Направления совершенствования СОВ
Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.
Аннотация
Рассматривается структура современных систем обнаружения вторжений (СОВ). Характеризуются основные направления распознавания нарушений безопасности защищаемых систем в современных СОВ. Выполнен анализ используемых методов и моделей структуры СОВ в соответствии с выделенными основными группами. Приведены основные недостатки существующих СОВ и обоснованы направления их совершенствования.
Системы и методы обнаружения вторжений: современное состояние и направления совершенствования
УДК 004.056.53
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»
Безопасность и Internet - статьи
1. Структура современных систем обнаружения вторжения
2. Характеристика направлений и групп методов обнаружения вторжений
3. Анализ методов обнаружения аномалий
3.1. Выбор оптимальной совокупности признаков оценки защищаемой системы
3.2 Получение единой оценки состояния защищаемой системы
3.3 Описательная статистика
3.4 Нейронные сети
3.5 Генерация патернов
4. Анализ методов обнаружения злоупотреблений
4.1 Использование условной вероятности
4.2 Продукционные/Экспертные системы
4.3 Анализ изменения состояний
4.4 Наблюдение за нажатием клавиш
4.5 Методы, основанные на моделировании поведения злоумышленника
5. Недостатки существующих систем обнаружения
6. Направления совершенствования СОВ
Список литературы
Список литературы
Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000, D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232, R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. // Technical report, Department of computer since, University of New Mexico, August 1990. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994. С.А. Терехов. Байесовы сети // Научная сессия МИФИ – 2003, V Всеросийская научно - техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1.-М.:МИФИ, 2003.-188с H. Debar, M. Becker,D. Siboni. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 – 250, Oakland, CA, USA, May 1992. K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988. P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997. K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995. K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX // Proceeding of the IEEE Symposium on Research in Security and Privacy. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304. T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991. J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994. Vern Paxon. Bro: A system for detection network intruders in real time // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.
Поиск уязвимостей
Поиск уязвимостей IDS был проведен посредством посылки запросов целевой системе с работающей IDS. Запрос формировался с учетом обнаруженных ранее различий. Успешное сокрытие атаки позволяло говорить о том, что найдена уязвимость. Описание некоторых методов сокрытия сигнатурных атак, использующих найденные уязвимости в зависимости от операционной системы целевой системы, типа атаки и используемой системы обнаружения, представлены в таблицах 1-5. Методы, которые можно использовать для сокрытия атак через Internet, отнесены к классу межсегментных. Если же метод подходит только для атак внутри одной сети, он отнесен к внутрисегментному классу.
Как выяснилось, существуют уязвимости IDS, которые можно использовать для проведения скрытой сигнатурной атаки, даже если нарушитель не знает, какая ОС установлена на целевой системе. Скажем, можно использовать тот факт, что Dragon 5.0 не воспринимает данные в TCP-сегменте с установленным флагом FIN или не в состоянии обработать некоторый фрагментированный трафик. Практически все исследованные IDS имеют такие уязвимости.
Если для проведения атак используются различия в работе IDS и операционной системы, то в зависимости от того, какую операционную систему защищает IDS, могут появляться новые уязвимости. Например, мы рассмотрели только связку RealSecure 6.0/Windows 2000. А что, если RealSecure 6.0 защищает Web-сервер на платформе Linux Red Hat? Понятно, что некоторые ранее найденные уязвимости будут неактуальны. Однако, используя особенности реализации стека Linux Red Hat, полученного на первом этапе тестирования, можно обнаружить новые уязвимости.
Используя результаты, полученные после поиска различий, нарушитель может разработать методы сокрытия для любых комбинаций IDS и ОС. Для этого ему необходимо выяснить, какая IDS защищает конкретный сегмент сети. Это основная проблема — особенно, если нарушитель находится вне сегмента. Если же нарушитель находится в том же сегменте сети, то появляется возможность определить тип IDS по служебной информации, которой IDS обменивается со своими агентами и сенсорами (если имеется распределенная архитектура IDS). После этого, используя генератор пакетов и проведя несколько тестирующих легальных запросов на целевую систему, нарушитель определяет особенности ее работы. Скажем, он может проанализировать, как обрабатывается фрагментированный трафик. Далее, используя базу данных с особенностями работы конкретной IDS и результатами тестирования, нарушитель сможет найти различия и сгенерировать такую последовательность пакетов, которая позволит незаметно провести сигнатурную атаку.
Поиск уязвимостей в современных системах IDS
Евгений Жульков
07.08.2003
Открытые системы, #07-08/2003
Еще совсем недавно считалось, что сетевые системы обнаружения атак, построенные по классической архитектуре, позволяют остановить множество сетевых атак. Но оказалось, что они могут быть легко скомпрометированы и имеется вероятность сокрытия факта проведения некоторых типов атак — особенно, если злоумышленнику известны определенные нюансы работы атакуемой системы.
Сетевые системы обнаружения атак (IDS — Intrusion Detection System), построенные по классической архитектуре, могут быть легко скомпрометированы, хотя ранее считалось, что их использование позволяет остановить многие сетевые атаки [1].
Среди множества сетевых атак можно выделить класс сигнатурных атак, в процессе которых передается неизменяемый блок данных заданного уровня сетевого взаимодействия. Большинство современных инструментов IDS используют сигнатурный метод поиска вторжений; он прост в использовании и при корректной реализации механизмов поиска сигнатур позволяет достичь высоких результатов обнаружения. Следует подчеркнуть: методы сокрытия атак, предложенные Томасом Птачеком и Тимоти Ньюшемом [1], позволяют скрыть от IDS факт проведения только сигнатурных атак.
Успешное использование методов сокрытия основано на предположении о том, что стеки протоколов, реализованные в IDS и в атакуемой (целевой) системе, различаются. Подобные различия могут быть вызваны несколькими причинами:
отсутствует единый стандарт для сетевых протоколов; существующие стандарты не описывают все возможные состояния сетевого взаимодействия, и разработчики вольны выбирать те решения поставленной задачи, которые покажутся им оправданными; как и любые программные продукты, IDS содержит ошибки, внесенные на стадии разработки или реализации; возможно неправильное конфигурирование IDS во время установки или администрирования; IDS и атакуемые системы решают различные задачи.
Передаваемая по сети информация может быть по-разному обработана IDS и целевой системой, а из-за различий в стеках протоколов появляется возможность создать последовательность пакетов, которая будет принята IDS, но отвергнута целевой системой. В таком случае IDS не знает, что целевая система не приняла пакет, и атакующий может воспользоваться этим для сокрытия факта проведения атаки, посылая специально созданные пакеты. Создавая ситуацию, когда целевая система отбрасывает пакеты, а система обнаружения атак их принимает, нарушитель как бы «вставляет» данные в анализатор событий IDS (рис. 1).
|
Рис. 1. Метод вставки |
|
Рис. 2. Метод уклонения |
Проведение тестирования
Тестирование реализации стеков операционной системы и IDS проводилось на макете, состоящем из двух компьютеров, объединенных сетью Ethernet. Хост, с которого проводилось тестирование, назывался «атакующей системой», а тестируемый хост — «целевой системой» (рис. 3). На хосте имелся файл с названием PHF. Доступ к данному файлу моделировал доступ к уязвимому сценарию phf (www.infosecurity.com/archive/1). В случае HTTP-запроса с атакующей системы к этому файлу Web-сервер передавал его содержимое атакующему, что говорило об успехе атаки. Совсем необязательно выполнять сам сценарий на Web-сервере: если Web-сервер выдал содержимое файла, можно считать, что атака состоялась. Атакующий мог видеть результат атаки на экране с помощью запущенного сетевого анализатора Snort. В случае успеха Snort перехватывал содержимое файла PHF. Обращение к файлу PHF выбрано не случайно. Во-первых, в [1] рассматривали также обращение к PHF. Во-вторых, данная уязвимость была обнаружена в 1996 году и все рассмотренные IDS имели правила для поиска такой сигнатуры.
