Технологии предотвращения сетевых атак на информационные системы

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение 
высшего профессионального образования 
«Южно-Уральский государственный университет» 
(национальный исследовательский университет) 
ФГБОУ ВПО «ЮУрГУ» (НИУ)

Факультет «Экономики и управления»

Кафедра «Экономическая теория и мировая экономика»

 

 

 

 

 

Контрольная работа

по дисциплине «Информационная безопасность»

на тему «Технологии предотвращения сетевых атак на информационные системы».

 

 

 

 

 

 

Выполнила: Малышева О.Ю.

студентка ЗЭиУ-503

Проверила: Калашников Н. В.

 

 

 

 

 

 

 

Челябинск 2015

Оглавление.

 

 

 

Введение.

Одна из основных угроз информационной безопасности - угроза информационных атак, направленных, например, на нарушение работоспособности ИС или получение несанкционированного доступа к информации, хранящейся в ИС. Число информационных атак в последние годы неуклонно растет. Так, по данным Координационного центра немедленного реагирования CERT, число атак на ИС, зафиксированных в 2002 году, составляет 74 тыс., что в два раза превышает аналогичный показатель 2001 года. Для противодействия информационным атакам в настоящее время все чаще применяются специальные системы защиты - системы обнаружения атак.

 

 

 

 

 

 

 

 

 

 

 

1. Системы обнаружения атак - структура и функциональные задачи.

Системы обнаружения атак (СОА) представляют собой специализированные программно-аппаратные комплексы, предназначенные для выявления информационных атак в ИС. Типовая архитектура СОА включает следующие компоненты:

• модули-датчики (или модули-сенсоры), предназначенные для сбора необходимой информации о функционировании ИС;
• модуль выявления атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак нарушителя;
• модуль реагирования на обнаруженные атаки;
• модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы СОА. Таким модулем, как правило, является стандартная СУБД, например MS SQL Server, Oracle или DB2;
• модуль управления компонентами СОА.

Все вышеперечисленные модули СОА могут быть реализованы как в виде одного, так и в виде нескольких программно-аппаратных компонентов.

 

 

 

 

 

2. Сбор исходных данных об ИС.

СОА собирают всю информацию, необходимую им для выявления атак, при помощи сетевых (network-based) и хостовых (host-based) модулей-датчиков. Сетевые датчики предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен датчик. Сетевые датчики реализуются в виде отдельного программно-аппаратного блока, подключаемого к сегменту ИС. Хостовые же датчики устанавливаются на рабочие станции и сервера ИС и собирают информацию обо всех событиях, происходящих на этих узлах системы. Как правило, большая часть существующих СОА используют оба типа датчиков для того, чтобы имелась возможность сбора максимального объема данных, необходимого для обнаружения информационных атак. Типовая схема размещения СОА в ИС в этом случае предполагает установку сетевых датчиков до и после межсетевого экрана (МЭ), что позволяет обеспечить контроль его функционирования и защиту. Одновременно сетевые датчики могут быть установлены в сегментах, где вследствие высоких материальных затрат размещение хостовых датчиков на каждом компьютере является нецелесообразным. Хостовые датчики СОА устанавливаются на наиболее критических серверах ИС, которые должны быть защищены от информационных атак.

 

 

 

 

 

 

3. Выявление атаки нарушителей.

Функции обнаружения атак в ИС выполняются СОА при помощи двух типов модулей выявления атак (МВА) - сигнатурных и поведенческих. Сигнатурные МВА имеют встроенные средства для создания и хранения внутренних моделей информационных атак, которые и получили наименование сигнатурных. В качестве сигнатуры атаки могут выступать строка символов, семантическое выражение на специальном языке, формальная математическая модель др. Каждая сигнатура в общем случае может быть соотнесена с определенной атакой нарушителя.

Алгоритм работы сигнатурных МВА выглядит следующим образом. При получении исходных данных от модулей-датчиков МВА проводят их анализ на предмет наличия в них сигнатур атак. В случае обнаружения сигнатуры в исходных данных МВА фиксирует факт обнаружения информационной атаки нарушителя. Преимуществом сигнатурных МВА является высокая точность работы, а очевидным недостатком - невозможность обнаружения тех атак, сигнатуры которых отсутствуют в базе данных МВА.

