Адаптивное управление защитой
Алексей ЛУКАЦКИЙ НИП "Информзащита", СЕТИ #10/99
Современные сетевые технологии уже трудно представить без механизмов защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам инфраструктура защиты, может ли администратор безопасности своевременно узнать о начале таких атак?
Информация об уязвимости аппаратных и программных средств постоянно публикуется в различных списках рассылки по проблемам безопасности (например, Bugtraq), и сетевым администраторам следует внимательно следить за этими «черными» списками.
Противостояние атакам — важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.
Например, межсетевой экран (МЭ) не способен защитить от пользователей, прошедших аутентификацию. А квалифицированному хакеру не составляет труда украсть идентификатор и пароль авторизованного пользователя. Кроме того, межсетевой экран не только не защищает от проникновения в сеть через модем или иные удаленные точки доступа, но и не может обнаружить такого злоумышленника.
При этом система защиты, созданная на основе модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS), способна решить все или почти все перечисленные проблемы. Она позволяет обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты.
Компания Yankee Group опубликовала в июне 1998 г. отчет, содержащий описание процесса обеспечения адаптивной безопасности сети. Этот процесс должен включать в себя анализ защищенности (security assessment), т. е. поиск уязвимостей (vulnerabilities assessment), обнаружение атак (intrusion detection), а также использовать адаптивный (настраиваемый) компонент, который расширяет возможности двух первых функций, и управляющий компонент.
Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней «слабых мест» и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:
«люки» в системах (back door) и программы типа «троянский конь»; слабые пароли; восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»; отсутствие необходимых обновлений (patch, hotfix) операционных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных.
Обнаружение атак — это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и «оценивают» различные операции, в том числе с учетом известных уязвимостей.
Адаптивный компонент ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.
Управляющий компонент предназначен для анализа тенденций, связанных с формированием системы защиты организации и генерацией отчетов.
К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты модели адаптивного управления защиты сети.
Сначала в него входили всего три продукта: система анализа защищенности на уровне сети Internet Scanner, средства анализа защищенности на уровне хоста System Scanner и обнаружения атак на уровне сети RealSecure Network Engine. В дальнейшем ISS пополнила комплект системой анализа защищенности на уровне баз данных Database Scanner и средствами обнаружения атак на уровне хоста RealSecure System Agent.
В настоящее время комплект ПО SAFEsuite поставляется в новой версии — SAFEsuite Enterprise, в которую входит также ПО SAFEsuite Decisions, обеспечивающее принятие решений по проблемам безопасности. Остановимся на компонентах SAFEsuite Enterprise более подробно.
Database Scanner
Проблемы, связанные с безопасностью баз данных, идентифицирует ПО Database Scanner. В этом ПО реализованы проверки подсистем аутентификации, авторизации и контроля целостности; дополнительно выявляется соответствие СУБД требованиям перехода к 2000 г. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, содержит перечень рекомендуемых корректирующих действий для устранения обнаруженных уязвимостей.
Пока Database Scanner поддерживает СУБД Microsoft SQL Server и Sybase Adaptive Server; работу с другими СУБД (Oracle, Informix) планируется обеспечить в сентябре 1999 г.
Все системы анализа защищенности компании ISS используют похожие методы работы и интерфейс. Различие состоит в характере обнаруживаемых уязвимых мест (их общее число для всех четырех систем превышает 1600).
Internet Scanner
Система анализа защищенности — Internet Scanner — предназначена для проведения регулярных всесторонних или выборочных тестов сетевых служб, операционных систем, используемого прикладного ПО, маршрутизаторов, межсетевых экранов, Web-серверов и т. п. Результатом тестирования являются отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее дислокации в корпоративной сети, а также рекомендации по коррекции или устранению «слабого места». Хотелось бы отметить, что еще год назад Internet Scanner был сертифицирован Гостехкомиссией РФ (сертификат № 195) и пока является единственной системой анализа защищенности, получившей «добро» в этой организации.
| Более 3000 компаний во всем мире (включая Россию) используют Internet Scanner в качестве основного компонента системы обеспечения сетевой безопасности |
Internet Scanner может быть использован для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP, — как компьютеров, подключенных к локальной или глобальной сети (Internet), так и автономных ПК с установленной поддержкой TCP/IP. Продукт состоит из трех основных подсистем: Intranet Scanner для тестирования рабочих станций, серверов, X-терминалов; Firewall Scanner для проверки межсетевых экранов и коммуникационного оборудования; Web Security Scanner для контроля за Web-, FTP-, SMTP- и другими службами. Firewall Scanner используется Гостехкомиссией РФ при проверках МЭ для их сертификации на информационную безопасность.
| Технология SmartScan сделала Internet Scanner «самообучаемым» ПО. Модуль SmartScan действует как настоящий хакер; он изучает сеть, запоминает информацию, собранную в течение различных сеансов сканирования сети, создает полную картину уязвимостей организации и способен автоматически применить накопленные сведения для расширения возможностей сканирования |
Подробно описывать все возможности системы Internet Scanner нет нужды — этому посвящено немало статей. Хотелось бы остановиться на некоторых функциях, не получивших освещения в российских публикациях. Краткий перечень ключевых возможностей Internet Scanner насчитывает почти 20 позиций, среди которых — задание своих собственных и множества стандартных проверок (более 600), определение глубины сканирования, централизованное управление процессом сканирования, параллельное сканирование до 128 сетевых устройств и систем, запуск процесса по расписанию, генерация отчетов различных форматов и уровня детализации, функционирование под управлением ряда ОС и невысокие системные требования к программно-аппаратному обеспечению.
Рис. 1. Типовой отчет о защищенности сети, полученный с помощью Internet Scanner
Настройка на конкретное сетевое окружение организации облегчается за счет шаблонов для поиска тех или иных «слабых мест». Все 600 уязвимостей, обнаруживаемых Internet Scanner, разделены на 26 категорий, по которым можно создавать и собственные новые шаблоны.
Продукт ISS обеспечивает такую уникальную проверку, как определение работающих в сети модемов. С ее помощью реально предотвращается несанкционированный доступ к корпоративной сети через модем в обход межсетевого экрана.
Механизм генерации отчетов Internet Scanner позволяет выбирать из 30 готовых форм. Они позволяют получить как обобщенные данные об уровне защищенности всей организации (рис. 1), так и подробные отчеты, содержащие техническую информацию о том, где и какие «слабые места» обнаружены, а также инструкции по их устранению (например, пошаговые рекомендации по изменению системного реестра Windows или строки в конфигурационных файлах Unix, гиперссылка на FTP- или Web-сервер с обновлением, устраняющим уязвимость). Отчеты могут быть выведены не только на английском, но и на немецком, французском, испанском, португальском и, что примечательно, на русском языке. Русифицирована и подсистема описания уязвимостей (рис. 2.).
Рис. 2. Вид экрана описания
уязвимостей Internet Scanner
Последняя версия Internet Scanner имеет возможность добавлять собственные проверки уязвимых мест, например описанных в Bugtraq или обнаруженных в процессе работы.
Подсистема моделирования атак — Advanced Packet eXchange — поставляется бесплатно c Internet Scanner и позволяет администратору создавать допустимые и запрещенные IP-пакеты, с помощью которых он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов, системного и прикладного ПО.
ОБ АВТОРЕ
Алексей Лукацкий — руководитель отдела Internet-решений НИП «Информзащита». С ним можно связаться по адресу luka@infosec.ru.
RealSecure
Наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает в себя обнаружение атак. ПО RealSecure 3.1, полноправный член семейства SAFEsuite, позволяет обнаруживать враждебную деятельность на хостах, распознавать атаки на корпоративную сеть и реагировать на них соответствующим образом в режиме реального времени. При этом RealSecure может использоваться для защиты как внешнего доступа (например, из Internet), так и внутренней сети (по статистике, до 75% всех инцидентов происходят по вине сотрудников организации).
Пока RealSecure — единственная система на рынке средств защиты, которая функционирует на двух уровнях: сети (network-based) и хоста (host-based). Продукты других производителей, как правило, ориентированы только на сетевые атаки. При работе на уровне сети RealSecure анализирует весь сетевой трафик, а на уровне хоста — журналы регистрации ОС (EventLog и syslog) и деятельность пользователей в режиме реального времени.
Необходимо отметить, что система RealSecure обладает возможностью не только контролировать 600 событий (в том числе 200 сетевых атак), но и добавлять свои собственные сигнатуры, что позволяет своевременно защищать сеть от постоянно появляющихся угроз безопасности.
| RealSecure поддерживает базу данных инцидентов по 700 контролируемым событиям |
ПО RealSecure имеет распределенную архитектуру и содержит два основных компонента: RealSecure Detector и RealSecure Manager. Первый обеспечивает обнаружение атак и реакцию на них; он состоит из двух модулей-агентов — сетевого и системного. Сетевой агент устанавливается на критичном сегменте сети и распознает атаки путем «прослушивания» трафика. Системный агент инсталлируется на контролируемом узле и выявляет несанкционированные операции. Компонент RealSecure Manager служит для настройки продукта и сбора информации от RealSecure Detector.
Управление компонентами RealSecure осуществляется и с помощью так называемого модуля консоли, и с использованием дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (HP OpenView Plug-In Module) или Tivoli. В распределенной сети можно установить нескольких консолей, обеспечивающих управление всеми модулями обнаружения атак.
Любую систему обнаружения атак характеризуют возможности ее реакции на эти атаки. RealSecure обеспечивает три типа реакций: уведомление (notification), хранение (storage) и активная реакция (active response).
Уведомления могут рассылаться на одну или несколько консолей управления (RealSecure Manager) по электронной почте или (при подключении системы AlarmPoint) по факсу, телефону и на пейджер. Предусмотрена генерация управляющих SNMP-последовательностей визуализиции контролируемых событий в системах сетевого управления (например, HP OpenView, CA Unicenter, Tivoli). Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае сохраняется и содержание всего трафика. RealSecure обеспечивает воспроизведение администратором всех действий нарушителя с заданной скоростью для последующего анализа. Часто это помогает разобраться, каким образом злоумышленник проник в корпоративную сеть и что именно требуется противопоставить ему в дальнейшем.
При атаке, которая может привести к выведению из строя узлов корпоративной сети, RealSecure позволяет автоматически разорвать соединение с атакующим узлом, блокировать учетную запись нарушителя (если он сотрудник организации) или реконфигурировать МЭ и маршрутизаторы таким образом, чтобы последующие соединения с таким узлом были запрещены. В настоящее время ПО поддерживает МЭ CheckPoint Firewall-1 и Lucent Managed Firewall, маршрутизаторы компаний Cisco, Nortel и ODS Networks. Администратор способен также создать собственные сценарии обработки контролируемых событий и задать операции активной реакции.
Применение RealSecure в сети не снижает ее производительности не только при использовании каналов Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet. Сама система RealSecure может быть защищена от внешних атак при помощи так называемой Stealth-конфигурации, которая не позволяет «видеть» эту систему из внешней сети.
SAFESuite Decisions
Системы, обеспечивающие управление разнородными сетевыми средствами, почти всегда содержат элементы так называемых средств принятия решений. Таковы продукты компаний Computer Associates (ProtectIT, DirectIT, Unicenter TNG), Tivoli Systems (Management Framework, User Administration, Security Management), PLATINUM (ProVision AutoSecure Access Control, ProVision AutoSecure Enterprise Security Administration). В одном ряду с ними — система SAFEsuite Decisions, которая позволяет собирать, анализировать и обобщать сведения, получаемые от различных установленных в организации средств защиты информации. К средствам, поддерживаемым первой версией, относятся все продукты компании ISS, МЭ CheckPoint Firewall-1 и Gauntlet (и, как следствие, МЭ российского производства «Пандора» и «Застава-Джет», разработанные на базе Gauntlet).