Рис. 3. Тестовый макет |
Создание тестирующей последовательности пакетов проводилось при помощи специально разработанной программы NetStuff, которая является расширенным генератором пакетов, позволяющим выполнять следующие действия.
Установка связи. Программу можно использовать для установления TCP-соединения с удаленным сервером. В качестве параметров трехэтапного квитирования пользователь может выбрать IP-адреса отправителя и получателя, номера портов отправителя и получателя, а также задать начальный номер ISN. Разрыв связи. Для разрыва ранее установленного соединения предусмотрена специальная функция. Пользователю предоставляется возможность определить IP-адреса и номера портов отправителя и получателя, а также текущий номер последовательности. Посылка пакетов. Основная функция программы - посылка данных в пакетах TCP/IP. Программа имеет возможность посылки данных как в одном пакете, так и в нескольких TCP- или IP-фрагментах. При посылке пакетов имеется возможность настроить все известные поля протоколов канального, сетевого и транспортного уровней. Автоматически высчитывается контрольная сумма TCP-сегментов и IP-пакетов.
Для посылки данных в виде фрагментов можно выбрать протокол, в рамках которого проводится фрагментация и количество фрагментов. При необходимости можно сделать так, что сигнатура атаки будет разбита и передана в нескольких фрагментах. Разбив данные на фрагменты, можно настроить каждый фрагмент, изменяя при этом поля заголовков. Также можно модифицировать полезные данные, которые несут фрагменты.
Особое внимание уделялось выбору систем для тестирования: необходимо было рассмотреть как коммерческие, так и свободно распространяемые средства IDS.
В качестве исследуемых систем IDS были выбраны Snort 1.8.4. beta for Linux [4], Snort 1.8. for Win32 [4], eTrust Intrusion Detection 1.0 от Computer Associates [5], Dragon 5.0 от Enterasys Networks [6], RealSecure 6.0 от Internet Security Systems. Первые две системы распространяются свободно, для работы остальных понадобился демо-ключ, не ограничивающий функциональные возможности. Операционные системы, защищенные IDS: Windows 98 SE v4.10.2222; Windows 2000 SP2 v5.00.2195; Windows NT 4.0 SP3; Linux Red Hat 7.2 на ядре 2.4.7-10.
Поиск уязвимостей проходил по следующему сценарию.
Исследовалась реализация стека протоколов сетевого взаимодействия целевой системы. Для этого использовался генератор пакетов NetStuff и ранее подготовленные тестирующие последовательности сетевых пакетов. Инициировался запрос к файлу PHF, хранящемуся на Web-сервере целевой системы. В случае, если Web-сервер обработал запрос и выдавал содержимое файла, можно говорить о том, что конкретная реализация стека целевой системы восприняла текущую тестирующую последовательность, в противном случае, - что стек целевой системы не смог обработать запрос. Аналогично проводилось тестирование IDS. Если IDS смогла обнаружить сигнатуру атаки "phf" и выдала сообщение об атаке, то можно говорить о том, что IDS восприняла тестирующую последовательность. После изучения особенностей реализации стеков рассматривались полученные результаты и искались различия в работе стеков систем. Так, если конкретная целевая система оставляет новые данные при обработке перекрывающихся IP-фрагментов, а IDS оставляет старые, можно говорить о том, что найдено различие. Последний этап поиска - попытка проведения скрытой атаки методом вставки или сокрытия. Для этого использовались результаты, полученные в предыдущем пункте. В том случае, если удавалось незаметно для IDS получить содержимое файла PHF, можно говорить о том, что найдена новая уязвимость.
Результаты
Действительно существуют различия в реализации стеков протоколов целевых систем и IDS. Эти различия, прежде всего, основаны на неполном описании межсетевого взаимодействия и ошибках проектирования. Большинство таких различий основывается на разном порядке обработки фрагментированного трафика. Также встречались явные недоработки в IDS, например, IDS Snort и Dragon принимают IP-пакеты с неправильной контрольной суммой, а IDS RealSecure 6.0 и eTrust 1.0 — с неправильной версией протокола IP.
Очень много различий основано на некорректной реализации стеков. Это приводит к тому, что одни и те же ситуации обрабатываются по-разному различными системами. В качестве примера можно привести недостатки в работе IDS Dragon при анализе трафика, направленного ОС Linux RedHat.
Прием пакетов, направленных на неправильный Ethernet-адрес. Прием пакетов с неправильной контрольной суммой IP. Прием TCP-сегментов со смещением данных меньше 20 октетов или равным 0. Отсутствие обработки данных, если они пришли в TCP-сегменте, с установленным флагом FIN. Прием данных полностью, если они пришли в пакете с неправильным номером очереди. (Согласно спецификации протокола TCP, место полезной информации, передаваемой конкретным TCP-сегментом, строго определяется его номером очереди; в случае неправильного номера, целевая система "отрезала" лишние данные.) Прием IP-фрагментов, направленных на неверный Ethernet-адрес. Прием IP-фрагментов с неправильной контрольной суммой IP. IDS не обрабатывает поток TCP-фрагментов, в случае посылки в потоке повторяющихся фрагментов. После проведения таких действий, IDS выходит из строя и уже не в состоянии обработать любые TCP-фрагменты. IDS не обрабатывает поток TCP-фрагментов, пришедших в обратном порядке. IDS оставляет новые данные при посылке частично перекрывающихся TCP-фрагментов, тогда как операционная система оставляет старые.
Также интересны результаты работы IDS RealSecure 6.0, анализирующей трафик для Windows 2000.
RealSecure 6.0 принимает пакеты, направленные на неправильный Ethernet-адрес. IDS принимает пакеты с неправильной версией IP-протокола. IDS принимает данные полностью в случае посылки их в TCP-сегменте с неправильным номером очереди, тогда как операционная система "отрезает" лишние данные. IDS принимает IP-фрагменты, направленные на неправильный Ethernet-адрес. IDS принимает IP-фрагменты с неправильной версией IP-протокола. IDS принимает TCP-фрагменты, направленные на неверный Ethernet-адрес. IDS принимает TCP-фрагменты с неправильной версией IP-протокола. IDS не в состоянии обработать поток TCP-фрагментов в случае посылки их в произвольном порядке.
Много различий в обработке было связано с решением о том, какие данные оставить. Это достаточно интересный факт, так как при разработке IDS, необходимо по максимуму приблизить реализацию стека к стеку той операционной системы, на которой будет работать IDS. Если использование различий в обработке заголовков для проведения атаки не всегда очевидно для разработчиков, то различия в обработке фрагментов должны быть учтены в первую очередь. В противном случае проведение скрытой атаки существенно упрощается.
Это же относится и к обработке потока TCP-фрагментов, например Dragon 5.0 и RealSecure 6.0 были не в состоянии обработать некоторые случаи: Dragon 5.0 просто выходил из строя после получения повторяющихся TCP-фрагментов и не обрабатывал поток TCP-фрагментов, пришедших в обратном порядке; RealSecure 6.0 не смог обработать TCP-фрагменты, пришедшие в произвольном порядке. Получается, что для нарушения работы IDS можно просто послать сигнатуру атаки в различной последовательности TCP-фрагментов. Dragon 5.0 не рассматривал TCP-сегменты с установленным флагом FIN, даже если они несли полезную информацию.
