Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

Многофункциональный брандмауэр Symantec Enterprise

Firewall 7.0

Разработанный как для предприятий, оснащенных сетями

сложнейшей архитектуры, так и для компаний, потребно сти

которых ограничиваются э лектронной почтой и путешествиями по

Интернету, пакет Symantec Enterprise Firewall [158] J шляется

незаменимой составляющей системы безопасности и сегодняшнем

мире электронных коммуникаций. Благодаря уникальной гибридной

архитектуре, это решение обеспечивает вс есторонний, хотя и

незаметный контроль над входящими и исходящими потоками

информации, создавая защиту против вторжения через внешние

соединения с Интернетом, внутренние корпоративные сети,

частные подсети и филиалы компании. Для создания системы

безопасности, которая не ухудшала бы производительность сети, в

Symantec Enterprise Firewall 7.0 предусмотрены поддержка

стандарта защиты Advanced Encryption Standard (AES) и

встроенный распределитель нагрузки, который способен

увеличивать пропускную способность до 1.5 Гбит/с.

Созданный для работы на платформах Windows NT/2000 и

Solaris, Symantec Enterprise Firewall является многофун-

кциональным межсетевым экраном, который включает в себя

возможности прокси-сервера системы безопасности третьего

поколения и средства фильтрации пакетов данных, что позволяет

создавать надежную защиту и назначать гибкие политики

безопасности для входящего и исходящего траффиков.

Помимо способности обеспечивать безопасность корпора -

тивных сетей на всех уровнях стека, к характерным особенностям

этого решения относятся:

- модуль мультисистемного менеджера с интуитивно по нятным

интерфейсом;

- работа в мультипроцессорном/многопоточном режимах;

- гибкие методы идентификации; начальное и последую щее

укрепление защиты сети и систем;

- встроенная защита против DoS атак с и угроз смешанного и

комплексного типов.

Межсетевые экраны отечественных производителей

Большой популярностью в нашей (и не только нашей) стране

пользуется Agnitum Outpost Firewall [97]. В феврале 2004 года

вышла версия программы 2.1. Ничего принципиально нового в

программе, созданной коллективом разработчиков из Петербурга,

по сравнению с аналогами практически нет, однако программа

очень надежна, снабжена понятным интерфейсом и недорога: есть

даже абсолютно бесплатная версия: 1.0, а версия Pro стоит всего

500 рублей [6].

Наиболее трудоемким при работе с брандмауэрами явля ется

процесс настройки правил фильтрации. Outpost Firewall предлагает

следующее решение этой проблемы: априорно зап рещается любая

передача информации. Если какая-то программа получает или

передает данные, владелец компьютера получает запрос:

разрешить однократно, блокировать однократно, создать

постоянное правило, которое разрешает или запрещает в будущем

данный вид активности.

Outpost Firewall обладает еще рядом полезных функций:

блокирует всплывающие окна, рекламные баннеры, исполь зование

cookies, позволяет защитить все настройки паролем. Достоинством

программы является и поддержка подключаемых модулей (plug-in)

от сторонних разработчиков, с помощью которых можно нарастить

функциональность.

Кроме упомянутой простой и эффективной программы Outpost

Firewall, пользователям в небольших фирмах можно посоветовать

Kaspersky Anti-Hacker [112]. При такой же примерно

функциональности Anti-Hacker все же существенно дороже и

продается в виде годовых лицензий, поэтому его чаще

устанавливают в комплекте с «Антивирусом Касперского».

Для контроля за трафиком предназначена и программа

PortsLock компании «Смарт-лайн» [6]. PortsLock - это брандмауэр ,

который полностью интегрирован в подсистему безопасности

Windows NT/2000/ ХР и Windows Server 2003. Он позволяет

контролировать использование протоколов TCP/ IP на локальном

компьютере. Контроль доступа к портам и IP-адресам

осуществляется подобно контролю доступа к фай-мам и

директориям на разделе NTFS жесткого диска. В систему встроены

средства удаленного администрирования, позволяющие

контролировать доступ к сетевым ресурсам на каждом компьютере

в локальной сети.

