Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей

Межсетевой экран Cisco Centry включает в себя основные достоинства предыдущих архитектур(скорость обработки в ядре, зависимость от сессии для каждого уровня протокола). Этот МЭ разработан с использованием технологии автономных агентов, что позволяет легко добавлять новых агентов для решения новых задач. Схема функционирования МЭ уровня ядра приведена на рис. 3.10.

Подсистема безопасности данного МЭ использует многие элементы из рассмотренных технологий МЭ. Подсистема МЭ Cisco Centryвключает в себя следующие основные модули:

1) ядро безопасности;

2) модуль управления хостом;

3) модуль управления каналами связи МЭ.

4) Агент регистрации входов;

5) Агент аутерификации.

Основным модулем является ядро безопасности. Ядро анализирует каждый входящий и исходящий пакет, проходящий через сервер МЭ, и применяют к каждому пакету заданную реализацию

Установленной политики безопасностию Ядро безопасности оперирует внутри ядра Windows NT, что позволяет обеспечить высокую производительность МЭ.

Основываясь на политики безопасности, модуль управления созданием соединения для соответствующей карты. Каждый совет сетевой пакет анализируется на принадлежность к существующему соединению. Если такое соединение для пакета есть, то пакет передается в стек proxy существующие соединения. Если нет - проверяется модулем управления на наличие полтики соединения. В результате пакет или удаляется, или создается динамический стек для нового соединения, и пакет передается в него.

Ядро безопасности, в свою очередь, содержит четыре компонента, составляющих суть данной технологии.

Перехватчик пакетов перехватывает пакеты, поступающие на МЭ, и передает их в модуль верификации. Перехватчик располагается между естественным сетевым стеком Windows и драйвера сети адаптеров. Для перехватчика стек Windows является внешним стеком, поэтому перехватчик рассматривает все пакеты до их поступления в стек собственно Windows.

Захватив пакет, перехватчик передает его в анализатор, который по информации заголовка пакета подготавливает пакет и соответствующие данные для дальнейшей работы модуля верификации.

Модуль верификации безопасности применяет заданную политику безопасности(загружаемую в ядро административным агентом), инициализирует и отслеживает сеансы всех разрешенных соединений. Таким образом, модуль верификации на основании пакета и подготовленных анализатором данных для каждого пакета выполняет одно из трех возможных действий:

1) Отбрасывает пакет(исключает из дальнейшей обработки);

2) Устанавливает, что пакет принадлежит существующему соединению, и передает пакет соответствующему proxy;

3) Устанавливает новое соединение с созданием соответствующего динамического стека proxy.

Механизмы proxy- ядра используют динамические стеки, зависящие от соответствующего

Протокола соединения. В первой версии МЭ были реализованы восемь типов динамических стеков.

Рассмотрим виды proxy в МЭ уровня ядра и выполняемые в их рамках проверки. Для IP:

1)проверка адресов источника и назанчения - проверяется, что данному адресу источника разрешено взаимодействовать с соответствующим адресом назначения;

2) защита от атаки Ping of Death - проверяется, что каждый пакет не превышает максимально возможную длину. Если длина пакет больше максимальный, то пает уничтожается и генерирует запись в журнал;

3)защита от атаки IP Spoof - при установлении нового соединения проверяется источник по статическим таблицам маршрутизаторов, связанные с сетевыми картами. Если пришедший пакет не соответствует установленной таблице, то он уничтожается и генерирует запись в журнале.

Для ICMP:

1)проверяется соответствие типа пришедшего пакета ICMP заданными правилам. Если заданный тип разрешен, то пакет уничтожается и генерируется запись в журнале.

Для TCP:

1) Проверка портов- проверяется, что запрос на инициализацию соединения направлен на разрешенный порт;

2) Защита от атаки SYN Flood - данная проверка оперирует с заранее заданным счетчиком числа полуоткрытых соединений. Значение счетчика сожжет устанавливается автоматически в зависимости от реальной физической памяти стека. При превышении значения этого счетчика проводится анализ процентного заполнения стека и адресов их источников. Для тех адресов, которые были получены ранее, полуоткрытые соединения закрывается;

3) Функция NAT выполнение функции трансляции адресов,
Для udp:

1) Аутерификация пользователя - инициируется передачей соответствующих данных запроса на соединение агенту аутерификацию;

2) Фильтрация HTTP - проверка осуществляется в соответствии со списками файлов и сайтов, которые разрешено использовать в службе HTTP. В этом списке могут быть указаны адреса, имена доменов или типы файлов;

3) Контроль разрешенных действий - проверяется действия, ассоциированный с HTTP, на наличие соответствующего разрешения для пользователя;

4) Фильтрация HTTP - проверяется содержимое пакетов прикладного уровня. В ходе этой проверки модифицируется, если необходимо, данные HTTP - документов, передающихся во время HTTP сеанса: фильтрация ActiveX(удаляет теги <OBGECt>), фильтрация Java аппретов(удаляются теги <APPLET>), фильтрация Java Spirit и VBScript(удаляются теги <SCRIPT).

Для FTP:

1) Аутерификация пользователя - инициируется передачей соответствующих данных запроса на соединение агенту аутерификации;

2) Поддержка «непрозрачного» proxy - данный режим выполняется в случае, когда адрес в пакете является адресом самого МЭ. Пользователи могут соединятся с сервером МЭ и, используя команды FTP, с другими серверами. Этот режим предназначен для работы внешних пользователей с серверами компании;

3) Контроль разрешенных действий - осуществляется проверка всех возможных действий, ассоциированных с FTP, наличие разрешения пользователя на исследование соответствующей службы, предоставляемой протоколом: чтение объекта с FTP - сервера, запись объекта на FTP - сервер, удаление объекта с FTP- сервера, перемещение по директориям.

Для Telnet:

1) Аутерификация пользователя - инициируется передачей соответствующих данных запроса на соединение агенту аутерификации;

2) Поддержка режима «непрозрачного» proxy - выполняется в случае, когда адрес в пакете является адресом самого МЭ. Пользователи могут соединится с сервером МЭ и затем, используются команды Telnet с другими серверами. Этот режим предназначен для работы внешних пользователей с серверами компании;

3) Контроль портов - проверяется, что запросы на инициализацию служб направлены на размещение Telnet - порты.