Пакет SAFEsuite Decisions состоит из нескольких взаимосвязанных компонентов:
подсистемы SAFElink, обеспечивающей сбор данных от различных средств защиты и их запись в централизованную базу данных SAFEsuite Enterprise Database; базы данных SAFEsuite Enterprise Database для хранения данных, полученных от SAFElink (построена на основе СУБД Microsoft SQL Server); подсистемы SAFEsuite Decisions Report, которая дает возможность обрабатывать, анализировать и обобщать информацию, хранящуюся в базе данных. Decisions Report позволяет ранжировать риски системы защиты организации, идентифицировать нарушителей политики безопасности, выявлять тенденции, прогнозировать изменение уровня защищенности ресурсов организации и т. д.
Все системы семейства SAFEsuite Enterprise прошли сертификацию Госкомсвязи на соответствие требованиям перехода к 2000 году.
System Scanner и Security Manager
Одной из главных задач, на которые нацелены системы анализа защищенности, разработанные компанией ISS, является сбор информации о ПК-клиентах. Иногда это удается сделать дистанционно с помощью Internet Scanner, но часто разумнее проводить такую операцию, используя локальный компьютер (например, при проверке «слабых» паролей, наличия установленных пакетов модификаций, обновлений ОС или приложений и т. п.).
На первый взгляд, для анализа уязвимостей ОС Windows и Unix вполне достаточно Internet Scanner. Но дополнительный анализ, осуществляемый System Scanner (S2), способствует значительному повышению уровня защищенности. Как правило, общий анализ защищенности реализуется только на уровне сети, без локального сканирования на уровне ОС и без анализа защищенности приложений. System Scanner как бы обеспечивает взгляд на сеть «изнутри», обнаруживая «слабые места», которые не проявляются при дистанционном сканировании через сеть, но весьма опасны для Unix- и Windows-систем. Например, переполнение буфера (buffer overflow), может использоваться злоумышленником, в том числе с паролем «Guest», для получения привилегированного (root) доступа.
Весьма серьезной угрозой для работоспособности информационных систем является неправильная работа пользователя. Сканирование, обеспечиваемое S2, дает более детальный анализ его деятельности, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. System Scanner позволяет проверять файлы .rhost, применять словарь часто используемых паролей, а также обнаруживать программы-«анализаторы протокола» типа «sniffer».
Любой системный администратор заинтересован в информации об установленных patches (модификациях). Благодаря своим встроенным функциям S2 не только обнаруживает уже установленные patches, но и выявляет необходимые модификации, имеющиеся у поставщиков программно-аппаратного обеспечения.
Подсистема Security Manager во многом аналогична системе System Scanner и также проводит анализ защищенности на уровне ОС. Однако Security Manager поддерживает гораздо больше платформ и ОС, чем S2 (в том числе SCO OpenServer и UnixWare, Netware), и обладает возможностью добавления своих собственных проверок.
Все указанные достоинства реализованы ISS вместе с купленной ею компанией March Information Systems (из Великобритании). В конце III квартала текущего года компания ISS планирует интегрировать системы System Scanner и Security Manager в единую систему анализа защищенности на уровне ОС.
Бронежилет для компьютера
А. В. Лукацкий
Научно-инженерное предприятие "Информзащита"
Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум - это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах "личной" безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют - это персональные межсетевые экраны, которым и посвящена эта статья.
Первое, о чем я хотел бы сказать, это о произошедших изменениях в структуре корпоративных сетей. Если еще несколько лет назад границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Раньше такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все межсетевые экраны построены так, что защищаемые пользователи и ресурсы должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода - виртуальные частные сети (virtual private network, VPN) и распределенные межсетевые экраны (distributed firewall). Первое решение, которое не раз освещалось на страницах изданий компании "Гротек", заключается в установке на удаленный узел специального программного обеспечения, которое позволяло получать доступ к защищаемым МСЭ ресурсам по защищенному каналу. Примером такого решения можно назвать абонентский пункт "Континент-К", разработанный НИП "Информзащита" (www.infosec.ru). Другой пример - VPN-1 SecuRemote компании Check Point Software (www.checkpoint.com), являющейся мировым лидером (по данным компании Dataquest - 52% мирового рынка средств построения VPN) в области разработки средств построения VPN. Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком - сам удаленный узел был подвержен атакам. Установленный на него троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий. Тогда-то и родилась идея распределенного межсетевого экрана, который являлся мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является RealSecure Server Sensor и BlackICE Defender компаний Internet Security Systems (www.iss.net) и Network ICE (www.networkice.com), которая была приобретена 28 апреля 2001 года компанией ISS. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компьютеров от рыскающих в сети злоумышленников. Но, т.к. многие функции распределенного МСЭ (например, централизованное управление) для домашних пользователей были лишними, то родилась новая технология, получившая название "персонального межсетевого экрана" (personal firewall), яркими представителями которых являются ZoneAlarm и Norton Internet Security (носивший ранее имя AtGuard) компаний ZoneLabs (www.zonelabs.com) и Symantec (www.symantec.com) соответственно. Компания Check Point Software оказалась впереди и здесь, предложив системы VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т.е. организуя VPN). Именно такая интеграция сделала подвластными межсетевым экранам сети с нечетко очерченными границами.
В чем отличие персонального межсетевого экрана от распределенного? Главное отличие одно - наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях - персональной (для домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent (www.infosec.ru/produkt/adapt/ice_sentry/ice_agent.html).
Какими функциями должен обладать надежный персональный МСЭ? Сразу необходимо сказать, что далее я, упоминая персональные МСЭ буду иметь ввиду и распределенные МСЭ. Во-первых, этот экран не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Злоумышленники давно научились обходить такие простые защитные механизмы и в сети Internet можно найти большое число программ, которые могут проникнуть через многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпрометированном компьютере без ведома его владельца. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым делая невозможным отслеживание злоумышленника. Мало того, хакер может "подставить" кого-нибудь другого, заменив свой адрес на адрес подставного лица. И, наконец, для некоторых атак (например, "отказ в обслуживании") адрес источника вообще не нужен и по статистике в 95% случаев этот адрес хакером изменяется. Можно привести хорошую аналогию. Персональный межсетевой экран - это охранник в здании, который выписывает пропуска всем посетителям. В такой ситуации злоумышленник может без труда пронести в здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы.
К сожалению приходится отметить, что немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов семейства BlackICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности - BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall. Модуль BlackICE IDS основан на запатентованном алгоритме семиуровневого анализа протокола.
Рисунок 1. Архитектура персонального межсетевого экрана
Следующим механизмом, которым должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.
В некоторые персональные МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей.
Т.к. распределенные экраны управляются централизованно, то они должны обладать эффективным механизмом настройки, администрирования и контроля, позволяющим администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказательства для обращения в правоохранительные органы (например, Управление "Р"). И здесь будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах. Например, уже упоминаемые BlackICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:
IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака. Имя, под которым злоумышленник вошел в сеть.
Немаловажной является возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО. Представьте, какую бурю возмущений это вызвало бы у владельцев компьютеров, которых отрывали бы от своей работы. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и вирусов) снимает эту проблему и облегчает нелегкий труд администратора безопасности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.
В заключение хочу сказать, что правильный выбор персонального или распределенного межсетевого экрана позволит повысить защищенность компьютеров, которые при обычных условиях остаются незащищенными и могут служить точкой проникновения в корпоративную сеть. А чтобы можно было из чего выбирать, я хотел бы привести список персональных межсетевых экранов, которые известны в России:
BlackICE Agent и Defender от компании Internet Security Systems (www.infosec.ru/produkt/adapt/ice_sentry/ice_agent.html). AtGuard Personal Firewall от компании WRQ, который был приобретен компанией Symantec и встроен в ее семейство Norton Internet Security (www.symantec.com/region/ru/product/npf_index.html). ZoneAlarm от компании ZoneLabs (www.zonelabs.com). Outpost Firewall (ранее носивший имя Sphere) от компании Agnitum (www.agnitum.com/products/outpost/).
Также упоминаются и другие решения. Например, PGP 7.0 (www.pgp.com), Sygate Personal Firewall (www.sygate.com), ConSeal Private Desktop (www.mcafee.com), переименованный в McAfee Personal Firewall, или Tiny Personal Firewall (www.tinysoftware.com/russia/).
Об авторе:
Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software Technologies. Автор книги "Обнаружение атак". Связаться с ним можно по тел. (095) 937-3385 или e-mail: luka@infosec.ru.
9 ноября 2001 г.
Forbidden
You don't have permission to access /internet/pswpage/deny/ok.shtml on this server.
Apache/2.2.16 (Debian) Server at citforum.ru Port 80
Безопасность и Internet - статьи
Кое-как расставленные столы и стулья в тестовой лаборатории ParaProtect имели мало общего с меблировкой респектабельного офиса. Сам Боб, с забранными в косичку волосами и длинной бородой вполне соответствовал образу непримиримого хакера.
Однако подобная атрибутика ввела меня в заблуждение ненадолго. До того как прийти в фирму, Боб служил компьютерным аналитиком в Департаменте систем информационной защиты Министерства обороны США. Его последняя должность в военном ведомстве - сотрудник группы реагирования на нарушения компьютерной защиты (CERT).
Боб считает, что первым шагом в деятельности, которой он теперь занимается, является подробное изучение сетевой инфраструктуры клиента. В данном случае он начал свои действия с посещения Web-сервера тестируемой компании, изобиловавшего сведениями о ее истории, корпоративной культуре и партнерах. На этом же этапе были исследованы электронные "реквизиты" партнеров, по которым частенько удается обнаружить дополнительные соединения с исследуемой сетью. Обычно информационные системы удаленных офисов или мелких партнерских компаний защищены гораздо слабее основной сети.
В ходе первого сканирования не обнаружилось ничего необычного. Поэтому Бобу пришлось обратиться к электронным реестрам InterNIC и ARIN, где содержатся сведения о доменных именах и адресах хост-компьютеров Всемирной сети, и выдать команду whois. В результате система тут же "выболтала" доменное имя нашего клиента, а кроме того, проверила корректность IP-адресов, на которые было направлено острие затевавшейся атаки. Мы не только узнали IP-адреса трех серверов компании-заказчика, но и получили другую ценную стратегическую информацию: краткие имена, используемые в компании вместо полных сетевых адресов, имена и телефоны сетевых администраторов.
По мнению Боба, сведений, добытых при помощи двух упомянутых сервисных систем, вполне достаточно, чтобы восстановить детальную конфигурацию тестируемой сети. Осталось только проверить данные, относящиеся к доменному имени нашей жертвы. Фирме ParaProtect пришлось бы быстро завершить свою деятельность, если бы она хоть раз по ошибке предприняла атаку не на тот объект.
Безопасность и Internet - статьи
Следующий шаг состоял в запуске утилиты traceroute, в качестве параметра которой последовательно фигурировал каждый из интересовавших нас IP-адресов. Как известно, программа traceroute может функционировать под управлением операционных систем UNIX и Windows NT и обычно используется сетевыми администраторами для отслеживания пакетов, передаваемых от источника к адресату. В ходе тестирования эта утилита сообщала, что маршрутизатор блокировал сгенерированные нами пакеты, т. е. позволяла убедиться в корректности его функционирования.
Тем не менее нам удалось пронаблюдать за исходящим трафиком, который был адресован на порт с определенным номером и служил для соединения сети заказчика с провайдером UUNET.
