Методы обнаружения вторжений и систем для выявления и реагирования на компьютерные атаки

Введение

 

В деле обеспечения безопасности не бывает мелочей, а второстепенная роль некоторым ее компонентам отводится чисто условно. Однако, у многих складывается впечатление, что грамотно настроенный файерволл и антивирусная система при должной настройке способны справиться с любой напастью, которая угрожает ПК или LAN. К сожалению зачастую этого явно недостаточно. Даже с самой совершенной защитой компьютерные системы нельзя назвать абсолютно неуязвимыми. Большинство экспертов по компьютерной безопасности соглашаются с тем, что создать абсолютно защищенную систему никогда не удастся. Поэтому столь актуальной остается задача создания методов обнаружения вторжений и систем для выявления и реагирования на компьютерные атаки.

Брандмауэры позволяют уберечься  от многих неприятностей, однако по своей  сущности они предназначены для  пассивной защиты - как замок на двери. Однако во многих ситуациях в  добавление к замку требуется  еще и сигнализация, которая сообщит  вам, что в вашу сеть (или на важный сервер вашей сети) пытаются проникнуть. Роль такой сигнализации выполняют  системы обнаружения вторжений - Intrusion Detection Systems (IDS). Системы IDS производят непрерывный мониторинг информации, получаемой при помощи: мониторинга сети/сетевого адаптера. Более мощные корпоративные системы IDS могут производить мониторинг, к примеру, всего трафика во внутренней сети, обнаруживая запрещенные действия (например, сканирование портов) и сигнатуры (например, применение какого-либо эксплойта). Такие системы относятся к классу NIDS - Network Intrusion Detection Systems. Персональные IDS обычно ограничиваются анализом трафика, который явно направлен на определенный компьютер. Такие системы принадлежат к классу HIDS - Host Intrusion Detection Systems.

IDS - это только часть инфраструктуры  защиты сети предприятия, и,  как и все остальные компоненты, сама по себе IDS не обеспечивает  абсолютной защиты. При использовании  IDS обязательно необходимо учитывать  следующие моменты:

- IDS обычно не могут нормально  работать в сетях с большим  трафиком (за исключением некоторых  очень дорогих аппаратных систем). Обычно 50 000 пакетов в секунду (средним размером в 180 байт) в 100 Мбит сети - недосягаемый предел для большинства систем IDS;

- большинство IDS бессильно перед  приемом, который называется snow blind (ослепление снегом). При этом атакующий забрасывает систему IDS сотнями пакетов с "обманными" IP и MAC-адресами. В таком потоке определить пакеты, при помощи которых производится, например, попытка взлома, IDS не может;

- большое количество ложных  срабатываний IDS, которые атакующему  организовать совсем не сложно, могут привести к тому, что  администратор просто отключит  часть возможностей IDS. Вообще говоря, устанавливая IDS, нужно готовится к тому, что большая часть срабатываний будет ложной, что потребует дополнительного времени и внимания со стороны администратора.

 

Наиболее распространенные системы IDS.

 

Очень часто используются системы IDS, которые встроены в прокси-серверы  и брандмауэры (например, в тот  же самый Kerio WinRoute Firewall или Microsoft ISA Server). Обычно такие системы IDS не отличаются большой функциональностью - в них встроено буквально несколько правил обнаружения вторжений, например, на сканирование портов). Тем не менее даже такое решение может успешно применяться для немедленного реагирования на нападения.

Очень распространенная система IDS (фактически классическая) - это система SNORT (www.snort.org). Изначально она была создана под *nix, затем перенесена и под платформу Windows. В классическом варианте необходимо руками редактировать текстовый файл конфигурации, но существует и графическое приложение для настройки SNORT под Windows - IDSCenter. SNORT, "упакованный" для более удобной установки и настройки под Windows и заранее преконфигурированный, называется EagleX. К плюсам SNORT можно отнести надежность, большое количество документации и дополнительных утилит, а также бесплатность (утилита поставляется с открытым исходным кодом). К недостаткам - сложность в установке и настройке, а также то, что программа требует большого количества компонентов, которые необходимо доустанавливать отдельно (Apache, Perl, mySQL и т.п.). Фактически сейчас SNORT является стандартом де-факто для систем обнаружения вторжений. Его распространенность можно сравнить, например, с распространенностью Web-сервера Apache или DNS-сервера BIND.

