Основам информационной безопасности

2. обработка сетевого трафика, передаваемого по высокоскоростным каналам связи(1 Gbit). Сетевые датчики не могут(часть пакетов отбрасывается, очередь, переполнение), хостовые могут(установлены на конкретном сервере.)
3. возможность защиты межсетевого экрана и коммутационного оборудования IS. Сетевые датчики могут путем установки их в том сегменте, где присутствует защищаемое оборудование(амортизаторы и коммутаторы).

внеш.

сеть

 

4. влияние на производительность IS. Сетевые датчики не влияют(пассивные режим работы, к ним поставляется копия трафика), хостовые датчики устанавливаются на конкретные сервера и отнимают часть вычислительных ресурсов в процессе работы.
5. источники исходных данных. Сетевые датчики – пакеты, хостовые – содержание журналов аудита на хостах, где они установлены + данные в сети(Unix – журналы SYSLOG, Windows – Application,System, Security)
6. работа датчиков в сегментах систем, состоящих из большого числа хостов. Сетевые и хостовые датчики оптимально использовать одновременно

 

Основные методы сбора информации датчиками:

/В UNIX штатные средства - при помощи библиотек libpcap –дают возможность работы с низкоуровневыми адаптерами , в Windows для сбора информации и обнаружения вторжений реализована WinPcap /

-непосредственно  от источника(перехват события,  анализ)

-опосредованно через  промежуточный программный компонент(реагирование  средствами ОС)

Прямой метод наиболее оптимальный.

Методы обнаружения  атак:

1. Компания Ethernet использует свои механизмы для сбора информации о системе
2. Intruder компании Alert

 

Хостовые датчики –  топологии: интегрированы на уровне ядра ОС или приложения, сетевые  – отдельные программы, взаимодействующие  с операционным или прикладным окружением.

Наиболее распространены внешние, т.к. интегрированные требуют  модификации текста ОС(можно только в  UNIX-есть доступ к текстам).

Преимущества интегрированных  датчиков:

1. меньший размер используемого кода – используют ресурсы существующих приложений
2. меньший объем ОП
3. доступ к большему объему данных, необходимых для обнаружения атак

 

Комбинированное использование  целесообразно.

Пример контекстного поиска:

Задан шаблон SET */etc/ passwd HTTP10.

Атака LAND. N-code NFR.

If (ip.src==ip.dest)

{system time, ip.src to land_record;}

Метод анализа состояния.

В рамках метода определяется множество состояний, в которых может находится IS и каждая сигнатура атаки представляет собой последовательность таких состояний, наличие которых представляет собой определение атаки.

      1.   Сети Петрия

2. метод выявления,  базирующийся на экспертных системах(каждая  сигнатура описывается на специальном  языке с высоким уровнем абстракции, анализатор включает 2 компьютера-база  знаний и база правил)

3. методы, основанные на биологических моделях(базируются на  моделировании нейронных сетей, генетических алгоритмов, иммунных систем /Лаборатория Гарадецкого, Питер, финансирует ВВС США/)
4. основной и наиболее распространенный – поведенческий метод выявления атак – статистические метод.

Примеры статической  модели:

1. штатный процесс функционирования системы описывается в терминах статических параметров, если превышается пороговое значение- атака
2. модель среднего значения и среднеквадратичного значения – для каждого статического параметра определяется доверительный интервал на основе математического ожидания и дисперсии, выход за рамки – признак атаки
3. многовариационная модель – основана на предыдущих 2-х, но учитывает корреляцию между большим количеством статических показателей
4. методы, базирующиеся на экспертных системах

 

С точки зрения теории на разных логических уровнях  функционирования системы оптимально применять разные методы. Практически 90% существующих систем используют сигнатурный  метод.

Способы реагирования системы на выявленные атаки: пассивный и активный.

Базовый метод  пассивного реагирования – оповещение администратора о выявленной атаке.

Типы: вывод  сообщения на консоль, посылка почтовых сообщений, посылка SNMPTrap-сообщений(сообщения, свидетельствующие о нештатной ситуации). Сообщение о выявлении атаки формируется в соответствии со стандартом  IDMET, разработанном компанией IETF: сообщение должно включать в себя следующую информацию –дата и время выявления атаки, общее описание атаки с возможными ссылками на внешние источники информации, символизирующие  о уязвимости. Существует 2 основных классификатора: CVE(Common Vulnerability Explosion),CERT(Computer Emergence Response Team).

Уровень приоритета выявленной атаки: низкий, средний, высокий.

Рекомендации  по устранению  уязвимости:

1. блокирование TCP-соединения, по которому выявлена атака
2. реконфигурация межсетевого экрана(блокировка опасных пакетов)
3. блокировка учетной записи пользователя, от имени которого проводится атака
4. запуск внешней программы

 

До последнего времени СОА носили пассивный характер.

2001 г. Gartner Research опубликовала отчет, где описывалась гибель пассивных методов ОА. Вышла IPS –система обнаружения и предотвращения атак,

 

Критерии фильтрации TCP-трафика, позволяющие выявлять и обнаруживать атаки:

1. IP-адрес отправителя и получателя HTTP-трафика
2. номера TCP-портов Web-сервера
3. методы формирования HTTP-запросов
4. информационные ресурсы Web-сервера
5. параметры HTTP-запросов(ограничения на имена параметров и их значения содержатся в теле HTTP-запросов)

На системном  уровне – блокировка приложений, нарушающих заданные положения безопасность(Комплекс «Урядник», StaffView, NetIQ).

Методы тестирования СОА(основаны на определении количества ошибок 1-го и 2-го рода, которые возникают в  процессе работы системы):

1 род – блокировка  системы обнаружения атак или ложное срабатывание системы

2 род – СОА не выявляет  атаки на систему

Лекция 5.