Теперь настало время обратиться к профессиональному инструментарию хакеров. В компании ParaProtect создано целое хранилище любимых программных "приспособлений" для сетевого взлома. Тем не менее для чистоты эксперимента Боб решил пойти по традиционному пути. Запустив одну из поисковых машин Internet и задав в качестве ключевых слов "hacker tools", он решил проверить, какая часть хакерского арсенала доступна любому желающему во Всемирной сети. Результаты поиска содержали ни много ни мало 2070 ссылок. Система обнаружила, в частности, такие программы, как пакет Shadow Advantis Administrator, позволяющий с требуемой периодичностью выдавать команды ping на заранее определенную группу портов. Эти команды могут следовать с невысокой частотой, а генерируемые ими пакеты столь малы, что обычно не регистрируются средствами защиты от внешних атак.
Мировой рынок услуг в области информационной безопасности
Однако Боб предпочитает использовать программу nmap, выполняющую практически те же функции. Эта утилита, также свободно доступная в Internet, исходно предназначалась для обнаружения IP-адресов. На самом же деле она является мощным средством сканирования трафика, проходящего через отдельные порты. Помимо выявления незащищенных портов, nmap способна изменять характеристики отправляемых пакетов с целью обхода установленного на маршрутизаторе IP-фильтра.
В течение дня Бобу пришлось несколько раз запустить утилиту nmap (относящаяся к ней техническая информация доступна на сервере www.insecure.org/nmap/) с различными опциями:
SYN служит для установления сеанса TCP. Получив ответ на команду nmap с этим параметром, можно быть уверенным в том, что атакуемый хост-компьютер активен. Если же ответа на команду ping не поступает, хост заблокирован;
FIN позволяет использовать пустой пакет в качестве зонда с целью определить, является порт открытым или закрытым. Зная параметры обычно используемых открытых портов, можно догадаться, какие из наиболее традиционных сервисов активны на атакуемом узле. Если же порт закрыт, он все равно обязан ответить на данную команду, отправив пакет RST. Если такой пакет поступит, значит, порт закрыт. Отсутствие ответа соответствует открытому порту;
сканирование с использованием фрагментированных пакетов. Для анализа содержимого принятого пакета хост-компьютер должен предварительно собрать его из отдельных частей. Отправка на атакуемый сервер фрагментированных пакетов нарушает его работу и при определенных условиях позволяет обойти системы контроля доступа.
Первый запуск утилиты nmap с опцией SYN закончился неудачей, поскольку Боб задал в командной строке неверные параметры конфигурации; эту ошибку удалось исправить позднее. Тогда пришлось посетить сервер UUNET и при помощи подкоманды nslookup заставить систему доменных имен (DNS) этого сервера сообщить известные ему имена машин в атакуемой корпоративной сети. В ответ мы получили три доменных имени - "mail", "www" и еще одно, которое здесь не приводится, дабы не выдать название тестировавшейся фирмы.
Конечно, в атакуемой сети могли быть и другие компьютеры, однако в данном случае они нас не интересовали. Сервер DNS сообщил также, какой из известных нам трех IP-адресов относится к Web-узлу. С другой стороны, мы знали IP-адреса маршрутизатора, установленного на входе в корпоративную сеть. Отсюда нетрудно было догадаться, что третий адрес относится к proxy-серверу, отвечающему за обмен ключами.
Теперь уже можно было нарисовать диаграмму сети. Как мы и предполагали, маршрутизатор играл роль часового, охранявшего доступ к Web-серверу, proxy-серверу и еще одному серверу, который, по нашим прикидкам, отвечал за электронную почту. Оставалось выяснить, какие сетевые сервисы были запущены на каждом из серверов. Причина такого интереса проста: хакеры обычно ищут те сервисы, уязвимость которых неоднократно доказана на практике; они-то и подвергаются нападению в первую очередь.
Замаскировавшись под местного Internet-провайдера, Боб открыл сеанс telnet и выдал команду на порт 80. Хорошо известно, что этот порт открыт в 99 случаях из 100, поскольку именно его сетевые администраторы выделяют для Web-трафика. Команды сеанса telnet позволили узнать, какое программное обеспечение запущено на сервере HTTP. Им оказался пакет Internet Information Server 4.0 корпорации Microsoft. После этого не осталось никаких сомнений, что на сервере установлена операционная система Windows NT.
И тут зазвонил телефон. Администратор компании-клиента увидел в списке сообщений системы управления доступом предупреждение, выданное маршрутизатором. В нем фигурировал IP-адрес Internet-провайдера, подставленный Бобом в целях конспирации. Администратор решил удостовериться в том, что указанное предупреждение было вызвано нашими действиями, а не атакой настоящего хакера. Мы поспешили успокоить его.
Итак, наша жертва узнала, что кто-то настойчиво стучится в ее дверь. Боб решил не использовать стандартный метод последовательного сканирования портов, который в подобной ситуации мог отнять уйму времени. Вместо этого он запустил утилиту nmap с опцией FIN, распространив ее действие на все возможные порты - с номерами от 1 до 65 334.
"Подобная операция порождает множество данных, не относящихся к делу, - замечает Боб. - Однако чтобы последовательно "просканировать" все порты да еще миновать систему контроля доступа, придется убить несколько дней. Нам же дано всего двое суток, так что придется делать все сразу".
Сканирование не выявило ничего примечательного. На серверах работали только стандартные сервисы вроде FTP и HTTP, а это означало, что мы имеем дело с типичной конфигурацией. Тем не менее даже в этом простейшем случае любая ошибка администратора при настройке конфигурации FTP-сервера или иной стандартной службы может быть использована хакером в самых неблаговидных целях.
и за коротким ланчем Боб
Самое время для перерыва, и за коротким ланчем Боб поделился со мной планами дальнейших действий. Они могли бы состоять в выявлении наиболее уязвимых мест на уровне сети, серверных операционных систем и отдельных приложений. Впрочем, столь скрупулезный анализ в данном случае оказался ни к чему. На самом деле основная часть работы была уже выполнена, и несведущий читатель может только подивиться тому, с какой легкостью машины под Windows NT или UNIX раскрывают свои секреты.
На весьма продвинутых курсах по сетевым атакам, которые прошлым летом организовала в Хьюстоне компания Ernst & Young, присутствовавшие с потрясающей непринужденностью разбились на две группы, которые работали в средах Windows NT и UNIX. Те, кому достался компьютер под NT, начали с установления сеанса null. Так называется утилита фирмы Microsoft, позволяющая различным сетевым службам обмениваться данными без применения паролей и идентификаторов пользователей. Представ перед системой в качестве "нулевого" пользователя, мы получили доступ к массе служебных сведений. Нам открылось то, о чем можно было только мечтать: файлы с паролями, регистрационные записи пользователей, сетевые сервисы, представляющие собой удобные мишени для нападения. И при этом имя пользователя или пароль не пришлось ввести ни разу.
По правде говоря, в этом режиме доступной оказалась не вся управляющая информация, однако имена пользователей системы удалось скопировать без труда. Затем мы вошли в систему под именем "backup" и чисто интуитивно ввели совпадающий с именем пароль. Он оказался верным. В результате нам сразу же удалось добраться до хешированных (закодированных) паролей и заменить их на "10phtcrack" и "John the Ripper". Эти последовательности были выбраны неслучайно: так называются две утилиты для взламывания паролей, свободно распространяемые через Internet.
Не более 15 минут ушло на то, чтобы взломать 70% имевшихся в системе паролей, зарегистрироваться в качестве суперпользователя и получить доступ ко всем серверным ресурсам. В довершение мы сохранили применявшийся хакерский инструментарий на сервере нашей жертвы в файле readme.txt, чтобы воспользоваться им в дальнейшем.
По мнению нашего инструктора Эрика Шульца, пароли в среде Windows NT взломать проще простого, поскольку программное обеспечение LAN Manager разбивает пароли на две равные части длиной по семь символов, а затем для шифрования образовавшихся половинок использует известную числовую константу. Средства взлома паролей изначально разрабатываются с учетом этого алгоритма, так что расшифровка пароля не вызывает никаких проблем. Администратор может обнаружить спрятанный на сервере арсенал хакерских средств единственным способом - настроить системы управления регистрационными журналами на выдачу предупреждающих сообщений в случае резкого изменения размера свободной части дискового пространства.
Как это ни странно, но получить полный доступ к UNIX-машине оказалось столь же легко, хотя при этом понадобилось вводить иные команды и запускать другие утилиты. В ходе выполнения учебного задания нам пришлось "попутешествовать" по четырем компьютерам под UNIX. Мы сумели модифицировать записи на сервере DNS, и в результате трафик был направлен на ложный IP-адрес. Затем мы инсталлировали на UNIX-машине "троянского коня" под названием Back Orifice, после чего вход на нее - безо всякого идентификатора пользователя и пароля - стал открыт для нас в любое время.
Сотрудники компании ParaProtect предпринимают множество подобных полномасштабных атак на сети своих клиентов. Войдя в образ искушенного хакера, Боб обычно бывает готов провести дальнейший анализ слабых мест своей "жертвы". Останавливают его множество другой работы да строгие положения контрактов, подписываемых с заказчиками.
День второй
На следующее утро мы занялись сканированием хост-компьютеров с использованием фрагментированных пакетов. В итоге нам удалось обнаружить массу открытых портов, которые могут стать жертвами атак этого типа. По заверению Боба, для него не составило бы труда несколько модифицировать используемый инструментарий и обойти установленный в сети маршрутизатор.
В отчете, который был составлен по результатам тестирования, заказчику рекомендовалось обзавестись брандмауэром, а также провести более детальное обследование всей сетевой инфраструктуры. Конечно, всякая дальнейшая деятельность в данном направлении напрямую зависит от того, способна ли фирма окупить связанные с нею расходы.
Однако получив такой отчет, сетевой администратор не должен ограничиваться доведением его основных выводов до сведения высшего менеджмента компании. Полученные сведения следует преподнести так, чтобы руководство осознало: усиление системы информационной безопасности приведет к реальному увеличению прибыли.
"Если пытаться оправдать расходы на средства защиты данных только на основе анализа рисков, связанных с несанкционированным вторжением в корпоративную сеть, эту затею можно заранее считать обреченной, - утверждает Грегори Уайт, технический директор компании Secure Logic. - Средства информационной безопасности надо рассматривать исключительно в качестве инструмента для успешного ведения бизнеса".
Дебора Рэдклифф (Deborah Radcliff) - технический писатель из Калифорнии. С ней можно связаться по электронной почте:derad@aol.com.
Хроника хакерской атаки
Журнал "Сети", #02/2000
Дебора РЭДКЛИФФ
В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса компании ParaProtect склонившийся над монитором "хакер" Боб выдавал Unix-команды с такой скоростью, будто его руки лежали не на клавиатуре, а на спусковом крючке автомата.
Боб проверял на прочность периферийные средства защиты сертифицированной компании, специализирующейся на предоставлении услуг электронной почты в Internet и являющейся клиентом ParaProtect.
У молодых фирм, руководство которых решило заняться электронной коммерцией, как правило, недостаточно средств для оплаты полномасштабной атаки на корпоративную сеть, в ходе которой имитируются действия реальных хакеров и ключевые серверы компании выводятся из строя. Более того, такие фирмы в принципе не могут себе позволить перевести серверы в нерабочее состояние даже на минуту, хотя эта мера будет содействовать повышению уровня защищенности сети. Тем не менее одна из них решилась обратиться в ParaProtect - компанию, предоставляющую консалтинговые услуги в области информационной безопасности - для осуществления своеобразной разведывательной вылазки в корпоративную сеть.