Особо следует отметить тот факт, что IDS Snort (как для Win32, так и для Linux), не смогла обработать HTTP-запрос, начинающийся с двух символов возврата строки. Целевая система смогла это сделать после правильного подбора номеров очереди (она просто «отрезала» эти символы в начале запроса), что делает Snort также уязвимым к проведению сокрытой атаки методом уклонения. Помимо этого, Snort еще имел восемь несоответствий при работе с Linux и Windows 2000, три из которых связаны с обработкой некорректных заголовков и пять — с различными комбинациями IP- и TCP-фрагментов.
Итак, тестирование выявило следующее количество различий в работе стеков.
Snort 1.8.4 for Linux с RedHat Linux 7.2 - 10 различий: 4 основаны на разной обработке некорректных заголовков, 1 - на обработке неправильного HTTP-запроса и 5 - на обработке фрагментированного трафика. Snort 1.8 for Win32 с Windows 2000: те же различия плюс еще одно при обработке фрагментированного трафика. Dragon 5.0 с Linux Red Hat 7.2 - 10 различий: 5 связаны с фрагментами, 1 - с установленным флагом FIN и 4 - с обработкой некорректных заголовков. eTrust ID 1.0 с Windows 2000 - 8 различий: 5 - фрагментированный трафик, 3 - некорректные заголовки. Real Secure 6.0 с Windows 2000 - 8 различий: 5 - фрагментированный трафик, 3 - некорректные заголовки пакетов.
Как показали дальнейшие исследования, все обнаруженные различия можно использовать при проведении сокрытых сигнатурных атак при помощи методов вставки и уклонения.
В качестве исследуемых IDS выбирались
В качестве исследуемых IDS выбирались наиболее популярные системы. Факт наличия в них уязвимостей позволяет говорить о том, что и в остальных доступных инструментах ситуация будет не лучше.
С точки зрения возможности применения методов вставки и уклонения, самыми уязвимыми оказались Dragon 5.0 и eTrust 1.0. Поэтому, если нарушитель знает, что сегмент сети защищен системой обнаружения вторжений Dragon 5.0, то он имеет возможность провести сигнатурную атаку, скрыв ее, например, при помощи модификации потока TCP-фрагментов.
eTrust 1.0 оказалась лучше Dragon 5.0 с точки зрения уязвимостей, позволяющих скрыть атаку, но и здесь имеется семь различных способов скрыть факт проведения сигнатурной атаки (таблица 4). В том случае, если нарушитель не знает, как работает целевая система, он может провести межсегментную атаку, скрыв ее при помощи посылки частично перекрывающихся IP-фрагментов.
Среди коммерческих систем RealSecure 6.0 оказалась наиболее стойкой к методу сокрытия, однако у нарушителя все же имеется пять различных способов скрыть атаку, один из которых позволяет провести межсегментную атаку (таблица 5).
Несмотря на то, что система Snort является бесплатной, она показала достойные результаты. Нет недоработок, связанных, например, с обработкой фрагментированного трафика.
Осталось непонятным, зачем разработчики изменили порядок обработки одинаковых TCP-фрагментов при переходе на платформу Win32. Операционные системы этого класса обрабатывают перекрывающиеся пакеты не так, как Linux, однако, в новой версии Snort, работающей и на платформе Win32, и для Linux имеется уязвимость, связанная с обработкой таких фрагментов.
Надеюсь, разработчики IDS впредь будут уделять больше внимания не только удобству работы с системой, но попытаются по максимуму приблизить логику работы IDS к защищаемым операционным системам.
Литература
Ptacek T., Newsham T. Insertion, evasion, and denial of service: eluding network intrusion detection. Secure Networks, 1998. RFC 791 - IP. RFC 793 - TCP. Snort. The Open Source Network Intrusion Detection System. http://www.snort.org. eTrust Intrusion Detection, http://www3.ca.com/Solutions/Overview.asp?ID=163. Dragon IDS. Intrusion Detection Solutions, http://www.enterasys.com/ids/dragonids.html.
Евгений Жульков (ezhulkov@openwaygroup.com) — магистр кафедры «Информационная безопасность компьютерных систем» Санкт-Петербургского государственного политехнического университета.
Координированный контроль доступа в нескольких точках
Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.
В точках контроля доступа в центральной сети предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT, Solaris, HP-UX, IBM AIX, Linux и Windows 2000), либо в виде специализированного аппаратно-программного комплекса.
Для защиты удаленных компьютеров предназначены продукты VPN-1 SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer можно аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что может быть полезно для увеличения гибкости политики доступа, либо для дополнительной защиты ответственного сервера.
Количество точек, в которых контролируется прохождение трафика, можно также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а также коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.
Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координировано. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы не находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.
Все модули FireWall-1/VPN-1 предприятия могут при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.
Таки образом, система безопасности, построенная на продуктах FireWall-1/VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.
Межсетевые экраны традиционно являются основным средством контроля внешнего доступа к ресурсам корпоративной сети, ограничивая проникновение трафика во внутренние подсети предприятия и тем самым существенно снижая потенциальные угрозы для ресурсов корпоративной сети. Долгое время функции межсетевых экранов ориентировались на достаточно простую схему доступа:
Доступ контролировался в одной точке, которая располагалась на пути соединения внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз. Все субъекты доступа делились на группы по IP-адресам, причем чаще всего - на две группы - внутренние пользователи и внешние пользователи. Таким образом субъектами доступа были подсети и классификацию трафика выполнять было достаточно просто - по IP-адресам, явно указанным в пакете. Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался
Сегодня в связи с широким использованием разнотипных соединений внутренней сети предприятия с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз схема контроля доступа существенно усложняется.
У предприятия появляется, как правило, несколько точек контроля доступа. Во-первых, это точки, в которых контролируется доступ к нескольким внешним сетям, например, к публичной части Internet и IP-сети провайдера. Предприятие может также иметь несколько связей с Internet через разных провайдеров для надежности или по другим соображениям. Кроме того, вовлечение в автоматизированную обработку информации практически всех подразделений предприятия и повышение требований к защите обрабатываемой и передаваемой информации приводит к необходимости использования межсетевых экранов и между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.
Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменений их функциональных возможностей. Прежде всего это касается возможности координированной работы всех экранов на основе общей политки доступа. Координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут. Изменение маршрутов пакетов может происходить как на долговременной, так и на кратковременной основах. Долговременные изменения (на часы или сутки) происходят обычно из-за перемещения пользователя между разными географическими пунктами (сегодня пользователь работает в основном здании, завтра - дома, а через неделю - в филиале в другом городе) и для их учета достаточно загрузить во все межсетевые экраны единый набор правил контроля доступа. Кратковременные изменения маршрута пакетов - на секунды или даже миллисекунды - вызываются динамической природой IP-маршрутизации (ожидаемый переход на маршрутизацию с учетом маршрутизаторов - QoS-based routing -, только усилит эту динамику). Кратковременные изменения маршрутов требуют от экрана не только координированного задания правил доступа, но и синхронизации состояний отслеживаемых сессий во всех экранах для того, чтобы любой пакет корректно соотносился с определенной сессией.
Для обеспечения масштабируемости координация правил доступа требует централизованной системы задания и распространения правил.
Структура современных систем обнаружения вторжения
Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [1, 2]. Структура СОВ представлена на рис. 1.
До недавнего времени наиболее распространенной структурой СОВ была модель, предложенная Дороти Деннинг (D. Denning) [3].
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [2].
Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы. Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему. Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.
