Анализ система обнаружения вторжений bro. Программы для государственных учреждений США. Отличия от коммерческих систем

До сих пор нет точного определения термина "атака" (вторжение, нападение). Каждый специалист в области безопасности трактует его по-своему. Наиболее правильным и полным я считаю следующее определение.

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.

Устраним уязвимости информационной системы - устраним и возможность реализации атак.

На сегодняшний день считается неизвестным, сколько существует методов атак. Говорят о том, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Но еще в 1996 году Фред Коэн описал математические основы вирусной технологии. В этой работе доказано, что число вирусов бесконечно. Очевидно, что и число атак бесконечно, поскольку вирусы - это подмножество множества атак.

Модели атак

Традиционная модель атаки строится по принципу (рис.1) или (рис.2), т.е. атака исходит из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.
Рисунок 1. Отношение "один к одному"

В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения (рис.3) и (рис.4).

Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании ", а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным России-Онлайн в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключились более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку, и в какой стране находился хакер - установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" - связь была полностью восстановлена. Несмотря на это компьютерная атака продолжалась, но с меньшей интенсивностью.

Этапы реализации атак

Можно выделить следующие этапы реализации атаки:

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа (см. рис.5).
Рисунок 5. Этапы реализации атаки

Cбор информации - это основной этап реализации атаки. Именно на данном этапе эффективность работы злоумышленника является залогом "успешности" атаки. Сначала выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим - нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:
SYN Flood, Teardrop, UDP Bomb - для нарушения функционирования узла;
CGI-скрипт - для проникновения на узел и кражи информации;
PHF - для кражи файла паролей и удаленного подбора пароля и т.п.

Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому - распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

В зависимости от желаемого результата нарушитель концентрируется на том или ином этапе реализации атаки. Например:
для отказа в обслуживании подробно анализируется атакуемая сеть, в ней выискиваются лазейки и слабые места;
для хищения информации основное внимание уделяется незаметному проникновению на атакуемые узлы при помощи обнаруженных ранее уязвимостей.

Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников - залог успешной обороны сети.

1. Сбор информации

Первый этап реализации атак - это сбор информации об атакуемой системе или узле. Он включает такие действия как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.

Изучение окружения

На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).

Идентификация топологии сети

Существует два основных метода определения топологии сети, используемых злоумышленниками:

1. изменение TTL (TTL modulation),
2. запись маршрута (record route).

По первому методу работают программы traceroute для Unix и tracert для Windows. Они используют поле Time to Live ("время жизни") в заголовке IP-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Для записи маршрута ICMP-пакета может быть использована утилита ping . Зачастую сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т.д.

Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и т.д.) для построения карт сети. И эти же методы могут быть с успехом применены злоумышленниками для построения карты атакуемой сети.

Идентификация узлов

Идентификация узла, как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак.

Это самый простой метод идентификации узлов. Однако он имеет два недостатка.

1. Многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или наоборот не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате возникает неполная картина. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой линии обороны" - маршрутизаторов, межсетевых экранов и т.д.
2. Использование ICMP-запросов позволяет с легкостью обнаружить их источник, что, разумеется, не может входить в задачу злоумышленника.

Существует еще один метод идентификации узлов - использование "смешанного" режима сетевой карты, который позволяет определить различные узлы в сегменте сети. Но он не применим в тех случаях, в которых трафик сегмента сети недоступен нападающему со своего узла, т.е. этот метод применим только в локальных сетях. Другим способом идентификации узлов сети является так называемая разведка DNS, которая позволяет идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.

Идентификация сервисов или сканирование портов

Идентификация сервисов, как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например:

• открытый 80-й порт подразумевает наличие Web-сервера,
• 25-й порт - почтового SMTP-сервера,
• 31337-й - серверной части троянского коня BackOrifice,
• 12345-й или 12346-й - серверной части троянского коня NetBus и т.д.

Для идентификации сервисов и сканирования портов могут быть использованы различные программы, в т.ч. и свободно распространяемые. Например, nmap или netcat.

Идентификация операционной системы

Основной механизм удаленного определения ОС - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле.

Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы. Например, nmap или queso.

Определение роли узла

Предпоследним шагом на этапе сбора информации об атакуемом узле является определение его роли, например, выполнении функций межсетевого экрана или Web-сервера. Выполняется этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т.п. Например, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета указывает на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.

Определение уязвимостей узла

Последний шаг - поиск уязвимостей. На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.

2. Реализация атаки

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

• проникновение;
• установление контроля.

Проникновение

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может быть различными путями. Например, использование уязвимости сервиса компьютера, "смотрящего" наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые "туннели" в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (например, L0phtCrack или Crack).

Установление контроля

После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания" следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник смог перепрограммировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (например, для ОС Novell Netware).

Цели реализации атак

Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.

Классификация атак

Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние, умышленные и неумышленные. Однако дабы не запутать вас большим разнообразием классификаций, мало применимыми на практике, предлагаю более "жизненную" классификацию:

1. Удаленное проникновение (remote penetration) . Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или BackOrifice.
2. Локальное проникновение (local penetration) . Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. Например, GetAdmin.
3. Удаленный отказ в обслуживании (remote denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или trin00.
4. Локальный отказ в обслуживании (local denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является "враждебный" апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
5. Сетевые сканеры (network scanners) . Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Например, система nmap.
6. Сканеры уязвимостей (vulnerability scanners) . Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак. Например, система SATAN или ShadowSecurityScanner.
7. Взломщики паролей (password crackers) . Программы, которые "подбирают" пароли пользователей. Например, L0phtCrack для Windows или Crack для Unix.
8. Анализаторы протоколов (sniffers) . Программы, которые "прослушивают" сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д. Например, Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.

Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий, доведя их до 5:

1. Сбор информации (Information gathering).
2. Попытки несанкционированного доступа (Unauthorized access attempts).
3. Отказ в обслуживании (Denial of service).
4. Подозрительная активность (Suspicious activity).
5. Системные атаки (System attack).

Первые 4 категории относятся к удаленным атакам, а последняя - к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых "пассивных" атак ("прослушивание" трафика, "ложный DNS-сервер", "подмена ARP-сервера" и т.п.).

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаружения атак.

Одной из лучших баз уязвимостей и атак является база данных X-Force, находящаяся по адресу: http://xforce.iss.net/. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS.

Заключение

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели "один к одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.

Средства обнаружения компьютерных атак

Технология обнаружения атак должна решать следующие задачи:

• Распознавание известных атак и предупреждение о них соответствующего персонала.
• "Понимание" зачастую непонятных источников информации об атаках.
• Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
• Возможность управления средствами защиты не-экспертами в области безопасности.
• Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).

Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,

• Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
• Контроль узлов сети с неустановленными обновлениями или узлов с устаревшим программным обеспечением.
• Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т.д.
• Контроль электронной почты. Системы обнаружения атак могут использоваться для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылка резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.

Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.

Классификация систем обнаружения атак

Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации:

1. host-based , то есть обнаруживающие атаки, направленные на конкретный узел сети,
2. network-based , то есть обнаруживающие атаки, направленные на всю сеть или сегмент сети.

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений (Web-сервер, СУБД и т.д.). По такому принципу функционирует RealSecure OS Sensor. Однако в последнее время стали получать распространение системы, тесно интегрированные с ядром ОС, тем самым, предоставляя более эффективный способ обнаружения нарушений политики безопасности. Причем такая интеграция может быть реализовано двояко. Во-первых, могут контролироваться все системные вызовы ОС (так работает Entercept) или весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В последнем случае система обнаружения атак захватывает весь сетевой трафик напрямую с сетевой карты, минуя операционную систему, что позволяет уменьшить зависимость от нее и тем самым повысить защищенность системы обнаружения атак.

Системы обнаружения атак уровня сети собирают информацию из самой сети, то есть из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (например, RealSecure Network Sensor), на специализированных компьютерах (например, RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или интегрированы в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module). В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов, используя сетевые интерфейсы в беспорядочном (promiscuous) режиме. В последнем случае захват трафика осуществляется с шины сетевого оборудования.

Обнаружение атак требует выполнения одного из двух условий - или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. В первом случае используется технология обнаружения аномального поведения, а во втором случае - технология обнаружения злоумышленного поведения или злоупотреблений. Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиска данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Практически все системы обнаружения атак основаны на сигнатурном подходе.

Достоинства систем обнаружения атак

Можно долго перечислять различные достоинства систем обнаружения атак, функционирующих на уровне узла и сети. Однако я остановлюсь только на нескольких из них.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки системы, обнаруживающей атаки в сетевом трафике. Иногда могут помочь специальные порты (span ports) на коммутаторах, но не всегда. Обнаружение атак на уровне конкретного узла обеспечивает более эффективную работу в коммутируемых сетях, так как позволяет разместить системы обнаружения только на тех узлах, на которых это необходимо.

Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Кроме того, для контроля сетевого сегмента, необходим только один сенсор, независимо от числа узлов в данном сегменте.

Сетевой пакет, будучи ушедшим с компьютера злоумышленника, уже не может быть возвращен назад. Системы, функционирующие на сетевом уровне, используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, злоумышленник не может удалить следы своей несанкционированной деятельности. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.

Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

И, наконец, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он в соответствие со стандартами, поддерживаемыми системой обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.

Совместное применение систем обнаружения атак на уровне сети и уровне узла повысит защищенность вашей сети.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже межсетевые экраны, построенные по технологии "", не позволяют с уверенностью сказать, присутствует ли атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу или нет. Например, МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80 порту (то есть HTTP-трафик). Таким образом, любой трафик через 80-ый порт законен с точки зрения МСЭ. С другой стороны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть, несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, то есть с сетевым трафиком, они выполняют дополняющие друг друга функции. Например, HTTP-запрос "GET /../../../etc/passwd HTTP/1.0". Практически любой МСЭ разрешает прохождение данного запроса через себя. Однако система обнаружения атак легко обнаружит эту атаку и блокирует ее.

Можно провести следующую аналогию. Межсетевой экран - это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, злоумышленник может пронести сквозь турникет взрывное устройство или пистолет. Мало того. Злоумышленник может залезть к вам через окно. Именно поэтому и нужны системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и необходимым, но явно недостаточным элементом сетевой безопасности.

Межсетевой экран - не панацея!

Варианты реакций на обнаруженную атаку

Мало обнаружить атаку, - необходимо на нее соответствующим образом отреагировать. Именно варианты реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предлагаются следующие варианты реагирования:

• Уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, межсетевого экрана).
• Звуковое оповещение об атаке.
• Генерация управляющих последовательностей SNMP для систем сетевого управления.
• Генерация сообщения об атаке по электронной почте.
• Дополнительные уведомления на пейджер или факс. Очень интересная, хотя и редко применяемая возможность. Оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. По мнению сторонников данного варианта реагирования, нарушитель, узнав, что его обнаружили, вынужден прекратить свои действия.
• Обязательная регистрация обнаруживаемых событий. В качестве журнала регистрации могут выступать:
  • текстовый файл,
  • системный журнал (например, в системе Cisco Secure Integrated Software),
  • текстовый файл специального формата (например, в системе Snort),
  • локальная база данных MS Access,
  • SQL-база данных (например, в системе RealSecure).
  Надо только учитывать, что объемы регистрируемой информации требуют, как правило, SQL-базу - MS SQL или Oracle.
• Трассировка событий (event trace), т.е. запись их в той последовательности и с той скоростью, с которыми их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить (replay или playback) необходимую последовательность событий с заданной скоростью (в реальном режиме времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и т.д.
• Прерывание действий атакующего, т.е. завершение соединения. Это можно сделать, как:
  • перехват соединения (session hijacking) и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них (в системе обнаружения атак, функционирующей на уровне сети);
  • блокировка учетной записи пользователя, осуществляющего атаку (в системе обнаружения атак на уровне узла). Такая блокировка может быть осуществлена либо на заданный промежуток времени, либо до тех пор, пока учетная запись не будет разблокирована администратором. В зависимости от привилегий, с которыми запущена система обнаружения атак, блокировка может действовать как в пределах самого компьютера, на который направлена атака, так и в пределах всего домена сети.
• Реконфигурация сетевого оборудования или межсетевых экранов. В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как изменение будет отменено администратором реконфигурируемого сетевого оборудования.
• Блокирование сетевого трафика так, как это реализовано в межсетевых экранах. Этот вариант позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнять функции доступные в персональных межсетевых экранах.

Система обнаружения вторжений (СОВ ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет . Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий , неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
• хранилище, обеспечивающее накопление первичных событий и результатов анализа
• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Энциклопедичный YouTube

• 1 / 5

  IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

  MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

  W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

  В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

  В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

  Свободно распространяемые СОВ

  • Prelude Hybrid IDS
  • Samhain HIDS
  • Suricata

  Коммерческие СОВ

  См. также

  • Intrusion prevention system (IPS) (англ.)
  • Network intrusion detection system (NIDS) (англ.)
  • Host-based intrusion detection system (HIDS) (англ.)
  • Protocol-based intrusion detection system (PIDS) (англ.)
  • Application protocol-based intrusion detection system (APIDS) (англ.)
  • Anomaly-based intrusion detection system (англ.)
  • Artificial immune system (англ.)
  • Autonomous Agents for Intrusion Detection (англ.)

  Обнаружения вторжений представляет собой процесс выявления несанкционированного доступа или попыток несанкционированного доступа к ресурсам АС.

  Система обнаружения вторжений(Intrusion Detection System(IDS)) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.

  Сигнатура – совокупность событий или действий, характерные для данного типа угрозы безопасности.

  Сенсор получает сетевой пакет.

  Пакет передается ядру для анализа.

  Проверяется совпадение сигнатуры.

  Если совпадений нет, то от узла получается следующий пакет.

  Если есть совпадение, то появляется предупреждающее сообщение.

  Происходит вызов модуля ответного реагирования.

  Ошибки первого и второго рода:

  Ошибки второго рода, когда нарушитель воспринимается системой безопасности, как авторизованный субъект доступа.

  Все системы, использующие сигнатуры для проверки доступа, подвержены ошибкам второго рода, в том числе антивирусы, работающие на антивирусной базе.

  Функционирование системы IDS во многом аналогично межсетевому экрану. Сенсоры получают сетевой трафик, а ядро, путем сравнения полученного трафика, с записями имеющихся базами сигнатур, пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой дополнительный компонент, который может быть использован для оперативного блокирования угрозы, например, может быть сформированного новое правило для межсетевого экрана.

  Существует две основных категории IDS:

  IDS уровня сети. В таких системах сенсор функционирует на выделенном для этих целей хосте(узле), защищаемом сегменте сети. Обычно он работает в прослушивающем режиме, чтобы анализировать весь ходящий по сегменту сетевой трафик.

  IDS уровня хоста. В случае, если сенсор функционирует на уровне хоста для анализа может быть использована следующая информация:

  1. Записи стандартных средств. Протоколирование ОС.

     Информация об использованных ресурсах.

     Профили ожидаемого поведения пользователя.

  Каждый из типов IDS имеет свои достоинства и недостатки.

  IDS уровня сети не снижает общую производительность системы, а IDS уровня хоста более эффективно выявляет атаки и позволяет анализировать активность, связанную с отдельным хостом. На практике целесообразно применять оба этих типа.

  Протоколирование и аудит

  Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование(регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующая все события, относящиеся к информационной безопасности. Аудит – анализ протоколирования информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

  Назначения механизма регистрации и аудита:

  Обеспечение подотчетности пользователей и администратора.

  Обеспечение возможности реконструкции последовательности событий(например при инцидентах).

  Обнаружение попыток нарушения режима информационной безопасности.

  Выявление технических проблем, напрямую не связанных с информационной безопасностью.

  Протоколируемые данные заносятся в регистрационный журнал, который представляет собой хронологически-упорядоченную совокупность записи результатов деятельности субъектов АС, влияющих на режим информационной безопасности. Основными полями такого журнала являются следующие:

  Временная метка.

  Тип события.

  Инициатор события.

  Результат события.

  Так, как системные журналы являются основными источниками информации для последующего аудита и выявления нарушения безопасности должен быть поставлен вопрос о защите их от не санкционированной модификации. Система протоколирования должна быть спроектирована таким образом, чтобы не один пользователь, включая администраторов, не мог произвольным образом изменять записи системных журналов.

  Поскольку файлы журналов хранятся на том или ином носителе, рано или поздно может возникнуть проблема нехватки пространства на этом носителе, при этом реакция системы может быть различной, например:

  Продолжить работу системы, без протоколирования.

  Заблокировать систему до решения проблемы.

  Автоматически удалять самые старые записи в системном журнале.

  Первый вариант является наименее приемлемым с точки зрения безопасности.

  Подсистема обнаружения и предотвращения вторжений включает в себя:

  Таблица 1. Подсистемы обнаружения и предотвращения вторжений

  Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

  Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

  По способу мониторинга средства подсистемы делятся на:

  • средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
  • средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

  Выделяется несколько методов анализа событий:

  • обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
  • обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

  В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

  Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

  Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

  Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

  Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

  Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.
  