Для SMTP:

1) Противодействие атаке SMTP Flood - позволяет удалять всю почту от определенного адреса или сети, направленную на защищаемую сеть;

2) Разрешение знаков маршрутизации - показывает, разрешено ли пользовательской части заголовка сообщения содержать знаки маршрутизации !, [, ], : и %;

3) Ограничение числа знаков ограничение числа знаков At (@) - показывает, сколько знаков @ может содержать путь, указанный пользователем;

4) Разрешение команды Verify -проверяется, разрешено ли использование команды МКАН при прохождении МЭ на пути к серверу SMTP;

5) Разрешение команды Expand - проверяется, разрешено ли использование команды FXPN при прохождении МЭ на пути к серверу SMTP;

6) Ограничение числа получателей - позволяет установить количество абонентов, которым адресуется одно сообщение;

7) Ограничение длина сообщения - позволяет устанавливать максимальную разрешенную для передачи длину сообщения.

В данном МЭ применяются правила фильтрации. Существует статическое и динамическое правила фильтраций для соединений, организован контроль на прикладном уровне и.д. кроме того, весь внутренний трафик между базой знаний МЭ и агентами шифруется с помощью Microsoft.

Хотя сам Cisco Centre снят с производства, его идеи нашли широкое применение в разработках разных производителей. Большинство современных МЭ оперирует на уровне ядра операционной системы, в качестве которой выступают не операционные

Системы, в качестве которой выступает не операционные системы общего пользования, а специально разрабатываемые операционный системы.

3.1.7 Персональные межсетевые экраны

Рассмотренные видя МЭ, особенно МЭ прикладное уровня и уровня ядра, являются чрезвычайно сложными продуктами, поэтому для защиты компьютеров отдельных пользователей стали разрабатывается персональные МЭ. Персональные МЭ являются программными продуктам, которые располагаются внутри компьютера на низшем уровне ОС - между сетевыми платами и всеми протокольными стеками(TCP/IP, NetBEUI, IPX и т.д.для Windows).

Персональные МЭ обычно выполняют две основные защитные функции: защиту от внешних атак и защиту от атак со стороны данного компьютера.

В качестве примера кратко рассмотрим двух представителей семейства персональных межсетевых экранов: Windows XP Firewall и Tiny Firewall.

Windows XP Firewall. Пакт обновлений Service Pack 2 для Windows XPвключает в себя Windows XP Firewall, являющийся персональным межсетевым экраном, используемым технологии контроля состояний.

Этот межсетевой экран устанавливает два множества конфигураций, называемых профилями. Один профиль{Domain Profile} используется, когда компьютер находится в домене. По умолчанию межсетевой экран используется Standard Profile. Для каждого профиля создается список исключений.

Параметры МЭ, заданные по умолчанию, в большинстве случаев не требуют изменений и ориентированы на использование обычного клиентского доступа в Интернет . при этом все не запрашиваемые пользователем входящие подключения отключаются. Межсетевой экран блокирует весь входящий трафик, который не является ответом на запрошенный трафик, и трафик, который был определен как разрешенный.

Через простой интерфейс пользователь может задать основные режимы, и функции и параметры работы. Кратко перечислим основные установки:

1) Функционирование в одном из 3 режимов. В режиме On блокируется весь входящий трафик, за исключением того, который указан в списке исключений. В режиме On with Exception блокируется весь трафик, даже если он указан в списке исключений. В режиме Off межсетевой экран не блокирует ничего;

2) Отключение сообщения пользователю, которые выводятся, в случае если программа, не включенная в список исключений, пытается добавить себя или свой трафик в список исключений;

3) Блокировка входящих ответов на широковещательные запросы. По умолчанию межсетевой экран позволяет посылку одиночных пакетов в течении трех секунд, после того как через этот порт был послан запрос;

4) Разрешение приема отдельных типов сообщений ICMP/ по умолчанию блокируется все типы сообщений;

5) Открытие портов - при использовании Standard Profile экран статически открывает порты, которые указаны в списке исключений. Рекомендуется вместо открытия портов включить в список исключения программы, что позволит экрану динамически открывать порты, когда это потребуется соответствующей программе. Если же необходимы открыть порты, то задается номер порта, протоколов, диапазон или назначение IP - адресов и режим.

Кроме того, можно устанавливать каналы удаленного администрирования и ведения журналов безопасности. Формат файла данного журнала соответствует спецификации Extended Log File Format(расширенный формат файла журнала).

Проявление персонального МЭ для популярной операционной системы является существенным шагом вперед по обеспечению безопасности индивидуальных пользователей, подключенных к Интернету или другими сетями.

В настоящее время данный персональный МЭ осуществляет ограниченную защиту только от входящего трафика.

Tiny Firewall 2005. Персональный межсетевой экран Tiny Firewall 2005разработан компанией Tiny Software Inc), образованный в 1999 г. особенностью данного продукта является то, сто он изначально создается для платформы Windows. В настоящее время выпущена уже 6 -я версия продукта.

Пользователь с помощью удобного интерфейса может пометить все приложения или группы приложений, заносимые в базу защищаемых приложений.

Этим приложениям или группам приложений ставятся в соответствие определенные правила. Если механизм безопасности экрана находит, что какая-то деятельность соответствует имеющемуся правилу, то он проверяет, находится ли соответвие приложения в базе(если находиться, то к нему применяют соответствующие правило).

Если приложение в базе нет, то механизм прерывает работу и запрашивает пользователя о желаемом действии: закрытии приложения, запустить (включая режим инкапсуляции) или выключить его базу.

Данный МЭ использует технологию контроля состояний соединений TCP и контроль состояния UDP и ICMP. Кроме того, используется фильтрация по содержимому. Межсетевой экран обеспечивает как защиту сетевой активности, так и защиту ситсемы, на которой он устанавливается.

