали». Даже если знать, откуда происходит атака, то почтивсегда оказывается, что она идет от пользователя, чей пароль был украден, или садреса, который был зарегистрирован по украденной кредитной карточке. Полноеотслеживание такой атаки — это отвратительно долгая по времени и сложностизадача, которая связана с публичным доступом.
По-прежнему,наиболее эффективным по стоимости методом будет просто перестать гоняться захакерами и вернуться к работе. Но зачем тогда нужно обнаруживать атаку, еслиадминистратор знает, что ничего не сможет сделать против нее?/>Что делать?
К сожалению,«серебряной пули» не существует. Понимая ограничения и возможностиIDS, можно эффективно использовать их. Для того, чтобы IDS работали наилучшимобразом, необходимо сесть и составить перечень всех типов событий, которыеадминистратор знает и которые могут вызвать серьезные проблемы в сети, затемнастроить систему, чтобы она могла видеть их. Количество атак во внутреннейсети должно быть очень небольшим, и будет исходить либо от аудиторов, либо отхакеров, которые каким-то образом пробрались через защиту периметра. В самомхудшем, хотя и вполне возможном случае, можно обнаружить сотрудников, которыезапускают атаки против внешних серверов в сети Интернет.
Что касаетсясети Internet, то средства защиты улучшается с большой скоростью. Современноепоколение IDS — это только начало. В будущем мы увидим, что IDS комбинируетобнаружение аномалий и обнаружение злоупотреблений, и, будем надеяться, что онибудут гладко интегрироваться с МСЭ и другими системами защиты.
/>Заключение
Даже по меретого, как защита сетей становится все надежнее, обнаружение аномалий всегдаостанется неотъемлемой частью любой серьезной системы безопасности. Сложившаясясейчас тенденция к установке распределенных и специализированных датчиковприведет к появлению систем, состоящих из сотен, возможно даже тысяч датчиков,подключенных к сети с помощью инфраструктуры, которая поддерживает связь,контроль или изменение конфигурации. Хотя тип и характеристики даннойинфраструктуры могут варьироваться, все они должны иметь возможностьмасштабироваться в очень больших пределах. Кроме того, процедура анализа, вконечном итоге, будет перенесена с низкоуровневых датчиков на высокоуровневыеанализаторы, которые предоставят администраторам более полную и точную картинусобытий, важных для безопасности сети в целом.
В ближайшембудущем технология датчиков будет интегрирована в повседневную вычислительнуюсреду. Нечто похожее произошло с межсетевыми экранами, которые теперь являютсянеотъемлемой частью операционных систем: и Unix, и Windows снабженыфункциональностью, характерной для межсетевых экранов на базе хостов. Теперьнастало время, когда операционные системы и сетевое программное обеспечениедолжны интегрировать датчики обнаружения вторжений. Обнаружение вторжений, безсомнения, станет обязательной функцией.
Повсеместная,распределенная сеть может быть развернута, если только есть возможностьинтегрировать различные виды датчиков, работающих на разных платформах, вразных средах и операционных системах. В силу этого необходимы стандарты,которые обеспечат интероперабельность. Первый шаг в этом направлении — стандартIntrusion Detection Message Exchange Format, предложенный рабочей группой IntrusionDetection Working Group в составе Internet Engineering Task Force. IDMEFопределяет формат предупреждений и протокол обмена предупреждениями. Необходимопредпринять дополнительные усилия, чтобы сформировать так называемую онтологию,которая позволит датчикам достигнуть соглашения по интерпретации воспринимаемойими информации. Без такого общего способа описания используемых объектовдатчики по-прежнему будут по-разному трактовать данные при обнаружении одного итого же вторжения.
По мереразвития программных технологий обнаружения вторжений они могуттрансформироваться в технологию датчиков, реализуемых аппаратно. Новые видыраспределенных датчиков могут одновременно открыть новые направления в областиобнаружения вторжений. Возможно, когда-нибудь наша оснащенная датчиками одеждабудет способна выявлять вора-карманника. Перспективы эти исключительнозаманчивы, если не безграничны.
/>Список используемой литературы:
1. Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В.Безопасность компьютерных сетей на основе Windows NT. — Москва, Русскаяредакция. — 1998.
2. C. Ko, M. Ruschitzka, K.Levitt, «Execution Monitoring of Security-Critical Programs in DistributedSystems: A Specification-Based Approach», Proc. 1997
3. Хуотаринен А.В.,Щеглов А.Ю. Технология физической защиты сетевых устройству/Экономика ипроизводство. — №4. — 2002.
4. Щеглов А.Ю.ДарасюкМ.В., Оголюк А.А. Технология защиты рабочих станций в сетевых архитектурахклиент-сервер//ВУТЕ. Россия — №1 — 2000.Список использованных Интернет-ресурсов:
www.uran.donetsk.ua/~masters/2004/fvti/zlatokrilets/library/source1.htm zerokool.vistcom.ru/ids.html