Системы выявления атак на сеть

Всемирная сеть Internet растет с головокружительной скоростью, поэтому нет ничего удивительного в том, что регистрируется все больше попыток несанкцио­нированного доступа к корпоративным ресурсам. Планы таких атак не являются тайной, так что часто их можно найти прямо в готовом для применения формате, а недавние эксцессы, носившие поистине глобальный характер, — явное свидетель­ство того, что в целом совершить компьютерное преступление сегодня намного проще, чем раньше. И если прежде основную угрозу представлял тщательно орга­низованный промышленный шпионаж, то теперь ему на смену приходят «воришки со сценариями», «проказы» которых, возможно, обойдутся вашей компании в ты­сячи долларов из-за простоя в результате проведения несложной, стандартной скры­той атаки.

Конечно, это не то, на чем можно сделать фильм о Джеймсе Бонде, но результаты могут оказаться столь же драматичными. Ежегодные убытки от атак на компьютер­ные сети составляют десятки и даже сотни миллионов долларов.

Прошли те времена, когда простой брандмауэр был достаточно надежным сред­ством защиты, чтобы администраторы сетей могли спокойно спать. Современные кор­порации предусматривают сложные стратегии защиты, реализация которых предпола­гает использование нескольких систем, как предупредительных, так и реактивных (часто они являются многоуровневыми и избыточными). В этом новом мире Internet выявле­ние атак становится столь же распространенным, как шифрование и аутентификация. Оно широко применяется крупными и мелкими компаниями.

Суть систем выявления атак проста и состоит в установке агентов для проверки сетевого трафика и поиска сигнатур известных сетевых атак. Однако с развитием сете­вых вычислений и пугающим распространением Internet все несколько усложнилось. С появлением распределенных атак по типу отказ в обслуживании (Distributed Denial of Service, DDoS), часто инициируемых из сотен различных источников, адрес отпра­вителя трафика больше не может служить надежным свидетельством того, что против вас не организована атака. Хуже того, адекватно реагировать на такие атаки становит­ся все труднее из-за разнообразия исходных систем, особенно из-за того, что боль­шинство атак по своей природе географически распределены.

Администраторы сети ведут со злоумышленниками трудную борьбу, и в этой свя­зи возможность распознавать некоторые (если не все) атаки в тот момент, когда они происходят, себя оправдывает, поскольку это позволяет своевременно предпринять коррек­тирующие действия.

Потенциальных злоумышленников, покуша­ющихся на вашу интеллектуальную собствен­ность, много. Важно знать не только, как правиль­но реагировать на инцидент, но и как идентифицировать злоумышленников (рис. 3.10).

Выявить же злоумышленника в основном не представляет особой сложности по следующим его действиям:

– предпринимает повторные попытки вторжения в сеть;

– допускает очевидные ошибки;

– предпринимает попытки атаки в разное время в течение дня;

– хочет скрыть свои следы.

В случае неудачной попытки доступа к серверу случайные злоумышленники оста­вят вас в покое. С другой стороны, опытные злоумышленники постараются собрать информацию о сервере, чтобы вернуться позже и попытаться использовать другие сла­бости. Например, в один прекрасный день при просмотре журналов IDS вы обращаете внимание на то, что кто-то сканирует ваш почтовый сервер в поисках открытых пор­тов TCP и UDP. Двумя днями позже IP-адрес злоумышленника всплывает вновь, но на этот раз злоумышленник нацеливается на открытые порты. Несколько часов спустя он вводит последовательность команд SMTP через порт 25.

Каждое нажатие клавиши во время атаки дает ценную информацию об опыте ата­кующего. Серьезный хакер не позволит себе терять драгоценное время на синтакси­ческие ошибки и метод проб и ошибок. Попытка ввести команды SMTP через порт NNTP служит ясным свидетельством неопытности атакующего.

Картина доступа может дать такие важные сведения о злоумышленнике, как его местонахождение, профессия и возраст. Большинство случайных атакующих осуще­ствляют свои попытки между 9 часами вечера и 1 часом ночи. Если попытки проник­новения имеют место по будним дням с 9 утра до 5 вечера, то наверняка они произво­дятся с рабочего места.

Были ли случаи, когда при проверке системных журналов событий вы обнаружива­ли, что все записи за последние 12 часов пропали? Когда-либо замечали, что файл истории команд для бюджета root таинственно исчез? Это признаки опытного атакую­щего. Он позаботился об удалении всех свидетельств своих действий, не опасаясь, что это приведет к подаче тревожного сигнала. Такое поведение аналогично действиям грабителя, поджигающего дом перед тем, как бежать оттуда с награбленным.

