Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей

Модуль представления данных может обрабатывать файлы аудита или получить данные из сетевых пакетов.

Процессор, преобразует текстовые данные в цифровые и, при необходимости, в двоичный или нормализованный вид. Анализатор использует полученные данные для обучения и тестирования(потом для анализа и обнаружения атак в реальном масштабе времени или отложенном). Выходной сигнал (норма или тип атаки) предаются модулю генерации сигнала тревоги.

Модуль оценивания формирует отчеты о работе системы и определяет показатели качества работы системы. Модуль генерации ответа осуществляет запись аудита, соответствующего обнаруженной атаке.

4.4.6 Языки описания атак

В настоящее время исследователям и разработчикам СОВ предложено и разработано множество языков, предназначенных описаниями вторжений и их обнаружения. Среди них особое место занимают языки STATL, SISL, P-BEST и CYCL.

STATL - один из наиболее хорошо определенных языков, предназначенных, для распознавания атак. Сила этого языка в использовании сходных с языками программирования конструкций для описания последовательных, условных и итеративных событий. Эти конструкции прямо адресуются к структурам многих автоматических атак. Хотя язык является расширенным, в нем не используются средства для предоставления переменных времен и длительностей, так как в нем не обнаружен абстрактными временами или временными интервалами. Он оперирует только с конкретными временами и интервалами, что вызывает проблемы при описании сценариев атак.

SISL - представляет значительный шаг вперед в сознании языка отчетов не предусматривает возможность использования для распознавания атак. Однако используемый совместно с STATL, фокусируется на предоставлении конкретных времен и интервалов. Расширения связаны с распознаванием скелетных конструкций для формирования отчетов.

P-BEST - архитектура СОВ Emerald идет дальше в направлении от простых сигнатур и аномалией, предоставляя возможность использования корреляции данных сенсоров и процессов. Данный язык содержит формализаторы и шаблоны для реализации вероятностных и лингвистических правил, что позволяет распознать различные события. Для каждого шаблона можно разработать множество правил, которые охватывают всевозможные проверки соответствий данных.

CYCL - предназначен для предоставления знаний. Он представляет собой значительные мощные конструкции для описания абстрактных и конкретных концепций между различными доменами, включая логически описания, немонотонные описания, модульные и внутренние конструкции. Стандартная онтология, предоставляемая в данном классе, содержит концепции временных точек и интервалов, процессов и.т.д. сам язык является достаточно абстрактным, так как не предназначен для распознавания событий.

4.5 Методы обхода систем обнаружения вторжений

Системы обнаружения вторжений имеют свои слабые стороны уязвимости, что может быть использовано нарушителем. Рассмотрим основные точки уязвимостей СОВ и методы, которые могут использовать нарушителя для обмана СОВ.

Каждый из компонентов СОВ, указанных в модели CIDF, имеет свое уникальное значение и может быть атакован по разным причинам.

Например, e-box, работающие с входными «сырыми» данными, действует как «глаза и уши» СОВ. Атаки против элементов генерации событий позволяют блокировать реальные события, происходящие в контролируемой системе. Тогда атака против блоков сетей СОВ может сделать недоступным получение пакетов из сети или сделать недоступными соответствующие декодирование этих пакетов.

Некоторые СОВ используют сложный анализ. В таких системах надежность используемого a-box очень важна, поскольку атакующий может обойти систему обнаружения. С другой стороны, простейшие системы могут пропустить атаки, в которых атакующий маскирует свою деятельность сложным скоординированным взаимодействием или взаимосвязями.

Необходимость надежной базы данных очевидна. Атакующий может разрушить компоненты d -box, может защитится от записи деталей атаки. Неправильно используемая БД может позволить атакующему замену или удаление зарегистрированных данных об атаке.

Подробнее исследование, посвященное методам обмана и обходов СОВ, было проведено Пласеком и Ньюшемом в 1998 г. основной областью сетевых СОВ является то, что они не принимают решение на основе анализа сетевого трафика, поэтому не могут предсказать, как поведет себя целевая система при получении этого трафика. Кроме того,

СОВ могут быть подтверждены атаками отказа в обслуживании (выведении их из строя или исчерпании их ресурсов). Рассмотрим основные подходы к обходу сетевых СОВ.

Обход (обман) СОВ существенно зависит от того, достаточно ли сильна сама СОВ, чтобы СОВ и целевая система рассматривали разные потоки данных одинаковым образом. Рассмотрим два основных варианта.

Если СОВ слабее целевой системы, на которую направлена атака, то при принятии решения СОВ может рассматривать пакет, который целевая система рассматривать не будет. Атакующий может использовать эту возможность вставкой дополнительных пакетов, которые замаскируют атаку для СОВ. Поскольку эти дополнительные (специально сформированные) пакеты будет отброшены целевой системой, атака не будет обнаружена. Например, если СОВ для атаки имеет сигнатуру вида GET/phf, то атакующий может вставить дополнительную информацию, которая замаскирует реальную сигнатуру атаки, например GET/cgi-bin /…., или гораздо более длинную строку вида: GET/….? В этой строке вставлены элементы leasedontectt, is, orme, после отбрасывания которых целевая система получит пакет, содержания phf.

Если СОВ сильнее целевой системы, то целевая система будет принимать пакеты, которые СОВ не будет рассматривать, что может быть достигнуто использованием метода вставки. Например, для атаки phf атакующий может вставлять элементы данной атаки в пакеты для СОВ с дополнительной информацией. Тогда СОВ отбросит эти пакеты, но они будут рассмотрены целевой системой. Такой подход может позволить замаскировать атаку для СОВ.

Другим общим методом обмана СОВ является метод фрагментирование. В этом случае используется различие способностей СОВ и целевой системы по проведению реассемблирования пакетов. Атакующий может сконструировать последовательность пакетов, которая будет скрывать сигнатуру проводимой атаки, используя знания о силе или слабости СОВ по сравнению с целевой системой.