Для защиты сетевой активности Tiny Firewall 2005 содержит сетевой механизм безопасности, выполняющий следующие основные функции:

1) Фильтрация пакетов;

2) Защита от использования передачи данных вовне неизвестными процессами;

3) Защита от использования неизвестными процессами известных приложений;

4) Избранная фильтрация сетевого трафика на интерфейсах;

5) Избранная фильтрация трафика, приходящего на интерфейс от множества IP - адресов;

6) Разделение интерфейсов на зоны;

7) Временные ограничения на прохождение трафика и т.д.

Защита системы обеспечивается специальными механизмами, которые позволяют установить список доверенных приложений и их прав доступа к системе. Это позволяет изолировать приложения и обеспечить следующие защитные функции:

1) Предупреждение вставки кода;

2) Контроль прохождения процессов;

3) Защиту файлов;

4) Защиту регистра;

5) Контроль инкапсуляции системных служб;

6) Защиту устройств (предохраняя незаконное использование USB - устройств, COM- портов, модемов и т.д.);

7) Полный контроль загрузки DLL и т.д.

Данный персональный межсетевой экран обеспечивает двухсторонний контроль трафика, что выгодно отличает его от экрана Windows XP.

Достоинством межсетевого экрана Tiny является то, что он содержит функции обнаружении вторжений. Обнаружение вторжений реализовано с использованием сигнатурного подхода, для чего используется паравила Short, и при обнаружении реализуется прерывание зловредного трафика. Поддерживается импорт базы данных сигнатур средством SnortImp. Это позволяет защитится от известных видов spyvare и дополнять базу своими сигнатурами.

3.1.8 Распределенные межсетевые экраны

Поскольку за последние 5 -10 лет МЭ стали одним из основных средств сетевой защиты, вполне естественно, что атакующие стали разрабатывать методы атак «через МЭ» или методы атак самого МЭ или методы атак самого МЭ как первого рубежа обороны корпоративной сети. Поэтому усилия исследователей были направлены на разработку методов защиты самих МЭ от атак извне. Свидетельством этого является включение в программу исследования качеств МЭ вопросов устойчивости МЭ к атакам - так называемые тесты на проникновение.

В самой технологии распределенных МЭ можно выделить два основных направления:

1) Построение системы распределенных межсетевых экранов, реализующих сложную ПБ организации;

2) Построение системы распределенных компонент МЭ, которые реализуют заданную ПБ.

При построении распределенных систем МЭ их функциональные компоненты распределяются по узлам сети и могут обладать различной функциональностью. При обнаружении подозрительных на атаку признаков изменять конфигурацию, состав и расположение компонент.

В настоящее время распределенные системы МЭ в основном представлены только исследовательскими прототипами.

3.2 Обход межсетевых экранов

Поскольку МЭ является первым элементом, то на них, как правило, сосредотачиваются основные усилия атакующих при проведении атак на корпоративные сети. Из анализа существующих тенденций и средств обхода МЭ можно выделить два основных подхода: постепенный подход и туннелирование.

3.2.1 Постепенный подход

Под постепенным подходом понимается методика информации об удаленной сети, защищенной МЭ. Этот метод использует посылку и анализ IP - пакетов подобно утилите traceroute для определения возможности определенного пакета пройти на хост назначения через устройство фильтрации пакетов. Метод позволяет определить открытые порты данного устройства, возможность прохождения пакетов для различных служб через данный порт.

Утилита traceroute предназначена для пересечения всех хостов на маршруте к цели. Она посылает на хост назначения UDP или ICMP echo пакеты, в которых постепенно увеличивается значения поля TTL после каждого удачного шага. Если используется пакет UDP, то номер порта назначения увеличивается на единицу с каждой пробой.

При получении пакета с ТТД =0 маршрутизатор удаляет пакет и посылает на хост-инициатор ICMP error message. Это позволяет хосту-инициатору узнать, на каком маршрутизаторе пакет удален.

Чтобы удостоверится, что получен ответ о хоста - назначения, утилита traceroute посылает следующий пакет UDP на порт с большим номером, который вероятнее всего не используется приложениями.

На основе утилиты tracerouteразработаны средства, позволяющие проводить требуемый анализ. Одним из таких средств является fire walk. Средство fire walk посылает TCP и UDP -пакеты с TTL, значение которого на единицу больше целевого шлюза. Есл шлюз пропускает трафик, то пакет проходит на следующее устройство, на котором значение TTL будет равно 0. Если же шлюз не пропускает данный пакет, то удаляет его, не посылая никаких сообщений. Подход позволяет определить элементы списка управления доступом шлюза.

3.2.2 Туннелирование

Под термином «туннелирование» понимается общая технология передачи протокола через общую сеть с использованием другого протокола. Предположим, что МЭ разрешает пакеты протокола HTTP. Тогда, если за МЭ во внутренней сети имеется машина, на которой установлен клиент туннелирование, можно организовать обмен данными, которые будут пропускаться МЭ. Такой канал является скрытым. Под скрытым каналом принято понимать любой коммуникационный канал, который может быть использован в процессе передачи информации в обход политики безопасности ситемы.

В 1996 г. в журнале Phrack magazine было описано средство LOKI, использовавшее ICMP - пакеты для прохождения через межсетевой экран. В 1998 г. появилось средство Rwwwshell, которое туннелировало shell команды внутри HTTP - запросов, причем интерактивный shell использовал возвращаемое сообщение об ошибке 404 для передачи управляющих команд. В дальнейшем эта идея была развита и реализована в средстве httptunnel, которое предназначено для создания HTTP - туннеля типа точка - точка, не может быть использовано и для связывания приложений, работающих на других протоколах, для обеспечения неконтролируемого доступа через МЭ.

Таким же средством является libTunnel, использующее HTTP в качестве транспорта для передачи через межсетевой экран различных сообщений между приложениями. Это программное средство включает в себя библиотеку, которая может быть использована для создания практически любых приложений, использующих HTTP - туннелирование. Алгоритм взаимодействия клиента с сервером при использовании libTunnel включает в себя следующие шаги:

1) Если у клиента есть сообщение, то он отправляет HTTP- POST - запрос;

2) Если у клиента нет информации, то он оправляет HTTP GET - запрос;

3) Если у сервера есть сообщение для клиента, то то он возвращает его в теле HTTP - ответа.