  Предотвращение вторжений системного уровня

  Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

  Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

  К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

  Варианты решения:

  Cisco Security Agent
  Check Point Endpoint Security
  Symantec Endpoint Protection
  Trend Micro OfficeScan Corporate Edition
  IBM Proventia Server Intrusion Prevention System
  Kaspersky Total Security

  
  

  Предотвращение вторжений сетевого уровня

  Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

  Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

  Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

  В качестве мер противодействия, может выполняться:

  • блокирование выбранных сетевых пакетов;
  • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
  • сохранения выбранных пакетов для последующего анализа;
  • регистрация событий и оповещение ответственных лиц.

  Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

  Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

  Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

  Варианты решения:

  
  

  Защита от DDoS атак

  Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

  Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

  Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

  • обнаружение вторжения;
  • определение источника вторжения;
  • предотвращение вторжения.

  
  

  Решение для операторов связи

  Бизнес-преимущества внедряемого решения:

  • возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
  • возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
  • улучшается управляемость сетевой инфраструктурой;
  • возможность предоставления абонентам отчетов об атаках.

  Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

  Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

  • выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
  • услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки

  
  

  Архитектура решения

  

  Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи

  Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

  В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.

  
  

  Решение для предприятий

  При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.

  • осуществление компаниями своего бизнеса через Интернет;
  • наличие корпоративного web-сайта компании;
  • использование сети Интернет для реализации бизнес-процессов.

  
  

  Архитектура решения

  

  Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий

  В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

  Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.

  Технические преимущества внедряемых решений:

  • мгновенная реакция на DDoS-атаки;
  • возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

  Варианты решения:

  Arbor Peakflow SP
  Cisco Guard
  Cisco Traffic Anomaly Detector

  Дмитрий Костров ,
  ЗАО "Эквант"
  [email protected]

  Не рост и мощь, а разум
  Сулит в войне победу.
  Уильям Шекспир

  Системы обнаружения компьютерных атак (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия, учитывая, как растет в последние годы число проблем, связанных с компьютерной безопасностью (рис. 1). Хотя технология IDS не обеспечивает полную защиту информации, тем не менее она играет весьма заметную роль в этой области. Краткая история вопроса, а также некоторые экспериментальные и коммерческие системы были рассмотрены в статье ("BYTE/Россия", № 10"2001). Здесь же мы подробнее обсудим современные представленные на рынке продукты и направления дальнейшего развития IDS.

  Рынок систем IDS бурно развивается с 1997 г. Именно в это время компания ISS (http://www.iss.com) предложила свой продукт под названием Real Secure. Год спустя Cisco Systems (http://www.cisco.com), осознав целесообразность разработки IDS, купила продукт NetRanger вместе с компанией Wheel Group. Нельзя не упомянуть здесь и объединение SAIC и Haystack Labs в Centrax Corporation (http://www.centrax.com).

  Необходимо отметить, что обычные IDS своевременно обнаруживают только известные типы атак. Они работают в том же режиме, что и антивирусные программы: известные - ловятся, неизвестные - нет. Обнаружение неизвестной атаки - трудная задача, граничащая с областью систем искусственного интеллекта и адаптивного управления безопасностью. Современные IDS способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий могут учитываться уже произошедшие, что позволяет идентифицировать атаки, разнесенные во времени, и тем самым прогнозировать будущие события.

  В 80-е годы большинство злоумышленников были экспертами в части взлома и сами создавали программы и методы несанкционированного проникновения в компьютерные сети; автоматизированные средства использовались редко. Сейчас появилось большое число "любителей", со слабым уровнем знаний в данной области, которые используют автоматические средства вторжения и эксплойты (exploit - вредоносный код, использующий известные ошибки в ПО и применяемый злоумышленником для нарушения нормальной работы программно-аппаратного комплекса). Иными словами, по мере усовершенствования автоматических средств вторжения снижались уровень знаний и квалификация большинства злоумышленников.

  Существует много различных типов атак, и их можно ранжировать в соответствии с возрастанием возможной опасности следующим образом:

  • угадывание паролей
  • репликационный код
  • взлом паролей
  • использование известных уязвимых мест
  • отключение/обход систем аудита
  • воровство данных
  • back doors (специальные входы в программу, возникающие из-за ошибок при ее написании или оставленные программистами для отладки)
  • использование снифферов и sweepers (систем контроля содержимого)
  • использование программ диагностики сети для получения необходимых данных
  • использование автоматизированных сканеров уязвимостей
  • подмена данных в IP-пакетах
  • атаки типа "отказ в обслуживании" (DoS)
  • атаки на Web-серверы (CGI-скрипты)
  • технологии скрытого сканирования
  • распределенные средства атаки.

  Теперь атака длится не больше нескольких секунд и может нанести очень чувствительный вред. Например, атака типа "отказ в обслуживании" может вывести из строя Web-магазин или online-биржу на длительное время. Такие атаки наиболее распространены, и способы защиты от них развиваются быстрыми темпами.

  Цель любой IDS - обнаружить атаку с наименьшими ошибками. При этом объект атаки (жертва) обычно хочет получить ответ на следующие вопросы.

  • Что случилось с моей системой?
  • Что подверглось нападению, и насколько опасна атака?
  • Кто злоумышленник?
  • Когда атака началась и откуда?
  • Как и почему произошло вторжение?

  Злоумышленник, в свою очередь, как правило, пытается узнать следующее. ·

  • Что представляет собой цель атаки?
  • Есть ли уязвимости и какие?
  • Какой вред можно нанести?
  • Какие эксплойты или средства проникновения имеются?
  • Есть ли риск быть раскрытым?