При применении метода вставки нарушитель разрушает работу реассемблирования потока данных добавлением пакетов. Кроме того, вставленные пакеты могут перекрывать данные, содержащиеся в исходных фрагментах атаки. При использовании метода обхода нарушитель разгружает реассемблирование потока данных так, чтобы СОВ не рассматривала часть этого потока.

Особенно трудно защищаться от атак отказа в обслуживании, направленных против самой СОВ. Это также может быть достигнуто использованием метода вставки большого числа пакетов, чтобы вызвать пропуск отдельных пакетов СОВ, или применением многочисленной фрагментации.

4.5.1 Методы обхода сетевых систем обнаружения вторжений

Сетевые СОВ функционируют как пассивные устройства или несмешивающиеся мониторы сетевого трафика. Сетевые СОВ могут обнаружить аномалии и злоупотребления. Методы обнаружения аномалий для сетевых СОВ используются редко из - за необходимости большого периода времени для построения «нормально» поведения и большого числа ложных срабатываний. Обход сетевых СОВ обнаружения аномалий больше игра, чем учение. Поэтому далее рассмотрим СОВ обнаружения злоупотреблений.

Основные методы обхода таких СОВ:

1) сбивание столку;

2) фрагментация;

3) шифрование;

4) перезагрузка.

Сбивание с толку - это процесс манипулирования данными таким образом, чтобы сигнатура СОВ не соответствовала проходящему пакету, который бы интерпретировался приемной стороной. В качестве примера рассмотрим строку ../../c:\winnt\system32\netstat.exe, которую не всякая СОВ интерпретирует в таком виде из строки

%2е%2е%2f%2e%2e%2fc:\wint\system32\netstat.exe

однако Web - сервер, которому будет направлена данная команда, интерпретирует обе строки одинаково.

Фрагментация - это разбивка пакета на фрагменты, которые можно послать в различном порядке(и с различными временными интервала между ними), что может обмануть СОВ, которая не производит реассемблирования.

Если СОВ проводит реассемблирование, то нарушитель может превысить физический объем памяти СОВ, отведенный для реассемблирования, путем посылки большого числа фрагментов, содержащих «мусор», или превысить временной промежуток, в течении которого пакет должен реассемблироваться. Например, если система обнаружения имеет сигнатуру, содержащую символы D<A<T<A, которые должны поступать в последовательности, указанной стрелками, а нарушитель посылает их следующим образом: A< A< T< D, то СОВ может удалить первые три символа из буфера, не дождавшись прихода четвертого. Все эти символа будут реассемблированы на приемной стороне.

Шифрование - сетевая СОВ должна иметь возможность использовать полезную нагрузку пакета, чему может противодействовать нарушитель, шифруя трафик. Для этого используется шифрование SSL,SSH и IPSes туннели. Это позволяет нарушителю использовать средства безопасности целевого хоста против него же. Это может быть опасно, в случае когда система имеет одну и ту же корневую директорию для не зашифрованных и для зашифрованных Web - сайта с HTTPS, такую как SQL -вставка, переполнение буфера или обход директории. Поскольку HTTPS использует SSL, трафик шифруется, что позволяет ему проходит СОВ. Данная проблема усугубляется применением SSL VPN. Это, в свою очередь, создает следующие проблемы для СОВ. Во - первых, нарушитель может атаковать сеть, а СОВ не обнаружит зашифрованную атаку. Во - вторых, если СОВ может работать с зашифрованным трафиком, то нарушитель может установить большое число сеансов работы с множеством хостов, что потенциально может помешать сетевой СОВ расшифровать в реальном времени трафик, принадлежащей атаке.

Перезагрузка - этот метод переполнения сетевой СОВ может быть достигнут различными путями. Наряду с применением своей атаки производится «заполнение» другими атаками с фиктивными адресами источников, что приведет к генерации громадного количества сигналов тревоги и помешает определить истинного нарушителя. Возможно «затопление» сетевой СОВ трафиком таким образом, чтобы СОВ оказалась не в состоянии анализировать каждый пакет.

4.5.2 Методы обхода хвостовых систем обнаружения вторжений

Программное обеспечение хостовой СОВ может функционировать на различных уровнях. Некоторые системы контролируют целостность важных файлов, другие контролируют сетевые соединения, входные строки и системную память на наличие сигнатур.

Системы контроля файлов, такие как Tripwire, могут в свою очередь, создавать проблемы. Контроль каждого файла может привести к появлению значительно числа ложных тревог, кроме того, не все атаки модифицируют файлы. Для, хостовых СОВ обычно используются комбинации обнаружения аномалий и обнаружения сигнатур. Одним из основных для хостовых СОВ является вопрос: если хост будет скомпрометирован, то как удержать нарушителя от манипулирования с элементами СОВ для предотвращения обнаружения атаки? Основными методами для этого являются:

1) контроль расположения и целостности файлов;

2) сбивание с толку;

3) вставка нулевого знака в запрос после указания метода;

4) перехват расположения.

Контроль расположения и целостности файлов - большинство известных методов обхода хостовых СОВ работают против систем обнаружения сигнатур. Большое число СОВ, использующих контроль файлов, используют алгоритм MD5 или его варианты.

Теоретически два разных файла могут иметь одно и то же хэш-значение, но подбор соответствующего файла требует громадных вариантов затрат времени и ресурсов. Кроме того, база данных хэш-значений обычно защищена паролем или зашифрована отдельным ключом. В этом случае атакующий может использовать слабости в методе контроля файлов. Для большинства систем контроля указываются директории, файлы в которых не проверяются. Поэтому такие директории могут использоваться для обхода систем обнаружения. когда нарушитель скомпрометирует систему, контроля файлов или перечислить значения хэш-функции для измененных файлов и других директориях.

Атакующий может заменить программы, которые загружаются при старте системы, так как большинство хостовых СОВ контролирует файлы и скрипты загрузки.

Основной проблемой при контроле файлов является то, что система генерирует тревогу, когда вторжение уже произошло.

Сбивание с толку - это достаточно широко используемый метод, поскольку он работает и против сетевых, и протеев хостовых СОВ.