Существенную помощь администратору в данном случае могут оказать системы выявления атак.

Хотя системы выявления атак до сих пор считаются экспериментальными, они ста­ли значительно совершеннее с момента первого их использования (1988 г.), причем до такой степени, что они заняли свое собственное место в системе обороны сети нарав­не с брандмауэрами и антивирусным программным обеспечением. Хотя практические реализации таких систем, как правило, достаточно сложны и нестандартны, общая концепция выявления атак на удивление проста и состоит в проверке всей активности сети (как входящей, так и исходящей) и обнаружении подозрительных действий, кото­рые могли бы свидетельствовать об атаке на сеть или систему. Эффективность выяв­ления атак на сеть может быть повышена при выполнении последовательности опера­ций, которые представлены на рис. 3.11.

Большинство имеющихся на рынке инструментальных средств выявления атак ис­пользует две фундаментальные методики:

– выявление злоупотреблений;

– выявление аномалий.

Выявление злоупотреблений опирается на предопределенный набор сигнатур (шаб­лонов) атак, которые могут быть получены у производителя или указаны сетевым адми­нистратором. Выполняя поиск конкретных шаблонных действий, системы выявления атак, пытаются установить соответствие каждого из поступающих в сеть пакетов сигна­туре известной атаки. Очевидные преимущества данной методики — ее простота и нео­бременительность (как следствие, нет трудностей и при развертывании). Однако, у это­го подхода есть существенный недостаток: проверка каждого пакета в сети становится все сложнее, особенно с учетом последних достижений сетевой технологии.

Администраторы защиты должны хорошо подготовиться, прежде чем приступить к выбору системы выявления злоупотреблений. Обязательно поинтересуйтесь у про­изводителя, как часто появляются новые сигнатуры атак и сколько стоит обновление службы. Как и в вопросе обнаружения вирусов, полезность программного обеспече­ния напрямую зависит от полноты базы данных с сигнатурами, которую оно использу­ет при анализе пакетов.

Выявление аномалий наиболее полезно в стабильных сетевых средах, где админи­стратор может легко определить нормальное состояние сети в таких терминах, как уровень трафика, отказ протокола и типичный размер пакета. Детекторы аномального поведения можно настроить таким образом, чтобы они периодически проводили мо­ниторинг сетевых сегментов и определенного числа сетевых серверов и сравнивали их состояние с основным. Если эти состояния значительно различаются, то могут быть предприняты соответствующие действия. Например, если в два часа дня в воскресенье уровень загруженности вашего сегмента в демилитаризованной зоне (Demilitarized Zone, DMZ) внезапно увеличивается до 80%, причем 90% пакетов этого трафика явля­ются эхопакетами протокола управляющих сообщений ICMP (Internet Control Message Protocol) на запросы от различных источников, то весьма вероятно, что ваша сеть под­верглась атаке DDoS.

Большая часть систем выявления атак использует сочетание обеих методик, и они часто устанавливаются в сети, на конкретном хосте или даже для конкретного прило­жения на хосте.

Наверное, самое очевидное место для размещения системы выявления атак — не­посредственно в том сегменте, контроль за которым вы хотите установить. Сетевые детекторы атак устанавливаются в сети точно так же, как и любое другое устройство, за исключением того, что они проверяют все пакеты, которые видят. Хотя системы выявления атак достаточно просты в реализации и развертывании, они все же не ли­шены недостатков, о которых стоит упомянуть.

Во-первых, действительно разделяемые сегменты (на базе концентраторов, а не коммутаторов) сейчас встречаются довольно редко, т. е. для мониторинга всей подсе­ти одного датчика недостаточно. Вместо этого системы выявления атак должны быть интегрированы в определенный порт коммутаторов Ethernet (с поддержкой режима приема всех пакетов), что не всегда возможно, даже если такой порт имеется.

Кроме того, при обслуживании всего сегмента одной системой выявления атак она становится уязвимой для атаки DDoS. Если злоумышленник сможет вывести из строя сам детектор, то он получает полную свободу действий и может проникнуть в под­сеть, не опасаясь быть обнаруженным. Об этой опасности всегда следует помнить при проектировании и установке хоста для своей системы выявления атак. Как и брандма­уэр, такая система не должна:

– содержать пользовательские бюджеты, за исключением привилегированного пользо­вателя (root/Administrator); поддерживать необязательные сетевые службы;

– предлагать никакой вид интерактивного сетевого доступа (доступ возможен толь­ко через консоль);

– работать под управлением малоизвестной, нестандартной операционной систе­мы.