Эта библиотека позволяет также настроить клиентские приложения для работы с proxy - сервером, чтобы обеспечить корректную работу туннеля через любое количество шлюзов, а серверное приложение для работы с несколькими клиентами одновременно.

Применение туннелирования означает использование инкапсуляции протоколов при межсетевом взаимодействии. В процессе инкапсуляции применяются три типа протоколов: несущей протоколов, протокол пассажир, протокол инкапсуляции.

Транспортный протокол объединенных сетей является протоколом пассажиром, а протокол транзитной сети - несущим протоколом.

Пакеты протокола - пассажира помещаются в поле данных несущего протокола с помощью специального протокола инкапсуляции. Пакеты протокола - пассажира не обрабатываются при транспортировке их по транзитной сети. Инкапсуляцию и извлечение пакетов протокола - пассажира выполняет пограничные устройства, располагающиеся на границе между исходной и транзитной сетями. Которые указывают в следующих в несущих пакетах свои адреса, а не адреса узлов назначения.

По аналогии с коммутацией сетей для использования туннеля сквозь ситему необходимо решить следующие задачи:

1) Разработать несущий протокол, протокол пассажир и протокол инкапсуляция;

2) Проанализировать методы обнаружения туннеля и снизить влияние демаскирующих факторов.

Несущий прокол. Очень часто в качестве несущего протокола используется протокол HTTP. На нижних уровнях также существует механизмы для построения скрытых каналов, но эти механизмы, как правило, требуют использования привилегированных прав и обладают различными ограничениями. Потому для реализации скрытых каналов и средств их конструирования наиболее часто применяется именно протокол HTTP в качестве транспорта для информации. Это объясняется широтой его распространения, а также сложностью обнаружения аномалией в протоколе.

Чтобы пакет с данными пересек периметр безопасности, протокол должен быть разрешен для использования субъекту, инициировавшему передачу. В качетсве субъекта может выступать пользователь системы или приложения, работающие от его имени. Таким образом, чтобы организовать передачу данных по туннелю, надо решить вспомогательные задачи:

1) Иметь разрешение на отправку данных через периметр безопасности;

2) Успешно скрывать тот факт, что авторизованный канал используется не по назначению.

Протокол пассажир оказывает весьма незначительное влияние на общую структуру туннеля, он определяет собой некие данные, которые необходимо передать по туннелю. Это может быть поток данных, создаваемый определенным приложениями, или любая другая информация набор управляющих команд и т.д. вид передаваемой информации существенно влияет на протокол инкапсуляции.

Протокол инкапсуляции. Скрытые каналы можно подразделить на две группы на основании протокола, инкапсулируемого в несущий протокол:

1) Канал передачи потока данных приложения;

2) Канал, специально создаваемый злоумышленником.

В первом случае, как правило, создается относительно большой трафик, который демаскирует скрытый канал. Во втором случае обнаружение скрытого канала усложнения, особенно когда канал использует методы стеганографии.

Допустим, агенту заранее предоставлен список макросов:

1а cat,

1B echo,

7a «/etc/passwd»,

8a >,

9a <root::0:0:root:/:/bin/sh>

Тогда совершенно безобидные запросы вида:

Get /path/1a-7a.htm HTTP/1.0 и

Get/path/1b-9a-8a-7a.htm HTTP/1.0

Могут быть пропущены системами защиты.

Данные, передаваемые по скрытому каналу, могут быть обычным текстом, а могут использовать шифрование или методы стеганографии. В качестве контроллера в запросах HTTP, не содержащих тела сообщения, могут служить:

1)строка адреса;

2)список заголовков

3) тело ответа в котором могут содержатся возвращаемые данные.

В запросах HTTP, содержащих общее тело сообщения, к вышеперечисленным параметрам можно добавить тело запроса, что иллюстрируется следующим примером.

Запрос клиента:

POST [передаваемые данные] /cgi-bin/server.cgi?[передаваемые данные] HTTP/1.1

Host:<server_host>

Content-Length: <content_lending>

Content-Type:application/octet-stresm

X-Data:[передаваемые данные]

[передаваемые данные]

Ответ сервера:

HTTP/1.1 200 OK

Date: Thu, 7 July 2005 06:24:25 GMT

Server:Apache/1.3.27

Content-Length: <content_lending>

Contente-Type: application/octet-stream

X-data:[возвращаемые данные]

[возвращаемые данные]

Существуют ограничения на размерах передаваемых в различных участках HTTP - пакета, которые связаны с существующими реализациями программных продуктов и оговорены в описании протокола.

3.3 Требования и показатели защищенности межсетевого экрана

Государственная техническая комиссия при президенте РФ установления требования и показатели защищенности МЭ в руководящем документе «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации ».

Этот документ устанавливает классификацию МЭ по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В документе отмечается, что дифференциация подхода к выбору функций защиты в МЭ определяется автоматизированной системой, для защиты которой применяется данный МЭ. Установлено пять классов защищенности МЭ: пятый класс, применяемый для безопасности взаимодействия ФС класса 1Д с внешней средой, четвертый - для ФС класса 1Б и первый - для АС класса 1А.

Требования и показатели «Управления доступом, приведена требования различных классов межсетевых экранов.

Совокупной автоматизированной системы, полученной из исходной путем добавления в нее межсетевого экрана, не должен понижается.

Для автоматизированных систем классов 3Б,2Б должны примется МЭ не ниже 5 -го класса. Для автоматизированных систем классов 3А,2А(в зависимости от важности обрабатываемой информации) должны примется МЭ следующих классов:

1) При разработке информации с грифом «секретно» - не ниже 3-класса;

2) При обработка информации СС грифом «совершенно секретно» не ниже 2 -класса;

3) При разработке информации с грифом «особой важности» не ниже 1-класса.