  Типы IDS

  Надежда победить приближает победу,
  уверенность в победе лишает нас ее.
  Тит Ливий

  В первую очередь в IDS используются различные способы определения несанкционированной активности. Хорошо известны проблемы, связанные с атаками через межсетевой экран (брандмауэр). Межсетевой экран разрешает или запрещает доступ к определенным сервисам (портам), но не проверяет поток информации, проходящий через открытый порт. IDS, в свою очередь, пытается обнаружить атаку на систему или на сеть в целом и предупредить об этом администратора безопасности, в то время как атакующий полагает, что он остался незамеченным.

  Здесь можно провести аналогию с защитой дома от воров. Закрытые на замок двери и окна - это межсетевой экран. А сигнализация для оповещения о взломе соответствует IDS.

  Для классификации IDS существуют различные способы. Так, по способу реагирования различают пассивные и активные IDS. Пассивные просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, переконфигурируя межсетевой экран или генерируя списки доступа маршрутизатора. Продолжая аналогию, можно сказать, что если сигнализация в доме включает звуковую сирену для отпугивания вора - это аналог активной IDS, а если подает сигнал в милицию - это соответствует пассивной IDS.

  По способу выявления атаки различают системы signature-based и anomaly-based. Первый тип основан на сравнении информации с предустановленной базой сигнатур атак. В свою очередь, можно классифицировать атаки по типу (например, Ping-of-Death, Smurf). Однако системы данного типа не могут отлавливать новые, неизвестные виды атак. Второй тип основан на контроле частоты событий или обнаружении статистических аномалий. Такая система ориентирована на выявление новых типов атак. Однако недостаток ее - необходимость постоянного обучения. В примере с охраной дома аналогом такой более продвинутой системы IDS выступают соседи, которые знают, кто приходил к вам, внимательно смотрят за незнакомыми людьми и собирают информацию о нештатной ситуации на улице. Это соответствует типу anomalous IDS.

  Наиболее популярна классификация по способу сбора информации об атаке: network-based, host-based, application-based. Система первого типа работает по типу сниффера, "прослушивая" трафик в сети и определяя возможные действия злоумышленников. Поиск атаки идет по принципу "от хоста до хоста". Работа таких систем до последнего времени была затруднена в сетях, где использовались коммутация, шифрование и высокоскоростные протоколы (более 100 Мбит/с). Но недавно появились решения компаний NetOptics (http://www.netoptics.com) и Finisar (http://www.finisar.com) для работы в коммутируемой среде, в частности, технологии SPAN-портов (Switched Port Analyzer) и Network Tap (Test Access Port). Network Tap (в виде отдельного устройства или встроенного в коммутатор блока) позволяет проводить мониторинг всего трафика на коммутаторе. В то же время фирмы Cisco и ISS добились определенных успехов в реализации таких систем в высокоскоростных сетях.

  Системы второго типа, host-based,предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Система, располагаясь на защищаемом хосте, проверяет и выявляет направленные против него действия. Третий тип IDS, application-based, основан на поиске проблем в определенном приложении. Существуют также гибридные IDS, представляющие собой комбинацию различных типов систем.

  Работа современных IDS и различные виды атак

  Общая схема функционирования IDS приведена на рис. 2. В последнее время появилось много публикаций о системах, называемых distributed IDS (dIDS). dIDS состоит из множества IDS, которые расположены в различных участках большой сети и связаны между собой и с центральным управляющим сервером. Такая система усиливает защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS. dIDS состоит из следующих подсистем: центральный анализирующий сервер, агенты сети, сервер сбора информации об атаке.

  Рис. 2. Общая схема функционирования IDS.

  Центральный анализирующий сервер обычно состоит из базы данных и Web-сервера, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса.

  Агент сети - один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой - сообщать об атаке на центральный анализирующий сервер.

  Сервер сбора информации об атаке - часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируется информация, полученная от агентов сети. Группировка может осуществляться по следующим параметрам:

  • IP-адресу атакующего;
  • порту получателя;
  • номеру агента;
  • дате, времени;
  • протоколу;
  • типу атаки и т. д.

  Несмотря на многочисленные упреки и сомнения в работоспособности IDS, пользователи уже широко применяют как коммерческие средства, так и свободно распространяемые. Разработчики оснащают свои продукты возможностями активного реагирования на атаку. Система не только определяет, но и пытается остановить атаку, а также может провести ответное нападение на атакующего. Наиболее распространенные типы активного реагирования - прерывание сессии и переконфигурирование межсетевого экрана.

  Прерывание сессии наиболее популярно, потому что для этого не используются драйверы внешних устройств, таких, как межсетевой экран. В оба конца соединения, например, просто посылаются пакеты TCP RESET (с корректным номером sequence/acknowledgement). Однако уже существуют и описаны способы обхода такой защиты злоумышленниками (например, использование флага PUSH в пакете TCP/IP или использование трюка с current pointer).

  Второй способ - переконфигурирование межсетевого экрана, позволяет злоумышленнику узнать о наличии экрана в системе. Посылая большой поток ping-пакетов на хост и видя, что через некоторое время доступ прекратился (ping не проходит), атакующий может сделать вывод, что IDS провела переконфигурацию межсетевого экрана, установив новые правила запрета ping на хост. Однако есть способы обойти и эту защиту. Один из них заключается в применении эксплойтов до переконфигурирования межсетевого экрана. Существует и более простой путь. Злоумышленник, атакуя сеть, может задавать в качестве адреса отправителя IP-адреса известных фирм (ipspoofing). В ответ на это механизм переконфигурирования межсетевого экрана исправно закрывает доступ на сайты этих компаний (к примеру, ebay.com, cnn.com, cert.gov, aol.com), после чего начинаются многочисленные звонки возмущенных пользователей в службу поддержки "закрытых" компаний, и администратор вынужден отключить данный механизм. Это очень напоминает отключение ночью автомобильной сигнализации, постоянные срабатывания которой не дают уснуть жителям окрестных домов. После этого машина становится намного доступнее для автомобильных воров.

