Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

Director.

Cisco IDS Host Sensor используется для защиты серверов,

предупреждая все известные способы атак на них, та ких, например,

как Интернет-черви и переполнение буфера. Блокируя атаки такого

рода, Cisco IDS Host Sensor значительно снижает время простоя

серверов, одновременно уменьшая расходы на обеспечение

безопасности и защищая критично важные узлы.

Catalyst 6500 IDS Module с оздан для защиты коммутируемых

сетей, интегрируя полнофункциональную систему IDS

непосредственно в сетевую инфраструктуру, позволяя адми-

нистратору выполнять мониторинг сетевого трафика непос-

редственно с консоли коммутатора Catalyst 6500.

Cisco IDS 4210 имеет пропускную способность до 45 Мбит/ с и

идеально подходит для мониторинга линий Т1/Е1, ТЗ, а также

Ethernet сетей.

Cisco IDS 4235 пропускная способнос ть до 200 Мбит/сек,

рекомендуется для развертывания защиты в коммутируемых сетях,

в ТЗ подсетях и в частично используемых гигабитных соединениях.

Cisco IDS 4250 пропускная способность до 500 Мбит/с и может

использоваться для защиты гигабитных подсетей.

Cisco разрабатывает комплексные решения, с помощью

которых заказчики создают собственные объединенные ин-

формационные инфраструктуры или получают доступ к се тям

других владельцев [91].

Обнаружение вторжений.

Система Cisco IDS разработана для эффективной защ иты

информации и всей инфраструктуры. Cisco IDS включает в себя

четыре важных элемента:

- Точное обнаружение угроз. Программное обеспечение Cisco

IDS Sensor Software Version 4.0 обнаруживает почти все возможные

угрозы и является первым шагом в предоставлении безопасного

окружения.

- Интеллектуальное исследование угроз. Технология Cisco

Threat Response предотвращает фальшивые сигналы тревоги и

автоматически определяет, какие угрозы требуют немедленного

внимания.

- Легкость управления. Браузер - базируемые инс трумента

упрощают управление, в тоже время предоставляя мощ ные

аналитические возможности для быстрого и эффектив ного

реагирования на возникающие угрозы.

- Гибкие возможности развертывания. Широкий выбор

устройств предоставляет гибкую основу для создания защищенной

и эффективной системы безопасности.

Cisco IDS использует многослойную защиту для предотв-

ращения успешного завершения атаки. После того как атака

идентифицирована и классифицирована, система может оста-

новить атаку, перед тем как случится какое-либо вредоносное

воздействие.

Система обнаружения вторжений eTrust Intrusion Detection

Компании Computer Associates производит ряд продуктов для

защиты корпоративных сетей, объединенных торговой маркой

eTrust [39].

Для обнаружения вторжений разработана система - eTrust

intrusion Detection, позволяющий контролировать сетевые

соединения в режиме реального времени и защищаться от лтак

типа «отказ в обслуживании» (denial of service - DoS). Система

обнаружения вторжений умеет взаимодействовать с различными

средствами контроля сетевого доступа, такими кпк межсетевые

экраны eTrust Firewall, Checkpoint Firewall-i, и маршрутизаторами

Cisco Systems. В результате пользо-нитель может построить

динамически перестраиваемую в мо-монт атаки защиту от сетевых

нападений.

Система защиты серверов Entercept 2.5

Программное обеспечение Entercept разработано исклю-

чительно для защиты публичных серверов [56]. Это существенно

отличает его от других рассматриваемых продуктов, поскольку для

защиты сервера требуется более глубокий уровень защиты, чем

периметровая.

Entercept работает непосредственно с операционной систе мой

сервера и позволяет проверять корректность запросов и вызовов

API прежде, чем они достигают различных уровней операционной

системы и ядра. Функционирует как программный агент,

сравнивающий все запросы к серверу с базой сигнатур атак.

Ваза сигнатур атак регулярно обновляется производите лем,

обновления становятся доступны сразу после идентифи кации

новых видов атак. Кроме того, имеется механизм пре дотвращения

нападений основанный на наборе поведенчес ких правил (все, что

не похоже на норму является атакой).

Защита от атак типа переполнение буфера - стандартная

опция Entercept, направленная на предотвращение выполнения

произвольного кода в ходе такой атаки. Несмотря на кажущуюся

сложность Entercept прост в инсталляции. Имеется два вида

агентов для операционной системы и для сервера. В каждом агенте

прописывается адрес консоли управления и местонахождения

разделяемого файла с ключами шифрования для защиты

управляющий сессий между агентом и консолью управления.