3.4 Тестирование межсетевых экранов

Поскольку МЭ находится на границе двух сетей и является узловой точкой доступа, то на него возлагается важнейшая задача защиты информации. Организации, использующие МЭ, хотят убедится в правильности и возможности функционирования. Особенно это важно в условиях динамических изменений организации. Эта проблема решается при помощи тестирования МЭ.

Для тестирования МЭ используются два основных подхода: тестирование, ориентированное на разработку, и операционное тестирование, называемое тестированием на проникновение.

Цель автономного тестирования состоит в исчерпывающей проверке выполнения МЭ своих функций. Для этого осуществляются проверки выполнения МЭ заданной политики безопасности:

1) Проверка выполнения требований безопасности:

1) Выполнение функций контроля доступа;

2) Контроль соответствия записей пользователя в журнал регистрации;

3) Контроль подсистемы генерации сигналов тревоги;

4) Контроль доступности;

2) Проверка требуемой функциональности:

1) Проверка входящих служб(во внешний мир);

2) Проверка входящих служб(в защищенную систему);

3) Проверка служб, необходимых для взаимодействия с Интернетом.

Кроме того, проверяется конфигурирование МЭ и возможности администрирования самого МЭ. Особенности важна проверка производительности МЭ, так как он находится на основной линии обмена данными с внешним миром.

Тестирование выполнения МЭ установленной политики безопасности реализуется запись регистрационных данных перед МЭ и после него. Для этого могут использоваться следующие атаки и исследования: проделка адресов, перехват сеанса, фрагментация пакетов, маршрутизация источников, DNS - атаки, перенаправление RIP /ICMP , ARP - атаки, сканирование портов, посылка пакетов с нарушениями P F С, насыщение трафика.

При проведении тестирования, ориентирования на оценку разработки, проводятся следующие действия: сравнение реальной конфигурации МЭ с существующей ПБ, ручное исследование конфигурации через интерфейсы МЭ, операционное тестирование - пробы самого МЭ для поиска открытых служб, проверка правильности контроля разрешенных служб.

При тестировании производительности определяется скорость выполнения информации межсетевым экраном, не допускается ли МЭ при этом запрещенного трафика. Измеряются и оцениваются задержки, вводимые МЭ при обработке насыщенного трафика.

При тестировании управления проверяются удобство, полнота и эффективность процедур конфигурирования и управления межсетевым экранов.

Анализ многочисленных случаев проникновения в защищаемые межсетевыми экранами сети показал, что автономного тестирования МЭ недостаточно для того, чтобы убедится в направленности их функционирования. Одним из важнейших свойств МЭ должна быть его устойчивости к атакам, направленным на сам МЭ. Это обусловлено тем, что атакующие сначала направляют свои усилия на «обезвреживании» МЭ или его обход. При освоении атаки на МЭ возможны следующие четыре случая:

1) МЭ выдерживает атаку и продолжает функционированность;

2) Атака приводит к краху МЭ, который осуществляет перезапуск и продолжает функционированность;

3) Атака приводит к краху МЭ, который запрещает прохождении любого трафика;

4) Атака приводит к краху МЭ, который разрешает прохождении любого трафика.

Каждый из случаев должен быть исследован, поскольку оказывает существенное влияние на защищенность сети.

До настоящего момента нет общепринятой методологии тестирования на проникновение.

Это вызвано как сложность задачи, так и тем, что специалисты, выполняющие тестирование, чрезвычайно неохотно делятся своими знаниями. Одной из опубликованных мелодиях тестирования на проникновение является методологией, разработанная Мойнерм.

Методология исходит из предпосылки, что попытки атак на МЭ не дают полного предоставления о защищенности. Тестирование должна проверятся вся инфраструктура, защищаемая МЭ. Поэтому предложенная методология включает в себя четыре основных группы действий:

1) Внешние атаки;

2) Внутренние атаки;

3) Совместные атаки;

4) Анализ разработки поддерживающих структур на наличие потенциальных уязвимостей.

Внешние атаки - группа действий, включающая в себя сбор информации, пробы, атаки, нарушение функционирования служб самого МЭ в случае успеха атак.

Внутренние атаки выполняются, исходя из того, что атакующий уже имеет доступ к компьютеру внутренней сети, защищаемой МЭ. При этом могут последовательно использоваться разные уровни имеющегося доступа: пользователя, разработчика ПО или администратора.

В случае совместных атак считается, что внешний атакующий находится в сговоре с пользователем организации, чтобы обмануть систему защиты или передать данные через МЭ. Это становится возможным, если успешными оказались попытки предыдущих групп действий. Обычно на данном этапе используется построение или внедрение системы туннелирвоания через допускаемый МЭ протокол.

Целью анализа разработки и поддерживающих процедур состоит в поиске методов и способах проникновения, процедурных при выполнении предыдущих действий. Для этого анализируется сама разработка МЭ, способы его применения, анализируются административные процедуры и данные, регистрируемые МЭ.

Для проведения тестирования на проникновение используется:

1) Ручные пробы;

2) Сканеры безопасности различных видов;

3) Хакерские средства, многие из которых являются общедоступными.

Ручные пробы и интерактивные действия тесно связаны друг с другом и во многих случаях не могут быть разделены. Сканеры безопасности и хакерские средства, как правило, содержание определенную степень автоматизации.

Контрольные вопросы

1) Каково основное назначение межсетевых экранов;

2) Могут ли быть приведены списки контроля доступа для входящего и исходящего трафиков на одном интерфейсе маршрутизатора?

3) Укажите уровни сетевой модели, на которых применяется фильтрация пакетов.

4) Каковы основные отличия статической и динамической трансляции адресов?

5) Какое значение функции трансляции адресов с точки зрения обеспечения информационной безопасности.

6) Почему порядок правил в списке контроля доступом имеет важное, значение?

7) Какой принцип предпочтительнее для фильтрации пакетов: «то, что не запрещено, разрешено» или «то, что не разрешено, запрещено». Почему?

8) Перечислите основные параметры, которые обычно включают в таблицу состояний.

9) В чем состоят особенности применения службы proxy?

10) Почему существует необходимость применения динамической фильтрации?

11) Сформулируйте понятие виртуального сеанса.

12) Назовите возможные атаки при применении динамического списка контроля доступа.