  При этом необходимо помнить, что уже существуют средства для выявления IDS, работающих в режиме "прослушивания" трафика (http://www.securitysoftwaretech.com/antisniff/download.html); кроме того, многие IDS подвержены атакам типа DoS (отказ в обслуживании).

  Наиболее продвинулись в этой области "вольные" разработчики мира posix. Простейшие атаки используют уязвимости, связанные с использованием signature-based IDS. Например, использование одной из версий свободно распространяемого продукта Snort может быть сведено к нулю следующим образом. При попытке доступа к файлу /etc/passwd, где в UNIX хранятся имена пользователей, принадлежность к группам и shell, Snort использует следующую сигнатуру для выявления данной активности:

  Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev:1;)

  Однако можно просто поменять символы в запросе - GET /etc//\//passwd или /etc/rc.d/.././\passwd и обойти эту сигнатуру.

  Конечно, разработчики систем IDS уже давно учитывают эти изменения и отлавливают атаки, однако все еще встречаются плохо написанные сигнатуры атак.

  Существуют атаки, основанные на полиморфном shell code. Данный код был разработан автором http://ktwo.ca / и основан на использовании вирусов. Данная технология более эффективна против систем signature-based, чем против anomaly- или protocol analysis-based. Полиморфный код использует различные способы для обхода систем на базе string-matching (их можно найти по адресу http://cansecwest.com/noplist-v1-1.txt).

  Можно также вспомнить атаки, использующие фрагментацию пакетов, отказ сервиса IDS, разделение атаки между несколькими пользователями, кодировку атаки в кодировке "ebcdic" с изменением типа терминала на "ebcdic", реализацию атаки по зашифрованному каналу, подавление порта модуля слежения, изменение таблицы маршрутизации, чтобы избежать попадания трафика к системе обнаружения атак, и т. п.

  Системы IDS используются для выявления не только внешних, но и внутренних нарушителей. Их, как показывает практика, порой гораздо больше, чем внешних. Внутренние атаки не относятся к общим типам атак. В отличие от внешних нарушителей, внутренний - это авторизованный пользователь, имеющий официальный доступ к ресурсам интрасети, в том числе к тем, на которых циркулирует конфиденциальная информация. Общая же практика состоит в использовании служб информационной безопасности для защиты периметра интрасети, при этом защите от внутренних угроз уделяется гораздо меньше внимания. Здесь-то и помогают IDS. Настройка IDS для защиты от внутренних атак - непростая задача; она требует кропотливой работы с правилами и профилями пользователей. Для борьбы с внутренними атаками необходимо использовать комбинацию различных IDS.

  Компании и продукты

  На рынке представлено несколько десятков коммерческих систем IDS, что обеспечивает выбор наиболее приемлемого решения. К сожалению, отечественные продукты пока отсутствуют, хотя две российские компании к концу этого года готовят выпуск своих систем обнаружения атак.

  Ниже описаны продукты более двадцати компаний. По мнению автора, порядок их расположения в статье примерно соответствует степени известности в России.

  Cisco Systems

  Серия продуктов Cisco IDS содержит решения для различных уровней. В нее входят три системы 42xx версии v.2.2.1 (network-based), среди которых 4210 (рис. 3) оптимизирована для среды 10/100Base-T (45 Мбит/с), 4235 - для среды 10/100/1000Base-TX, (200 Мбит/с) и 4250 - для 10/100/1000Base-TX (500 Мбит/с).

  Подсистема IDS имеется в коммутаторе Сatalyst - Catalyst 6000 Intrusion Detection System Module (swithed-integrated network-based).

  Cisco IDS Host Sensor 2.0 и Cisco IDS Host Sensor Web Server, разработанные компанией Entercept, обеспечивают защиту на уровне хоста (host-based). IDS на уровне маршрутизатора (Firewall Feature Set 12.1(4)T) способна отражать 59 наиболее опасных видов атак (система network-based). При использовании IDS на уровне межсетевого экрана PIX 535, 525, 515Е, 506Е, 501 (v.6.2.2) отражается более 55 наиболее опасных видов атак (система network-based). Управление системами защиты осуществляется с помощью CiscoWorks VPN/Security Management Solution (VMS) или Cisco IDS software version 3.1(2). Рис. 4 иллюстрирует работу сетевого сенсора Сisco при попытке узнать имена хостов.

  Рис. 4. Работа сетевого сенсора Сisco при попытке узнать имена хостов.

  Internet Security Systems

  Компания ISS в свое время совершила резкий скачок в данной области и занимает ведущие позиции в части реализации систем обнаружения атак. Она также предлагает целое семейство решений для различных уровней.

  RealSecure Network Sensor - программное решение, предназначенное для установки на выделенный компьютер в критичном сегменте сети. Анализируя сетевой трафик и сопоставляя его с базой сигнатур атак, сенсор обнаруживает различные нарушения политики безопасности (рис. 5).

  Система RealSecure Gigabit Sensor обрабатывает более 500 тыс. пакетов в секунду, используя запатентованный алгоритм семиуровневого анализа, обнаруживает большое число атак, пропускаемых другими системами. Применяется главным образом в сетях, работающих с большой нагрузкой.

  RealSecure Server Sensor позволяет обнаруживать атаки на всех уровнях, направленные на конкретный узел сети. Кроме того, может проводить анализ защищенности и обнаружения уязвимостей на контролируемом узле.

  Программа RealSecure Desktop Protector (ранее называвшаяся BlackICE Agent) предназначена для обнаружения в реальном режиме времени атак, направленных на рабочие станции корпоративной сети.