Рис. 1. Структура системы обнаружения вторжения
Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:
датчики приложений – данные о работе программного обеспечения защищаемой системы; датчики хоста – функционирование рабочей станции защищаемой системы; датчики сети – сбор данных для оценки сетевого трафика; межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.
Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.
Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.
в подсистеме анализа современных СОВ,
Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в таблицах 1 и 2.
Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.
Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учителем»)
Моделирование правил | W&S | Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии. |
Описательная статистика | IDES, NIDES, EMERLAND, JiNao, HayStack | Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико. |
Нейронные сети | Hyperview | Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии. |
Таблица 2. Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)
Моделирование множества состояний | DPEM, JANUS, Bro | Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы. |
Описательная статистика | MIDAS, NADIR, Haystack, NSM | Аналогичен соответствующему методу в контролируемом обучении. |
Таблица 3. Обнаружение злоупотреблений – контролируемое обучение («обучение с учителем»)
Моделирование состояний | USTAT, IDIOT | Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события. |
Экспертные системы | NIDES, EMERLAND, MIDAS, DIDS | Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы. |
Моделирование правил | NADIR, HayStack, JiNao, ASAX, Bro | Простой вариант экспертных систем. |
Синтаксический анализ | NSM | Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса. |
Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. Методы поиска злоупотреблений приведены в таблице 3. В настоящие время выделяются лишь методы с контролируемым обучением.
Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.
Управление доступом на уровне пользователей
Наряду с субъектами-сетями межсетевыми экранами FireWall-1 поддерживаются такие субъекты доступа как пользователи и группы пользователей . Для таких субъектов в правилах доступа в качестве действия экрана определяется метод аутентификации, в результате чего трафик данного пользователя проходит через экран только том случае, когда пользователь докажет свою аутентичность.
Наиболее полно возможности управления безопасностью на уровне пользователей проявляются в продуктах FireWall-1/VPN-1 при установке в корпоративной сети такого продукта компании CheckPoint, как MetaIP. Сервис UAM, работающий в системе MetaIP, постоянно следит за процессами аутентификации пользователей и процессами получения компьютерами IP-адресов от DHCP серверов. В результате сервис UAM имеет данные о том, какие пользователи в настоящее время авторизовано работают в сети и какие IP-адреса они используют. При обработке очередного IP-пакета экран FireWall-1 может запросить у сервиса UAM информацию о пользователе, работающем с данным IP-адресом, и применить затем к пакету правило доступа, относящееся к этому пользователю. Таким образом, администратор безопасности может работать с правилами, написанными для пользователей, а не для IP-адресов, и в такой же форме получать отчеты о событиях, происходящих в сети. Это значительно повышает безопасность сети, так как администратор получает достоверные данные о том, какой пользователь выполнял действия с защищаемыми ресурсами сети.
Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать такую полезную для пользователя возможность, как единый логический вход в сеть. Пользователь избавляется от необходимости при каждом новом обращении к ресурсу через межсетевой экран повторять процедуру аутентификации - за него это делает экран, обращаясь прозрачным образом к сервису UAM.
В новых условиях требуются изменения
В новых условиях требуются изменения и в отношении субъектов доступа - наряду с подсетями ими все чаще становятся группы пользователей и даже отдельные пользователи. Это связано, во-первых, с тем, что через Internet и другие глобальные сети с корпоративной сетью сегодня связываются различные категории пользователей, и им необходимо предоставить различный доступ к внутренним ресурсам. Во-вторых, ориентация на пользователей является следствием применения межсетевых экранов для контроля трафика между внутренними подсетями, что добавляет к субъектам межсетевого доступа большую армию сотрудников данного предприятия. В результате от межсетевого экрана требуется распознавание большого числа групп пользователей, в которые входят:
Сотрудники подразделений предприятия, работающие во внутренней сети Удаленные и мобильные сотрудники предприятия Сотрудники предприятий-партнеров по бизнесу, в том числе удаленные и мобильные Клиенты предприятия, получающие услуги по Internet Потенциальные клиенты, просматривающие рекламные материалы предприятия через Internet.
Каждая из этих категорий пользователей отличается правами доступа, причем категории могут включать и подкатегории, а некоторым пользователям (например, руководителям или администраторам) нужен индивидуальный доступ.
Классифицировать эти группы пользователей только на основании их IP-адреса, как это традиционно делали межсетевые экраны, практически невозможно, учитывая применение таких методов управления IP-адресами как DHCP, NAT и туннелирование. Поэтому контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Кроме того, очень желательна тесная интеграция этих средств с применяемыми в сетях системами администрирования и аутентификации пользователей.
Пользователь, прошедший аутентификацию на межсетевом экране, становится объектом правил доступа, разработанных либо для него лично, либо для группы пользователей, куда он входит. Кроме детализации прав доступа, работа на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью. Такой аудит дает информацию о том, кто, когда и с помощью каких средств (протоколов и приложений) получал доступ к ресурсам предприятия.
Управление безопасностью на уровне пользователей не исключает использования IP-адресов при принятии решений о доступе и отслеживании активности пользователей. Более того, выполнение детального аудита невозможно без информации о том, какому пользователю принадлежит IP-адрес, указанный в пакетах, с помощью которых выполнялся тот или иной доступ к ресурсам. В условиях динамического назначения и изменения адресов эта задача требует от системы безопасности дополнительной работы по установлению соответствия между пользователями и используемыми ими IP-адресами.
Выбор оптимальной совокупности признаков оценки защищаемой системы
В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой системы, использование которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и та же совокупность параметров не будет адекватной для всех типов вторжений.
Любую систему, состоящую из привычных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми СОВ, которые используют один и тот же набор параметров оценки. Наиболее предпочтительное решение – определение необходимых параметров оценки в процессе работы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества. Если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2N. Поэтому не представляется возможным использование алгоритмов перебора для нахождения оптимального множества. Одно из возможных решений – использование генетического алгоритма [4].
Получение единой оценки состояния защищаемой системы
Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [5].
Статистика Байеса
Пусть А1.. Аn – n измерений, используемых для определения факта вторжения в любой момент времени. Каждое Аi оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение Аi имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями
(1)Вероятность вычисляется при помощи теоремы Байеса.
(2)Для событий I и ¬I, скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение Аi зависит только от I и условно не зависит от других измерений Аj где i ? j. Это приведет к соотношениям
(3)и
(4)Отсюда
(5)Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.
Однако для получения более реалистичной оценки Р(I|А1..Аn), необходимо учитывать влияние измерений Аi друг на друга.
Ковариантные матрицы
В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А1.. Аn представляет собой вектор А, то составное измерение аномалии можно определить как
(6)где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Сети доверия (сети Байеса)
Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [6].
Описательная статистика
Один из способов формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре измерений значений параметров оценки. Эта структура называется профайлом. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, в IDES используются следующие типы [3]:
Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. В общем случае используется для обнаружения аномалий, связанных с резким ускорением в работе. Пример: среднее число записей аудита, обрабатываемых для элемента защищаемой системы в единицу времени. Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита. Здесь под активностью понимается любое действие в системе, например, доступ к файлам, операции ввода-вывода. Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу). Например, относительная частота регистрации в системе (логинов) из каждого физического места нахождения. Предпочтения в использовании программного обеспечения системы (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т.д). Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Например, количество операций ввода-вывода, инициируемых каждым пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывают количество активностей.