Если система выявления атак размещается на стандартной многозадачной, много­пользовательской системе, то это должен быть укрепленный вариант операционной системы, где не инициируется (и не размещается) большинство пользовательских про­цессов, чтобы она могла обеспечить необходимую производительность для проверки каждого пакета по мере их поступления. Это освобождает машину от необязательной нагрузки по обработке и позволяет сосредоточиться на выполнении поставленной за­дачи.

Если ваша политика защиты такова, что злонамеренное вторжение будет иметь серьезные негативные последствия для вашего бизнеса, то рекомендуется установить избыточные системы выявления атак. В идеале эти системы нужно приобретать у двух производителей или, по крайней мере, устанавливать на двух различных платформах. Смысл в том, чтобы не класть все яйца в одну корзину. (Конечно, концепция избыточ­ности применима ко всем подобным системам.)

Хотя такой подход предполагает дополнительные затраты на поддержку разнород­ного аппаратного обеспечения и операционных систем, вы можете легко компенсиро­вать этот недостаток, выбрав системы выявления атак, управление которыми может осуществляться централизованным и защищенным образом с помощью стандартных инструментальных средств для управления сетями и системами.

Еще одна часто реализуемая стратегия в отношении выявления атак на сеть состоит в автоматическом блокировании доступа по всему периметру сети в случае выхода из строя системы выявления атак. О случившемся необходимо немедленно сообщить ад­министратору сетевой защиты, так как он может оценить создавшуюся ситуацию и пред­принять необходимые корректирующие действия. Отметим, что это решение зачастую предполагает, что система выявления атак должна взаимодействовать с размещенными по периметру сети устройствами, такими как брандмауэры и краевые маршрутизаторы.

Как это часто бывает в сложном мире сетевой защиты, панацеи не существует, и, чтобы стратегия выявления атак была эффективной, она должна быть реализована на нескольких уровнях. Установка и обслуживание сетевых детекторов для выявления атак трудностей не вызывают, однако это не позволяет выявить целый класс атак, опоз­нать которые крайне сложно, так как они тесно связаны с целевой системой. Эти атаки используют уязвимые места конкретных операционных систем и пакетов приложе­ний. Только системы выявления атак на хост могут отслеживать сложный массив спе­цифичных для систем параметров, совокупность которых составляет сигнатуру хоро­шо организованной атаки (такие системы работают как приложения на подключенном

к сети хосте).

Ориентированный на хосты подход идеален для серверов высокой доступности, которые предприятия используют в своей повседневной работе. Эти серверы, как пра­вило, в любом случае устанавливаются в «слабозаселенных» сегментах, так что до­полнительные расходы на размещение на хосте детекторов не должны создать непре­одолимых трудностей. Возможно, самое важное преимущество этого подхода в том что он позволяет выявить внутренние операции, т. е. обнаружить ситуацию, когда за­конопослушный пользователь обращается с ресурсами хоста таким образом, что это ведет к нарушению принятой в компании политики защиты. Такого рода нарушения практически невозможно обнаружить посредством системы выявления атак на сеть, поскольку пользователь может обращаться к системе с консоли, и передаваемые им команды просто не пересылаются по сети.

Однако и в деле выявления атак на хост тоже не все гладко. Поскольку эти системы тесно связаны с операционной системой, они становятся еще одним приложением, которое необходимо обслуживать и переносить. Это весьма важный момент в среде, где операционные системы часто обновляются, поскольку система выявления атак может работать эффективно, только тогда, когда она имеет все последние данные. Кроме того, сама по себе установка детекторов на хосты не защитит вашу компанию от базовых атак DDoS на сетевом уровне (SYN flooding, ping of death, land attack и т. д.). Но, несмотря на эти ограничения, система выявления атак на хосты должна стать неотъемлемой частью общей защиты от вторжений.

Развитие методов выявления атак привело к развитию имеющихся систем обнару­жения тщательно подготовленных атак. Функционируя на самом верху сетевого стека (на прикладном уровне), эти системы выполняют мониторинг конкретных приложений (например, серверы Web, электронной почты и баз данных) в поисках подозри­тельных шаблонов и для анализа сообщений из журналов приложений.