  RealSecure for Nokia - программно-аппаратное решение, разработанное компаниями ISS и Nokia. Оно объединяет все функциональные возможности RealSecure Network Sensor и Nokia IP Network Security Solutions. Система функционирует под управлением защищенной ОС IPSO, базирующейся на FreeBSD.

  RealSecure Guard - программное решение, совмещающее в себе возможности межсетевого экрана и системы обнаружения атак в реальном режиме времени. Она устанавливается между защищаемым и открытым сегментами сети (так называемая inline-IDS) и анализирует весь проходящий через нее трафик в поисках запрещенных или опасных пакетов. Система может обнаруживать атаки как на сегменты сети, так и на отдельные, наиболее важные узлы.

  Для управления перечисленными системами RealSecure используется модуль RealSecure SiteProtector, который служит основным компонентом централизованного управления и для систем Internet Scanner и System Scanner. Он ориентирован на применение в крупных, территориально распределенных сетях или в организациях, использующих одновременно несколько решений компании ISS.

  Более простой модуль RealSecure WorkGroup Manager предназначен для управления только RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor и RealSecure for Nokia. Он может использоваться в отсутствие других решений ISS и при небольшом числе сенсоров в сети (до пяти).

  RealSecure Command Line Interface предназначен для управления из командной строки только RealSecure Network Sensor и Gigabit Sensor. Этот модуль управления ориентирован на локальное использование.

  Symantec

  Продукты Intruder Alert и NetProwler (в настоящее время выпущены версии 3.6 и 3.5.1 соответственно) достаточно подробно описаны в упоминавшемся выше обзоре ("BYTE/Россия", № 10"2001, с.14).

  Enterasys Networks

  Enterasys Networks - часть бывшей компании Cabletron Systems. Она выпускает IDS Dragon (типа network-based). Внутренняя архитектура шестой версии системы обладает повышенной масштабируемостью. Система включает компоненты Network Sensor, Squire Host Sensor, управляющий модуль с Wеb-интерфейсом Dragon Policy Manager и систему централизованного мониторинга безопасности сети в реальном масштабе времени Dragon Security Information Manager.

  Computer Associates

  Система eTrust Intrusion Detection (прежнее название SessionWall) предоставляет средства для защиты и мониторинга локальной сети. Этот высокоэффективный и достаточно простой программный продукт предоставляет возможности мониторинга, обнаружения атак, контроля за WWW-трафиком, ведения журналов. Обширная библиотека шаблонов атак eTrust Intrusion Detection регулярно обновляется, и с ее помощью автоматически определяются атаки, соответствующие шаблонам.

  Система может использоваться как сниффер, кроме того, позволяет ограничить доступ к узлам Интернета с помощью правил, содержащих ключевые слова. eTrust также ведет количественный учет трафика в сети.

  Обнаруживаются вирусы и опасные компоненты Java/ActiveX. Идентифицируются и регистрируются попытки пользователей подобрать пароль для входа в систему, что может впоследствии пригодиться для организационных решений руководства компании.

  eTrust Intrusion Detection обеспечивает контекстный просмотр всех циркулирующих в локальной сети пакетов и их блокировку при наличии определенных администратором ключевых слов.

  NFR Security

  Компания была основана в 1996 году с целью разработки перспективных систем IDS.

  Система NFR NID обеспечивает мониторинг сетевого трафика в реальном масштабе времени, выявляя подозрительную активность, различные атаки, запрещенное поведение пользователей в сети и различные статистические отклонения. Используемые сенсоры могут работать со скоростями 1 Гбит/с и 100 Мбит/с без потерь пакетов. В отличие от традиционных систем IDS (сравнение трафика с сигнатурами атак), NFR NID использует специализированную базу знаний, проверяет активность в сети с использованием известных эксплойтов, что дает возможность выявлять в трафике новые виды атаки - такие, как Code Red и Nimda.

  NFR HID работает на уровне хоста, позволяет идентифицировать уязвимости и слабые политики безопасности, выявлять подозрительную активность пользователей, проводить мониторинг защищаемого хоста на уровне сетевых атак. Способна поддерживать до 10 тыс. хостов, что очень удобно в больших сетях. В системе используются два типа программ-агентов: Log Analysis Agent проводит мониторинг ядра и файлов сетевых журналов, включая syslogs. Network Node Agent осуществляет мониторинг сетевого трафика и выявляет DoS-атаки на защищаемый хост (отказ в обслуживании), атаки FTP password grabbing, Web phf attacks, CGI scans, BackOrifice scans и т. п. Хорошо подходит для работы в сетях с шифрованием и в коммутируемых сетях.

  Tripwire

  История развития компаний Tripwire и NFR, а также некоторые функциональные особенности их продуктов изложены в том же обзоре в . Отметим, что существуют три основных продукта этой компании, названия которых говорят сами за себя (for Servers, for Network Devices и for Web Pages). Их главная технологическая особенность - вычисление контрольных сумм основных файлов и модулей.

  Snort

  Snort - облегченная система обнаружения вторжения. Программа анализирует протокол передачи, выявляет различные атаки, например, переполнение буфера, сканирование, CGI-атаки, попытки определения ОС и т. п. Snort использует специальные правила для поиска атак в трафике. Система проста в настройке и обслуживании, однако в ней довольно много приходится настраивать "руками", без удобного графического интерфейса.

  Программа работает в трех режимах: sniffer, packet logger и network intrusion detection system. В первом случае система просматривает пакеты на сетевом уровне и выводит информацию о них на консоль, во втором - записывает файлы журнала на диск, в третьем - анализирует сетевой трафик на предмет совпадения сигнатур атак и сигнализирует о них.