Приведенные примеры показывают одно и то же физическое расположение файла. Код / указывает на текущую директорию, поэтому можно добавлять любое их число. Код ||| обычно интерпретируется приложением как один слеш, поскольку имя директории не может быть NUUL. Аннулирование обхода более сложно, так как позволяет перемещается по дереву директории и при использовании …/ команды перехода в предыдущую директорию позволяет вернутся в начальное положение. Эти методы могут сделать путь вторжения достаточно длинным, что не позволит СОВ обнаружить атаку.

Случай, когда можно декларировать переменные или осуществлять сравнение, более серьезен. Обычно это возможно для внутренних пользователей, которые уже имеют доступ к системе. В этом случае атакующий может модифицировать сигнатуру, но, когда псевдоним выполняется, они удаляются и файл паролей высвечивается. Чтобы обнаружить подобные атаки, СОВ должна интерпретировать команды аналогично командному интерпретатору. Команды интерпретатора приведены выше.

Тот же подход может быть использован, если система допускает сравнение. Все, что нужно атакующему, это добавить сравнение, которое всегда истинно, что модифицирует сигнатуру и может позволить обмануть СОВ. Этот метод часто используется в атаках SQL-вставок. Теоретически все приведены методы срабатывают для приложений, базируются на текстах, таких как SNMP,SMTP,SQL запросы или telnet.

Рассмотрим методы, которые работают только с запросами HTTP, так кК предназначены для манипулирования с запрашиваемыми страницами. Рассмотрим нормальный HTTP - запрос:

GET/pages/index.cc HTTP/1.0

Header:…

В этом запросе четыре компонента, разделенных проблемами. Компонент GET - это метод, который «говорит» серверу, что мы передаем или получаем информацию. Компонент /pages/index. Htm есть URL, который говорит Web - серверу, чего мы хотим. Компонент HTTP/1.0- номер версии HTTP, которую мы используем. Все после этого компонента является дополнительной информацией.

При вставке нулевого знака в запрос после указания метода хостовая СОВ будет видеть пустой GET- запрос, но некоторые серверы воспринимают эту строку иначе. Другой метод состоит в замене пробела в каждой части запроса табуляцией. Большинство Web - серверов сжимают проблемы и возвращают значение, но сигнатурные хостовые СОВ могут не распознать разделителя и не сгенерировать тревогу. Скрытие параметров в запросе основывается но том обстоятельстве, что хостовая СОВ может не проводить контроль параметров для повышения производительности. Так как параметры будут различными для разных систем, сигнатурой метод может давать много ложных срабатываний. В приведенном примере главное находится после знака вопроса и может не вызвать генерацию тревоги.

Перехват приложения достаточно сложен, поэтому немногие хостовые СОВ могут его обнаружить. Сетевые СОВ обычно не рассматривают прикладной уровень, чтобы увидеть, что сеанс продолжен другими источниками.

Перехват приложений обычно формируется следующим образом. Пользователь начинает законный процесс. Атакующий, определив это, делает невозможным продолжение работы машины законного пользователя и присваивает его атрибуты аутерификации. При использовании протокола без состояний атакующему не нужно ограничивать законного пользователя, ему необходимо только иметь перехваченную метку сеанса. Это может быть достигнуто применением программ перехода на другой сайт или атакой машины, содержащий метки сеанса.

Другим вариантом является метод «человек посередине». В этом случае атакующий претендует представить законным пользователем для сервера и сервером для законного пользователя. После чего атакующий может модифицировать сеанс, чтобы не быть обнаруженным. Хостовые СОВ сконструированы для защиты ОС хоста, а не приложений или сетевых интерфейсов, поэтому могут обрабатывать приложения некорректно. Сетевые СОВ могут обнаружить подобные атаки, но большинство из них не исследует все данные сеанса, например, чтобы контролировать правильность последовательных вариантов.

4.6 Вспомогательные средства обнаружения

К числу вспомогательных средств обнаружения, которые не падают в приведенную классификацию, но имеет важное значение для обнаружения, относятся средства контроля целостности, обманутые системы и хосты - приманки.

Средства контроля целостности вычисляют образцы защищаемых файлов и сохраняют их в определенном месте. В качестве образов обычно используют значение хэш-функций. Периодически средство контроля целостности проводит вычисление образцов и сравнение их с хранящимися. При несовпадении значений образов генерируется сигнал тревоги.

Обманутые системы располагаются в специальном месте защищаемой сети. Когда СОВ обнаруживает атаку, трафик атакующего приключается на обманную систему, в которой он может делать все, что заблагорассудится. Обманная система функционирует в моделируемом окружении, поэтому атакующий не может нанести вреда защищаемой сети. Обычно моделируемое окружение обманной сети заполняется интересными данными, чтобы атакующий убедился, что его атака идет по плану. Сама обманная система предоставляет различные варианты обманных систем, среди которых можно выделить серверы пользовательского уровня. В этом случае на хосте, служащем приманкой, разворачиваются серверы пользовательского уровня .

Серверы помещаются в прикладное пространство хостовой ОС, поэтому каждому из них может быть предназначен свой IP - адрес. Данная система моделирует целую локальную сеть, где каждый сервер пользовательского уровня представляется отдельным хостом этой сети.

Под honeypot в совместном компьютерном мире понимается система, специально разработанная для того, чтобы на нее напали. Главной ее задачей является регистрация и контроль всех действий нарушителя.

Впервые эта идея рассмотрена в статьях Стола (Cliff Stoll), Беловина (Steve Bellovin) и Чездвика(Bill Chezwick).

Описывается анализ действий взломщиков компьютерных систем на основе подробных записях об их действиях. Термин «honeypot»появился позднее, но под ним подразумевали то же самое: установка систем, которые покажутся привлекательными для сетевых взломщиков и смогут проводить мониторинг всех действий, происходящих во взломанной системе. Анализ результатов такого мониторинга позволит узнать методы, средства и уязвимости, используемые взломщиками.