Существует большое количество коммерческих систем обнаружения вторжений (как правило, очень дорогих, но чрезвычайно  мощных, с автоматически обновляемыми сигнатурами атак). В качестве примеров таких систем можно привести McAfee Entercept или ETrust Intrusion Detection фирмы Computer Associates. Есть и персональные системы обнаружения атак, которые предназначены для защиты единственного рабочего компьютера. Обычно они очень просты в настройке и нересурсоемки. К одной из самых удачных программ такого рода можно отнести Internet Periscope. Помимо обнаружения вторжений, эта система умеет также в автоматическом режиме находить сведения о домене и IP-сети, из которой пришел злоумышленник, показывать координаты для контактов его провайдера и т.п. В отдельный класс IDS можно отнести специальные программы, которые проводят не анализ сетевого трафика, а постоянный мониторинг журналов событий Windows (обычно при помощи них можно также настроить аудит). К таким системам относится, например, GFI SELM. Конечно, имеются также аппаратные системы обнаружения вторжений (часто объединенные с аппаратными брандмауэрами). Наиболее распространены такие устройства фирм CheckPoint и NetScreen.

Еще один тип программ, которые  имеют отношение к системам обнаружения  вторжений - это так называемые Honeypots (другое называние - Deception или Decoy systems). В соответствии со своим названием они действуют как приманка (липкая лента) для хакеров. Honeypots поставляются в виде коммерческих и некоммерческих продуктов, отдельных аппаратных решений (например, Specter) или образов готовых Unix-систем. Впрочем, Honeypot несложно создать и самому, использовав для этого старый компьютер (или виртуальный компьютер на основе VMWare). Обычно на него помещается максимальное число уязвимых приложений и внешне привлекательных для хакера ресурсов - и одновременно там же стоит система обнаружения вторжений (например, SNORT), которая фиксирует все действия хакера. Для атакующих из Интернета обычно такие приманки помещаются в DMZ, а во внутренней сети роль Honeypots обычно играют каталоги с привлекательными названиями и настроенным аудитом на файловых серверах.

По сути программы ISD представляют собой модифицированные анализаторы, которые видят все потоки данных в сети, пытаются выявить потенциально вредный сетевой трафик и предупредить вас, когда таковой появляется. Основной метод их действия заключается в исследовании проходящего трафика и сравнении его с базой данных известных шаблонов вредоносной активности, называемых сигнатурами. Использование сигнатур очень похоже на работу антивирусных программ. Большинство видов атак на уровне TCP/IP имеют характерные особенности. Система обнаружения вторжений может выявлять атаки на основе IP-адресов, номеров портов, информационного наполнения и произвольного числа критериев. Существует другой способ обнаружения вторжений на системном уровне, состоящий в контроле целостности ключевых файлов. Кроме того, развиваются новые методы, сочетающие концепции обнаружения вторжений и межсетевого экранирования или предпринимающие дополнительные действия помимо простого обнаружения. Рассмотрим здесь два наиболее популярным способам обнаружения вторжений в сети и системах: сетевое обнаружение вторжений и контроль целостности файлов.

Сетевая система обнаружения вторжений  может защитить от атак, которые  проходят через межсетевой экран  во внутреннюю ЛВС. Межсетевые экраны могут быть неправильно сконфигурированы, пропуская в сеть нежелательный  трафик. Даже при правильной работе межсетевые экраны обычно пропускают внутрь трафик некоторых приложений, который может быть опасным. Порты  часто переправляются с межсетевого  экрана внутренним серверам с трафиком, предназначенным для почтового  или другого общедоступного сервера. Сетевая система обнаружения  вторжений может отслеживать  этот трафик и сигнализировать о  потенциально опасных пакетах. Правильно  сконфигурированная сетевая система  обнаружения вторжений может  перепроверять правила межсетевого  экрана и предоставлять дополнительную защиту для серверов приложений.

Сетевые системы обнаружения вторжений  полезны при защите от внешних  атак, однако одним из их главных  достоинств является способность выявлять внутренние атаки и подозрительную активность пользователей. Межсетевой экран защитит от многих внешних  атак, но, когда атакующий находится  в локальной сети, межсетевой экран  вряд ли сможет помочь. Он видит только тот трафик, что проходит через  него, и обычно слеп по отношению  к активности в локальной сети. Считайте сетевую систему обнаружения  вторжений и межсетевой экран  взаимодополняющими устройствами безопасности - вроде надежного дверного замка  и системы сигнализации сетевой  безопасности. Одно из них защищает вашу внешнюю границу, другое - внутреннюю часть.