13) Укажите назначение промежутка времени существования динамического спска контроля доступа.

14) Какие уровни сетевого стека TCP/IP используются при инспекции состояний?

15) Назовите состав основных параметров, которые должны содержатся в таблице состояний.

16) Какое правило «по умолчанию» присутствует при расширенном списке доступа и соответствует в рефлексивном.?

17) Назовите основные отличия между рефлексивными списками контроля доступа и СВАС.

18) Какие технологии фильтрации межсетевых экранов могут быть применены на уровне ядра?

19) Почему основные правила фильтрации персональных межсетевых экранов задаются «по умолчанию».

20) Назовите основные принципы использования firewalling.

21) Может ли один и тот же протокол быть протоколом - пассажиром и несущем протоколом?

22) Каковы соответствия между классом межсетевого экрана и классом защищаемой им автоматизированной системы?

23) Укажите основные цели тестирования на проникновение.

Глава 4. Системы обнаружения атак и вторжений

Хорошие такие меры противодействия, которые не только защищают от известных угроз, но и эффективно действуют в непредвиденных случаях.

Б. Шнайдер. Секреты и ложь

Межсетевые экраны, являлись первой линией эшелонированной обороны, не могут обеспечивать полную адекватную защиту в силу свежующих причин:

1) Ошибки или недостатки проникновения - различные технологии МЭ не охватывают всех возможностей проникновения в защищаемую сеть;

2) Недостатки реализации - поскольку каждый МЭ представляет собой сложный программный комплекс, его реализация содержит ошибки. Кроме того, не существует общей методологии тестирования, которая позволила бы определить качество программной реализации и убедится, что в МЭ реализованы все свойства;

3) Недостатки применения (эксплуатации) - применение МЭ для реальной защиты сетей наталкивается на несколько серьезных обстоятельств, к числу которых можно отнести сложность реализации заданной сетевой политики безопасности механизмами МЭ, наличие ошибок конфигурации МЭ и наличия ошибок администрирования. Администрирование МЭ является достаточно сложной задачей и требует от администратора МЭ определенной квалификации и опыта. Кроме того, атаки могут производится и со стороны защищаемой сети, что осложняется тем, что они инициализируются пользователями, которые, во -первых, имеют доступ к элементам сети, а во - вторых, знают или представляют организацию системы защиты.

МЭ является «единственной точкой», через которую проходят все соединения с внешним миром. Поэтому любая программная ошибка, уязвимость ПО или ошибка конфигурирования МЭ могут привести к проникновению в защищаемую сеть.

Эти и подобные причины вызвали необходимость ведения подобных журналов аудита, в результате анализа которых специалисты делают заключение о совершившихся проникновениях. Результаты такого анализа используются для устранения причин нарушения или для формирования новых правил, позволяющих защитится от проникновений. Проведение подобного анализа осложняется множеством причин, среди которых основными являются:

1) Громадный объем данных журнала аудита;

2) Отсутствие значимых для обнаружения вторжений признаков в журналах;

3) Сложность анализа данных различных журналов;

4) Анализ по свершившимся фактам;

5) Необходимость высокой классификации проводящего анализ специалиста;

6) Сложность правил по обнаруженным признакам атаки.

Поэтому усилия исследователей направлены на разработку процессов обнаружения вторжений и автоматизацию процесса обнаружения.

Подобные системы получили название систем обнаружения вторжений(Intruction Detection Systems). При рассмотрении систем обнаружения вторжений используется предметная область, элементами которой часто являются общеупотребительные термины.

Поскольку различное толкование терминов приводит к путанице, оговорим отдельные термины, которые будет использоваться в дальнейшем.

Атака -действия, предпринимаемые злоумышленниками, против компьютера потенциальной жертвы. С точки зрения нейтрального наблюдателя атака может быть безуспешной(нейдачной) и успешной(удачной). Успешную атаку называют вторжением.

Вторжение - несанкционированный вход в информационную систему(в результате действий, нарушающих политику безопасности или обходящих систему защиты).

Система обнаружения вторжений - комплекс, (аппаратура и программное обеспечение), который по результатам анализа контролируемых и собираемых данных принимает решение о наличии атаки или вторжения.

Ложная тревога (false positive)- генерация сигнала об обнаружении атаки, которой не было.

Пропуск -(false negative) - пропуск атаки или вторжения)отсутствие сигнала тревоги или наличие вторжения).

Общепринятый термин -система обнаружения вторжений - во многих случаях применяется и для систем обнаружения атак(СОВ). В тех случаях, когда не возникает путаница, будем использовать назначение СОВ.

4.1 Модели систем обнаружения вторжений

История возникновения СОВ насчитывает уже около четверти века. Кратко отметим основные вехи становления технологии обнаружения атак и вторжений.

Первые модели и прототипы систем обнаружения вторжений использовали анализ данных аудита компьютерных систем. Схема проведения анализа данных аудита приведена выше.

Рассмотрим основные модели, которые лежат в основе большинства современных СОВ: модель Д. Деннинг и модель, предложенную CIDF.

4.1.1 Модель Д. Деннинг

Данная модель базируется на предложении, что нарушение безопасности могут быть обнаружены просмотром записей аудита.

Модель включает в себя шесть главных компонентов:

1) субъекты;

2) объекты;

3) записи аудита;

4) профили;

5) записи об анормальностях;

6) правила активности.

Субъекты. В качестве субъектов в модели рассматриваются инициаторы какой либо активности, обычно это пользователи системы. В качестве субъектов могут выступать процессы пользователей или групп пользователей, а также процессы самой системы.

Объекты. Объектами в модели являются ресурсы. Ресурсы включают в себя файлы, программы, сообщения, терминалы, принтеры и структуры, созданные пользователями или их программами.

Запись аудита. Они формируются в следующем формате:

< Subject, Action, Object, Exception-Condition,

Resource-Usage, Time-stamp>.