Детекторы атак на приложения постоянно проверяют журнальные файлы и сис­темные переменные в поисках готовящейся атаки. Хотя они представляют собой по­лезные, нужные механизмы, ориентированные на приложения системы трудны в уп­равлении и реализации, так как критически важным сетевым приложениям каждого вида требуется своя система выявления атак. Они должны стать последним рубежом защиты от тех изощренных атак, которые их инициаторы сумели достаточно хорошо замаскировать, чтобы обмануть системы выявления атак на сеть и хосты.

Идея установки программного обеспечения выявления атак на маршрутизаторах все­гда воспринималось со значительной долей скепсиса, так как проверка каждого пакета в поисках сигнатуры атаки обычно отнимает значительную часть общей производитель­ности маршрутизатора. Однако маршрутизаторы обладают прекрасной возможностью распознавания и предотвращения атак еще до того, как они проникнут внутрь корпора­тивной сети, где ущерб от них может оказаться намного существеннее.

Реализованная на маршрутизаторе простая методика фильтрации позволяет гаран­тировать, что ваша компания не станет стартовой точкой для организации атаки DDoS. Применяемые при этом так называемые выходные фильтры представляют собой на­бор правил для проверки исходящих пакетов и анализа адресов их отправителей. По­скольку используемые с внутренней стороны краевого маршрутизатора сетевые адре­са, как правило, известны, маршрутизаторы могут отфильтровывать пакеты, чьи адреса отправителей не соответствуют их сетям.

Это позволяет фильтровать потенциально подделанный трафик, обычно наблюдае­мый, когда злоумышленники захватывают ничего не подозревающий хост и отправля­ют с него пакеты на выбранную ими цель где-нибудь в Internet Многие провайдеры стали реализовывать выходные фильтры на всем управляемом ими оборудовании в помещениях заказчика (Customer Premises Equipment, CPE).

Как только вы выбрали аппаратное и программное обеспечение для обнаружения атак, следующий шаг в реализации эффективной системы выявления атак — составле­ние диаграммы всей сети, в которой четко указаны пять элементов:

– отдельные сетевые сегменты;

– границы сегментов;

– заслуживающие и не заслуживающие доверия объекты;

– все серверы (хосты) и службы, работающие на каждом хосте;

– списки контроля доступа ACL (Access Control List) на границе каждого сегмен­та и на каждом сервере.

Отдельные сетевые сегменты — к примеру, от маршрутизатора к маршрутизатору, вместе со списком сетевых протоколов и типичной нагрузкой, которая, по вашему мнению, будет характерна для каждого сегмента.

Границы сегментов — это маршрутизаторы, коммутаторы и брандмауэры. Заслуживают и не заслуживают доверия известные локальные и удаленные пользо­ватели, партнеры по бизнесу, анонимные пользователи и потенциальные клиенты элек­тронной коммерции.

И число инцидентов, и диапазон злонамеренных сетевых атак продолжают расти, в силу чего время реакции на подобные инциденты становится критически важным. Из-за нехватки специалистов по защите все больший интерес в отрасли вызывают автома­тизированные системы реакции на атаку, с помощью которых система выявления атак может сразу предпринять оборонительные (или, по крайней мере, сдерживающие) меры в ответ на вторжение.

Распространенная ошибка при проектировании автоматизированных систем реак­ции на атаку состоит в том, что такие системы часто делают именно то, на что рассчи­тывает злоумышленник.

К примеру, рассмотрим политику защиты, при которой система выявления атак отфильтровывает адрес отправителя, с которого, по имеющейся информации, произ­водится сканирование портов хостов в вашей сети. В действительности злоумышлен­ник достаточно просто может выдать себя за другой хост (подделав IP-адрес), что, в конечном итоге, приведет к фильтрации пакетов ни в чем не повинного хоста (возмож­но, одного из ваших партнеров по бизнесу или, хуже того, потенциального заказчика). В этом случае злоумышленник, по сути, использует вашу автоматизированную систе­му противодействия для проведения атаки по типу «отказ в обслуживании» и против вашей сети, и против хоста, за который он себя выдает.

Вместо того чтобы отказывать в доступе подозреваемому в организации атаки, ча­сто полезнее получить больше информации о хосте, с которого производится атака: можно попытаться отследить маршрут до хоста организатора атаки, провести обрат­ный поиск DNS по IP-адресу злоумышленника, постараться выяснить тип хоста (опре­делить тип ОС) и установить провайдера Internet инициатора вторжения.