Поведенческие МВА, в отличие от сигнатурных, базируются не на внутренних моделях информационных атак, а на моделях штатного процесса функционирования ИС. Для создания таких моделей, как правило, применяются статистические, нейросетевые и иммунные методы. Принцип работы поведенческих МВА заключается в обнаружении несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в МВА. Любое такое несоответствие рассматривается поведенческими МВА как информационная атака. Преимуществом МВА данного типа является возможность обнаружения новых атак без необходимости постоянного изменения параметров функционирования модуля, недостатком - сложность создания точной модели штатного режима функционирования ИС.

4. Возможности СОА по реагированию на выявленные атаки.

 Выявив атаку в ИС, СОА имеет возможность предпринять  определенные ответные действия, направленные на ее блокирование. За реализацию этих действий  отвечает модуль реагирования  СОА. В существующих коммерческих  СОА реализованы следующие методы  реагирования.

Базовым методом реагирования СОА является оповещение администратора ИС о выявленной атаке. СОА может уведомить администратора следующими способами:

• выводом соответствующего сообщения на консоль управления администратора;
• посылкой администратору сообщения средствами электронной почты;
• формированием SNMP-trap-сообщения и последующей его посылкой в систему управления (например, HP OpenView, IBM Tivoli, CA Unicenter и др.).

Сообщение об обнаруженной атаке, как правило, формируется в соответствии с проектом Международного стандарта IDMEF (Intrusion Detection Message Exchange Format), который определяет модель представления данных, генерируемых СОА, в формате XML. Сообщения, посылаемые администратору безопасности, содержат следующую информацию:

• дату и время обнаружения атаки;
• общее описание атаки, включая возможные ссылки на дополнительные источники информации о выявленной атаке;
• символьный идентификатор атаки по классификатору CVE (Common Vulnerabilities Exposures) или CERT (Computer Emergency Response Team);
• уровень приоритета обнаруженной атаки (низкий, средний или высокий);
• информацию об источнике атаки (IP-адрес, номер порта, доменное имя и др.);
• информацию об объекте атаки (IP-адрес, номер порта, доменное имя и др.);
• рекомендации по устранению уязвимости, в результате которой был зафиксирован факт реализации атаки.

Помимо простого оповещения администратора о факте выявления атаки, существующие СОА могут реализовать и ряд иных типов реагирования, таких как:

• блокирование TCP-соединения, по которому была реализована атака. Такое закрытие реализуется путем посылки субъектам соединения специального TCP-сегмента с установленным флагом RST;
• запуск заданной внешней программы с определенными параметрами. Наличие такой функции модуля реагирования позволяет администратору СОА дополнять существующие методы реагирования собственными, реализованными в виде внешних подпрограмм;
• реконфигурация межсетевого экрана с целью блокирования трафика, поступающего от хоста нарушителя. В настоящее время большая часть существующих МЭ имеет соответствующие внешние интерфейсы, обеспечивающие взаимодействие МЭ с СОА. Примером такого интерфейса является интерфейс OPSEC для МЭ CheckPoint FW-1;
• блокирование учетной записи внутреннего пользователя ИС, который является потенциальным источником атаки. Учетные записи должны блокироваться на заданный период времени при помощи хостовых датчиков СОА.

 

5. Предотвращение атаки.

Нетрудно заметить, что все рассмотренные выше методы реагирования СОА реализуются после того, как атака обнаружена. В результате ИС может быть нанесен существенный ущерб. Наличие этого недостатка во всех СОА первого поколения инициировало разработку принципиально новых технологий, позволяющих не только обнаруживать, но предотвращать информационные атаки. В настоящее время такие технологии уже реализованы в нескольких зарубежных СОА.

Хорошо известно, что на сетевом уровне ИС взаимодействие между хостами системы выполняется с помощью различных протоколов. На системном же уровне проводятся локальные операции системного и прикладного программного обеспечения ИС, которые выполняются на хостах системы. Отсюда предотвращение атак на сетевом уровне предполагает использование сетевых датчиков, а на системном - хостовых датчиков СОА. Чтобы понять, насколько эффективными могут быть новые методы блокирования информационных атак, рассмотрим технологии предотвращения атак на различных уровнях ИС более подробно.