С помощью PortsLock можно блокировать доступ к с етевым

ресурсам (сайтам, сетевым сервисам, локальным сетям и т. д.) для

конкретного пользователя или группы пользова телей,

контролировать доступ к сетевым ресурсам в зависи мости от

времени и дня недели, протоколировать сетевую ак тивность

пользователей.

В «Инфотекс» разработаны средства создания виртуаль ной

частной сети VipNet Office, VipNet Tunnel и VipNet Corporate [46].

«ЭЛВИС-f» предлагает межсетевой экран «Застава», а так же

средство создания виртуальной частной сети «Застава VPN» [46].

«Информзащита» создала в свое время программно-аппа-

ратное решение «Континент К» - это средство создания VPN и

межсетевой экран [46].

У «Инфосистемы Джет» можно приобрести межсетевой экран

«Застава Лжет», а также средство VPN «Тропа» [46].

Даже из этого небольшого и далеко не полного обзора видно,

что в арсенале небольших российских команд существуют

недорогие и проверенные временем программы, достоинства

многих из которых признаны в США, Германии и дру гих развитых

странах.

Глава 9 Средства обнаружения атак и защиты

программного обеспечения

9.1 Классификация систем обнаружения атак

Одним из важных элементов информационной безопасности

корпоративных сетей являются системы обнаружения атак

(Intrusion Detection Systems - IDS)* Впервые эти продукты по-

явились в 1997 году с легкой подачи компании ISS. К сожалению,

до сих пор некоторые специалисты, не говоря уже о руководителях

предприятий, не понимают пользу, которую приносят системы

обнаружения атак. Почему-то большинство людей представляют

себе их этаким заменителем брандмауэров. Однако это совсем не

так. Дело в том, что практически все современные системы защиты

компьютерной информации построены на моделях разграничения

доступа, разработанных в 80-х годах прошлого века.

Принцип этих моделей заключается в следующем. Суще

етвует ряд пользователей или компьютерных систем, для ко торых

открыт доступ к какой-то информации и определен разрешенный

набор операций над ней. Однако действия, про наводимые этими

субъектами над данными, никак не регламентируются. А значит,

пользователь, которому разрешен доступ к файлу с секретной

информацией, может спокойно скопировать его с целью передачи

третьим лицам. Кроме того, нельзя забывать, что сегодня

злоумышленники уже осознали, какие атаки выгоднее всего. А

поэтому обычно их в первую очередь интересует процесс

аутентификации. И действительно, если похитить каким-либо

способом пароль зарегистрированного пользователя или

подобрать его, то можно лег ко получить доступ ко всей закрытой

информации. Причем об этом никто даже не узнает.

Специалисты в области информационной безопасности

предлагали разные способы решения этих проблем. Однако нее

они обладали одним недостатком. Чем надежнее была система

защиты, тем менее удобным становилась работа пользо вателя с

закрытой информацией. Кроме того, повсеместное

распространение корпоративных сетей и Интернета привело к

появлению еще одной проблемы. Дело в том, что в совре менном

мире ситуация стала меняться очень быстро. Посто янно

появляются новые уязвимости, хакеры придумывают новые

сетевые атаки. Так что стандартные системы защиты информации,

построенные на использовании принципа раз граничения доступа,

просто-напросто могут «не успеть» за изменениями.

Вот для решения именно этих проблем и нужны системы

обнаружения атак. Они постоянно находятся в рабочем состоянии

и защищают сеть независимо от того, кто в данный момент

работает с ней. Цель рассматриваемых систем видна из их

названия. Речь идет об обнаружении атак различных типов. При

этом система может дать ответы на целый ряд очень важн ых для

системного администратора вопросов. Что происходит с системой?

Является ли данное воздействие ата кой злоумышленников? Кто

проводит атаку? Откуда проводится атака? Как ее можно

остановить? Почему с тало возможно вторжение? Таким образом,

получается, что стандартные средства защиты (например,

брандмауэр) и системы обнаружения атак не заменяют, а

дополняют друг друга, обес печивая более надежную оборону от

злоумышленников.