Традиционное honeypotпредставляет собой отдельную систему, соединенную с внешней сетью. В настоящее время существует несколько продуктов и средств, позволяющих создать собственные honeypot, например:

1) Deception Toolkit;

2) Cybercop String;

3) Resource Mantrap.

Анализ данных подходов и продуктов, а также необходимость обеспечения защиты пользователей других систем от атак со стороны взломанных honeypot привели Л. Шпинцера к разработке и созданию проекта honeypot. В состав участников проекта входят известные профессионалы в области компьютерной безопасности, среди них Девид Дитрих.

Honeypot, представляет собой сеть, созданную специально для взлома. Она записывает и контролирует все входные и выходные данные. В пределах проекта honeypot размещаются различные ОС, различные сетевые устройства. Все системы, находятся в проекте honeypot, являются реальными стандартами системы и приложениями. Схема сети, используемая в экспериментах проекта Honeypot, приведена ниже на рисунке.

Основная цель создания Honeypot заключается в сборе максимально возможного количества информации о действиях злоумышленника. Анализ полученных данных не только позволяет установить неизвестные слабые места различных реальных систем, но и выбирать рекомендации по защите аналогичных систем. Одно из преимуществ Honeypot - это сеть не только знакомит нас с сообществом хакеров, но и позволяет определить наши собственные возможности в области обеспечения безопасности.

Honeypot - это механизм изучения инструментов, тактики и мотивов сообщества взломщиков. Эта система уникальна тем, что ничего ни имитируется. Создается полностью контролируемая сеть из машин с ОС и приложениями, которые идентичны тем, которые используются реальными пользователями и организациями.

После того как системы взломаны, они помогают не только понять действия взломщиков, но и определить риски и слабости, существующие в реальных системах.

При эксплуатации системы Honeypot необходимо учитывать следующие важные обстоятельства:

1) В системе должна осуществляется запись данных - фиксация всех действий, происходящих в перделах Honeypot , в том числе на уровне записи данных: системные журналы устройств, сетевые журналы и записи аудита систем, входящих в состав Honeypot.

2) Поскольку система взламывается, необходимо обеспечить такую защиту проводимых записей, которую нарушитель не сможет изменить или уничтожить;

3) Скрытность поведения операций контроля и записи - нарушитель не должен иметь возможности обнаружить, что его действия контролируются и фиксируются. Реальные записи аудита систем должны вестись в обычном режиме;

4) Системы Honeypot нуждаются в постоянном администрировании и контроле в целях максимального уменьшения риска нанесения ущерба другим пользователям.

Еще одной целью проекта Honeypot является рост количества подобных сетей и развертывание их во всем мире. В этом случае появляется возможность сопоставления данных, собранных в различных сетях, возможность определения общих тенденций и предсказания будущих нападений.

4.7 Тестирование систем обнаружения вторжений

Вопросы тестирования СОВ еще недостаточно разработаны, не существует общепринятых методов и методик. Это вызвано тем, что для проведения тестирования СОВ помимо тестирования характеристик, которые связаны с принципами обнаружения, необходимо рассматривать и другие системные характеристики, например:

1) Время обнаружения;

2) Градация преступления данных;

3) Источники данных;

4) Реакция на обнаружение вторжения;

5) Архитектура сеансов системы;

6) Архитектура систем сбора данных;

7) Собственная безопасность;

8) Степень совместимости с другим СОВ или другими системами обеспечения безопасности.

Кроме того, методы тестирования должны определятся значением тестируемой системы. Поэтому можно определятся на назначением тестируемой системы. Поэтому можно говорить о двух различных видах тестирования: тестирование коммерческих систем и тестирование исследовательских прототипов.

4.7.1 Тестирование коммерческих систем

Различные организации проводящие тестирование коммерческих систем, используют свои собственные подходы. В качестве примера рассмотрим подход компании Denmac System, Inc.

Тестирование включает в себя рассмотрение количественных и качественных характеристик продукта.

К количественным характеристикам относят:

1)функциональное тестирование - получение характеристик продукта, атакующий находится в другой сети;

2)тестирование производительности- определение характеристик производительности блока обработки пакетов СОВ.

Функциональное тестирование - включает в себя тесты:

1)способность обнаружения множества атак - множество атак разбито на классы в соответствии с требуемым анализом различных частей стека TCP/IP. При тестировании рассматриваются атаки, которые связаны со свойством анализа заголовков, анализ свойств реассемблирования множества фрагментарных пакетов и обнаружению атак, которые используются множеством пакетов примерами таких атак являются, атаки, связанные с анализом данных.

2)защита СОВ от IP - десинхронизации - в этом случае атака маскируется путем применения нестандартных последовательностей и значений переменных.

3) подавление тревог повторяющихся атак - оценивается способность сенсора генерировать тревоги множества одинаковых атак за определенный промежуток времени.

4) изменяемость фильтров - оценивается возможность приспособления текущих фильтров к нуждам пользователя и процедуры создания новых фильтров. При этом оценивается возможность создания фильтров поиска заданной строки, возможность создания сложного фильтра, использующих возможности скрипов.

5) генерация тревог - оценивается способность сенсоров генерировать и управлять сигналами тревоги, способность сигнализировать о возникновении тревоги;

6) регистрация - оцениваются свойства регистрации системы: способность сохранять результаты в различных форматах, способность конфигурировать записи регистрации для включения в них различных переменных.

7) генерация отчетов - оценивается способность генерации отчетов для различных тревог.

8) распределенность архитектуры - оценивается способность формирования распределенной архитектуры, необходимых для больших корпоративных сетей.

Тестирование производительности проводилась в сети с пропускной способностью 100 Мбит\с при следующих характеристиках:

- тесты формировались со скоростью 6100 пакетов\с

- тесты формировались со скоростью 25000 пакетов\с

Все тесты использовались 64 байтовые -пакеты.

Атаки формировались специальными средствами и посылались различной скоростью формирования пакетов, со скоростью 100 пакетов\с

Для оценки производительности используется следующие тесты.