1. Предотвращение атак на сетевом уровне ИС.

Технология предотвращения атак на сетевом уровне может быть реализована только при помощи специализированных сетевых датчиков, структура и алгоритм работы которых описываются ниже. Сетевые датчики в этом случае выполняются в виде отдельных аппаратных блоков, которые устанавливаются в каналы связи таким образом, чтобы через них проходил весь сетевой трафик. Для этого датчик оснащается двумя сетевыми адаптерами, которые функционируют в "смешанном" режиме (promiscuous mode) и через которые предполагается прохождение всей информации, передаваемой в сегменте ИС.

Принцип работы компонентов сетевого датчика СОА состоит в следующем.

Пакеты данных поступают на вход одного из двух адаптеров, установленных в сетевом датчике. Далее они записываются в буферную память датчика, откуда считываются МВА. В МВА данные анализируются с целью обнаружения информационных атак нарушителя. При необходимости могут быть задействованы имеющиеся в МВА механизмы IP-дефрагментации и сборки TCP-сессий. В процессе проведения анализа пакетов данных модуль обращается к базе данных сигнатур атак и профилей (назначение ее будет рассмотрено ниже). В случае обнаружения атаки информация об этом направляется в модуль реагирования, который и определяет оптимальный метод реакции СОА. Помимо описанных выше стандартных методов реагирования модуль может принять решение и об удалении тех пакетов, при помощи которых реализуется атака. Такая операция и позволяет сетевому датчику блокировать обнаруженную информационную атаку. В случае же если пакеты данных, проходящие через датчик, не представляют опасности для ИС, они передаются дальше по заданному маршруту.

Весьма важно сказать и о том, что алгоритм функционирования МВА сетевого датчика позволяет использовать два метода обнаружения информационных атак - сигнатурный и профильный. Смысл сигнатурного метода анализа состоит в выявлении атак на основе известных шаблонов, или сигнатур, которые хранятся в соответствующей базе данных датчика. Профильный метод обнаружения предназначен для выявления "аномального" сетевого трафика, параметры которого не соответствуют параметрам профиля ИС, также хранящегося в базе данных датчика. Любой аномальный трафик, выявленный в ИС, расценивается датчиком как попытка реализации атаки и подлежит блокировке. Профильный метод выявления атак относится к группе поведенческих методов анализа. Технологически предусматривается, что сетевой датчик для каждого из хостов ИС обязан хранить отдельный профиль трафика, который может получать или отправлять хост. Задача состоит в том, чтобы трафик, параметры которого не соответствуют значениям параметров профиля, удалялся из общего информационного потока. В качестве примера можно привести параметры профиля HTTP-трафика, который может поступать в веб-сервер ИС (табл. 1).

Таблица 1. Пример профиля трафика веб-сервера, хранящегося в базе данных сетевого датчика СОА

Наименование параметра профиля	Описание параметра профиля
IP-адреса отправителя HTTP-трафика	Диапазон IP-адресов хостов, от которых могут поступать HTTP-запросы к веб-серверу
Номера TCP-портов веб-сервера	Допустимые номера TCP-портов, с которых к веб-северу могут поступать HTTP-запросы
Методы формирования HTTP-запросов	Разрешенные методы формирования HTTP-запросов к веб-серверу
Информационные ресурсы веб-сервера	Допустимые информационные ресурсы, доступ к которым может быть получен посредством HTTP-запросов
Параметры HTTP-запроса	Допустимые значения параметров, которые могут содержаться в HTTP-запросах к ресурсам веб-сервера

 

Аналогичные профили задаются и по отношению к другим типам сетевого трафика, циркулирующего в ИС.

Преимущество профильного метода в том, что он создает возможность для предотвращения не только известных в настоящее время информационных атак, но и большого числа несанкционированных воздействий нарушителей, которые еще не изучены в достаточной степени и реализация которых связана с нарушением параметров, заложенных в профиле. Так, например, введение ограничения на допустимые значения параметров HTTP-запросов позволяет блокировать такие атаки, как Code Red, Code Red II, Nimbda, а также все их последующие модификации. Кроме того, профильный метод не хранит сигнатуры конкретных сетевых атак и, следовательно, не требует постоянного обновления сигнатурной базы.