Межсетевые экраны.

- средства контроля за информацией,  поступающей(выходящей) из ИС  и обеспечение защиты ИС посредством  фильтрации информации, т.е. ее  анализа по совокупности критериев и принятие решений о ее распространении в/из ИС.

Критерии фильтрации различных уровней стека TCP/IP:

Сетевой уровень – IP-адреса, тип протокола.

External                                                              Internal                    

                                                                            демилитаризованная зона

содержит информацию, которая                                  

                                                                                должна быть доступна внутренним и   

                                                                                внешним пользователям            

                                           буферная зона     

Межсетевой  экран настраивается таким образом, что нельзя отправить запрос из сегмента DMZ в корпоративную ЛВС.

Транспортный  уровень –номера портов. Средства разграничения доступа.

 

Выделяют 2 основных класса межсетевых экранов:

1. пакетные фильтры(на основе параметров сетевого и транспортного уровня,  рассматривает каждый пакет в отдельности)
2. StateFall Firewall – МЭ с контролем функции состояния(позволяет выполнить дефрагментацию дейтаграмм  и сборку TCP-сегментов и после и затем применяет кр. фильтр к целому пакету )
3. фильтрация пакетов данных на прикладном уровне (команды и параметры отфильтровываются с помощью метода get)

 

Кр. фильтр задается с помощью 2-х типов политики безопасности:

1. что явно не запрещено –разрешено
2. все, что явно не разрешено – запрещено

 

В ряде случаев межсетевой экран выполняет функции прокси-сервера.

Функция проксирования  позволяет  выполнять 

1. кэширование информации(все запросы и ответы фиксируются в определенные промежутки времени и затем анализируются прокси)
2. проксирование – сокрытие внутренней топологии ИС(во вне передается IP-адрес прокси-сервера)
3. защиту ресурсов, доступ к которым осуществляется через прокси-сервер

 

Основные игроки на рынке:

МЭ Cisco/C-pix – программно-аппаратное решение, часть функций фильтрации реализованы с помощью аппаратных микросхем®большая производительность

CheckPoint – программный комплекс, более широкие возможности

Российские – «Континент», «Застава», «Координата», «Цитадель»(WPN-каналы информационного трафика, межсетевое экранирование)

Документы РФ по МЭ: 5 классов  в зависимости от степени секретности информации(5-й – наименьшая важность).

МЭ, выполняющие функции  прокси-сервера, могут быть использованы для аутентификации пользователя. Современные  межсетевые экраны позволяют передавать информацию по каналам связи со скоростью  до Гб. МЭ – краеугольный камень защиты. СОА дополняет свойства МЭ по более детальной защите на прикладном уровне. Функция МЭ – трансляция межсетевых адресов – 2-х типов: статический(каждый реальный IP-адрес транслируется в определенный виртуальный IP-адрес ), динамический(множество IP-адресов транслируется в один виртуальный адрес, цель – сокращение внутренней топологии сети подменой номеров портов отправителя).

Все современные  МЭ могут управляться не только локально, но и удаленно, для этого существует специальный протокол, обеспечивающий не только фильтрацию, но и шифрование информации(протоколы CCL, CCH). Информация, проходящая через МЭ, записывается в журнал аудита. Современные МЭ поддерживают функцию кластеризации(2 экрана, при блокировке одного /Failoverlay/ включается другой, причем 2 экрана имеют 1 виртуальный адрес ).

Средства  анализа защищенности.

- средства, предназначенные для  выявления уязвимости в ПО  АС.

Выявление уязвимости может осуществляться следующими способами:

1. анализ исходных текстов программы(выделяются блоки опасных сегментов – уязвимостей)
2. анализ исполнительности программы(анализ уязвимости исполняемого кода – запуск в контрольной среде – на входе большое количество данных )
3. проверка настроек программы(настройки аппаратного обеспечения системы)
4. имитация атак на систему и анализ результата(реализуется с помощью сканеров безопасности, формируется последовательность пакетов данных с целью имитации атаки)

 

В настоящее  время из зарубежных систем наиболее распространены(SS-System Scanner , IS-Information Scanner ).

Средства  криптографической защиты.

применяются как на уровне сети (конфиденциальность и целостность данных, работают на уровне протоколов – определяют установку  параметров –алгоритмы, ключи), так  и на уровне хостов(защита данных на определенном носителе).

Криптографические алгоритмы могут  функционировать на разных уровнях  стека(прикладной – SSL,TSL, сетевой – стандартом де-факто является IP-Server – контроль целостности и аудит, канальный уровень – LRTP/Cisco/,PITP/Microsoft/).

Средства, функционирующие на уровне сети принято называть VPN(Virtual Private Network)-шлюзы – набор хостов, взаимодействующих между собой по защищенному каналу связи, поверх транспортной сети.

VPN-шлюзы строятся на основе:

1. МЭ
2. отдельных программно-аппаратных комплексов
3. аппаратных плат(высокоскоростные каналы)
4. на основе интегрированных функций ОС

 

Информация, передаваемая по  VPN-каналам, может транслироваться 2 способами:

1. туннельный -   защищаемый пакет  целиком инкапсулируется в новый  пакет и при этом целиком  шифруется. Шифрование осуществляется при помощи 2-х способов:

1. асимметричный(шифрование на основе одного ключа – стандарт AES/Advanced Encryption Standard/, ГОСТ 28.14789(256-битный ключ)-медленный для Гб-протоколов  )
2. симметричный(наличие 2-х ключей – открытого и закрытого(public, private)), причем 1) одному открытому ключу соответствует только один закрытый, 2) доступ к открытому ключу не позволяет вычислить значение закрытого, 3) открытый ключ может свободно распространяться по каналам связи, закрытый хранится в секрете