По мнению экспертов, коммерческие услуги, моделирующие реальные хакерские атаки, являются идеальным отправным пунктом при проектировании систем сетевой защиты, поскольку "проникающие" тесты позволяют сформировать базу для разработки правил и стратегий защиты информации.
Современные корпоративные сети подвергаются нападениям со всех сторон - из Internet, через модемные соединения и даже со стороны нелояльного персонала, поэтому потребность в услугах вроде тех, что предоставляет ParaProtect, неуклонно растет.
Молодые представители индустрии электронной коммерции принадлежат к числу наиболее уязвимых компаний. Обостряющаяся конкуренция заставляет их как можно быстрее выходить на рынок с коммерческими продуктами, поэтому при развертывании сетевой инфраструктуры средствам защиты данных обычно не уделяется того внимания, какого они заслуживают.
"Нам приходится работать с организациями, у которых не установлены даже брандмауэры, - говорит Ян Пойнтер, президент консалтинговой компании Jerboa из Кембриджа. - Обычно это начинающие фирмы, только что получившие первые инвестиции. Они становятся легкой добычей для хакеров, и только после этого руководство начинает осознавать, что уровень защищенности корпоративной сети мог бы быть повыше".
В нашем случае единственный эшелон обороны компании-заказчика был представлен маршрутизатором серии 8000 производства Cisco Systems. Если бы это устройство оказалось в состоянии противостоять попыткам взломать сеть извне, компания смогла бы воспользоваться технической документацией, которая прилагается к отчету о тестировании, чтобы убедить своих клиентов в высокой защищенности серверных приложений, использующих инфраструктуру обмена ключами (PKI).
Однако сотрудники ParaProtect с самого начала были настроены скептически. "Мы никогда не согласимся с тем, что компания может обойтись без брандмауэра. Использование одного лишь маршрутизатора не позволяет защитить периферию сети, даже если это устройство обладает множеством интеллектуальных функций. Брандмауэры предлагают гораздо больше методов фильтрации пакетов, да и вообще, система информационной безопасности должна быть многоуровневой", - считает Роберт Перхольц, менеджер компании по работе с корпоративными клиентами.
Вот как развивались события в ходе атаки на сеть компании-заказчика, предпринятой сотрудником ParaProtect.
Имитационный сценарий хакерской атаки
Первый этап
Получение данных о тестируемой сети (количество сетей филиалов, IP-адреса, типы компьютеров)
Второй этап
Выявление наиболее уязвимых участков сети (выдача команд ping на отдельные порты и анализ сервисов, которые на них запущены)
Третий этап
Проверка степени уязвимости (попытки нарушить работу сервисов, скопировать файлы с паролями, внести в них изменения и т. д.)
Четвертый этап
Атака на корпоративную сеть с целью прервать работу сервисов и вызвать сбои в функционировании ключевых серверов.
Акт о прослушивании
Федеральный Акт о прослушивании (USA Wiretap Act) в целом запрещает любому лицу прослушивать переговоры (в том числе, контролировать электронные сеансы связи), за исключением случаев, перечисленных в разделе, описывающем сферу применения этого закона. Хотя нарушитель не может «обоснованно рассчитывать на соблюдение конфиденциальности» при проникновении на вашу ловушку, это вовсе не означает, что Акт о прослушивании разрешает вести мониторинг. Даже человек, который не вправе рассчитывать на конфиденциальность, защищаемую Конституцией, может апеллировать к своему праву на конфиденциальность, гарантируемому Актом. Более того, лицо, нарушившее условия Акта, в соответствии с федеральным законодательством, могут привлечь к гражданской, а, в некоторых случаях, даже к уголовной ответственности.
Акт о прослушивании содержит множество исключений из общего правила, запрещающего прослушивание переговоров. Владелец или оператор компьютерной сети, в том числе и ловушки, может использовать так называемые исключение «защиты провайдера» и исключение «согласия стороны» как основание для контроля деятельности пользователя в сети. Если мониторинг выполняется по указанию государственных органов, владелец и оператор могут следить за деятельностью хакера на основании исключения «компьютерного нарушителя».
Исключение «защиты провайдера» позволяет системному оператору прерывать соединение, если это делается с целью защитить права или имущество оператора.
Данное исключение разрешает оператору анализировать трафик пользователя, чтобы предотвратить ущерб, который может нанести мошенничество или нелегитимное использование услуг, предлагаемых этим оператором. На право выполнять мониторинг в соответствии с данным исключением ограничения не распространяются, но это право следует осуществлять таким образом, чтобы минимизировать прослушивание переговоров, не связанных с обеспечением защиты. Суды пока не приняли решение о том, применимо ли исключение «защиты провайдера», когда сеть, где велся мониторинг, являлась ловушкой, т.е. оператор действительно надеялся и рассчитывал на то, что он станет объектом нападения и действий хакеров.
Исключение « согласие стороны» разрешает прослушивание переговоров в тех случаях, когда одна из сторон, принимающих участие в этих переговорах, дает свое согласие на мониторинг (если этот мониторинг не преследует иную противозаконную цель). Оператор ловушки, как и любой сетевой оператор, может обезопасить себя, разместив на ловушке «баннер согласия», который могут увидеть нарушители. Такой баннер может уведомлять пользователей (в том числе и потенциальных хакеров) о том, что получая доступ в систему, они дают согласие на мониторинг своих действий. Если нарушитель после того, как прочитает этот баннер, продолжает оставаться в системе, он принимает предложенные условия, т. е. дает согласие на мониторинг своих действий во время работы в системе. Конечно, на некоторые порты баннеры повесить нельзя, и может оказаться, что хакер, проникающий в систему через эти порты и не видевший этого баннера, не давал предполагаемого согласия на мониторинг. Если при мониторинге действий пользователей вы полагаетесь исключительно на «баннер согласия», необходимо строго следить за тем, чтобы прослушивание трафика велось только на тех портах, где есть соответствующие баннеры.
Есть и другой возможный вариант использования «исключения согласия». Можно утверждать, что когда хакер взаимодействует с ловушкой, используя, к примеру, FTP для пиратского копирования интеллектуальной собственности, то сама ловушка может считаться «участником сеанса связи» и, как следствие, здесь будет действовать (через владельца сети) «исключение согласия» на прослушивание трафика, как поступающего в ловушку, так и передаваемого с нее. Идея заключается в том, что ловушка — это «участник сеанса связи», однако она перестает выполнять эту функцию, если она используется хакером просто как своего рода перевалочный пункт для взаимодействия с другой сетью.
Четвертая поправка
Если вы создаете ловушку для государственного учреждения или в качестве его сотрудника, вполне возможно, что Четвертая поправка к Конституции США ограничивает ваше право на контроль за действиями пользователей. Эта поправка запрещает сотрудникам госорганов вести розыск или получать доказательства без предварительной санкции судьи. Мониторинг действий пользователя в сети может включать в себя то, что подпадает под определение «розыск и получение доказательств».
Более того, доказательства, полученные во время мониторинга, проводимого в нарушение Конституции, во время слушания дела могут быть изъяты из рассмотрения, а, в некоторых случаях, некоторым государственным служащим придется отвечать за свои действия в судебном порядке. Однако утверждать, что их розыск был антиконституционным в соответствии с Четвертой поправкой, могут утверждать только те лица, кто «обосновано мог рассчитывать на соблюдение конфиденциальности». Те же, кто проник в сеть, являются нарушителями закона и не могут «обоснованно» рассчитывать на конфиденциальность, учитывая их неправомерные действия в сети, подвергнувшейся атаке. Кроме того, Четвертая поправка применима только к расследованиям, проводимым государственными органами. Частное лицо, действующее не по распоряжению государственного органа, вправе развертывать ловушки и контролировать действия пользователей, не опасаясь быть обвиненным в нарушении Четвертой поправки.
Четыре этапа
Honeynet Project разделяет свою деятельность на четыре этапа. Участники берут на себя все финансирование деятельности Honeynet Project; каждый на безвозмездной основе предоставляет аппаратное обеспечение, а также тратит свое время и силы, не получая никакого вознаграждения. Вместе с тем, в момент подготовки данной статьи представители Honeynet Project изыскивали возможность получения государственного финансирования.
Этап I. Первый этап начался в 1999 году и продолжался два года. Его целью было подтверждение основополагающей идеи: создание, развертывание и тестирование технологии сетей-приманок и их возможности собирать информацию о деятельности хакеров. За первыми сетями-приманками закрепилось название GenI. Их структура была весьма далека от совершенства, они опирались лишь на базовые механизмы и не имели методов для сбора сведений о зашифрованных действиях злоумышленников. Однако они эффективно выявляли большинство автоматизированных атак. Кроме того, уже на этом этапе были успешно протестированы средства раннего предупреждения и прогнозирования атак.
Этап II. Второй этап начался в 2002 году и должен продлиться примерно два года. Его основная цель — усовершенствовать возможности сетей-приманок и упростить работу с ними. Предполагается развернуть сети GenII, которые будут отличаться более совершенными методами мониторинга и контроля действий хакеров. Адаптация методов контроля позволяет хакерам совершать значительно больше операций, при этом снижая риск того, что они обнаружат, что «попали в ловушку» и нанесут ущерб другим сетям. Опубликовано три документа, посвященные виртуальным сетям-приманкам. В 2002 году в Вашингтоне была развернута первая беспроводная сеть-приманка. Значительно улучшены возможности сбора информации (особенно касающейся зашифрованных передач), развертывание сетей-приманок стало существенно проще.
Этап III. Третий этап начинается в 2003 году и рассчитан примерно на год. За этот период планируется создать средства, позволяющие размещать технологии развертывания сетей-приманок GenII на загружаемом компакт-диске. Предполагается, что организации будут просто загружать диск, действующий как шлюз сети-приманки, развертывая тем самым все, что необходимо для работы сетей-приманок, в том числе средства регистрации в глобальной базе данных полной информации о деятельности хакеров.
Этап IV. Четвертый этап, скорее всего, начнется в 2004 году. Его цель — разработать централизованную систему сбора данных, которая согласовывает сведения, получаемые из множества распределенных сетей-приманок, и предоставляет интерфейсы для их анализа. Работа в рамках данной концепции, связанная с созданием двух пользовательских интерфейсов, уже началась. Первый из этих интерфейсов будет действовать локально в каждой сети-приманке, позволяя администраторам анализировать в реальном времени атаки на их сеть и выполнять мониторинг функциональности, в частности, анализировать трафик и извлекать передаваемые по сети пакеты. Второй пользовательский интерфейс будет служить для анализа данных, полученных из множества различных сетей-приманок, и хранить эти сведения в единой базе данных. Распределенные сети-приманки будут передавать в центральную систему такие данные, как журналы регистрации межсетевых экранов, описание передаваемых пакетов и уведомления систем обнаружения вторжений. Эта информация затем будет согласовываться и анализироваться в реальном времени. Здесь открываются огромные потенциальные возможности для анализа тенденций или раннего предупреждения и прогнозирования атак.
Honeynet Project
Honeynet Project (www.honeynet.org) — это научная организация, занимающаяся исследованиями в области систем безопасности и специализирующаяся на изучении инструментария, используемого злоумышленниками, их тактики и мотивов. Затем полученная информация и сделанные выводы предлагаются для ознакомления всем желающим. В состав организации входят специалисты по вопросам безопасности из разных стран, которые на добровольной основе предоставляют свои ресурсы для развертывания и изучения сетей-приманок, основное назначение которых — стать объектом атаки хакеров. После каждого зарегистрированного инцидента собранная информация тщательно анализируется.