При обнаружении аномалий с использованием профайла в основном применяют статистические методы оценки. Процесс обнаружения происходит следующим образом: текущие значения измерений профайла сравнивают с сохраненными значениями. Результат сравнения – показатель аномальности в измерении. Общий показатель аномальности в простейшем случае может вычисляться при помощи некоторой общей функции от значений показателя аномалии в каждом из измерении профайла. Например, пусть M1,M2…Mn, – измерения профайла, а S1,S2….Sn, соответственно, представляют собой значения аномалии каждого из измерений, причем чем больше число Si, тем больше аномалии в i-том показателе. Объединяющая функция может быть весом сумм их квадратов:
a1s12 + a2s22+…+ansn2>0, (7)
где ai – показывает относительный вес метрики Mi.
Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.
Основное преимущество заключается в том, что применяются хорошо известные статистические методы.
Недостатки:
Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий. Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений. Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative). Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.
Нейронные сети
Другой способов представления «образа» нормального поведения системы – обучение нейронной сети значениями параметров оценки.
Обучение нейронной сети осуществляется последовательностью информационных единиц (далее команд), каждая из которых может находиться на более абстрактном уровне по сравнению с используемыми параметрами оценки. Входные данные сети состоят из текущих команд и прошлых W команд, которые обрабатываются нейронной сетью с целью предсказания последующих команд; W также называют размером окна. После того как нейронная сеть обучена множеством последовательных команд защищаемой системы или одной из ее подсистем, сеть представляет собой «образ» нормального поведения. Процесс обнаружения аномалий представляет собой определение показателя неправильно предсказанных команд, то есть фактически обнаруживается отличие в поведение объекта. На уровне рецептора (рис. 2) стрелки показывают входные данные последних W команд, выполненных пользователем. Входной параметр задает несколько значений или уровней, каждый из которых уникально определяет команду. Выходной реагирующий слой состоит из одного многоуровневого, который предсказывает следующую возможную команду пользователя [7].
Рис. 2. Концептуальная схема нейронных сетей СОВ
Недостатки:
топология сети и веса узлов определяются только после огромного числа проб и ошибок; размер окна – еще одна величина, которая имеет огромное значение при разработке; если сделать окно маленьким то сеть будет не достаточно производительной, слишком большим – будет страдать от неуместных данных.
Преимущества:
успех данного подхода не зависит от природы исходных данных; нейронные сети легко справляются с зашумленными данными; автоматически учитываются связи между различными измерениями, которые, несомненно, влияют на результат оценки.
Генерация патернов
Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.
Ченг (K. Cheng) [8] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)
где Е1… Е5 - события безопасности.
Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.
Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.
Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.
Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:
зависимости между событиями; последовательность появления событий.
Достоинства метода:
лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов; возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная; лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.
Методы обнаружения аномалий направлены на выявление неизвестных атак и вторжений. Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:
накопление наиболее характерной статистической информации для каждого параметра оценки; обучение нейронных сетей значениями параметров оценки; событийное представление.
Легко заметить, что в обнаружении очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки.
Другой, не менее важной задачей является определение общего показателя аномальности. Сложность заключается в том, что эта величина должна характеризовать общее состояние «аномальности» в защищаемой системе.
Развитие методов и средств аутентификации
Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.
Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании CheckPoint, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management.
Компания CheckPoint уделяет большое внимание поддержке схем аутентификации, обеспечивая возможность интеграции своих продуктов практически со всеми распространенными в корпоративных сетях системами этого назначения.
Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:
обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер), администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе, система отлично масштабируются за счет распределенного характера базы данных каталога, доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается) данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.
Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.
Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.
Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.
Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.
Использование условной вероятности
Для определения злоупотреблений нужно определить условную вероятность
Р(Вторжение|Патерн событий).
То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.
Далее используется формула Байеса
(9)где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.
Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса
(10)где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.
Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [9].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:
недостаточная эффективность при работе с большими объемами данных; трудно учесть зависимую природу данных параметров оценки.
При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.
Трудности:
Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и». Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил. Обнаруживаются только известные уязвимости. Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил. Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.
Анализ изменения состояний
Этот метод был описан в STAT [10] и реализован в USTAT [11]. Сигнатура вторжения представляется как последовательность переходов между состояниями защищаемой системы. Паттерны атаки (совокупность значений параметров оценки) соответствуют какому-то состоянию защищаемой системы и имеют связанную с ними логическую функцию. Если эта функция выполняется, то считается, что система перешла в это состояние. Последующие состояния соединены с текущим линиями, которые представляют собой необходимые события для дальнейших переходов. Типы возможных событий встроены в модель и соответствуют, хотя и не обязательно, значениям параметров оценки по принципу один к одному [10, 11].
Паттерны атаки могут только задать последовательность событий, поэтому более сложный способ определения событий не поддерживается. Более того, отсутствует общий механизм целей, который можно было бы использовать для обрезания частичного соответствия атак, вместо этого используется простая встроенная логическая функция.
Наблюдение за нажатием клавиш
Для обнаружения атак в данной технологии используется мониторинг за нажатием пользователя на клавиши клавиатуры. Основная идея – последовательность нажатий пользователя задает паттерн атаки. Недостатком этого подхода является отсутствие достаточно надежного механизма перехвата работы с клавиатурой без поддержки операционной системы, а также большое количество возможных вариантов представления одной и той же атаки. Кроме того, без семантического анализатора нажатий различного рода псевдонимы команд могут легко разрушить эту технологию. Поскольку она направлена на анализ нажатий клавиш, автоматизированные атаки, которые являются результатом выполнения программ злоумышленника, также могут быть не обнаружены [12].
Методы, основанные на моделировании поведения злоумышленника
Одним из вариантов обнаружения злоупотребления является метод объединения модели злоупотребления с очевидными причинами. Его суть заключается в следующем: есть база данных сценариев атак, каждая из которых объединяет последовательность поведений, составляющих атаку. В любой момент времени существует возможность того, что в системе имеет место одно из этих подмножеств сценариев атак. Делается попытка проверки предположения об их наличии путем поиска информации в записях аудита. Результатом поиска является какое-то количество фактов, достаточное для подтверждения или опровержения гипотезы. Проверка выполняется в одном процессе, который получил название антисипатор. Антисипатор, основываясь на текущей активной модели, формирует следующее возможное множество поведений, которое необходимо проверить в записях аудита, и передает их планировщику. Планировщик определяет, как предполагаемое поведение отражается в записях аудита и трансформирует их в системно-аудитозависимое выражение. Эти выражения должны состоять из таких структур, которые можно было бы просто найти в записях аудита, и для которых имелась бы достаточно высокая вероятность появления в записях аудита.
По мере того как основания для подозрений некоторых сценариев накапливаются, а для других – снижаются, список моделей активностей уменьшается. Вычисление причин встроено в систему и позволяет обновлять вероятность появления сценариев атак в списке моделей активности [13].
Преимущества:
появляется возможность уменьшить количество существенных обработок, требуемых для одной записи аудита; сначала наблюдаются более «грубые» события в пассивном режиме, и далее, как только одно из них обнаружено, наблюдаются более точные события; планировщик обеспечивает независимость представления от формы данных аудита.
Недостатки:
при применении данного подхода у лица, ответственного за создание модели обнаружения вторжения, появляется дополнительная нагрузка, связанная с назначением содержательных и точных количественных характеристик для разных частей графического представления модели; эффективность этого подхода не была продемонстрирована созданием программного прототипа; из описания модели не ясно, как поведения могут быть эффективно составлены в планировщике, и какой эффект это окажет на систему во время работы; этот подход дополняет, но не заменяет подсистему обнаружения аномалий.