 

 

Имеется веская причина, чтобы внимательно  следить за трафиком внутренней сети. Как показывает статистика ФБР, более 70 процентов компьютерных преступлений исходят из внутреннего источника. Внутренние злоумышленники - не всегда ночные хакеры. Это могут быть и  обиженные системные администраторы, и неосторожные служащие. Простое  действие по загрузке файла или по открытию файла, присоединенного к  электронному сообщению, может внедрить в вашу систему "троянскую" программу, которая создаст дыру в межсетевом экране для всевозможных бед.

 

 

 

 

 

 

Системы обнаружения вторжений  на основе выявления аномальной активности

 

Вместо применения статических  сигнатур, с помощью которых можно  выявлять только явно вредоносную деятельность, системы нового поколения отслеживают  нормальные уровни для различных  видов активности в сети. Если наблюдается  внезапный всплеск трафика FTP, то система предупредит об этом. Проблема с системами такого рода состоит  в том, что они весьма склонны  к ложным срабатываниям - то есть выдаче сигналов тревоги, когда в сети имеет  место нормальная, допустимая деятельность. Так, в примере с FTP-трафиком загрузка особенно большого файла будет возбуждать сигнал тревоги.

Следует учитывать также, что системе  обнаружения вторжений на основе выявления аномальной активности требуется  время, чтобы построить точную модель сети. Вначале система генерирует так много тревожных сигналов, что пользы от нее почти никакой. Кроме того, подобные системы обнаружения  вторжений можно обмануть, хорошо зная сеть. Если хакеры достаточно незаметны  и используют протоколы, которые  активно применяются в сети, они  не привлекут внимания систем такого рода. С другой стороны, важное преимущество подобных систем - отсутствие необходимости  постоянно обновлять набор сигнатур. Когда эта технология достигнет  зрелости и достаточной интеллектуальности, она, вероятно, станет употребительным  методом обнаружения вторжений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Системы предотвращения вторжений

 

Новый тип сетевых систем обнаружения  вторжений, называемый системами предотвращения вторжений, декларирован как решение  всех проблем корпоративной безопасности. Основная идея состоит в том, чтобы  при генерации тревожных сигналов предпринимать ответные действия, такие  как написание на лету индивидуальных правил для межсетевых экранов и маршрутизаторов, блокирующих активность подозрительных IP-адресов, запрос или даже контратака систем-нарушителей.

Хотя эта новая технология постоянно  развивается и совершенствуется, ей еще слишком далеко до проведения анализа и принятия решений на уровне человека. Факт остается фактом - любая система, которая на 100% зависит  от машины и программного обеспечения, всегда может быть обманута посвятившим  себя этому человеком. Примером системы  предотвращения вторжений с открытыми исходными текстами служит Inline Snort Джеда Хейла - свободный модуль для сетевой системы обнаружения вторжений Snort.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Примеры сигнатур сетевых  систем обнаружения вторжений

 

Сетевые системы обнаружения вторжений  действуют, проверяя пакеты и сравнивая  их с известными сигнатурами. Хорошим  примером распространенной атаки, которую  можно четко идентифицировать по ее сигнатуре, является атака cmd.exe, направленная против Информационного Сервера  Интернет (IIS) - web-сервера корпорации Microsoft. Эта атака применяется Интернет-"червями" и вирусами, такими как Nimda и Code Red. Атакующий "червь" или человек пытается выполнить в каталоге с правом на запись копию программы cmd.exe - командного интерпретатора Windows, используя переполнение буфера в модуле IIS, называемом Internet Server API (ISAPI). В случае успеха хакер или червь получает доступ к командной строке на этой машине и может произвести значительные разрушения. Однако команда для копирования этого файла является очевидной и нет причины для ее легального выполнения пользователями через сеть с помощью IIS. Поэтому, если вы видите подобную активность, то весьма вероятно, что это попытка вторжения. Проверяя полезную нагрузку пакета и разыскивая слова cmd.exe, сетевая система обнаружения вторжений может идентифицировать данную атаку. На листинге показан один из таких пакетов. Шестнадцатеричное представление содержимого находится слева, а перевод в текст - справа.

length = 55

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET / scripts/..%