Консоль управления имеет понятный и простой интерфейс

пользователя с кнопками управления. Все события,

зарегистрированные агентами» представляются в одном окне.

Установленные агенты представлены в виде пиктограмм с

указанием их состояния. Имеется возможность со здания групп

агентов для упрощения администрирования.

Агент имеет два режима работы: «предупреждение», ко торое

регистрирует нападения, и «защиту», которая предотв ращает их.

Когда категория нападения идентифицирована, Entercept

использует политику реагирования, для определения возможных

действий. Для режима работы агентов защита Entercept может

осуществлять блокирование, регистрацию или игнорирование

попытки атаки, для режима предупреж дение доступна только

функция регистрации нападения.

База данных сигнатур атак, идентифицирующая известные

способы нападения регулярно модифицируется путем ав-

томатической загрузки с сайта производителя. Каждая сиг натура

сопровождается заданным по умолчанию производи телем уровнем

(политикой) безопасности, и модифицирована регулярно через

автоматические загрузки. Пользователь может изменять заданные

для сигнатуры политики.

Благодаря интуитивному интерфейсу, Entercept был быстро

настроен и показал устойчивую работу в ходе тестовых испытаний.

Проверялось блокирование действий троянца GirlFriend, атаки

UniCode, попытки получения дампа паролей при помощи утилиты

LOphtCrack.

Entercept не имеет никаких средств межсетевой защиты для

рабочих станций, но весьма эффективно обеспечивает защиту

сервера. Таким образом, область его применения - защита

серверов, находящихся в демилитаризованной зоне меж сетевого

экрана.

Семейство обнаружения атак RealSecure

Сенсоры обнаружения атак RealSecure™ разработаны аме-

риканской компанией Internet Security Systems, Inc. и пред-

назначены для обнаружения несанкционированной деятель ности и

нарушений политики безопасности компании [72].

Сенсоры RealSecure™ позволяют обнаруживать атаки и

злоупотребления, направленные на узлы корпоративной сети.

Системы, входящие в это семейство, ориентированы на за-щиту

как целых сетевых сегментов, построенных на базе тех нологий

Ethernet, Fast Ethernet, FDDI, TokenRing и Gigabit Ethernet, так и на

защиту конкретного узла корпоративной сети, функционирующего

под управлением ОС Windows 2000, Windows NT, Solaris, linux, HP

UX и AIX.

Сенсоры RealSecure одинаково эффективно обнаруживают как

внешние атаки, так и внутренние злоупотребления, направ ленные

на сервера приложений, Web-сервера, базы данных, рабочие

станции, маршрутизаторы, межсетевые экраны и т.д.

Как только атака распознается, применяется один из мно -

жества вариантов реагирования:

- регистрация событий безопасности в базе данных;

- уведомление администратора об атаке по e-mail, пейджеру,

телефону или факсу;

- звуковое оповещение администратора об атаке;

- генерация управляющих SNMP-событий на систему сетевого

управления;

- завершение атаки с атакующим узлом;

- блокирование учетной записи злоумышленника;

- сбор доказательств несанкционированной деятельности

злоумышленника;

- отслеживание злоумышленника (в т.ч. и через сеть Internet);

- реконфигурация межсетевых экранов и сетевого обору-

дования;

- создание собственных обработчиков зафиксированных

событий.

Распределенная архитектура семейства RealSecure позволяет

устанавливать его компоненты таким образом, чтобы обнаруживать

и предотвращать атаки на сеть как изнутри, так и снаружи.

Система обнаружения вторжений Dragon

Dragon - система обнаружения вторжений, предназначенная

для обнаружения атак, нацеленных на сетевые ресурсы или хосты

[75]. Для этого Dragon собирает всю необходимую информацию

через своих агентов (сенсоров), анализирует ее и результаты

посылает на станцию управления или системно му администратору.

Использование межсетевых экранов позволяет удаленным

пользователям подключаться к ресурсам сети. Правильно

настроенный межсетевой экран может снизить риск проник новения

в сеть и защитить ее от внешних воздействий, но не полностью.

Используя большое количество существующих приложений и

технологий компьютерным взломщикам удается проходить через

межсетевые экраны и попадать в сеть. Для борьбы с такими

взломщиками внутри сети и предназначена система Dragon.