Honeynet Project: ловушка для хакеров
Ланс Спитцнер
07.08.2003
Открытые системы, #07-08/2003
Чем именно хакеры угрожают компьютерным сетям? Кто осуществляет эти угрозы, и каким образом? Цель инициативы Honeynet Project состоит в том, чтобы найти ответы на подобные вопросы, изучая действия злоумышленников, и распространяя полученную информацию и сделанные выводы. Участники проекта собирают данные, развертывая сети, получившие название «сети-приманки» (honeynet), основное назначение которых — стать объектом злонамеренных действий хакеров.
Одна из самых серьезных задач, которую приходится решать специалистам по безопасности, — это сбор сведений, позволяющих обнаружить врагов, понять, как они действуют и почему. Раньше суть киберугрозы пытались выяснить, исключительно анализируя программы, использованные для проникновения: после того как произошел инцидент, единственные данные, которыми располагали специалисты, — это информация, остававшаяся во взломанной системе. К сожалению, она крайне скудна и мало что может сказать об угрозе в целом. Но как защититься и обезвредить врага, если мы даже не знаем, кто этот враг?
Honeynet Project предлагает иной подход: «заманивать» хакеров в систему и анализировать их действия с самого начала. Такой метод эффективно дополняет хорошо известные технологии обнаружения и предотвращения вторжений.
В статье рассказывается о работе Honeynet Project, предлагается несколько примеров данных, которые собирают сети-приманки и ловушки (honeypot), а также приводятся дальнейшие планы развертывания распределенных сетей-приманок.
Юридические ловушки при использовании ловушек
Определение корректных с технической точки зрения конфигураций — лишь часть работы, связанной с развертыванием ловушек (honeypot). Необходимо подумать о многочисленных юридических тонкостях, способных превратить вашу ловушку в источник неприятностей для вас самих, в частности, заставить вас отвечать перед судом. Прежде, чем вы займетесь проектированием и развертыванием собственной ловушки, посоветуйтесь с юристом. Он сможет проанализировать вашу ситуацию и рассказать о законах, под которые подпадают ваши действия.
Так, если вы устанавливаете ловушку в США, обратите внимание на три следующие юридические момента (ваш юрист, возможно, укажет и другие). Во-первых, примите в расчет нормативные акты, которые ограничивают ваше право на мониторинг действий пользователей в системе. Во-вторых, подумайте о том, что хакеры могут использовать вашу ловушку для того, чтобы нанести вред другим. В третьих, если вы создаете ловушку с тем, чтобы уличить хакеров и привлечь их к судебной ответственности, подумайте о том, что ответчик, в свою очередь, может обвинить вас в умышленном введении в заблуждение. Тщательное проектирование ловушки с учетом всех юридических аспектов проблемы убережет вас от беды. Обязательно изучите соответствующие законы той страны, под юрисдикцию которой подпадают ваши действия.
Как принять участие
Если вы хотите принять участие в исследовании, выполняемом с помощью сетей-приманок, это можно сделать разными способами. Например, можно стать членом Honeynet Research Alliance. Эта группа имеет четкий устав и требования, которые можно найти по адресу www.honeynet.org/alliance.
Если вы предпочитаете менее формальное участие и хотите вести свои исследования независимо, обратитесь по адресу www.honeynet.org/research. Здесь перечислено несколько связанных с сетями-приманками тем, которые нуждаются в изучении. Если вы ищите тему для диссертации или ваша организация хочет выбрать направление для собственных исследований, то начинать имеет смысл именно с этого сайта.
Наконец, можно присоединиться к списку рассылки по сетям-приманкам (www.securityfocus.com/popups/forums/honeypots/ faq.shtml); это открытый форум для индивидуальных разработчиков, где обсуждаются технологии сетей-приманок.
Какие сведения собирают на приманку
Лучше всего работу сетей-приманок можно продемонстрировать на примере анализа данных, собранных о конкретной атаке.
В феврале 2002 года член Honeynet Project Майкл Кларк с помощью технологии GenI развернул виртуальную сеть, аналогичную представленной на рис. 1. В роли предполагаемых жертв выступали несколько ловушек, на которых был установлен Linux. 18 февраля с помощью стандартного эксплоита FTP хакер проник на одну из ловушек с операционной системой Linux, установленную в сети-приманке. В данном случае использовался wu-ftpd massrooter, хорошо известный и весьма эффективный инструментарий для автоматизированных атак. Сеть-приманка легко обнаружила атаку и собрала о ней сведения, в том числе первые команды хакера, инициированные на взломанной системе. Проанализировав все сетевые пакеты, собранные Snort, мы легко определили природу атаки и команды, выполненные на удаленной системе.
После запуска эксплоита, хакер инициировал команду для загрузки из удаленной системы исполняемого файла foo, установил его под именем /usr/bin/mingetty и запустил, после чего покинул систему. Это еще раз подтверждает, что простая запись всех команд хакера не позволяет получить всю необходимую информацию. Что представляет собой исполняемый файл foo, и чего хотел добиться хакер?
Вскоре после того, как этот файл был выполнен, механизм фильтрации сети-приманки для управления данным (в нашем случае IPTables) зарегистрировал, что с ловушки передаются входящие и исходящие пакеты, но наш анализатор Snort не получил и не зарегистрировал никакой деятельности. Мы совершили ошибку. После анализа трафика мы поняли, в чем она состояла. В этом случае кто-то посылал в ловушку нестандартные IP-пакеты — пакеты протокола Network Voice Protocol. Межсетевой экран регистрировал эту передачу, но анализатор — нет. Мы сами попали в ловушку, проектируя сеть-приманку так, чтобы она собирала сведения о том, что, по нашему предположению, должны были делать хакеры, но, на самом деле, далеко не все, что они могли действительно делать. К счастью, поскольку информация в сети-приманке собирается на нескольких уровнях, то, если один уровень не срабатывает, за трафиком проследят другие.
После того, как стало понятно, в чем состояла ошибка, мы исправили ее, переконфигурировав Snort так, чтобы он собирал данные и регистрировал весь IP-трафик. Теперь мы могли собирать все передаваемые пакеты всего трафика NVP, пересылаемого как на ловушку, так и с нее. Во-первых, в пакетах трудно было разобраться; как показано на рис. 4, они маскируются или шифруются. Кроме того, разнообразные источники, используемые для маскировки (такие как army.mil) посылают множество идентичных пакетов.
 |
Рис. 4. Записанный пакет IP-протокола NVP, присланный на ловушку, куда проник хакер. Команда закодирована, чтобы скрыть ее истинное назначение |
 |
Рис. 5. Декодированный пакет IP-протокола NVP. Это пример удаленной передачи команд на взломанную систему. В декодированном пакете можно видеть, какие команды действительно выполняются на удаленной системе. В данном случае хакер «приказывает» взломанной системе загрузить инструментарий с другого взломанного сайта, запустить этот инструментарий, а затем удалить загруженный исполняемый модуль. В этом случае инструментарий использован для перехвата сеансов IRC |
Для большинства организаций практически не в состоянии обнаружить и определить, что этот трафик является вредоносным. Выявление нелегитимных средств доступа в систему, к примеру, трудно потому, что ни один из прослушиваемых портов они не открывают, а просто пассивно прослушивают команды. Еще труднее декодировать пакеты и определить их истинную цель, не имея возможности проанализировать исполняемый файл. В нашем случае сеть-приманка продемонстрировала свою способность собирать информацию в управляемой среде, несмотря на то, что анализатор был некорректно сконфигурирован и не регистрировал трафик NVP.
Деятельность Honeynet Project подтвердила ценность технологий создания сетей-приманок, доказав, что она заключается, прежде всего, в информации, которую они собирают. Однако реальный потенциал сетей-приманок не может быть реализован до тех пор, пока организации не смогут эффективно развертывать многочисленные сети-приманки и согласовывать информацию, которую они собирают. В этом и состоит будущее Honeynet Project. Первым шагом к нему станет создание загружаемого компакт-диска, который значительно упростит развертывание таких сетей и стандартизует собираемую ими информацию. После этого организации смогут развертывать различные сети-приманки в распределенной среде. Как только такую информацию станет возможно регистрировать в центральной базе данных, будут разработаны пользовательские интерфейсы, позволяющие легко анализировать и согласовывать накопленные данные, учитывая их крайнюю важность для организаций. У технологий сетей-приманок большие перспективы.
Литература
L. Spitzner, Honeypots: Tracking Hackers, Addison-Wesley, 2002; www.tracking-hackers.com/book. B. Schneier, Applied Cryptography, John Wiley & Sons, 1996.
Ланс Спитцнер (lance@honeynet.org) — ведущий архитектор систем безопасности корпорации Sun Microsystems и преподаватель SANS Institute. К его основным научным интересам относится изучение сетей-приманок.
Lance Spitzner, The Honeynet Project: Trapping the Hackers. IEEE Security & Privacy, January-February 2003. IEEE Computer Society, 2003, All rights reserved. Reprinted with permission.
Ловушки
Сеть-приманка — вид ловушки, представляющей собой «защищенный ресурс, назначение которого состоит в том, чтобы служить объектом зондирования, атак и взломов» [1]. Концепция, лежащая в ее основе, очень проста. Вы создаете ресурс, который не используется в работе и на котором не ведется никакая содержательная деятельность. Это значит, что, если в данную ловушку передается какой-нибудь пакет или кто-то предпринимает попытку получить к ней доступ, то, скорее всего, это зондирование, сканирование или атака. Неотъемлемым преимуществом этой модели является ее простота.
Трафик, передаваемый через ловушки, невелик, но деятельность этих ресурсов очень важна. Значительно сокращается число ложных тревог. Вместо того чтобы генерировать, к примеру, 10 тыс. уведомлений в день, ловушка может генерировать всего пять или десять таких уведомлений, но большинство из них будут сообщениями о реальных попытках зондирования или атаках. Кроме того, ловушки, в отличие от других средств обнаружения вторжения, не зависят от сигнатур, правил или новых алгоритмов, поэтому они могут без труда собирать информацию даже о ранее неизвестных атаках. В частности, в январе 2002 года ловушка смогла распознать атаку, совершенную с помощью эксплоита dtspcd для операционной системы Solaris. Наконец, поскольку ловушки собирают крайне ценные и при этом вовсе не избыточные сведения, согласовывать данные и выявлять общие тенденции становится значительно проще.
Тем не менее, ловушки имеют два основных недостатка. Первый из них заключается в том, что сфера действия ловушек весьма ограничена: они способны отслеживать только те атаки, которые направлены непосредственно против них. Ловушки игнорируют атаки на Web-серверы или внутренние базы данных, если при этом в сами ловушки не передается никакой информации. Второй недостаток является общим для всех технологий защиты — риск. Всякий раз, когда вы предлагаете новую технологию, особенно ту, которая работает со стеком протоколов IP, возникает риск, что в результате злонамеренных действий ресурс выйдет из строя, или, как в случае ловушки, будет использован для организации атак на другие системы. Из-за этих недостатков ловушки не смогут заменить существующие технологии организации защиты. Но с их помощью можно добиться более эффективного использования уже имеющихся архитектур.
Ловушки «промышленные» и исследовательские
Чтобы лучше понять значение ловушек, разделим их на две категории: «промышленные» и исследовательские. Первые призваны защитить организацию. Основная задача, которая ставится перед вторыми, — сбор информации о хакерах. Эта информация косвенно помогает защитить сеть. Развернуть промышленную ловушку проще и менее рискованно, но такие ловушки получают меньше информации о злоумышленниках, которые атаковали их.