Параметры записи аудита: Subject - субъект, Action - действие, осуществляемое субъектом, по отношению к объекту(действиями могут быть: login, logout, read, execute, write и т.д.) ; Object - объект; Exception-Condition - оcособые условия, возвращаемые системой в ответ на действия; Resource-Usage - использование ресурса(промежуток времени, количество записей, количество напечатанных станиц и т.д.) ;

Time-stamp - метка даты и времени.

Модель декомпозирует всю деятельность на простейшие действия так, чтобы каждая запись аудита соответствовала одному объекту. Рассмотрим пример, когда пользователь Smith копирует файл tack.txt из своего каталога в каталог Lab, куда не имеет доступа по записи. В этом случае должны быть сформированы три записи аудита:

Smith, execute, <Lib> tack.txt, 0, CRU=0002, 0502112178

Smith, read, <Smith> tack.txt, 0, Records=0, 0502112179

Smith, write, <Lib> tack.txt,write-violation, records=0, 0502112180

Профили. Профили представляют собой структуры, которые характеризуют поведение субъектов по отношению к объектам в терминах метрик и моделей наблюдаемой деятельности. Наблюдаемое поведение характеризуется терминами статических моделей и метрик.

В модели предусмотрены три типа метрик:

1) счетчик событий - характеризует число записей аудита, удовлетворяющее заданному свойству и возникших за определенный промежуток времени;

2) временной интервал - длина интервала времени между двумя связанными событиями;

3) измерение ресурса - количество ресурса, потребленного некоторым действием за определенный период времени.

Метрики в модели считывает случайные переменные . в модели рассматривается последовательность из n измерений метрики х: х?, х?, … хn. в результате использования соответствующей статистической модели определяется, будет ли новое наблюдение метрики нормально по отношению к предыдущим.

Функциональная модель, базируется на предоставлении, что анномальность может быть определена сравнением наблюдаемого значения х с заданными ограничениями.

S=x1+x2+…+xn;

S2=x12+x22+…+xn2;

M=s/n;

B=sqrt(s2/n-m2).

Новое назначение считается аномальным, если оно выходит из интервала m+dk.Из неравенства Чебышева следует, что вероятность того, что значение попадает вне интервала, не превышает 1/k2 Например для k=4, p=0,0625

В модели применены к счетчикам событий, когда каждому типу события (записи аудита)ставится в соответствии переменная состояния и используется матрица переходов состояний. Новое наблюдение считается ненормальным, если его вероятность, определенная через предыдущие состояния и матрицу переходов, мала.

Профиль активности содержит информацию, которая идентифицирует статическую модель и метрику переменной. Структура профиля содержит семь компонентов, не зависимых от специфики измерения(номера от 1 до 7), и три зависимых компонента(номера от 8 до 10):

1) имя переменной;

2) образец действия - ему сопоставляется 0 или более действий в записях аудита;

3) образец исключения - ему сопоставляется значение поля Exception-Condition в записи аудита;

4) образец использования ресурса - ему сопоставляется значение поля Resource- Usage в записи аудита;

5) период - интервал времени между измерениями;

6) тип переменной - имя абстрактного типа данных, который определяет частный тип метрики и тип статической модели.

7) Порог - определяется для параметра и используется для статической модели.

Для функциональной модули может быть задан верхний или нижний порог, для среднего и дисперсии;

8) Образец субъекта - сопоставляется поле Subject в записи аудита;

9) Образец объекта, которому сопоставляется поле Object в записи аудита;

10) Значение - определяются значения текущего или последнего и параметры, используемые моделью.

Каждый профиль идентифицируется следующими значениями: имя переменной, образец субъекта и образец объекта.

Модель использует формы шаблонов, подобных используемых в языке SNOBOL:

`string` - строка знаков;

· - числовая строка;

# - числовая строка;

IN (list) - любая строка в списке;

P - name - строка, содержащая p, ассоциируется с name;

P1p2 - p1 или з2;

P1p2 - p1 и з2;

Not p - не p.

Пример профиля, показывает измерения количества выходов из терминала пользователя Smith на базе сеансов. Приведен ниже в табл.

Профили могут быть определены для индивидуальных пар субъект - объект и для агрегированных групп субъектов и объектов. Таким образом, в модели рассматриваются возможные решетки: субъект - объект, субъект - класс объектов, класс субъектов - объединяет, класс субъектов - объект, класс субъектов класс - объектов, субъект - объект; класс объектов. Схема представлена.

Модель предусматривает механизм генерации профилей для новых субъектов и объектов. Для этого могут быть использованы следующие методы:

Ручное создание профиля администратором системы.

1) Автоматическое создание профиля при появлении поля Create в записи аудита для нового субъекта или нового объекта;

2) Автоматическое создание профиля по шаблону при первом использовании нового объекта.

Шаблоны для профилей имеют ту же структуру, что и сами профили, и определяются шаблонами субъектами и объектов.

Для реализации в COВ IDES использовались следующие профили:

1) Профили активности:

LoginErequency;

LocationErequency;

LastLogin;

SessionElapsedTime;

SessionOutput;

SessionCPU, SessionIO, SessionPages;….

PasswordFails;

2) Профили команд и выполнения программ:

ExecutionErequency;

ProgramCRU, ProgramIO;….

ExecutionDenied;

ProgramResourseExhaustion;

3) Профили активности доступа к файлам:

4) ReadErequency, WriteErequency, CreateErequency, DeleteErequency;

5) Record Read, RecordWritten;

6) Read Fails, WriteFails, DeleteFails, CreateFails;

7) FileresourceExhaustion.

Записи об анормальностях. Система IDES изменяет профили активности и контролирует анормальностях проведения при генерации записи аудита или через данные интервала времени. Если обнаружено аномальное поведение, то генерируется запись об анормальности, состоящая из трех компонентах:

<Событие, Временная метка, Профиль>.

В этой записи указывается событие, привившее к анормальности, по отношению к которому обнаружена анномальность.

Правила активности. Они определяют действия, которые должны быть выполнены при генерации записи аудита или записи об аномальности. Правило записывается в виде: условие и тело. В системе IDES применяется четыре правила.

Правило записи аудита, которое устанавливает соответствие между новой записью аудита и профилем активности.

Пример.