Собранная информация позволит принять более взвешенное решение о том, что следует сделать: отказать в доступе по всему периметру, предупредить администрато­ра или просто зарегистрировать событие как подозрительное. Не забудьте записать всю собранную информацию (предпочтительно через Syslog) на удаленный хост, где эти данные можно сохранить на вторичной системе хранения.

Целостность журналов и других критически важных системных файлов может быть гарантирована с помощью инструментальных средств обеспечения целостности сис­темных файлов. Этот инструментарий периодически вычисляет контрольные суммы для данных, находящихся в журналах регистрации, хранимых в безопасном месте. Контрольные суммы затем регулярно пересчитываются и сравниваются с оригиналом, обеспечивая таким образом неповрежденность журнальных файлов.

Кроме того, ваша политика защиты должна предусматривать периодический ана­лиз журналов для выявления подозрительной активности. Анализ файлов регистра­ции и синтаксический разбор в реальном времени позволяют проводить целый ряд соответствующих инструментальных средств (как коммерческих, так и свободно рас­пространяемых). Они способны помочь администратору систем защиты в решении этой рутинной задачи.

При реализации технологии выявления атак администраторы систем защиты дол­жны помнить о двух основных ее недостатках:

– маскировки (evasion);

– вставки (insertion).

Сетевые детекторы используют стандартные или определенные пользователями сиг­натуры, которые они пытаются обнаружить в передаваемых по сети пакетах. Однако опыт­ный злоумышленник может замаскировать сигнатуру своей атаки, разбив один TCP-пакет на несколько IP-пакетов. Чтобы не попасться на эту удочку, убедитесь, что детектор атак в состоянии собирать фрагменты пакетов для анализа сигнатур в реальном времени.

Вторая проблема состоит в добавлении злоумышленником ложных пакетов в TCP-диалог. Несмотря на то, что конечный хост просто отвергнет лишний пакет, детектор атак попытается его проанализировать. Если конечный хост проверяет порядковый номер TCP, дабы убедиться, что пакеты транспортного уровня прибывают в правиль­ном порядке, то детектор вторжений, как правило, эту последовательность не отсле­живает и примет за реальные такие фальшивые пакеты, как запрос на прерывание со­единения. При получении фальшивого запроса на закрытие (типа TCP FIN), детектор будет игнорировать все остальные пакеты в данном потоке, поскольку он будет уве­рен, что конечный хост тоже их игнорирует. (Он считает, что соединение уже было закрыто.)

Проявляющиеся сейчас в области межсетевых взаимодействий тенденции потре­буют, вероятно, серьезного пересмотра механизма современных систем выявления атак. Технологии виртуальных частных сетей предусматривают внедрения пакетов внутрь других пакетов, а технология шифрования делает практически невозможными про­никновение в эти пакеты и проверку сигнатуры атаки.

Кроме того, сетевые шлюзы все чаще и чаще рассчитаны на коммутацию пакетов более высоких уровней со скоростью их поступления и принимают решения о направ­лении пакетов на основе лишь определенных фрагментов в заголовке пакета. Выявле­ние атак станет, скорее всего, серьезным препятствием на пути повышения скорости коммутаторов до многих гигабит. Производители признают, что они больше не в со­стоянии предлагать порт для перехвата всех пакетов без значительного снижения про­изводительности коммутирующего оборудования. Одно из возможных решений этой проблемы состоит в реализации распределенных систем выявления атак с нескольки­ми коллекторами с единой высокопроизводительной базой данных, сервер которой имеет достаточную производительность для консолидации всей информации практи­чески в реальном времени. С другой стороны, производители сетевого оборудования могли бы встраивать некоторый небольшой по размеру (хотелось бы надеяться, что стандартный) код выявления атак в архитектуру коммутаторов.

Развертывание эффективных систем выявления атак представляет собой сложную задачу, но она кажется тривиальной по сравнению с тем временем и усилиями, кото­рые вам придется потратить, чтобы обеспечить ту отдачу, на которую рассчитывала ваша компания, в том числе на предпродажные исследования и постоянные модерни­зации сигнатур атак. Администратору систем защиты не стоит ждать легкой жизни, но он, безусловно, будет спокойнее спать, зная, что в вечно бодрствующем мире Internet корпоративная сеть имеет недремлющего стража.

Дата добавления: 2014-01-07; Просмотров: 749; Нарушение авторских прав?; Мы поможем в написании вашей работы!