Типовая схема построения с истемы обнаружения атак

включает в себя элементы пяти типов. Основой являются модули-

датчики. Они собирают всю информацию, необходимую для

работы системы. Полученные ими данные сохраня ются в

специальной базе. Они постоянно накапливаются и создают основу

для анализа и обучения системы. Кроме того, собранные данные

поступают в модуль выявления атак. Именно этот блок отвечает

на вопрос, является ли данное воздействие угрозой для

защищаемой сети. Если ответ положитель ный, то в дело вступает

следующий элемент - модуль реагирования. В зависимости от типа

системы обнаружения атак он может выполнять различные

действия от выдачи предупреждения системному администратору

до проведения ответной атаки. Помимо этого существует еще один

блок - модуль управления. Он отвечает за возможность настройки

всей системы администратором и осуществляет связь между

специальной базой данных и функциональными блоками. Как мы

уже говорили, рассмотренная схема является типовой, наиболее

распространенной. Однако существует немало систем обнару-

жения атак, имеющих иной структурный состав.

Вообще, системы обнаружения атак достаточно индивиду-

альны. Их разнообразие велико, так что точно разбить все по

определенным классам практически невозможно. Наверное,

именно поэтому существует несколько различных классифи каций

систем обнаружения атак [19]. Так, например, по способу

выявления опасных воздействий они делятся на:

- системы обнаружения сигнатур;

- системы обнаружения аномального поведения. Первые во

многом подобны антивирусным программам. В

их базе данных хранятся сигнатуры, то есть наборы признаков,

характеризующие те или иные типы атак. Если параметры какого-

либо воздействия совпадают с сигнатурой од ной из угроз,

принимается решение о существовании опасности. Как видно из

описания, подобные системы могут успешно бороться только с

известными и описанными атаками.

Ну а системы выявления аномального поведения действу ют

по-другому. Они находят необычные действия тех или иных

пользователей или программ. Например, это могут быть по дача

большого числа запросов на соединение, высокая загруз ка

процессора, использование редко задействуемых перифе рийных

устройств. Естественно, далеко не все подобные действия

являются атаками. Поэтому в таких системах модуль выявления

должен быть очень развитым. Более того, зачас тую он является

самообучаемым и проявляет зачатки искусственного интеллекта.

Другим способом классификации является разделение си стем

обнаружения атак по способу сбора информации о воз действиях.

Согласно ей они делятся на три основных типа:

- сетевые системы;

- хостовые модули;

- индивидуальные модули.

Сетевые системы подобно снифферам, «прослушивают» весь

проходящий через них трафик, выискивая в нем призна ки угрозы.

Такие системы больше всего подходят для комп лексной защиты

корпоративных сетей.

Хостовые модули отвечают за защиту какого-то определенного

узла, выявляя все атаки, направленные на него. Хостовые системы

привязаны к конкретным операционным сис темам, а поэтому имеют

существенные ограничения в области использования. Однако

благодаря этому они зачастую обес печивают более эффективную

защиту.

И, наконец, к третьей группе относятся те системы обна -

ружения атак, которые защищают какое-то одно приложение или

сетевой сервис. Они появились не так давно и имеют очень узкую

область применения. Правда, перспективы перед подобными

системами обнаружения атак открываются достаточно широкие.

Дело в том, что они обеспечивают действительно надежную

защиту, пусть даже и всего лишь одного приложения.

Некоторые специалисты классифицируют с истемы обна-

ружения атак еще по одному признаку. Речь идет об их реакции на

выявленную угрозу. В этой классификации определе ны три

различных типа:

- пассивные системы;

- активные системы;

- агрессивные систем.

Пассивные системы просто записывают сообщение об ата ке в

лог-файл или выдают предупреждение об угрозе системному

администратору.

Активные системы пытаются защитить сеть от обнару женной

атаки. Для этого используются различные действия. Например,

система может просто оборвать соединение со злоумышленником

и заблокировать прием пакетов с его IP-адреса. Или автоматически

переконфигурировать брандмауэр таким образом, чтобы он

противостоял новой угрозе.