Система Dragon состоит из сенсоров, сервера, процессоров

потоков сообщений и агентов. Архитектура системы позво ляет

гибко использовать каждый из этих компонентов в раз личных

конфигурациях и комбинациях друг с другом.

Сенсор может быть либо типа Network Intrusion Detection

System (NIDS), либо Host Based Intrusion Detection System (IIIDS).

Сенсоры могут работать самостоятельно или в паре с другими

компонентами. В конфигурации, когда сенсоры ра ботают

самостоятельно, Policy Manager не может централизованно

управлять ими и данные от сенсоров не передаются в процессоры

для сбора и анализа информации.

Сетевой сенсор осуществ ляет пассивный мониторинг сети,

распознает атаки и вырабатывает информацию о событиях в

зависимости от установленных в нем сигнатур и сетевых на строек.

Данный сенсор анализирует пакеты на уровне протоколов и

приложений, применяя метод сигнатур и аномалий для

идентификации злонамеренных действий в сети.

Хост-сенсор устанавливается непосредственно на персональ-

ный компьютер или сервер для их мониторинга и способен

отслеживать атрибуты файлов MD5 (зашифрованный файл),

установки доступа, размеры и содержимое файлов, трэпы SNMP,

системные журналы и настройки регистра Windows NT. Этот сенсор

может отслеживать системные журналы приложений, запущенных

на хосте (почтовый сервер, веб-сервер, UNS-сервер и FTP-сервер).

Хост-сенсор может также просматривать log-сообщения

межсетевых экранов, сообщения от маршрутизаторов или от

любого другого устройства, которое поддерживает протокол SNMP

или SYSLOG. Для маршрутизаторов и межсетевых экранов,

которые не имеют локальной операционной системы для установки

сенсора, использую т syslog-серверы, на которые устанавливаются

хост-сенсоры, принимающие syslog-co-общения и передают их

дальше на сервер Dragon для последу ющего анализа.

Поддерживаются коммерческие (Checkpoint FW-1, Symantec Raptor,

Rapidstream, Netscreen, Cyberguard, Cisco PIX) и свободно

распространяемые межсетевые экраны.

Также как и сетевой, хост-сенсор использует сигнатуры для

идентификации и анализа полученных сообщений. Биб лиотека

сигнатур включает в себя список подозрительных событий для

большинства операционных систем. Библиотека сигнатур также

включает сообщения, поступающие от многих приложений и

сервисов, таких как: Secure Shell, Sendmail, Qmail, Bind, Internet

Information Server и Apache.

Хост-сенсор способен читать log-сообщения приложений,

которые шифруют свой трафик, просматривать SSH-приложения

или транзакции веб-сервера, защищенные с помощью протокола

SSL. Этот сенсор можно использовать для иденти фикации таких

протоколов, но он не может расшифровать полученные данные и

«заглянуть» внутрь сессии. Однако он предоставит такую SSH-

информацию, как отказ пользователю в доступе, и т.д.

У хост-сенсора имеется функция проверки целостности

файлов, которая оповещает сетевого администратора в слу чае,

если системные файлы или файлы защиты были изменены,

удалены или к ним осуществлялся доступ.

Если сенсоры имеют конфигурацию типа Enterprise Sensor, то

они могут передавать свои данные в Event Flow Processor, и Policy

Manager может управлять ими. В противном случае события

хранятся локально на диске.

Сервер Dragon является системой управления и отчетнос ти.

Сенсоры взаимодействуют с ним через защищенный (за-

шифрованный) канал. Связь между сенсорами может быть

инициализирована в обоих направлениях - от агентов к серверу и

от сервера к агентам. Это является важным момен том, так как

межсетевые экраны защищают входящий трафик, а сервер может

инициализировать исходящий трафик. Сервер Dragon включает в

себя пять приложений (policy manager, rtlormtool config, real time

console, forensics console, trending console), каждое из которых

может быть доступно через веб-броузер.

Модуль Policy Manager осуществляет управление настройкой

сенсоров. Библиотеки сигнатур и настройки конфигура ции могут

быть применены и записаны для каждого сенсора (существует

возможность обновления библиотек сигнатур). Конфигурация

загружается в сенсоры через зашифрованное соединение. Для

распределения нагрузки на Policy Manager можно использовать

несколько таких модулей. Один сенсор может контролироваться

только одним таким модулем.