  Internetwork Research group, BBN Technologies

  Продукты серии NIDS, SecureNet, включают устройства, предназначенные для высокоскоростных сетей (SecureNet 5000 и 7000), защиты персонального компьютера (SecureNet 2000), а также систему мониторинга SecureNet Provider и специальное ПО SecureNet Pro.

  Система SecureHost (host-based IDS) разработана для защиты ПК и серверов с помощью внедрения специальных сенсоров - программ-агентов. Агенты обеспечивают принятие решения при возникновении атаки в реальном масштабе времени в соответствии с принятой политикой защиты. Набор программ Intrusion SecureHost состоит из управляющей консоли на базе ОС Microsoft Windows 2000 Server и агентов, работающих в системах с Microsoft Windows NT, Windows 2000 или Sun Solaris 2.8.

  Firestorm

  Высокоскоростная NIDS Firestorm, разработанная Джиани Тедеско и свободно распространяемая, пока представлена в основном в качестве сенсора, работающего под управлением ОС Linux. Особенности системы таковы:

  • сбор информации идет с помощью библиотек libpcap, позволяющих перехватывать пакеты из сетевого трафика;
  • система поддерживает правила, написанные для Snort;
  • легко настраивается путем редактирования файла firestorm.conf;
  • понимает режим работы stateful inspection (технология инспекции пакетов с учетом состояния протокола);
  • готовит файлы журналов в формате ASCII или tcpdump;
  • проводит корреляцию событий;
  • выдает сигналы об атаке на удаленное устройство - консоль.

  Однако (как это часто бывает с бесплатными программами) данная система подвержена атакам. Существует возможность атаки на данную систему, которая приведет к "зависанию" NIDS. Атака уже описана в лентах новостей, проблема оказалась в ошибке модуля обработки памяти.

  Psionic Technologies

  Продукт TriSentry (ранее Abacus Project tools) предназначен для повышения защищенности сети компании путем выявления различных атак. Система состоит из трех базовых компонентов: PortSentry, HostSentry и LogSentry. IDS предназначена для работы в UNIX-окружении.

  PortSentry - простой детектор сканирования, который прекращает связь между хостом-жертвой и атакующим. Хост "сбрасывает" локальные маршруты, устанавливает динамические правила доступа и добавляет хост в специальные файлы TCP wrappers hosts.deny, причем все это происходит в реальном времени.

  Программа HostSentry позволяет администратору безопасности выявлять необычную активность пользователей (Login Anomaly Detection, LAD).

  LogSentry (прежнее название Logcheck) автоматически проводит мониторинг файлов системных журналов нарушений безопасности в почтовых системах. Этот набор программ, ранее поставляемых с TIS Gauntlet firewall, был существенно переработан для аудита более широкого спектра систем.

  Lancope

  Программно-аппаратный комплекс StealthWatch - мощная система для мониторинга, детектирования и реагирования на атаки в высокоскоростной среде. В отличие от традиционных систем, имеет архитектуру flow-based, которая позволяет выявлять новые атаки без обращения к базе данных существующих сигнатур. Новая архитектура обеспечивает углубленное выявление атак на основе аномальной активности, работу в высокоскоростной среде (от полного дуплекса 100 Мбит/с до 1 Гбит/с), а также значительно меньше реагирует на ложные атаки.

  OneSecure

  В системе The OneSecure Intrusion Detection and Prevention (IDP) компания предложила специальный механизм - Multi-Method Detection (MMD), который объединяет наиболее известные способы выявления уязвимостей.

  Recourse Technologies

  Компания предлагает два продукта: ManTrap обеспечивает защиту наиболее критичных серверов, ManHunt выявляет атаки на уровне сети, в том числе в гигабитном окружении. Используются распределенные сенсоры и центральный сервер обработки и принятия решений. При этом разработанная компанией методика (zero-day) выявляет не только известные, но и новые атаки.

  Продукты Emerald, NetStat, Shadow и Bro подробно рассмотрены в в "BYTE/Россия", № 10"2001.

  Новые веяния

  Коммутаторы все шире используются в корпоративных сетях, поскольку они обладают большей пропускной способностью по сравнению с концентраторами и защищают от атак с использованием программ-снифферов для перехвата конфиденциальной информации. Тем не менее проблемы с применением NIDS сохраняются. Существуют коммутаторы с зеркалированием портов (SPAN-порты), которые копируют данные, проходящие через коммутатор, на выделенный порт. Теоретически с помощью SPAN-порта возможно проверить весь поток данных, однако если объем зеркалируемого трафика превысит допустимый предел, то начинаются потери пакетов.

  Сейчас уже существуют решения для гигабитной сети, но есть еще одна проблема - шифрование. Сегодня ни один уважающий себя администратор не работает удаленно со своими системами без SSH или SSL, а поскольку передача данных идет в шифрованном виде, проблема использования IDS остается. Она заключается в невозможности расшифровать весь трафик и, как следствие, проверить сигнатуры атак. В ближайшем будущем практически все производители (если они хотят занимать достойное место на рынке IDS) доработают свои продукты для применения в гигабитной сети.

  Еще один вопрос - сбор информации и ее анализ. Даже самый серьезный специалист по безопасности - тоже человек и может не заметить некоторых деталей, которые скроют от него подготовку или проведение атаки на хост компании. Начаты проекты Spice и Spade, направленные на развитие технологии выявления аномальной активности, и они должны помочь в решении данной проблемы.

  Несомненно, что IDS развиваются в направлении сбора и корреляции информации. При этом информация должна поступать от разнообразных источников (сенсоров). Скорее всего, различия между NIDS и HIDS постепенно исчезнут, и в дальнейшем будут созданы системы централизованного управления с возможностями принятия решения (хотя бы в простых случаях), что заметно снизит нагрузку на администраторов, ответственных за безопасность компьютерных сетей.