Условие: new audit record

Audit record matches Profile

Profile variable-Type = t

Тело:

AuditProcess(audit-Record, Profile); End.

Правило периодического обновления параметров активности, которое включается в конце интервала, заданного периодом.

Пример.

Условие: Clock mod p = 0

Profile.Period = p

Profile.Variable-type = t

Тело: periodProcesst(Clock, profile); End.

Правило записи об анномальность, которое используется при генерации записи об анормальности.

Пример.

Условие: new Anomaly - Record

Anomaly-Record.Profile matches profile-pattern

Anomaly-Record.Event matches event-pattern

Тело: PrintAlert(1Suspect intrusion of type…..`,Anomaly-Record); End.

Правило периодического контроля на анномальность, которое срабатывает в конце заданного временного интервала.

Пример.

Условие: Clock mod p =0

Тело: Start = Clock -p;

A = SELECT FROM Anomaly-Records WHERE

Anomaly-Record. Time-stamp >Start;

Generate summary report of A. End.

Статья с описанием модели Д.Деннинг не только явилась первой теоретической статьей, посвященной СОВ, но и дала толчок развитии исследований в этой области. Подходы, изложенные в статье, и методы данной модели используется в различных СОВ и сейчас.

4.1.2 Модель CIDF

В данной модели предложений CIDF(Common Intruction Detection Framework, выделяют четыре основных компонента:

- генератор событий(e-box, event) - собирает данные для принятия решения анализатора. Данные могут содержать имя контролируемого параметра, его особенности и значения. Сенсор может использовать определенное преобразование данных;

- анализатор (a-box, analyzer)- принимает решение о наличии симптомов атаки на основании данных от сенсоров. Анализатор может выполнять функции преобразования, фильтрации, нормализации и корреляции данных. При обнаружении атаки к данным для генерации тревоги может добавляется семантическое обнаружение атаки. Может быть многоуровневая схема, в которой анализаторы одного уровня передают данные анализаторам более высокого уровня;

- хранилище данных(d-box,database) - необходимо для принятия решения и, может быть, данных сенсоров. Кроме того, в хранилище содержится параметры управления и семантические описания атак. Хранилище может иметь различные формы - от тестового файла до реляционной базы данных;

- модуль реакции системы на обнаруженную атаку(r-box,reaction) - при пассивной реакции система обнаружения вторжений оповещает администратора о начале атаки, используется выдачу сообщения на экран монитора, посылку e-mail, сигнал на пейджер или звонок на сотовый телефон. К активным реакциям относят, например, прекращение процесса, вызвавшего атаку, разрыв сетевого соединения или активную деградацию режима, вызвавшего тревогу.

4.2 Классификация систем обнаружения вторжений

Для построения таксомания необходимо выбрать критерии, согласно которым будет проводится классификации. Рассмотрим подход, в котором в качестве таких критериев выбраны типичные функции и особенности проектирования и реализации СОВ. (классификация обнаружения систем обнаружения вторжений представлена на рис.4.3.).

К числу этих функций относятся следующие:

1) подход к обнаружению;

2) защищаемая ситема;

3) структура СОВ;

4) источник данных;

5) время анализа;

6) характера реакции.

Подход к обнаружению. Выделяют два основных подхода - обнаружение сигнатур, обнаружение аномалий - гибридный подход.

Защищаемая система включает в себя хвостовые, сетевые и гибридные СОВ. При контроле на уровне хоста можно рассматривать СОВ следующих подуровней: операционная система, база данных, приложение.

Сетевые СОВ осуществляют сбор и анализ сетевых пакетов, на основании которых проводится обнаружение. Сенсоры таких систем могут быть разделены по элементам сети. Сетевые обнаружения системы обнаружения вторжений являются системам обнаружения атак.

Хвостовые СОВ осуществляют анализ активности отдельного компьютера. В этом случае система обнаружения вторжений предоставляется горазда больший набор параметров для анализа. Кроме того, данные системы обнаружения вторжений могут легко реагировать на обнаруженную атаку. Хостовые СОВ подуровневой осуществляет контроль событий, поэтому хостовые СОВ могут проводить и анализ пакетов, прибывающих на данный хост.

Хостовые СОВ, использующие и анализ сетевых пакетов, приходящих на данный хост, являются гибридными, использующими обе технологии одновременно.

Структура. По структуре СОВ подразделяются на централизованные и децентрализованные. Многие из сущетсвующих СОВ, как и хостовые так и сетевые, имеют монолитную архитектуру, в которой реализуютяс все операции системы: сбор данных, их анализ и принятие решения, включая генерацию сигнала тревоги. Сложность современных атак, зартагивающих различные аспекты безопасности сети организации, ее сетевые устройств и хостов, а также относительная дороговизна отдельных ситем обнаружения вторжений привели к необходимости создания распределенных систем обнаружения. В последние годы появилось значительное число исследований и разработок децентрализованных систем обнаружения вторжений на основе технологии мобильных агентов.

Источник данных. Основными источниками данных для СОВ являются сетевые пакеты и данные аудита. Под записями аудита понимается не только специально организованные записи собственно аудита, но и системные журналы, операционной системой. Такие системные журналы могут включать в себя конфигурационные файлы системы, данную основу для последующего принятия решения.

Сенсор интегрируется с компонентом, ответственным за сбор данных- генератором событий(e-box) . Поэтому способ сбора информации определяется политикой генерации событий, которая определяет режимы фильтрации просматриваемых событий.

Генератор событий (ОС, сеть приложение) генерирует множество событий, зависящих от политики, которые могут записываться в журналы и определятся сетевыми пакетами. Данные в зависимости от политики могут сохранятся как внутри защищаемой системы, так и вне ее. В отдельных случаях данные могут не сохранятся, но тогда потоки данных о событиях передаются прямо в анализатор. Это касается, в частности сетевых пакетов.

Существуют проблемы, связанные с обработкой следов аудита.

Сохранение отчетов аудита в единственном файле может быть небезопасно, так как нарушитель может использовать его в своих интересах. Лучше иметь определенное число копий, распределенных по сети, но это увеличивает нагрузку на сеть и систему.

...