Модуль Alarmtool реализует механизм генерации тревожных

сообщений. Сигналы генерируются в зависимости от сте пени

важности: по типу события, времени появления собы тия и

механизму отправки тревожных сообщений, которые могут быть

посланы по SNMP, SMTP (e-mail), SYSLOG. Например, Alarmtool

можно настроить так, чтобы все сообщения отправлялись по

электронной почте разным адресам, или одни сообщения

посылаются по одним адресам, а другие по другим. Механизм

генерации тревожных сообщений находится только на сервере и не

встраивается в сенсоры. Такая архитектура не требует от сенсоров

останавливать свои процессы и заниматься отправкой сообщений в

тот момент, когда они следят за поступающей к ним информацией.

Консоль реального времени отображает любые изменения,

произошедшие в сети, и позволяет анализировать их. События

считываются из процессора потока событий и записываются в

буфер. Хранение одного миллиона событий в буфере занимает

около 24 Мбайт памяти. Поскольку система не считывает собы тия

из базы данных, а хранит их в памяти, то события, произошедшие

за определенный период времени, всегда доступны из оперативной

памяти. Консоль позволяет автоматически обнов лять события

через 1, 5 или 15 минут. Для анализа за более /длительный период

используются Forensics и Trending-консоли.

Историческая консоль позволяет осуществлять детальное

изучение событий, произошедших в прошлом в зависимости от

того, как долго записывались данные в базу.

Консоль трендов анализирует данные за более длительный

период времени. Эта консоль основана на реляционной базе

данных MySQL, где все данные хранятся в виде архивов. Со бытия

считываются из процессора потока событий и записы ваются в базу

MySQL. Эта база может расширяться с исполь зованием других баз,

таких как Oracle, Sybase или MS-SQL. Информация может быть

проанализирована за любой период времени: недели, месяцы и

даже годы, для идентификации возможной или произошедшей

атаки.

Процессор потока событий (Event Flow Processor - EFP)

получает данные о событиях от одного или более сенсоров. Эти

события могут либо передаваться другому EFP на более верхний

уровень, либо храниться локально. Архитектура си стемы Dragon

позволяет работать со множеством процессо ров, расположенных в

разных местах сети, создавая иерархическую структуру. Например,

EFP могут быть размещены так, чтобы каждый администратор,

отвечающий за EFP, мог просматривать события, относящиеся

только к его зоне ответственности.

Принцип работы Dragon

Dragon использует три метода для определения подозри-

тельной активности:

- программирование для сенсоров сигнатур;

- сенсоры программируются для определения анома лий,

которые похожи на атаки взломщиков, Эти анома лии неточно

отражают саму технику взлома, но все же высокоэффективны для

определения сканируемого порта, сетевых зондов, атак типа

переполнения буферов и отказа в сервисе;

- сенсоры могут определять возникшие отклонения при обходе

защиты, включающие использование неавторизованных сетевых

сервисов, запущенные приложения с необычными номерами

портов и регистрационные записи межсетевых экранов о запрете

сетевых сессий.

Анализ информации о возможности вторжения является

важной частью в системе обнаружения вторжения. Существуют три

техники определения сходства со вторжением:

1. Система конфигурируется таким образом, чтобы ис кать

потенциальные вторжения. Эта система не создает отчета по

атакам, для которых нет сигнатур, определяющих вторжение.

2. Система определяет факт и время появления события и

после этого снова сканирует систему, чтобы убедиться в пра-

вильности принятия решения. Эта техника удобна, когда ко-

личество IP- адресов слишком велико и полное сканирование

затруднительно.

3. Создается база данных по всем известным видам втор-

жений и когда происходит событие, исследуется база данных на

любое с ним сходство. Если сходство найдено, тогда выра-

батывается сообщение, в котором указывается событие и об-

наруженное сходство со вторжением.

Хостовая система выявления атак Symantec Intruder Alert

Программный продукт Symantec Intruder Alert (ITA) является

достойным представителем класса IDS системного уровня (host-

based), построенных на технологии интеллектуальных

программных агентов [67]. Выявление локальных и удален ных атак

осуществляется путем анализа журналов регистра ции событий

системного и прикладного ПО. Отличительными чертами этой

системы являются гибкость, масш табируемость и простота

администрирования. ITA может быть легко интегрирован

практически с любыми типами приложений.

Выявление атак и реагирование на них осуществляется в

реальном времени, при этом предусмотрено 14 вариантов

действий по автоматическому реагированию на атаки.

Значительное количество предопределенных политик бе -

зопасности сочетается с возможностью создания собственных

политик без программирования.