Промышленные ловушки помогают защитить компанию тремя способами: за счет предотвращения атаки, обнаружения атаки и помощи специалистам в организации адекватных действий в ответ на атаку. Такие ловушки могут предотвращать нападения за счет замедления или эффекта увязания (tarring) автоматизированных атак, как это делает ловушка LaBrea. Ловушки могут более эффективно обнаруживать атаки, поскольку порождают меньшее количество тревог, как истинных, так и ложных. Свободно распространяемый инструментарий Honeyd не имеет себе равных в обнаружении атак, особенно в крупных сетях. Кроме того, промышленные ловушки можно использовать для организации действий в ответ на атаку (например, разоблачать хакеров после того, как они укажут на изъян в защите) или для анализа ситуации на ловушке, в которую проник хакер. Скажем, в крупной компании могут знать, что защита была взломана, но им не известно, в какие именно системы проник хакер и кто он такой. Ловушки, развернутые во внутренней сети, могут помочь идентифицировать хакеров и понять, как они проникли в систему и в какую именно ее часть.
Мониторинг действий пользователей
Даже если вы работаете в собственной компьютерной сети и отвечаете за ее безопасность и функционирование, у вас может не быть законных прав контролировать всю деятельность пользователей системы. Существует множество ограничений, в силу которых подобный контроль может считаться нелигитимным. В частности, это может оговариваться в местных или общенациональных нормативных актах, в правилах обеспечения конфиденциальности или в контрактах с сотрудниками, в соглашениях об обслуживании и иных документах. Из-за нарушений этих ограничений вы можете быть привлечены к гражданской или даже уголовной ответственности. Поскольку основная ценность ловушек заключается в том, что они позволяют получить данные, накапливаемые практически исключительно при мониторинге действий пользователей, учитывать ограничения на право слежения за операциями пользователей крайне важно.
Объем информации и уровень интерактивности
Сведения, которые собирают исследовательские ловушки, крайне важны и используются в разных целях. Распределенные исследовательские ловушки могут собирать общую информацию (раннее предупреждение и прогнозирование атак) или сведения, касающиеся конкретных организаций или угроз (сбор информации о потенциальном враге). В 2002 году группа хакеров из Пакистана проникла в ряд федеральных систем США. Информация, собранная в ловушках, помогла специалистам по безопасности разобраться в методах злоумышленников и адекватно отреагировать на их действия.
Как правило, уровень интерактивности в промышленных ловушках, в отличие от исследовательских, довольно низок. Уровень интерактивности определяет, насколько активную деятельность ведет хакер, проникший в ловушку. Чем больше уровень интерактивности, тем больше хакер может сделать. Чем больше хакер может сделать, тем больше мы можем узнать — и тем больше вреда он может нанести. Большинство систем с низким уровнем интерактивности эмулируют те или иные службы. Ловушка с низким уровнем интерактивности, например, может эмулировать FTP-сервер или Web-сервер. Насколько активно хакер будет работать в ловушке, зависит от уровня эмуляции, свойственного конкретной реализации.
Ловушки с высоким уровнем интерактивности службы не эмулируют. Вместо этого они предоставляют реальную операционную среду. В ловушке с высоким уровнем интерактивности устанавливается и используется реальный FTP-сервер (такой как wu-ftpd) или Web-сервер (такой как Microsoft IIS).
Патриотический Акт
Исключение «компьютерный правонарушитель», описанное в Патриотическом Акте США (USA Patriot Act), принятом в октябре 2001 года, в определенных ситуациях дает государственным органам право мониторинга действий хакеров. Это исключение применяется для того, чтобы предоставить определенному лицу, действующему как представитель государственного органа, право отслеживать трафик хакера, «передаваемый в сеть, через нее или из нее», если:
владелец или оператор сети имеет право на такое прослушивание; лицо, выполняющее прослушивание сеанса связи хакера, проводит законное расследование; это лицо имеет веские основания полагать, что прослушиваемые сеансы связи имеют отношение к проводимому расследованию.
Это исключение может оказаться весьма полезным для владельцев ловушек, в тех случаях, когда ловушка создается с участием или по указанию государственных органов.
Причинение вреда другим лицам
При развертывании ловушек особое внимание следует обратить на снижение риска их использования в неправомерных целях. Хакеры могут попытаться с помощью вашего аппаратного обеспечения реализовать свои злые умыслы. Хакеры способны не только проникнуть в вашу сеть, но и использовать ее и имеющуюся полосу пропускания для организации атак на другие системы.
Корректное и безопасное использование ловушек требует постоянного контроля. Нельзя установить ловушку и предоставить ее самой себе, поскольку она может стать средством хранения краденных кредитных карт, коммерческих тайн и файлов с паролями, либо быть превращена в сайт для размещения пиратских копий программ или точку распространения детской порнографии. Оставленная без должного внимания ловушка может быстро стать частью очень серьезной проблемы, которую она, по идее, призвана решать.
Провокация
Некоторые участники дискуссии о ловушках указывают на то, что владельца подобных систем могут обвинить в умышленной провокации на уголовно наказуемое деяние. Эти опасения несколько преувеличены. Умышленная провокация, в буквальном смысле, — это аргумент в свою защиту, которую ответчик по уголовному делу может привести в попытке избежать обвинительного приговора. Защита ссылкой на провокацию может применяться во время слушания уголовного дела в том случае, если представители государственных органов своими действиями на самом деле вынудили ответчика совершить преступление, в котором его обвиняют. Ответчик, который склонен к совершению преступления, не может обоснованно ссылаться на провокацию. Во всяком случае, аргументы защиты вряд ли будут убедительными, если хакер проник в компьютер, оказавшийся ловушкой, к которой государственные органы не имеют никакого отношения.
Ричард Салгадо — старший юридический советник отдела компьютерных преступлений и интеллектуальной собственности департамента уголовных преступлений Министерства юстиции США. Также занимает должность доцента юридического центра Джорджтаунского университета и преподает в SANS Institute. В данной статье изложено мнение самого Салгадо, которое может не совпадать с официальной позицией министерства.
Различные виды сетей-приманок
Сеть-приманка, по существу, — это разновидность исследовательской ловушки. Ее основное предназначение — собирать информацию о хакерах. С этой целью развертывается сеть систем, способных служить объектами атаки. Ничего не эмулируется; используются реальные системы и приложения. Цель — добиться того, чтобы хакеры проникли в систему, расположенную внутри сети-приманки, и записать и проконтролировать каждое их действие, причем так, чтобы они об этом не догадывались.
Главная сложность, возникающая при развертывании сети-приманки, — отсутствие готового решения. Нельзя установить готовый программный пакет и начать использовать сеть-приманку. Во многом, сеть-приманка напоминает аквариум: можно видеть все, что происходит в ее среде. Как только соответствующая архитектура сформирована и созданы все условия для ее работы, в контролируемой среде развертываются системы-цели. На рис. 1 представлена сеть-приманка GenI.
 | |
|
Рис. 1. Сеть-приманка первого поколения GenI. Сеть-приманка — специальным образом устроенная искусственная среда. Расположенные в этой среде системы играют роль приманки |
Архитектура сети-приманки в обязательном порядке должна отвечать двум важным требованиям: поддерживать управление данным и сбор данных. Для реализации этих требований можно использовать любые технологии, но при этом необходимо гарантировать, что данные требования выполняются. Цель управления данными — снизить риск. Точнее говоря, гарантировать, что после того, как хакер проник в системы сети-приманки, он не сможет использовать взломанные системы для атаки или для нанесения вреда другим системам. Сбор данных гарантирует, что можно обнаружить и зарегистрировать все действия хакеров, даже если они замаскированы или зашифрованы.
И при управлении данными, и при их сборе ситуация усугубляется тем, что необходимо действовать так, чтобы нарушитель этого не обнаружил. Давайте посмотрим, как это делается в рамках GenII.
Сбор данных
Для гарантии эффективной записи данных Honeynet Project использует сразу несколько методов, поскольку ни один в отдельности не в состоянии получить всю требуемую информацию. Многие считают, что если записать все команды, выдаваемые хакером, то таким образом можно получить все необходимые сведения. Это далеко не так. Предположим, выясняется, что записанная команда запускает некий сценарий? Что этот сценарий делает, какие изменения вносит и какую функциональность поддерживает? Восстановление этого сценария столь же важно, как и его обнаружение. Для этого Honeynet Project использует разные уровни сбора данных.
Первый уровень — это сам мост. Шлюз IDS, который идентифицирует и блокирует атаки, пассивно просматривает каждый пакет и весь трафик, который тот создает в сети. Это гарантирует, что мы можем записать и зарегистрировать все действия хакера для последующего анализа. В частности, шлюз позволяет восстанавливать такие данные, как учетные записи или пароли, к примеру, из открытых протоколов, таких как IRC, HTTP или telnet. По журналу регистрации, содержащему информацию о передаче файлов, можно восстановить, какой инструментарий применял хакер. Даже при использовании зашифрованных протоколов, с помощью пассивного анализа характерных признаков пакетов не очень сложно определить тип атакующей системы и ее возможное местонахождение.
Второй уровень сбора данных — это журнал регистрации межсетевого экрана. Мостовое устройство второго уровня имеет механизм фильтрации пакетов, позволяющий блокировать исходящие соединения при достижении установленного предельного их числа. Тот же самый механизм регистрирует все входящие и исходящие соединения. Входящие соединения содержат важную информацию, поскольку с их помощью, скорее всего, выполняются зондирование, сканирование или атаки. Исходящие соединения имеют еще большее значение, поскольку могут свидетельствовать о проникновении в ловушку и поскольку исходящее соединение инициирует хакер.
Третий уровень предназначен для сбора информации о том, какие команды инициировал хакер, и вообще о его деятельности в системе. Это сделать намного труднее, чем кажется: хакеры стали часто использовать шифрование. Большинство организаций, стремясь обеспечить защиту данных, развертывают шифрующие протоколы наподобие SSH и HTTPS. Однако и хакеры, чтобы скрыть свои действия, могут использовать те же самые протоколы. Как только хакер проник в систему, расположенную в сети-приманке, он может осуществлять удаленное администрирование системы с помощью SSH, в силу чего проследить его действия становится еще сложнее. Даже если в системе, куда попал хакер, SSH не установлен, все чаще оказывается, что в этом случае хакер инсталлирует свою собственную версию протокола.
Чтобы преодолеть эти трудности, в Honeynet Project были разработаны модули ядра, устанавливаемые в системах, которые могут стать объектами нападения. Эти модули накапливают информацию обо всей деятельности хакеров, в частности, о зашифрованных командах или о scp (защищенное копирование или инструментарий, для зашифрованной передачи файлов) при загрузке наборов инструментальных средств. Информацию, которую собирают модули ядра, нельзя сохранять локально в ловушке, поскольку хакер может обнаружить, случайно удалить или изменить ее. Данную информацию необходимо удаленно собирать на защищенной системе, причем так, чтобы хакер об этом не знал.
В частности, это можно сделать, отправляя собранные сведения в сеть. Шлюз IDS анализирует и собирает сведения обо всей сетевой активности в сети-приманке, записывая все пакеты, сгенерированные модулем ядра, так что в этом случае мост второго уровня действует как сетевой анализатор, накапливающий сведения и регистрирующий всю деятельность хакера. Смысл данного метода — передать информацию таким образом, чтобы хакер этого не заметил.