К последней группе относятся агрессивные системы обна-

ружения атак. Они в случае обнаружения угрозы не просто

блокируют ее, но и сами проводят атаку на злоумышленника.

Однако с тоит отметить, что подобные действия являются

незаконными и могут расцениваться правоохранительными

органами как преступление. Тем более что жертвой ответной атаки

может стать невиновный человек, чьим IP-адресом прикроется

злоумышленник.

Таким образом, системы обнаружения атак действитель но

являются важной частью комплексной системы информа ционной

безопасности корпоративной сети. При этом они не заменяют

брандмауэры и другие элементы защиты, а дополняют их,

усиливая оборону от злоумышленников и самых разнообразных

типов атак.

9.2 Недостатки существующих систем обнаружения атак

Как правило, системы обнаружения атак (СОА) использу ются

совместно с межсетевыми экранами, дополняя их функ циональные

возможности за счѐт более интеллектуа льного контекстного

анализа пакетов данных на прикладном уровне стека TCP/IP.

Однако, несмотря на широкое распространение СОА, число

успешных информационных атак на ресурсы АС продолжает

ежегодно увеличиваться. Так, по данным координационного центра

немедленного реагирования CERT, количество атак,

фиксированных в первом полугодии 2004 году, превышает общее

число атак, выявленных в течение всего 2003 года.

Результаты исследования Института компьютерной безо -

пасности США за 2003 год показали, что большая часть компаний,

в которых были зафиксированы успешно проведѐнные атаки,

использовала мелссетевые экраны и СОА. Всѐ это говорит о

крайне низкой эффективности существующих типов СОА, об их

неспособности эффективно противостоять со временному уровню

угроз безопасности [73].

Используемые на практике типы СОА базируются на пас-

сивных и активных методах реагирования Пассивные мето ды

реагирования предполагают оповещение администратора АС о

выявленной атаке. Такое уведомление осуществляется

следующими способами:

- выводом соответствующего сообщения на консоль управ-

ления администратора;

- посылкой администратору сообщения средствами элект-

ронной почты;

- путѐм формирования SNMP-trap сообщения и последующей

его посылкой в систему управления (например, HP Open View, IBM

Tivoli, CA Unicenter и др.).

Помимо простого оповещения администратора о факте

выявления атаки, существующие СОА могу т реализовать и ряд

активных типов реагирования, таких как:

- блокирование TCP-соединения, по которому была реали-

зована атака. Такое закрытие реализуется путѐм посылки

субъектам соединения специального TCP-сегмента с установ-

ленным флагом RST;

- запуск заданной внешней программы с определѐнными

параметрами. Наличие такой функции модуля реагирования

позволяет администратору СОА дополнять существующие методы

реагирования своими собственными, реализованными в виде

внешних подпрограмм;

- реконфигурация межсетевого экрана с целью блокирова ния

трафика, поступающего от хоста нарушителя. В настоя щее время

большая часть существующих межсетевых экранов (МЭ) имеет

соответствующие внешние интерфейсы, обеспечи вающие

взаимодействие МЭ с СОА. Примером такого интерфейса является

интерфейс OPSEC для МЭ Checkpoint FW-1;

- блокирование учѐтной записи внутреннего пользователя АС,

который является потенциальным источник ом атаки.

Учѐтные записи должны блокироваться на заданный период

времени при помощи хостовых датчиков СОА.

Однако нетрудно заметить, что все рассмотренные выше

методы реагирования СОА реализуются уже после того, как в АС

была обнаружена атака. Это не позволяет СОА осуществить

своевременное их блокирование и, соответственно, пре дотвратить

возможный ущерб от их реализации.

Другим существенным недостатком СОА является не-

возможность выявления неизвестных типов атак, описа ние которых

отсутствует в бае данных СОА» Это обусловлено тем, что

большинство существующих СОА используют для выявления

вторжений сигнатурные методы, которые описывают каждую атаку

в виде специальной модели или сигнатуры. В качестве сигнатуры

атаки могут выступать: строка символов, семантическое выражение

на специальном языке, формальная математическая модель др.