1) Скорость обработки - оценивается способность анализа пакетов без пропусков пакетов. Оценка производится при отсутствии атак.

2) Реассемблирование пакетов -оценивается производительность.

3) Эффективность фильтрации - оценивается эффективность фильтров об обнаружении атак и генерации сигналов тревоги.

Качественные характеристики включают в себя следующие шесть критериев.

1) Удобство интерфейса - оценивается удобство, полнота и возможность расширения интерфейса пользователя. Учитывается возможность поддержки различных ОС, легкость использования и стабильность работы.

2) Реализация в виде устройства или программы - оценивается степень интеграции в ОС с точки зрения простоты обслуживания и эксплуатации. Более высокое оценивается продукты со встроенной ОС, чем те, которые опираются на существующие ОС.

3) Зрелость продукта - оцениваются следующие параметры: стабильность, реализация, полнота и точность выполнения объявленных функций, время существования на рынке.

4) Концепция продукта - оценивается достоинства и уникальные свойства продукта.

5) Опыт компании - оценивается обнаружение компании и ее вклад в развитии технологий обеспечения безопасности, особенно в области обнаружения

6) вторжений. Оценивается участие компании в исследованиях и разработке новых безопасных технологий.

7) Цена продукта - определяются и ранжируются стоимость продукта и его эксплуатации.

8) Для сравнения различных СОВ в результате рассмотрения каждый критерий получает оценку из диапазона от 0 до 4.

9) Для того чтобы сравнить критерии, относящиеся к различным классам оценивания, вводятся веса соответствия оцениваемого показателя. Веса назначаются в интервале от 1 до 5.

В результате подсчитывается объединения оценка продукта по следующей формуле:

Где xi- оценка критерия; wi-вес важности критерия.

Оценка по данной методике в 2000 г. подвергались продукты, перечисленные ниже в таблице.

Значения весов для приведенных критериев и оценки для этих продуктов приведены в таблице ниже.

Отсутствие значений в таблице показывает невозможность оценки данного критерия или невозможность применения данного текста.

4.7.2 Тестирования исследовательских прототипов

В 1998 г. по заданию DARPA лаборатория Линкольна Массачусетского технологического института провела оценку различных СОВ. Во время этой оценки исследователи использовали данные сенсоров в виде записанного сетевого трафика, записи аудита Solaris BSM, а также данные состояния файловых систем, чтобы идентифицировать вторжение, которые были проведены для тестовой сети во время сбора данных. Тестовый трафик состоял из смеси реального и моделирующего фонового трафиков, а атаки были направлены на реальные машины тестовой сети. Тренировочные данные содержали множество атак, которые были идентифицированы в сопутствующих документах.

Анализ полученных оценок 1998 г. показал множество серьезных недостатков в оцениваемых СОВ. Поэтому оценивание было проворено в 1999 г. после этого было принято решение о сохранении тренировочных данных и свободном доступе к ним со стороны исследователей. В настоящее время эти тренировочные данные доступны для всех желающих. Это дает возможность исследователям практически оценить важнейшие характеристики, связанные с обнаружением, а именно: вероятности ошибок ложного срабатывания и ошибок пропуска.

Общее число типов атак, включенных в тестовые данные 1998 г. составило 32. эти атаки, с точки зрения атакующего, можно подразделить на четыре категории:

- атаки отказа в обслуживании;

- атаки перехода от удаленного использования к локальному;

- атаки получения пользователями прав супер производителя.

- атаки сканирования или проб.

В тренировочных записях, которые были дополнены и спроектированы в 1999г., содержится реальные записи аудита и записи сетевого трафика в формате tcpdump, которые представляют собой записи шести недель тренировочных данных.

Положительный опыт представления исходных данных для исследователей и разработчиков систем обнаружения вторжений был продолжен. В настоящее время существует несколько подобных общедоступных баз данных тестовых файлов.

4.8 Система предупреждения вторжений

Принятая в настоящее время концепция эшелонированной обороны корпоративных сетей в качестве второго уровня предусматривает обнаружение наличия атак, в трафике, разрешенном межсетевом экраном, и защиту от них. Эти функции возлагаются на системы обнаружения вторжений, которые в силу ряда причин не могут обеспечить достаточно высокий уровень защиты.

Современные СОВ характеризуются достаточно большим числом ложных срабатываний, что требует значительных затрат времени и ресурсов для анализа причин возникновения тревог, их достаточно трудно инсталлировать, обновлять и эксплуатировать. Управление СОВ требует высокой классификации администраторов системы.

Возрастает число атак, направленных на обход или обман СОВ. Наиболее часто для этого используется подмена путей, кодирование знаков и искусственная фрагментация. Кроме того, появился полиморфные атаки, которые могут обмануть большинство СОВ.

За последние годы число и масштабы корпораций значительно выросли. Если несколько лет назад система с 50 сенсорами считалась большой, то в настоящее время многие корпорации требуют установки сотен и даже тысяч сенсоров. Поэтому современные СОВ должны учитывать постоянную расширяемость сетей корпорации. Считается, что использование полосы пропускания растет экспоненциально, большие корпорации уже сейчас используют гигантские сети. Поэтому СОВ должны обеспечивать функционирование при пиковых гамбитных сетей без потери какой либо части трафика.

То, что СОВ является пассивным устройством, является их охилесовой пятой. Пассивные средства всегда являются уязвимыми к различными атаками (обмана). Поэтому необходим переход к активным функциям. В настоящее время обнаружение атак ценится ниже их предупреждения. Пассивные средства всегда являются уязвимыми к различным атакам обхода.

Посылка пакета TCP Reset. При обнаружении атаки устройство посылает пакет TCP Reset в оба направления, что разрывает соединение и препятствует развитию атаки. Данный подход, несмотря на свою кажущуюся простоту, обладает следующими недостатками:

1) Этот период применим только к проколу TCP или прикладным протоколам, базирующимся на TCP. Одним из вариантов преодоления данного недостатка является посылка сообщения ICMP Host unreachable является посылка сообщения ICMP Host unreachable, что в свою очередь, вызывает проблемы;

2) При посылке TCP Reset необходимо указать соответствующие последовательный номер пакета. Если это легко сделать для пакета, направленного на защищаемый хост, то для посылки пакета атакующего хосту необходимо найти соответствующий последовательный номер.