В составе ITA имеются программные агенты для 35 различных

программно-аппаратных платформ, включая различные версии ОС

UNIX, Windows и NetWare. По широте охвата платформ продукт не

имеет себе равных.

ITA построен на распределенной трехкомпонентной ар -

хитектуре Агент—Менеджер—Консоль. Все компоненты IT A

взаимодействуют между собой по защищенному клиент-сер-

верному протоколу. Аутентификация между компонентами и

выработка сеансовых ключей осуществляется по алгорит му

Диффи-Хелмана. Защита сеанса связи осуществляется путем

использования алгоритма шифрования с 400-битными ключами.

Средства управления ITA представлены двумя графичес кими

приложениями: ITA Admin и ТТА View.

Приложение ITA Admin предназначено для управления

компонентами системы, создания и настройки политик безо-

пасности, определяющих правила выявления и реагирования на

подозрительную активность. При помощи приложения IT A Admin

администратор безопасности может осуществлять сле дующий

набор действий по администрированию системы выявления атак:

- объединять агентов в домены;

- создавать политики безопасности и применять их на кон -

тролируемых доменах;

- загружать новые политики безопасности с Web-сервера

компании Symantec;

- экспортировать политики безопасности в файлы экспорта;

- настраивать параметры программных агентов;

- подключать дополнительные источники данных для анализа

программными агентами;

- определять привилегии пользователей ITA и осуществлять

распределение административных ролей по управлению системой

выявления атак.

ITA View является средством просмотра регистрационной

информации об атаках и других подозрительных событиях,

зарегистрированных агентами ITA согласно установленным

правилам политики безопасности. Данное средство позволяет

выполнять запросы к базе данных ITA, содержащей

консолидированные данные обо всех контролируемых системах, а

также, на основании результатов запроса, формировать отчеты,

представленные в различных графических форматах;

Центральным компонентом системы выявления атак яв ляется

ITA Manager. Он осуществляет управление, подключаемыми к нему

агентами, получая от них информацию о состоянии

контролируемых объектов, поддерживает список доменов и

активизированных на них политик безопасности и управляет базой

данных безопасности. База данных безопас ности содержит

консолидированные данные о нарушениях безопасности,

происходящих на контролируемых объектах.

В ОС UNIX ITA Manager реализован в виде демона. Он

представляет собой службу в ОС Windows NT и NLM-модуль и ОС

NetWare.

ITA Agent является «рабочей лошадкой» системы выяв ления

атак, выполняющей одновременно функции сенсора, анализатора и

средства реагирования на атаки. Он осуществляет сбор и анализ

данных аудита безопасности из различ ных источников с

использованием сигнатур атак, задаваемых правилами политик

безопасности ITA. В случае выявления в составе исходных данных

сигнатуры атаки предпринимается набор дейс твий,

предписываемый соответс твующим правилом.

Выявление и реагирование на атаки осуществляется в ре -

альном масш табе времени по специальным алгоритмам. Для

каждой поддерживаемой ОС используются собственные ис точники

информации аудита. В системах UNIX и Windows NT регистрация

событий, связанных с безопасностью, осуществляется при помощи

стандартных средств регистрации системных событий и средств

аудита безопасности (syslog, wtmp, process accounting, btmp,

подсистема С2 и т. п. в ОС UNIX и системный журнал, журнал

приложений и журнал безопасности в ОС Windows NT). Сенсорные

модули ITA Agent с определенной периодичностью сканируют

файлы системных журналов и журналов аудита, осуществляют

чтение данных аудита и их преобразование в свой внутренний

формат. В NetWare сенсорные модули ITA Agent самостоятельно

регистрируют и обрабатывают данные о событиях, получая эту

информацию непосредственно от ядра ОС.

9.4 Системы обнаружения атак отечественных

производителей

Система обнаружения вторжений «Форпост»

Система обнаружения вторжений «Форпост» (разработчик:

ЗАО РНТ) предназначена для выявления и блокирования сетевых

атак в информационных системах, на основе анализа пакетов

данных, циркулирующих в них. Система «Форпост» выявляет атаки

на рабочие станции пользователей, серверы и коммуникационное

оборудование ИС. Позволяет одинаково эффективно выявлять и

блокировать атаки как со стороны внешних, так и внутренних

нарушителей.

Система «Форпост» обеспечивает [76]:

- обнаружение и блокирование сетевых атак, направлен ных на

нарушение информационной безопасности ИС;

- мониторинг трафика ИС на сетевом, транспортном и при-

кладном уровнях;

- протоколирование информации о сетевом трафике;