Анализ методов обнаружения злоупотреблений
Использование только методов обнаружения аномалий не гарантирует выявление всех нарушений безопасности, поэтому в большинстве СОВ существует технологии распознавания злоупотреблений. Обнаружение вторжений-злоупотреблений основывается на прогностическом определении атак и последующим наблюдением за их появлением [2]. В отличие от обнаружения аномалии, где образ – это модель нормального поведения системы, при обнаружении злоупотребления он необходим для представления несанкционированных действий злоумышленника. Такой «образ» применительно к обнаружению злоупотреблений называется сигнатурой вторжения. Формируется сигнатура на основе тех же входных данных, что и при обнаружении аномалий, то есть на значениях параметров оценки. Сигнатуры вторжений определяют окружение, условия и родство между событиями, которые приводят к проникновению в систему или любым другим злоупотреблениям. Они полезны не только при обнаружении вторжений, но и при выявлении попыток совершения незаконных действий. Частичное совпадение сигнатур может означать, что в защищаемой системе имела место попытка вторжения.
Контроль доступа на основе содержания передаваемой информации
Система безопасности FireWall-1/VPN-1 поддерживает развитые методы контроля доступа на основе содержания передаваемой информации. Модуль FireWall-1/VPN-1 позволяет задавать правила доступа для различных типов объектов-ресурсов, которые классифицируются в зависимости от типа протокола доступа (HTTP, FTP, SMTP), выполняемой протокольной операций (например, только GET для ресурса протокола FTP), адресов отправителя или получателя и других признаков.
Если в контролируемом трафике встречается ресурсный объект, удовлетворяющий заданным в правилах признакам, то его содержание проверяется и над ним выполняется некоторое действие. Базовые проверки и действия выполняют модули Security Server, входящие в состав FireWall-1/VPN-1, а более специфический контроль, содержания, например, проверка на наличие вирусов, контроль содержания электронной почты или блокирование Java и ActiveX угроз, может быть выполнен продуктами третьих фирм на основе открытых протоколов платформы OPSEC.
Платформу OPSEC сегодня поддерживают многие ведущие производители продуктов контроля содержания, например, Symantec, Contenet Security, Aladdin Knowledge Systems, Trend Micro, X-Stop, JSB Software Technologies, и процесс присоединения к OPSEC продолжается. Это дает возможность системам безопасности на основе FireWall-1/VPN-1 осуществлять разносторонний контроль содержания путем привлечения лучших продуктов третьих фирм и в то же время сохранять традиционный для FireWall-1 способ управления этим процессом - на основе правил политики.
Во многих случаях необходимо контролировать доступ не на основе IP-адресов или каких-либо данных об отправителях/получателях, а в зависимости от содержания передаваемой информации. Например, многие атаки на сеть основаны на внедрении вирусов в коды загружаемых пользователями предприятия программ или в макросы загружаемых документов. Часто источником угроз является содержимое электронной почты, рассылаемой в массовом порядке. Еще одним распространенным типом содержания, представляющего потенциальную опасность для сети, являются Java и ActiveX апплеты, загружаемые в компьютеры предприятия при просмотре активных Web-страниц.
Средства контроля содержания могут также служить эффективным дополнением для традиционных средств контроля доступа в том случае, когда, например, доступ на уровне пользователей был ошибочно задан слишком свободно, но известен список ключевых слов, содержащихся в конфиденциальных документах.
Так как для каждого типа потенциально опасного содержания требуется применение специфических методов контроля, то доступ по содержанию обычно выполняется отдельными продуктами, дополняющими функции межсетевого экрана. Однако, для повышения оперативности защиты важно, чтобы экран мог самостоятельно выполнять некоторый набор примитивных функций, часто также относимых к контролю доступа по содержанию, например:
разрешение выполнения только определенного подмножества операций, определенных в протоколе (например, только команды GET в протоколе FTP или метода GET в протоколе HTTP), доступ только по определенному списку URL, доступ на основе списка разрешенных адресов электронной почты.
В остальных случаях межсетевой экран должен уметь взаимодействовать со специализированными продуктами, передавая им проверку определенного типа содержания.
Недостатки существующих систем обнаружения
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ.
Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14]. Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями. Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле. Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия. Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий. Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели. Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
недопустимо высокий уровень ложных срабатываний и пропусков атак; слабые возможности по обнаружению новых атак; большинство вторжений невозможно определить на начальных этапах; трудно, иногда невозможно, определить атакующего, цели атаки; отсутствие оценок точности и адекватности результатов работы; невозможно определять «старые» атаки, использующие новые стратегии; сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях; слабые возможности по автоматическому обнаружению сложных координированных атак; значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;
Защита данных при передаче через публичные сети
Спектр VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети:
Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.
VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или Unix. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно-программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.
Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты X.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, описанные выше в разделе 3.
Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, в которых часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов CheckPoint.
Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-1 SecuRemote поддерживает станадрты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление VPN-соединения разрешается удаленному компьютеру только в том случае, когда его конфигурация безопасности соответствует установленной администратором предприятия.
С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.
Все продукты VPN компании CheckPoint работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать защиту данных при установлении соединений с предприятиями-партнерами.
Средства контроля доступа защищают внутренние ресурсы сети от преднамеренного и непреднамеренного разрушения или использования. Широкое использование Internet и других публичных сетей для организация различных связей предприятия делает необходимым защищать информацию также и при ее передаче. Эта задача решается средствами создания виртуальных частных сетей (VPN) в публичных сетях с коммутацией пакетов. Средства VPN организуют в публичных сетях защищенные каналы, по которым передаются корпоративные данные. Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для скрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.
Предыдущие поколения VPN-шлюзов (защищающих данные всех узлов сети) и VPN-клиентов (защищающих данные отдельного компьютера) во многом использовали фирменные алгоритмы и протоколы защиты данных (для аутентификации сторон, реализации цифровой подписи и шифрования). Сегодня ситуация изменилась - основой для организации защищенных VPN-каналов стал комплекс стандартов Internet, известный под названием IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов и инфраструктуры PKI, что делает решение IPSec масштабируемым и согласованным с другими средствами защиты, например, контроля доступа. Протоколы IPSec прошли успешную широкомасштабную проверку в экстрасети ANX автомобильных концернов Америки, и поддержка IPSec сегодня стала обязательным условием для перспективных VPN-продуктов.
Средства VPN предприятия должны эффективно поддерживать защищенные каналы различного типа:
с удаленными и мобильными сотрудниками (защищенный удаленный доступ) с сетями филиалов предприятий (защита intranet) с сетями предприятий-партнеров (защита extranet)
Для защиты удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем, которые сегодня пока не поддерживают протоколы IPSec в стандартной поставке. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен, а возможно и тысяч защищенных соединений.
При защите extranet основным требованием является соответствие реализации VPN-продуктов стандартам IPSec, что с большой степенью уверенности подтверждается наличием у продукта сертификата ICSA.
Предприятие может снять с себя часть забот по защите данных, воспользовавшись услугами провайдера по организации VPN. Провайдер настраивает параметры защищенных каналов для своих клиентов в соответствии с их требованиями, а при необходимости дополняет услуги VPN услугами межсетевого экрана, также настраиваемого по заданию пользователя.
В том случае, когда VPN-шлюз поддерживает удаленное защищенное управление, провайдер может взять на себя услуги по конфигурированию и эксплуатации шлюза, установленного на территории пользователя.
Интеграция средств контроля доступа и средств VPN
Средства контроля доступа и средства VPN в продуктах CheckPoint полностью интегрированы:
Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN-защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил. Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия. Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании CheckPoint, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик. Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок. Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.
Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающие все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.
Средства контроля доступа в сеть на основе межсетевых экранов и средства организации защищенных каналов представляют собой две основные составляющие любых систем защиты предприятия, поэтому они должны применяться вместе и работать согласованно. Интеграция этих средств может порождать определенные проблемы, особенно в том случае, когда эти средства выполнены в виде отдельных продуктов.