3) Существует временная задержка, которая складывается из времени обработки пришедшего пакета, принятие решения о наличии обработки пришедшего пакета, принятие решения о наличии атаки, формирование пакета TCP Reset и времени передачи пакета к месту назначения. За это время атака может быть реализована.

Выдача сигналов фильтрующему устройству. В этом случае устройство обнаружения атаки сигнализирует маршрутизатору или МЭ о наличии атаки, чтобы была заблокирована соответствующая часть трафика путем введения дополнительных правил фильтрации. Реализации данного подхода также связана с определенными трудностями:

1) Межсетевой экран должен иметь возможность принимать соответствующие сигналы и оперативную память свои фильтрующие правила в зависимости от получения сигнала.

2) Межсетевой экран должен «знать», какую часть трафика необходимо заблокировать. Это реализуется путем блокировки соответствующего IP - адреса, что может привести к отказу в обслуживании;

3) Временной промежуток от получения пакта атаки до блокирования соответствующего трафика, которого может быть достаточно для успеха атаки.

Активные системы предупреждения вторжений. Эти системы могут удалять пакет, если считают его источником атаки.

Кроме того, они должны обеспечить минимальное число ложных тревог, так как будут блокировать трафик, признанный зловредным. Поэтому такие системы должны базироваться на технологиях, обеспечивающих высокую точность обнаружения атак.

Одним из важнейших показателей таких систем является производительность. Системы предупреждения вторжений должны обеспечить функционирование с такой скоростью, чтобы не снизить имеющуюся пропускную способность канала. Это приводит к тому, что современные СОВ строятся с использованием специализированных для приложений интегральных систем и программной логики.

Термин «предупреждение вторжений» можно рассматривать как широкое понятие, охватывающее много свойств, которые уже существуют в устройствах защиты. Таких как антивирусная защита, межсетевые экраны и и системы обнаружения вторжений, как правило, используют технологию обнаружения сигнатур. В качестве примера рассмотрим подходы, использования в системе Attack Mitigator IPS компании Top Layer Туемщклыб Inc.

Данная система используется ASIC устройства для обеспечения высокой скорости обработки. Собственно система представляет собой многоуровневую архитектуру, на каждом уровне которой принимается решение об отнесении анализируемой части трафика к одному из трех состояний: «хорошее» - трафик передается на последний уровень;

«зловредное» - трафик удаляется и «подозрительное» - трафик передается для обработки на следующий уровень. Архитектура включает в себя следующие пять уровней:

1) Анализ трафика на уровне каждого сеанса - для каждого сеанса создается записи в таблицах сеансов. Контроль сеансов позволяет обнаружить атаки, реализуют одним пакетом, и атаки, использующие фрагментацию;

2) Осуществление блокировки атак отказа в обслуживании и распределенных атак отказа в обслуживании. Для этого используется оператвная память для 200000 IP -адресов текущих соединений;

3) Защита от червей и Web- приложений, функционирующем на 80 -м порту. Для защиты от червей используются специальные алгоритмы анализа состояний, идентифицирующие варианты существующих эксплойтов. Для защиты протокола HTTP используется механизм нормализации протокола, который в частности, декодирует URI;

4) Обнаружение аномалий протоколов и аномалий трафика на основе заранее установленных порогов. Пороги устанавливаются администратором системы или автоматически в процессе нормальной работы системы. Кроме того, а данном уровне можно определить число возможных полуоткрытых сеансов, таких, например, как TCP -соединений;

5) Обработка всего подозрительного трафика, не пропущенного предыдущими уровнями. На этом уровне определяется стратегия реакции системы в зависимости от установленной политики безопасности организации.

Данный подход в той или иной степени поддерживается и другими производителями систем предупреждения вторжений. Дополнительным свойством таких систем может быть использование корреляции между событиями, обнаруженными в различных уровнях.

Контрольные вопросы

1) Перечислите основные причины невозможности обеспечения адекватной защиты только средствами межсетевыхэкранов.

2) Перечислите основные проблемы формирования сигнатур атак.

3) Дайте определение понятий «атака» и «вторжение».

4) Что характеризуют профили в модели Д.Деннинг?

5) Каково основное отличие между профилями шаблонами профилей в модели Д. Деннинг?

6) Что понимается под анномальностью в модели Д. Деннинга?

7) Объясните наличие в модели CIDF двусторонних связей.

8) Что включает в себя понятие «сигнатуры» СОВ? Какие виды сигнатур могут использоватся?

9) Перечислите задачи, выполняемые системами обнаружения аномалий протоколов.

10) Какие подходы могут использоваться для определения «нормальности» поведения?

11) Дайте определение понятия data mining.

12) Укажите основные достоинства применения технологии агентов для обнаружения вторжений.

13) Почему при реализации генетических алгоритмов применяются малые знания вероятности мутации?

14) Какие подходы используются для нахождения генетическими алгоритмами локальных максимумов?

15) Предположим, что СОВ реализует модель CIDF с использованием аппарата нейтронных сетей. Какие связи в модели CIDF нуждаются в изменении?

16) Чем определяется выбор размерности для входного слоя нейтронной сети?

17) Перечислите основные методы обхода систем обнаружения вторжений.

18) В чем состоит основная цель Honeypot и Honeynet?

19) Что такое десинхронизация СОВ?

20) Укажите причины появления ошибок ложного срабатывания и ошибок пропуска для различных технологий обнаружения: обнаружения сигнатур и обнаружения аномалий.

21) Укажите принципиальное отличие систем предупреждения вторжений от систем обнаружения вторжений.

Глава 5. Виртуальные части сети

С годами я стал более циничен и говорю бедующим клиентам, что в отношении безопасности математический аппарат безупречен, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.