Алгоритм работы сигнатурного метода заключается в поиске

сигнатур атак в исходных данных, собранных сетевыми и

хостовыми датчиками СОА. В случае обнаружения иско мой

сигнатуры, СОА фиксирует факт информационной атаки, которая

соответствует найденной сигнатуре. Преимуществом сигнатурных

методов является их высокая точность работы, а очевидным

недостатком невозможность обнаружения тех атак, сигнатуры

которых не определены при помощи методов.

Третьим основным недостатком СОА является большое ко -

личество ложных срабатываний в процессе работы системы.

Ложным срабатыванием считается ситуация в которой СОА

ошибочно фиксирует факт наличия в АС атаки, в то время как па

самом деле в системе происходит штатная сетевая активность. В

СОА также отсутствуют механизмы автоматической приоритезации

сигнатур атак в зависимости от той среды, в которой они

применяются. Так, например, если в сегменте Web-серверов

Apache, функционирующих на базе ОС Linux, будет выявлена

информационная атака Nimda, направленная на web-сервер

Microsoft IIS, то ей будет присвоен наивысший уровень приоритета,

даже не смотря на то, что таких Web-серверов нет в защищаемом

сегменте АС. Наличие этого недостатка приводит к тому, что на

консоли администратора отображается боль шой объѐм

информации, из которого сложно выделить крити ческие с точки

зрения безопасности события.

9.3 Популярные зарубежные сист емы обнаружения атак

Лидерами рынка средств обнаружения атак, по мнению Gartner

Group [38], являются Cisco Systems, Internet Security Systems,

Enterasys Networks и Symantec. По данным Butler Group, весьма

популярными производителями этой категории средств

обеспечения безопасности являются также Computer Associates и

Entercept Security Technology.

Средства, анализирующие трафик конкретного компьюте ра,

производятся компаниями Symantec и Entercept Security

Technology.

Продукт Cisco IDS 4210 является аппаратно-программным

комплексом, остальные вышеперечисленные продукты - про-

граммными средствами, которые выполняются под управлением

стандартных операционных систем на обычных компьютерах. В

таблице 9.1 представлены наиболее популярные средства

обнаружения атак [112].

Таблица 9.1 Популярные средства обнаружения атак

Производитель

URL

Продукты

Поддерживаемы

е платформы

Cisco Systems,

inc.

http://www.cisco.com/

Cisco IDS 4210

eTrust

Cisco IDS 4210,

средства управ-

ления выпол-

няются на

платформе

Windows

Computer

Associates

http://www.cai.com/

Intrusion

Detection 2.0

Windows

Entercept

Security

Technology

http://www.entercept.co

Entercept

2.5

Windows, Solaris

Internet Security

Systems

http://www.iss.net/

RealSecure

Network

Protection

Dragon

Windows, RedHat

Linux, Solaris,

ADC, HP-UX,

Nokia

Entcrasys

Networks

http://www.enterasys.co

Intrusion

Detection

System

Symantec

Host Intrusion

Windows, Linux,

Solaris, AIX

Windows, Novel

NetWare,

коммерческие

версии UNIX; под

Sjmantec

Corporation

http://www.Symantec.co

Detection

System,

Symantec

Intruder Alert

держивает

совместную

работу с Tivoli En

terprise, BMC

Patrol, HP Open

View

Системы обнаружения несанкционированного доступа Cisco

Secure IDS

Семейство Cisco Secure IDS состоит из: Cisco Secure IDS

Sensor, Cisco IDS Host Sensor, Catalyst 6500 IDS Module [79]. Cisco

IDS Network Sensor - являются высокоскоростными сетевыми

детекторами, анализирующих содержание и контекс т каждого из

проходящих сетевых пакетов с целью обнаружения попыток

несанкционированного доступа. При обнаружении попытки атаки в

режиме реального времени детек торы IDS Sensor посылают

предупреждения на управляющую консоль Cisco Secure IDS