Так как и межсетевой экран и VPN-шлюз могут требовать проведения аутентификации пользователей, то желательно согласовывать эти процедуры и выполнять их по возможности прозрачным для пользователя способом. Использование общих схем аутентификации, например, на основе цифровых сертификатов и PKI, упрощает эту задачу.
Другой аспект интеграции связан с взаимным расположением экрана и шлюза относительно внешней связи. Экран может выполнять контроль доступа только при работе с незашифрованным трафиком, поэтому по этой причине он должен располагаться после VPN-шлюза. С другой стороны, многие VPN-шлюзы, выполненные как отдельные продукты, не могут защитить себя от разнообразных атак из внешней сети, с чем хорошо справляются межсетевые экраны. Из этих соображений экран помещается перед VPN-шлюзом, но тогда экран пропускает любой зашифрованный трафик, полагаясь на то, что аутентифицированная сторона не причинит вреда внутренним ресурсам сети, что не всегда соответствует действительности. Часто производители отдельных VPN-устройств считают предпочтительной параллельную установку экрана и VPN-шлюза за счет двух каналов доступа к публичной сети. Эта архитектура потенциально еще более опасна, чем предыдущие: VPN-устройство открыто для атак из публичной сети, а контроль доступа для трафика, проходящего через VPN-шлюз, не производится.
Наиболее просто вопросы интеграции решаются при объединении функций межсетевого экрана и VPN-шлюза в одном продукте, но это требует высокопроизводительной платформы, так как вычислительная сложность операций аутентификации и VPN существенно выше сложности операций фильтрации трафика при контроле доступа. При решении проблем производительности реализациия межсетевого экрана и VPN-щлюза в одном продукте является наиболее перспективной для организации комплексной защиты корпоративной сети.
Направления совершенствования СОВ
Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.
Обнаружение вторжений
Необходимым в современных условиях дополнением к возможностям межсетевых экранов и VPN-шлюзов является система обнаружения вторжений Check Point RealSecure. Эта система представляет собой совместный продукт двух лидеров -лидера сектора адаптивных систем управления безопасностью компании Internet Security Systems (ISS) и лидера в области построения интегрированных систем безопаоснти компании CheckPoint.
Система Check Point RealSecure:
Автоматически анализирует и сопоставляет в реальном времени данные мониторинга событий, происходящих в сетевых сегментах и узлах корпоративной сети Попытки взлома системы защиты автоматически рапознаются экспертной подсистемой на основе обширной базы знаний, которая на сегодня включает более 160 известных образцов атак и постоянно пополняется. Также отслеживаются несанкционированные и подозрительные действия, которые могут нанести ущерб информационным ресурсам предприятия. При обнаружении атаки или подозрительной активности:
автоматически предупреждает администратора системы с помощью уведомлений разного типа, регистрирует событие в системном журнале может автоматически блокировать атаку или нескнкционированные действия путем реконфигурации межсетевого экрана FireWall-1
Позволяет очень гибко генерировать отчеты разной степени подробности в удобной для администратора форме. Новая технология Fusion компании ISS способна сгруппировать многочисленные взаимосвязанные события в одно укрупненное событие, которое и предоставляется в отчете администратору для осмысления ситуации. Последнее свойство очень важно при управлении безопасностью, так как системы искусственного интеллекта в обозримом будущем не смогут замеить естественный интеллект и совершенствование системы безопасности в конечном счете должно опираться на решения человека. "Проигрывает" зарегистрированные события для детального анализа или для использования в качестве доказательства факта нарушения Обладает развитой контекстно-зависимой справочной системой, которая сама по себе является хорошим инструментом помощи администратору при принятии решений.
Система RealCecure обладает хорошей масштабируемостью за счет распределенной архитектуры клиент-сервер. Сетевые агенты устанавливаются во всех требующих внимания сегментах сети (например, перед межсетевым экраном, в демилитаризованной зоне, а также в ответственных внутренних сегментах), а системные агенты контролируют активность операционных систем и приложений в компьютерах сети. Все данные собираются в общей базе данных и обрабатываются таким компонентом системы как RealSecure Engine, а централизованное управление обеспечивает RealSecure Manager, доступ к которому возможен с помощью графических консолей администраторов, распределенных по сети. Дальнейшее развитие распределенных свойств RealSecure возможно на основе архитектуры микроагентов, над которой работает в настоящее время компания ISS. Микроагенты встариваются во все защищаемые узлы корпоративной сети - маршрутизаторы, коммутаторы, компьютеры - и контролируют только тот трафик, который относится к данному узлу, за счет чего резко повышается производительность системы, что очень важно в условиях применения высокоскоростных технологий, таких как Fast Ethernet, Gigabit Ethernet, ATM и других.
Обеспечение высокой производительности средств защиты и поддержка QoS
Постоянно возрастающие требования приложений к производительности коммуникаций удовлетворяются в системах безопасности на основе продуктов CheckPoint следующими способами:
Высокой скоростью выполнения операций контроля доступа и VPN-защиты трафика. Эта скорость обеспечивается высокой эффективностью алгоритмов технологии Stateful Inspection, возможностью установки продуктов CheckPoint на высокопроизводительных, в том числе и мультипроцессорных, аппаратных платформах, а также применением в случае необходимости устройства VPN-1 Accelerator Card, которое устанавливается в любую стандартную платформу и аппаратно реализует наиболее сложные в вычислительном отношении операции VPN-функций. Возможнстью распределения функций безопасности между несколькими параллельно работающими средствами защиты сети. В сети можно установить несколько межсетевых экранов и шлюзов VPN, координирующих и синхронизирующих свою работу, так что обработка многочисленных сессий будет распределяться между ними. Возможна также организация пулов серверов контроля доступа по содержанию, повышая тем самым производительность таких трудоемких операций как сканирование файлов на присутствие вирусов, поиск определенных ключевых слов в тексте, защита от Java и ActiveX атак и т.п. Отдельный модуль ConnectControl, входящий в состав межсетевого экрана FireWall-1, позволяет также распределять нагрузку между пулом однотипных серверов (например, Web-серверов или FTP-серверов), что удобно при организации демилитаризованной зоны. Управлением распределением полосы пропускания с помощью отдельного продукта FloodGate-1, выпускаемого компанией CheckPoint.
Продукт FloodGate-1 тесно интегрирован с базовым средством защиты FireWall-1/VPN-1, но может работать и как самостоятельный продукт поддержки QoS. Основное назначение FloodGate-1 - распределение пропускной способности между трафиком различных приложений на границе корпоративной сети, а именно, в каналах, подключенных к интерфейсам межсетевого экрана/VPN-шлюза FireWall-1/VPN-1. Через эти интерфейсы проходит весь внешний трафик приложений защищенной сети предприятия, причем как критически важных, так и менее ответственных. Дифференцированное распределение пропускной способности в интерфейсах межссетевого экрана может существенно улучшить работу ответственных приложений, предоставив им необходимую полосу пропускания и защитив их от интенсивного, но гораздо менее важного трафика, например, трафика пользователей, просматривающих новости в Internet или загружающих из FTP-архива новую версию какой-либо утилиты.
Операционные системы, поверх которых работает FireWall-1/VPN-1 на стандартных платформах, пока не поддерживают функции QoS. Установка FloodGate-1 в узлах, выполняющих роль межсетевого экрана и VPN-шлюза, ликвидирует этот пробел и дополняет систему управления QoS сети, работающую на современных маршрутизаторах и коммутаторах, важным QoS-элементом.