Б. Шнайдер. Секреты и ложь

Виртуальные частные сети, или защищенные сети (Virtual Private Network, VPN) - это подключение, установленное со следующей инфраструктуре и использующие шифрование и аутерификацию для обеспечения безопасности содержания передаваемых пакетов.

Виртуальная часть сети создает виртуальный сегмент между любимыми точками доступа сети. Она может проходить через общественную инфраструктуру локальной вычислительной сети, подключение к глобальной сети, подключение к глобальной сети.

Рассмотрим VRN, организующие опасные каналы передачи данных, использующие общественную инфраструктуру или Интернет. Все VRN по конфигурации можно подразделить на три основных типа:

1) Узел-узел (host - to-host);

2) Узел-шлюз(host - to - gateway);

3) Шлюз-шлюз(gateway - to - gateway);

Для организации канала связи, происходящего через Интернет, использовать VRN любого типа.

Основной концепцией VRN является защита шифрованием канала связи на различных уровнях модели TCP/IP, по уровням модели приведена ниже.

Основной концепцией VPN являются защита шифрованием канала связи на различных уровнях модели TCP/ IP, а именно:

1) прикладном (5-й-уровень);

2) транспортном (4 -й-уровень);

3) сетевом (3-й уровень);

4) канальном (2-й уровень)

На прикладном уровне шифрование можно применять при помощи программ, подобных пакету Pretty Good Privacy, или через каналы типа Securu Shell. Такие программы работают на участке сети от узла до узла, что означает, что они предлагают защиту только для содержимого пакета, а не всего пакета в целом.

Исключение составляет SSH, который может использовать режим port-forvarding для создания туннеля.

На транспортном уровне для защиты содержимого пакетов конкретного сеанса между двумя сторонами можно использовать протоколы, аналогичные протоколу защищенных советов. Обычно такой метод используется при соединениях, установленных посредством Web - браузера. При этом так же защищается только содержание часть передаваемых пакетов, а IP - датаграммы, которые несут эту информацию, доступны для просмотра.

Не сетевом уровне протоколы, подобные IPSec, не только зашифровывают информацию заголовков протокола TCP/IP.

На канальном уровне протоколом туннелирвоания является расширением протокола соединения типа «точка-точка», который допускает шифрование пакетов, посланных по PPP - протоколу на канальном уровне передачи данных.

Несмотря на то что эти технологии шифрования применяются на разных уровнях, они все могут быть частью VPN. Необходимо отметить, что некоторые их этих технологий не могут отбрасывать все режимы работы VPN без дополнительной помощи со стороны других приложений или протоколов.

5.1 Туннелирование

Туннелирование - это процесс инкапсуляции одного типа пакетов внутри другого в целях получения некоторого преимущества при транспортировке. Сама идеология построения стека TCP/IP показывает пример туннелирования. Например, туннелирование можно использовать, чтобы послать трафик через маршрутизируемого сетевую среду или чтобы послать трафик через маршрутизируемую сетевую среду или чтобы применить шифрование для обеспечения безопасности IP - пакетов. В качестве примера рассмотрим VRN типа шлюз-шлюз (рис 5.2).

В данном примере МЭ преобразует все пакеты, предназначенные для удаленной сети, в зашифрованной вид и добавляет к новым IP - заголовками со своими собственными IP-адресом в качестве отправителя удаленного МЭ в качестве отправителя и адресом удаленного МЭ назначения.

В этом случае шифрование скрывает фактическую информацию, содержащую в оригинальном IP - пакете. Когда удаленный МЭ получает пакет, от расшифровывает его и передает узлу сети, создаваемый между двумя шлюзовыми оконченными точками, называется туннелем.

Ниже приведена запись в формате tcp dump пакета, не проходящего через зашифрованный туннель:

00:05:18.671517 192.168.44.129>172.16.1.128: AH &spi=580532459, seq=0*3): 1232>80: P 1:260 (259) ack 1 &win 17520 (DF)

Фактически эта запись представляет собой пакет IPSet - протокола, использующий протокол аутентификации заголовка (Authentification Header, AH). Этот пакет посылается в режиме, не требующем моделирования.

В данном примере IP - адреса соответствует адресам конкретных узлов, кроме того, доступна информация транспортного уровня; значение флагов показывают, что это фактические окончания установленного соединения с квитированием. Ниже приведен выход tcp dump, соответствующий инкапсулированному пакету(та же транзакция, но транслированная туннелем VPN типа шлюз - шлюз.

00:01:30.057912 192.168.44.1>172.16.1.1.:ESP(spi=1302500357 seq =0*3) (DF)

В данном случае видны только IP - адреса шлюзов то, что применен протокол безопасной инкапсуляции содержимого пакета (Encapsulating Security Payload, ESP).

Главная выгода от использования VPN для удаленного доступа - совокупность стоимостной эффективности возможного использования общедоступной сетевой среды для транспортирования частной информации и высокого уровня безопасности. Защищенная виртуальная сеть может предоставить множество уровней безопасности, включая усовершенствование конфиденциальности, целостности и аутентификации. Поскольку VPN использует существенную сетевую инфраструктуру, ее можно реализовать достаточно быстро, так как нет необходимости прокладывать новые линии связи.

Комбинация безопасности, быстрой установки и рентабельного с точки зрения стоимости может сделать VPN превосходным коммерческим коммуникационным решением.

Несмотря ни все свои положительные стороны, VPN не избавлены от недостатков. Среди которых необходимо отметить следующее:

1) Накладные расходы обработки данных - в основе VPN лежит использование шифрования, требующие выполнение большого числа операций. Это сказывается не только на шлюзовых устройствах, но и на общей пропускной способности подключения VPN;

2) Пакетные накладные расходы, вызываемые добавлением заголовков к каждому пакету, что, в свою очередь, может вызвать необходимость фрагментации пакетов;

3) Проблемы реализации, связанные с применением трансляции сетевых адресов для VPN, с размером максимального блока передачи данных (maximum transmission unit, mtu);

4) Проблемы управления и поиска конфликтов, поскольку внутреннее части структуры и содержимое инкапсулированных пакетов недоступны до момента их расшифровки;

5) Проблемы с функционированием сетевых систем обнаружения вторжений (закрытие содержимого пакетов);

6) Проблемы Интернета, подтверждение канала связи с провайдером или атаки в обслуживании, направленные на шлюз VPN.

