Система обнаружения вторжения в сеть предприятия

Стелс-режим обычно работает следующим образом: на компьютере установлено две сетевые карты. Одна карта перехватывает все пакеты анализируемой сети, при этом она даже не имеет IP-адреса (promiscuous mode), на который мог бы обратиться злоумышленник. Второй сетевой интерфейс подключен к отдельной, изолированной сети по которой передаются данные о зарегистрированных первой сетевой картой происшествиях в сети, сработавшим датчикам, сигнализации на центральную консоль управления сенсорами.

Существует две схемы  применения сенсоров:

Рисунок 1 Схемы применения сеансов.

Как видно из рисунке 1, существует два основных способа установки сенсора: внутри зоны, защищенной межсетевым экраном, и вне этой зоны, то есть перед межсетевым экраном.

Если сенсоры находятся  внутри демилитаризованной зоны (DMZ) оказывается проще определить то, что МЭ был неправильно или недостаточно точно сконфигурирован, то есть при такой установке сенсоров можно увидеть пройдет ли потенциальная атака через защиту МЭ или нет (Рис. 1А). Еще одним преимуществом такого расположения сенсора является то, что внутри DMZ приходится анализировать меньше потенциально-опасного трафика, так как часть его уже была отфильтрована на этапе прохождения через МЭ.

Сенсоры, установленные как это указано на рис.1Б, являются сенсорами обнаружения атак. Поскольку при таком расположении сенсор получает весь трафик из Интернет, и определяет все попытки атак (включая те, которые затем отфильтровывает МЭ), информацию о предпринимаемых злоумышленником атаках можно использовать в качестве дополнительной при принятии решения, каким методом блокировать действия злоумышленника на МЭ.

При установке сенсоров с обоих сторон МЭ можно получить преимущества обоих вариантов применения сенсоров и оценивать эффективность  работы МЭ.

Преимущества использования сетевых СОВ:

- могут быть хорошо защищены, так как они только ”наблюдают” за трафиком в сети;

- можно более эффективно/надежно отслеживать сканирования сети;

- полученную информацию об атаках можно напрямую использовать при формировании правил фильтрации на МЭ;

Перечислим основные недостатки использования сетевых  СОВ:

- возможность не-определения атак вследствие значительного объема трафика, который требуется анализировать;

- невозможность или затруднённый анализ пакетов, передаваемых по сети в зашифрованном виде;

- в отличие от СОВ на основе хоста отсутствует возможность прямого анализа последствий атаки.

Приведем несколько  примеров решений сетевых СОВ:

- NetRanger [http://www.cisco.com];

- Dragon [http://www.securitywizards.com];

- NFR [http://www.nfr.net];

- Snort [http://www.snort.org];

- DTK [http://all.net/dtk/dtk.html];

-ISS;

- RealSecure   

- http://www.uh.edu/infotech/software/unix/realsecure/index.html]

- Хосты-приманки

Хосты-приманки (honeypot) –  это программы, которые симулируют один или несколько сетевых сервисов, которые работают на соответствующих им стандартных портах. Злоумышленник предполагает, что на компьютере запущен уязвимый сервис, который может быть использован для проникновения в этот компьютер. Хосты-приманки используются для записи попыток доступа на порты сервисов, при этом записываются все действия производимые злоумышленником. Такая приманка служит предупреждением о том, что злоумышленник изучает сеть и сервисы, предоставляемые ею. Определение  наличия злого умысла определяется самим фактом подключения на любой порт хоста-приманки.

Хосты-приманки в зависимости  от конфигурации могут выполнять  три основные функции или их комбинацию.

Отвлечение: Отвлекает  внимание злоумышленника от работающего  сервиса сети. Конфигурация сети выполняется таким образом чтобы первое, на что обратил внимание злоумышленник во время вторжения или сканирования сети был хост-приманка.

Обнаружение: Наибольшую пользу хосты-приманки приносят в качестве средства обнаружения атак. Поскольку  система хоста-приманки полностью предназначена для решения единственной задачи обнаружения вторжения – алгоритм определения имеет доступ ко всем ресурсам системы, и не ограничен в их использовании (в отличие от СОВ на основе хоста). Расположение хостов-приманок имеет важное значение в их эффективности. Администратор сможет воспользоваться результатами работы хостов-приманок лишь в случае грамотной их конфигурации и правильного расположения внутри сети. Основным приемом считается размещение такого хоста между важными серверами (для отслеживания возможного сканирования сети) или поблизости от какого-либо важного сервера, применяя при этом на этом сервере переадресацию портов (например, переадресуя все неиспользуемые порты на хост-приманку).