Хакеры легко могут проанализировать трафик в канале и увидеть, что в пересылаемых по нему пакетах содержатся сведения об их собственной деятельности. Чтобы воспрепятствовать этому, модуль ядра маскирует пакеты под трафик NetBIOS, передаваемый из других систем. IP- и MAC-адреса отправителей и получателей маскируются под адреса локального сервера Windows. Даже если хакер анализирует канал и просматривает пакеты, то для него они будут выглядеть как обычный трафик. Реальные данные, содержащиеся в пакетах, шифруются Blow-fish, что гарантирует их конфиденциальность [2].
Эти многочисленные уровни сбора данных гарантируют, что мы получим истинное представление о деятельности хакеров. Другие методы, такие как обратный инжиниринг и судебные расследования, выходят за рамки данной статьи. Чтобы больше узнать о технических подробностях развертывания сетей-приманок, посетите сайт www.honeynet.org/papers/honeynet.
Стремясь собирать как можно более широкий спектр сведений, Honeynet Project развертывает в своих сетях-приманках различные виды операционных систем. Существуют сети-приманки, где работают Solaris, OpenBSD, Linux и Windows. Хотя все эти проекты пока находятся на начальных этапах реализации, можно отметить весьма интересные тенденции: главная заключается в том, что разные операционные системы привлекают разные категории злоумышленников. Windows-системы, как правило, становятся объектами нападения червей или простых автоматизированных атак, таких как сканирование открытых совместно используемых ресурсов или передача рекламных объявлений через порт 135. На Linux-системы, как правило, организаторами нападения становятся жители Восточной Европы, в основном, румыны, которые используют общеизвестные дефекты систем и автоматизированные средства планирования атак, такие как wu-ftpd massrooter. Системы, работающие под управлением Solaris и OpenBSD, подвергаются более разнообразным и интересным атакам, в частности, организуемым с использованием туннелирования IPv6.
Скромное начало
Проект был инициирован в 1999 году небольшой группой специалистов как неформальный список рассылки. Однако в скором времени стало понятно, что ни один специалист сам по себе не обладает всем опытом, необходимым для анализа собранных сведений об атаках. Ряды участников проекта постепенно расширялись, и в июне 2000 года он получил официальное название Honeynet Project.
По прошествии двух лет деятельность в рамках Honeynet Project была формализована. Число участников группы достигло 30, она получила статус некоммерческой организации. Был создан совет директоров, в состав которого вошли Брюс Шнейер, Джордж Куртц, Элиас Леви и Дженифер Граник. Однако группа по-прежнему не обладала ресурсами, достаточными для проведения исследований, разработки и массового развертывания сетей-приманок. В январе 2002 года был создан альянс Honeynet Research Alliance, а в декабре того же года в его состав входило уже 10 активных организаций из Бразилии, Греции, Индии, Мексики, Ирландии и США. Альянс значительно расширил возможности Honeynet Project, касающиеся сбора данных и формирования общего представления о том, с какими угрозами сталкивается Internet.
Управление данными
Поскольку необходимо предоставить хакерам возможность попасть в наши системы, но не позволить им проникнуть дальше и нанести вред другим, следует изолировать системы-цели в сети-приманке с помощью мостового устройства второго уровня. В этом случае весь трафик, проходящий через системы сети-приманки, сначала пересылается через «невидимый» мост второго уровня (см. рис. 2). Поскольку мост действует на втором уровне, не происходит никакого замедления при маршрутизации пакетов или появления MAC-адресов, которые может идентифицировать хакер. Мост позволяет злоумышленникам проникнуть в сеть, но дает возможность контролировать их действия и исходящий трафик. Это очень важно. Было обнаружено, что в большинстве случаев взлома сетей-приманок Honeynet хакеры предпринимали попытки использовать такие сети для проникновения в другие системы, в частности, для организации DoS-атак (denial of service — «отказ в обслуживании»).
 | |
|
Рис. 2. Сеть-приманка второго поколения GenII. Мостовое устройство второго уровня (на рисунке оно называется сенсором сети-приманки) изолирует и ограничивает системы в сети-приманке |
Таким образом, главное в управлении данными — предоставить хакерам свободу действий и в то же время не дать им возможность причинять вред. Одно из потенциальных решений — создать сеть-приманку, в которую может попасть любой, а затем блокировать на мосту все исходящие соединения. Это позволило бы не допустить причинение вреда другим системам, но подобная сеть-приманка будет практически бесполезной: выяснить, что делали хакеры после того, как проникли в сеть, будет невозможно. Кроме того, хакерам не составит труда распознать сеть-приманку, если после попадания в нее они будут лишены обратной связи.
Второе решение, опирающееся на технологии GenI, предполагает подсчет числа исходящих соединений и блокировку любых соединений, превышающих установленный лимит. Можно начать с пяти-десяти соединений в час. Как только число соединений на ловушке достигнет этого предела, все остальные исходящие соединения необходимо блокировать. Это предотвращает большинство DoS-атак, сканирование или другую вредоносную деятельность, но по-прежнему оставляет хакерам достаточную свободу действий.
Этот метод эффективен, но имеет свои ограничения: хакеры по-прежнему могут опознавать сеть-приманку и инициировать атаки, не превышая ограничения на число исходящих соединений. В GenII существует второй уровень управления данными: шлюз IPS (intrusion prevention system — «система предотвращения вторжений»). Этот шлюз обладает теми же возможностями для обнаружения атак, что и обычные IDS (intrusion detection system — «система обнаружения вторжений»), но имеет преимущество, поскольку позволяет блокировать атаки после того, как те идентифицированы.
 |
Рис. 3. Сигнатура Snort-Inline применяется для модификации и обезвреживания известной DNS-атаки, использующей опцию замены. Жирным шрифтом выделена команда, служащая для модификации и обезвреживания атаки |
Есть вероятность того, что шлюз IDS не распознает новую или замаскированную атаку, но существует и иной риск, который следует принять во внимание при развертывании данной технологии. Если хакер инициирует ранее неизвестную атаку, а шлюз IDS пропустит ее, хакер потенциально может использовать жертву в своих интересах. К счастью, однако сеть-приманка будет регистрировать все действия хакера, в том числе задействованные инструменты, его методы и сигнатуру новой атаки. Эта информация затем будет распространена в сообществе специалистов по защите, что позволит им уберечься от повторения такой атаки.
Метод поиска различий
Итак, для успешного использования методов сокрытия необходимо найти различия в реализации стеков TCP/IP. Для этого используются специально подготовленные тестирующие сетевые пакеты, позволяющие анализировать реакцию IDS и целевых систем.
Чтобы понять, каким образом необходимо подготавливать тестирующую последовательность сетевых пакетов, следует более подробно рассмотреть использование методов сокрытия атак. Так, для проведения метода вставки надо подобрать такую последовательность тестирующих пакетов, чтобы целевая система ее не восприняла. Причины, по которым целевая система не обработает последовательность, могут быть различными — либо стек протоколов целевой системы решит, что последовательность не корректна, либо произойдет перезапись передаваемого блока данных, например, после обработки перекрывающихся IP- или TCP-фрагментов [2, 3].
После обнаружения последовательностей сетевых пакетов, которые не воспринимает целевая система, переходят ко второй фазе тестирования — исследование реакции IDS на прием этих последовательностей. Какие последовательности сетевых пакетов будут восприняты как правильные и обработаны? В случае, если найдена одна или несколько таких последовательностей, можно считать, что данная комбинация целевой системы и IDS имеет уязвимость, позволяющую использовать метод вставки. С методом уклонения все наоборот: требуется найти последовательности пакетов, которые целевая система воспримет, а IDS не станет обрабатывать.
Для метода поиска различий, прежде всего, были выделены уровни сетевого взаимодействия, на которых проводится поиск. При проведении исследований рассматривались средства IDS, работающие в сетях TCP/IP. Для данного стека протоколов принята четырехуровневая модель: канальный, сетевой, транспортный и прикладной. Для создания полной картины существующих различий методика поиска затрагивала все 4 уровня. Кроме того, необходимо выявить признаки сетевых пакетов, по которым система принимает решение, что пришедший пакет некорректный и его следует отбросить.
TCP-фрагментом будем называть TCP-сегмент, являющийся частью одного сеанса. ( Спецификация протокола TCP не оперирует этим понятием; нам же оно необходимо для описания нашей методики.) Пример TCP-фрагмента: в процессе работы через telnet-соединение в рамках одного сеанса передается множество TCP-сегментов, содержащих всего один символ, введенный пользователем. В нашей методике поиска уязвимостей возможные различия искались в следующих аспектах реализации стека протоколов;
обработка некорректных заголовков кадров канального уровня (Ethernet); обработка некорректных пакетов сетевого уровня (IP); обработка некорректных заголовков сегментов транспортного уровня (TCP); обработка IP-фрагментов; обработка TCP-фрагментов; обработка различных комбинаций TCP-флагов; обработка пакетов с неправильными порядковыми номерами протокола TCP; обработка некорректного HTTP-сеанса.
Перечисленные аспекты реализации могут существенно различаться в разных системах. Особенный интерес представляют вопросы, связанные с обработкой фрагментированного трафика: в стандартах вообще нет рекомендаций, которых должны придерживаться разработчики при обработке аномального фрагментированного трафика (частично или полностью перекрывающиеся фрагменты), поэтому именно на этой детали реализации стеков необходимо акцентировать внимание.
Для поиска различий были разработаны специальные последовательности тестирующих пакетов.
Обработка заголовков. Назначение данных тестов - определить, каким образом происходит обработка заголовков сетевых пакетов, и какие заголовки система считает некорректными. Тестирование проводится в четыре этапа:
обработка некорректных пакетов канального уровня; обработка некорректного IP-заголовка; обработка некорректного TCP-заголовка; посылка TCP-сегмента с неправильным номером очереди.
Обработка фрагментов. Данный класс тестов предназначен для определения той стороны реализации стека, которая связана с обработкой TCP- и IP-фрагментов. Проведение тестов проходило в четыре этапа:
посылка IP-фрагментов с некорректным заголовком канального и сетевого уровней; посылка TCP-фрагментов с некорректным заголовком канального, сетевого и транспортного уровней; посылка IP- и TCP-фрагментов в различной последовательности (произвольный порядок, обратный порядок, посылка повторяющихся пакетов); посылка частично и полностью перекрывающихся IP- и TCP-пакетов.
Обработка флагов TCP. Эти тесты предназначены для определения того, как система обработает различные комбинации флагов TCP-сегмента при передаче потока данных. Рассматривались восемь комбинаций флагов ACK, SYN, FIN. Интересовало новое состояние TCP-соединения, реакция целевой системы (какие TCP-сегменты система пошлет в ответ) и поведение системы обнаружения вторжений. Обработка HTTP-сеанса. При проведении этого теста проверялась обработка некорректного HTTP-запроса, начинающегося с двух символов начала строки (0x0D, 0x0A, 0x0D, 0x0A). По спецификации данными символами должен заканчиваться запрос к Web-серверу. Проведение теста тесно связано с логикой обработки TCP-сегментов с неправильными номерами очередей, результаты по которым были получены ранее.
Структура современных систем обнаружения вторжения
Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [1, 2]. Структура СОВ представлена на рис. 1.
До недавнего времени наиболее распространенной структурой СОВ была модель, предложенная Дороти Деннинг (D. Denning) [3].
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [2].
Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы. Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему. Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.
Рис. 1. Структура системы обнаружения вторжения
Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:
датчики приложений – данные о работе программного обеспечения защищаемой системы; датчики хоста – функционирование рабочей станции защищаемой системы; датчики сети – сбор данных для оценки сетевого трафика; межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.
Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.
Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.
Характеристика направлений и групп методов обнаружения вторжений
Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в таблицах 1 и 2.
Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.
Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учителем»)
| Моделирование правил | W&S | Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии. |
| Описательная статистика | IDES, NIDES, EMERLAND, JiNao, HayStack | Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико. |
| Нейронные сети | Hyperview | Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии. |
Таблица 2. Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)
| Моделирование множества состояний | DPEM, JANUS, Bro | Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы. |
| Описательная статистика | MIDAS, NADIR, Haystack, NSM | Аналогичен соответствующему методу в контролируемом обучении. |
Таблица 3. Обнаружение злоупотреблений – контролируемое обучение («обучение с учителем»)
| Моделирование состояний | USTAT, IDIOT | Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события. |
| Экспертные системы | NIDES, EMERLAND, MIDAS, DIDS | Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы. |
| Моделирование правил | NADIR, HayStack, JiNao, ASAX, Bro | Простой вариант экспертных систем. |
| Синтаксический анализ | NSM | Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса. |
Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. Методы поиска злоупотреблений приведены в таблице 3. В настоящие время выделяются лишь методы с контролируемым обучением.
Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.
Выбор оптимальной совокупности признаков оценки защищаемой системы
В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой системы, использование которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и та же совокупность параметров не будет адекватной для всех типов вторжений.
Любую систему, состоящую из привычных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми СОВ, которые используют один и тот же набор параметров оценки. Наиболее предпочтительное решение – определение необходимых параметров оценки в процессе работы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества. Если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2N. Поэтому не представляется возможным использование алгоритмов перебора для нахождения оптимального множества. Одно из возможных решений – использование генетического алгоритма [4].
Получение единой оценки состояния защищаемой системы
Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [5].
Статистика Байеса
Пусть А1.. Аn – n измерений, используемых для определения факта вторжения в любой момент времени. Каждое Аi оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение Аi имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями
Вероятность вычисляется при помощи теоремы Байеса.
Для событий I и ¬I, скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение Аi зависит только от I и условно не зависит от других измерений Аj где i ? j. Это приведет к соотношениям
и
Отсюда
Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.
Однако для получения более реалистичной оценки Р(I|А1..Аn), необходимо учитывать влияние измерений Аi друг на друга.
Ковариантные матрицы
В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А1.. Аn представляет собой вектор А, то составное измерение аномалии можно определить как
где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Сети доверия (сети Байеса)
Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [6].
Описательная статистика
Один из способов формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре измерений значений параметров оценки. Эта структура называется профайлом. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, в IDES используются следующие типы [3]:
Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. В общем случае используется для обнаружения аномалий, связанных с резким ускорением в работе. Пример: среднее число записей аудита, обрабатываемых для элемента защищаемой системы в единицу времени. Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита. Здесь под активностью понимается любое действие в системе, например, доступ к файлам, операции ввода-вывода. Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу). Например, относительная частота регистрации в системе (логинов) из каждого физического места нахождения. Предпочтения в использовании программного обеспечения системы (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т.д). Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Например, количество операций ввода-вывода, инициируемых каждым пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывают количество активностей.
При обнаружении аномалий с использованием профайла в основном применяют статистические методы оценки. Процесс обнаружения происходит следующим образом: текущие значения измерений профайла сравнивают с сохраненными значениями. Результат сравнения – показатель аномальности в измерении. Общий показатель аномальности в простейшем случае может вычисляться при помощи некоторой общей функции от значений показателя аномалии в каждом из измерении профайла. Например, пусть M1,M2…Mn, – измерения профайла, а S1,S2….Sn, соответственно, представляют собой значения аномалии каждого из измерений, причем чем больше число Si, тем больше аномалии в i-том показателе. Объединяющая функция может быть весом сумм их квадратов:
a1s12 + a2s22+…+ansn2>0, (7)
где ai – показывает относительный вес метрики Mi.
Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.
Основное преимущество заключается в том, что применяются хорошо известные статистические методы.
Недостатки:
Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий. Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений. Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative). Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.
Нейронные сети
Другой способов представления «образа» нормального поведения системы – обучение нейронной сети значениями параметров оценки.
Обучение нейронной сети осуществляется последовательностью информационных единиц (далее команд), каждая из которых может находиться на более абстрактном уровне по сравнению с используемыми параметрами оценки. Входные данные сети состоят из текущих команд и прошлых W команд, которые обрабатываются нейронной сетью с целью предсказания последующих команд; W также называют размером окна. После того как нейронная сеть обучена множеством последовательных команд защищаемой системы или одной из ее подсистем, сеть представляет собой «образ» нормального поведения. Процесс обнаружения аномалий представляет собой определение показателя неправильно предсказанных команд, то есть фактически обнаруживается отличие в поведение объекта. На уровне рецептора (рис. 2) стрелки показывают входные данные последних W команд, выполненных пользователем. Входной параметр задает несколько значений или уровней, каждый из которых уникально определяет команду. Выходной реагирующий слой состоит из одного многоуровневого, который предсказывает следующую возможную команду пользователя [7].
Рис. 2. Концептуальная схема нейронных сетей СОВ
Недостатки:
топология сети и веса узлов определяются только после огромного числа проб и ошибок; размер окна – еще одна величина, которая имеет огромное значение при разработке; если сделать окно маленьким то сеть будет не достаточно производительной, слишком большим – будет страдать от неуместных данных.
Преимущества:
успех данного подхода не зависит от природы исходных данных; нейронные сети легко справляются с зашумленными данными; автоматически учитываются связи между различными измерениями, которые, несомненно, влияют на результат оценки.
Генерация патернов
Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.
Ченг (K. Cheng) [8] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)
где Е1… Е5 - события безопасности.
Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.
Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.
Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.
Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:
зависимости между событиями; последовательность появления событий.
Достоинства метода:
лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов; возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная; лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.
Анализ методов обнаружения аномалий
Методы обнаружения аномалий направлены на выявление неизвестных атак и вторжений. Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:
накопление наиболее характерной статистической информации для каждого параметра оценки; обучение нейронных сетей значениями параметров оценки; событийное представление.
Легко заметить, что в обнаружении очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки.
Другой, не менее важной задачей является определение общего показателя аномальности. Сложность заключается в том, что эта величина должна характеризовать общее состояние «аномальности» в защищаемой системе.
Использование условной вероятности
Для определения злоупотреблений нужно определить условную вероятность
Р(Вторжение|Патерн событий).
То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.
Далее используется формула Байеса
где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.
Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса
где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.
Продукционные/Экспертные системы
Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [9].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:
недостаточная эффективность при работе с большими объемами данных; трудно учесть зависимую природу данных параметров оценки.
При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.
Трудности:
Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и». Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил. Обнаруживаются только известные уязвимости. Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил. Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.
Анализ изменения состояний
Этот метод был описан в STAT [10] и реализован в USTAT [11]. Сигнатура вторжения представляется как последовательность переходов между состояниями защищаемой системы. Паттерны атаки (совокупность значений параметров оценки) соответствуют какому-то состоянию защищаемой системы и имеют связанную с ними логическую функцию. Если эта функция выполняется, то считается, что система перешла в это состояние. Последующие состояния соединены с текущим линиями, которые представляют собой необходимые события для дальнейших переходов. Типы возможных событий встроены в модель и соответствуют, хотя и не обязательно, значениям параметров оценки по принципу один к одному [10, 11].
Паттерны атаки могут только задать последовательность событий, поэтому более сложный способ определения событий не поддерживается. Более того, отсутствует общий механизм целей, который можно было бы использовать для обрезания частичного соответствия атак, вместо этого используется простая встроенная логическая функция.
Наблюдение за нажатием клавиш
Для обнаружения атак в данной технологии используется мониторинг за нажатием пользователя на клавиши клавиатуры. Основная идея – последовательность нажатий пользователя задает паттерн атаки. Недостатком этого подхода является отсутствие достаточно надежного механизма перехвата работы с клавиатурой без поддержки операционной системы, а также большое количество возможных вариантов представления одной и той же атаки. Кроме того, без семантического анализатора нажатий различного рода псевдонимы команд могут легко разрушить эту технологию. Поскольку она направлена на анализ нажатий клавиш, автоматизированные атаки, которые являются результатом выполнения программ злоумышленника, также могут быть не обнаружены [12].
Методы, основанные на моделировании поведения злоумышленника
Одним из вариантов обнаружения злоупотребления является метод объединения модели злоупотребления с очевидными причинами. Его суть заключается в следующем: есть база данных сценариев атак, каждая из которых объединяет последовательность поведений, составляющих атаку. В любой момент времени существует возможность того, что в системе имеет место одно из этих подмножеств сценариев атак. Делается попытка проверки предположения об их наличии путем поиска информации в записях аудита. Результатом поиска является какое-то количество фактов, достаточное для подтверждения или опровержения гипотезы. Проверка выполняется в одном процессе, который получил название антисипатор. Антисипатор, основываясь на текущей активной модели, формирует следующее возможное множество поведений, которое необходимо проверить в записях аудита, и передает их планировщику. Планировщик определяет, как предполагаемое поведение отражается в записях аудита и трансформирует их в системно-аудитозависимое выражение. Эти выражения должны состоять из таких структур, которые можно было бы просто найти в записях аудита, и для которых имелась бы достаточно высокая вероятность появления в записях аудита.
По мере того как основания для подозрений некоторых сценариев накапливаются, а для других – снижаются, список моделей активностей уменьшается. Вычисление причин встроено в систему и позволяет обновлять вероятность появления сценариев атак в списке моделей активности [13].
Преимущества:
появляется возможность уменьшить количество существенных обработок, требуемых для одной записи аудита; сначала наблюдаются более «грубые» события в пассивном режиме, и далее, как только одно из них обнаружено, наблюдаются более точные события; планировщик обеспечивает независимость представления от формы данных аудита.
Недостатки:
при применении данного подхода у лица, ответственного за создание модели обнаружения вторжения, появляется дополнительная нагрузка, связанная с назначением содержательных и точных количественных характеристик для разных частей графического представления модели; эффективность этого подхода не была продемонстрирована созданием программного прототипа; из описания модели не ясно, как поведения могут быть эффективно составлены в планировщике, и какой эффект это окажет на систему во время работы; этот подход дополняет, но не заменяет подсистему обнаружения аномалий.
Анализ методов обнаружения злоупотреблений
Использование только методов обнаружения аномалий не гарантирует выявление всех нарушений безопасности, поэтому в большинстве СОВ существует технологии распознавания злоупотреблений. Обнаружение вторжений-злоупотреблений основывается на прогностическом определении атак и последующим наблюдением за их появлением [2]. В отличие от обнаружения аномалии, где образ – это модель нормального поведения системы, при обнаружении злоупотребления он необходим для представления несанкционированных действий злоумышленника. Такой «образ» применительно к обнаружению злоупотреблений называется сигнатурой вторжения. Формируется сигнатура на основе тех же входных данных, что и при обнаружении аномалий, то есть на значениях параметров оценки. Сигнатуры вторжений определяют окружение, условия и родство между событиями, которые приводят к проникновению в систему или любым другим злоупотреблениям. Они полезны не только при обнаружении вторжений, но и при выявлении попыток совершения незаконных действий. Частичное совпадение сигнатур может означать, что в защищаемой системе имела место попытка вторжения.
Недостатки существующих систем обнаружения
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ.
Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14]. Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями. Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле. Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия. Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий. Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели. Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
недопустимо высокий уровень ложных срабатываний и пропусков атак; слабые возможности по обнаружению новых атак; большинство вторжений невозможно определить на начальных этапах; трудно, иногда невозможно, определить атакующего, цели атаки; отсутствие оценок точности и адекватности результатов работы; невозможно определять «старые» атаки, использующие новые стратегии; сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях; слабые возможности по автоматическому обнаружению сложных координированных атак; значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;