5.2 Протоколы VPN канального уровня

На канальном уровне существует два протокола для реализации VPN: протокол туннелирования типа «точка - точка» (Pointo-point Tunneling Protocol, PPTP) и протокол туннелирвоания второго уровня (Layer Two Tunneling Protocol, L2TP). Оба этих протокола включены в состав операционной системы Microsoft Windows.

Протокол PPTP. Протокол PPTP является дальнейшим развитием протокола PPP, который распространился в связи с появлением модемного доступа к сети Интернет. Протокол PPTP был разработан консорцируемом таких производителей, как Microsoft, US Robotisc, Ascend и 3com. Для шифрования протокола PPP был использован протокол двухточечного шифрования Microsoft(Microsoft Point - to Point Encryption, MPPE), который использует алгоритм RC4. Однако большинство проблем используемого метода аутерификации с предварительным согласованием вызова(Microsoft Challenge/Realy HandShake Protocol, MSCHAP). Для устранения недостатков был выпущен протокол MSCHAP версии 2. Протокол PPTP использует все связанные протоколы, которые подобны протоколу MSCHAP, протоколу аутерификации пароля(Password Authenication Protocol, Chap), расширенному протоколу аутерификации(Extensidle Authenication Protocol, EAP).

Протокол PPTP использует два канала, работающих совместно. Первый канал управления (порт 1723/pcp). Этот канал посылает в обе стороны все команды, которые управляют сеансом подключения. Второй - инкапсулируемый канал передачи данных, являющийся вариантом протокола общей инкапсуляции для маршрутизации (Generis Routing Encapsulation, GRE). Это протокол 47, который использует UDP в качестве транспортного протокола.

Преимуществом туннеля протокола без помех через устройства NAT. Он интегрируется со многими аппаратными устройствами. Протокол PPTP при инициализации связи использует протокол PPP,поэтому может оказаться уязвимым к атакам типа spoofing и «человек посередине».

Протокол L2TP. Протокол L2TP определен в документе RFC 2661 и фактически является гибридом двух предыдущих протоколов туннелирования: протокола пересылки второго уровня (Layer Two Forwarding, L2F) компании Cisco и протокола PPTP. Он заменил протокол PPTP в качестве решения для VPN в операционной системы Windows 2000.

Протокол L2TP подобно протоколу PPTP, использует при аутерификации пользователя возможности протокола PPP(протоколы MSCHAR, CHAP, EAP, PAP и т.д.). аналогично протоколу PPTP протокол L2TP использует два канала связи: сообщения управления и сообщениями туннеля для передачи данных. Первый бит заголовка протокола PPTP служит для опознавания этих типов сообщений (1-для сообщений управления, 0- для сообщенных данных. Сообщение управления дается более высокий приоритет по отношению к сообщениям данных, чтобы гарантировать, что возможная информация администрирования сеанса будет передана настолько быстро, насколько это возможно.

Подключение канала управления устанавливается для туннеля, который затем сопровождается инициированием сеанса протокола L2TP. После завершения инициирования обоих подключений информация в виде кадров протокола PPP начинает передаваться по туннелю.

Формирование защищенного канала происходит в три этапа:

1) Установление соединения клиента с севером удаленного доступа;

2) Аутерификация пользователя;

3) Конфигурирование защищенного туннеля.

Для установления соединения с сервером удаленного доступа (сетевой сервер L2TP) удаленный пользователь связывается по протоколу PPP с концентратором доступа L2TP, обычно функционированием на сервере провайдера. Концентратор доступа может выполнить аутерификацию пользователя от имени провайдера. Концентратор доступа может выполнить аутерификации пользователя от имени провайдера. По заданному имени получателя концентратор доступа с сервером L2TP устанавливается соединение. Далее производится аутерификация пользователя сервером L2TP. В случае успешной аутерификации устанавливает защищенный туннель между концентратором доступа с сервером L2TP. С помощью управляемых сообщений производится настройка параметров туннеля, причем в одном туннеле может быть несколько сеансов пользователя. При использовании IPSes пакеты L2TP инкапсуляции в UDP-пакеты, которые передаются концентратором доступа и сервером L2TP через IPSes - туннель(порт 1701/tcp).

5.3 Протокол IPSes

Несмотря на то что протокол IP стал наиболее используемым протоколом связи во всем мире и базовой технологией Интернета, он имеет множество существенных недостатков. Среди них необходимо отметить ограниченность адресного пространства, отсутствие автоматической конфигурации узлов сети и недостатки внутренней безопасности. Главной причиной этих недостатков является то, что IP- протокол изначально не был предназначен для массового использования.

В качестве развитии IP - протокола была разработана его новая версия IPv6(IP- протокол версии 6), в которой пытались решить проблемы предшествующих версий. Поскольку принятие новой версии IP- протокола затруднительно, что связано постоянным ростом Интернета и громадным разнообразием установленной аппаратуры и программного обеспечения, то меры безопасности, включенные в IPv6, были перенесены в текущую версию IPv4 в виде дополнительного комплекса протоколов. Этот набор протоколов назвался комплексом протоколов IPSec(IPSec Protocol Suite).

Подключение по протоколу IPSec имеет два основных режима: транспортный(transport) и туннельный (tunnel).

Транспортный режим - это форма связи типа узел -узел, где применяется шифрования только содержательной части пакета. Из - за двухточечного характера связи соответствующее программное обеспечение необходимо загрузить на все связывающиеся между собой узлы сети, что представляет собой достаточно серьезную проблему. Этот режим VPN удобно использовать для зашифрованной связи между узлами одной сети.

...