Реакция: Способы реакции при подозрении на атаку могут быть различными в зависимости от многих параметров, таких как тип атаки, источник атаки, и других. Более подробно эти способы будут рассмотрены ниже. При установке хостов-приманок следует помнить, что такой хост не должен внешне (со стороны сети) сильно отличаться от обычного хоста, т.е. напоминать во многом установки по умолчанию. Такая конфигурация должна быть наиболее интересна для злоумышленника. Реакция необходима практически при любой конфигурации хоста-приманки, поскольку отсутствие мер противодействия может стать лишь “приглашением” к дальнейшим действиям для злоумышленника и стать знаком того, что система безопасности настроена недостаточно продуманно.

Один из приемов противодействия  следует рассмотреть отдельно, поскольку он является расширенным понятием хоста-приманки.

Если СОВ оповещает  систему противодействия о нарушителе, то все его действия перенаправляются в некую замкнутую виртуальную  систему, состояющую (возможно из виртуальных) хостов, серверов, сетей, максимально эмулирующих реальную систему, но при этом являющейся ”пустышкой”, то есть эмулируя все ответы реальной системы, не производящих никаких реальных действий. При этом возможно даже эмулировать успешный взлом системы. В таких системах возможно полное отслеживание всех действий злоумышленника для последующего анализа – создания портрета злоумышленника и выяснения его целей и средств.

Перечислим преимущества “смирительных” систем:

- в “смирительных” системах злоумышленник не сможет причинить какой-либо вред реальной системе

- администратор может досконально отслеживать все действия злоумышленника, получая при этом информацию о методах и целях атаки.

Говоря о недостатках, необходимо упомянуть следующие:

- создание и внедрение таких систем достаточно трудоемко, требует досконального знания существующей системы и постоянного изменения в соответствии с изменениями в реальной системе

- при неправильной реализации такой системы возможно внесение новых уязвимостей в реальную систему

- при ложном срабатывании СОВ нормальная работа пользователя (-ей) в системе может быть восстановлена только при участии администратора

 

2.3 Атаки на компьютерную систему.

Наконец, атака на компьютерную систему - это действие, предпринимаемое  злоумышленником, которое заключается  в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы (ВС), передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним  применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных ВС состоит в том, что если в локальных ВС наиболее частыми были угрозы раскрытия и целостности, то в сетевых системах, как будет показано далее, на первое место выходит угроза отказа в обслуживании.

Под удаленной атакой понимают информационное разрушающее воздействие на распределенную ВС, программно осуществляемое по каналам связи. Это определение охватывает обе особенности сетевых систем - распределенность компьютеров и распределенность информации. Поэтому далее будут рассмотрены два подвида таких атак - это удаленные атаки на инфраструктуру и протоколы сети и удаленные атаки на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах. При этом под инфраструктурой сети мы понимаем сложившуюся систему организации отношений между объектами сети и используемые в сети сервисные службы.

Для более точного  описания удаленных атак и предлагается следующая классификация. Итак, удаленные  атаки можно классифицировать по следующим признакам:

По характеру  воздействия

- пассивное 

- активное 

Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.

Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало.

Очевидной особенностью активного воздействия по сравнению  с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).

 По цели  воздействия 

- нарушение конфиденциальности  информации либо ресурсов системы; 

- нарушение целостности  информации; 

- нарушение работоспособности  (доступности) системы; 

Этот классификационный  признак является прямой проекцией  трех основных типов угроз - раскрытия, целостности и отказа в обслуживании.

Основная цель практически  любой атаки - получить несанкционированный  доступ к информации. Существуют две  принципиальные возможности доступа  к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием.

Возможность искажения  информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия. Примером удаленной атаки, цель которой нарушение целостности информации, может служить типовая удаленная атака (УА) "Ложный объект РВС".

Принципиально другой целью  атаки является нарушение работоспособности  системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая УА "Отказ в обслуживании".

 По условию  начала осуществления воздействия