FloodGate-1 управляет полосой пропускания на основе улучшенного алгоритма взвешенного справедливого обслуживания WFQ, часто применяемого в IP-маршрутизаторах и коммутаторах. Компания Check Point дополнила базовые механизмы WFQ собственными интеллектуальными алгоритмами, благодаря чему FloodGate-1 поддерживает практически неограниченное количество виртуальных очередей, гарантируя определенную долю пропускной способности как для агрегированных потоков (например, для потоков всего Web-трафика), так и для потоков отдельных соединений (например, отдельного соединения RealAudio). Для каждого типа потока кроме гарантированной доли от общей пропускной способности интерфейса можно задать также верхнюю и нижнюю границы пропускной способности. Это позволяет гибко учитывать потребности приложений и обеспечить привилегированное обслуживание ответственных приложений при соблюдении некоторого минимума для остальных приложений, соблюдаемого при всех обстоятельствах. Полоса пропускания распределяется динамически, быстро реагируя на изменения набора существующих потоков в соответствии с заданными првилами.
Классификации потоков выполняется с помощью технологии Statful Inspection, той же, что работает и в межсетевых экранах FireWall-1. Большой опыт компании CheckPoint в этой области позволил реализовать в продукте FloodGate-1 один из наиболее мощных в сетевой индустрии механизмов классификации трафика для целей управления QoS. Этот механизм позволяет учесть практически все ситуации, складывающиеся при работе корпоративной сети и сгруппировать трафик наиболее рациональным образом по приложениям и пользователям.
Эффективность использования полосы пропускания при использовании FloodGate-1 увеличивается за счет фирменного алгоритма RDED (Retransmission Detect Early Drop), который решает известную проблему уменьшения полезной пропускной способности TCP-соединений из-за многочисленных повторных передачах при перегрузках. Механизм RDED предотвращает передачу некскольких копий одного и того пакета, за счет чего полезная пропускная способность повышается до 95% от полной пропускной способности канала вместо традиционных 50%- 60%.
Система управления трафиком FloodGate-1 полностью интегрирована с продуктом FireWall-1/VPN-1 и повторяет его распределенную архитектуру. Правила управления трафиком задаются в том же стиле, что и правила контроля доступа и VPN-защиты и могут использовать общие объекты. Для задания правил управления трафиком используется графический редактор, который в случае использования на предпритии системы FireWall-1 представлен в виде отдельной закладки редактора CheckPoint Policy Editor. Правила управления трафиком хранятся централизовано в базе правил Management Server и распределяются по всем модуля FloodGate-1 предприятия.
Система FloofGate-1 позволяет администратору осуществлять мониторинг за распределением полосы пропускания между потоками пакетов в реальном масштабе времени. Это дает возможность оценить эффективность заданных администратором правил и перераспределить весовые коээфициенты и границы пропускной способности таким образом, чтобы они наилучшим образом отражали реальные потребности приложений и пользователей.
Интеграция FloodGate-1 с FireWall-1/VPN-1 гарантирует корректность совместной работы средств управления трафиком со средствами VPN-защиты.
Появление и широкое распространение новых высокоскоростных сетевых технологий, в том числе и технологий доступа к глобальным сетям и Internet (xDSL, кабельные модемы и т.п.), ставит перед средствами защиты новые задачи в области производительности. Разработанные первоначально для работы на одном канале доступа со скоростями в десятки, максимум сотни килобит, межсетевые экраны и VPN-устройства сегодня должны обрабатывать трафик в реальном времени на скоростях в десятки, а иногда и сотни мегабит.
Учитывая вычислительную сложность и специализированный характер многих операций, выполняемых средствами защиты, основным направлением повышения производительности этих средства является аппаратная реализация типовых функций, используемых при аутентификации и других VPN-операциях. Аппаратное устройство может быть выполнено как дополнение к стандартной компьютерной платформе, или же в виде автономного специализированно устройства, включающего компьютерную платформу и выполняющему все функции экрана или VPN-шлюза.
Производительность отдельного устройства всегда ограничена, поэтому весьма перспективным является поддержка средствами защиты такого классического способа повышения производительности как распараллеливание. Кластеры VPN-шлюзов или межсетевых экранов, синхронизирующие свою работу, могут понадобиться для обслуживания тысяч одновременных соединений, возникающих при современном ведении бизнеса через Internet.
Еще одной существенной тенденцией в области производительности, которую нужно учитывать при развитии систем безопасности, является быстрое развитие различных технологий поддержки качества обслуживания (QoS) для IP-сетей. Эти технологии распределяют доступную полосу пропускания между классами трафика и отдельными соединениями, обеспечивая тем самым определенное качество транспортного обслуживания, требуемое для многих современных приложений. Для успешной работы таких QoS-технологий как DiffServ, RSVP и MPLS, применяемых сегодня как в корпоративных сетях, так и в Internet (пока - только на магистралях отдельных провайдеров), нужна их сквозная поддержка всеми сетевыми устройствами, через которые проходит трафик соединений. Устройства защиты - межсетевые экраны и VPN-устройства - всегда располагаются в точках, через которые проходит внешний трафик, поэтому данные устройства должны поддерживать QoS-технологии, чтобы обеспечить качество обслуживания "из конца в конец".
Поддержка функций QoS в межсетевом экране или VPN-шлюзе важна и в том случае, когда остальные устройства сети и публичная сеть не поддерживают управление качеством обслуживания. Обеспечиваемое устройством защиты дифференцированное обслуживание разных классов трафика в канале связи с внешней сетью (который часто представляет собой узкое место) способно заметно улучшить работу наиболее ответственных приложений.
В том случае, когда VPN-шлюз не поддерживает QoS-протоколы, он должен быть расположен в сети так, чтобы не мешать работе других QoS-устройств, которым нужен доступ к данным заголовков IP-пакетов для классификации трафика..
Надежность и отказоустойчивость средств защиты
Надежность системы безопасности, построенной на продуктах компании CheckPoint, обеспечивается комплексно. Во-первых, она определяется высокой надежностью программного обеспечения продуктов компании CheckPoint, проверенного большим количеством инсталляций по всему миру. Во-вторых, общая надежность системы безопасности зависит от надежности аппаратно-программной платформы (ОС + компьютер). Платформу для экранов и шлюзов корпоративной сети предприятие может выбрать либо самостоятельно (и нести в этом случае ответственность за ее надежность), либо положиться на выбрать платформу с гарантированно высокой надежностью, применив специализированные устройства VPN-1 Appliance.
Межсетевые экраны FireWall-1 и шлюзы VPN-1 поддерживают отказоустойчивые конфигурации, основанные на кластерах избыточных устройств и обеспечивающие прозрачный для трафика пользователей переход на резервное или избыточное устройство при отказе основного. Такие конфигурации необходимы для наиболее ответственных приложений, так как какой бы высокой ни была надежность отдельных продуктов, отказы их все же возможны, и в этих условиях единственно возможным решением является применение избыточных устройств.
Разработка отказоустойчивых систем является для компании CheckPoint одним из приоритетных стратегических направлений. Свойствами отказоустойчивости на сегодня обладают не только продукты FireWall-1/VPN-1, но и системы контроля доступа на основе содержания.
Отказоустойчивые конфигурации FireWall-1/VPN-1 используют такое свойство этих продуктов как возможность синхронизации данных о состоянии соединений, содержащихся во внутренних таблицах модулей. Синхронизируются данные состояния контролируемых по доступу сессий, а также сессий протоколов IPSec и FWZ шлюзов VPN-1. На основе этих данных можно построить различные схемы, обеспечивающие отказоустойчивость.
Сегодня существует возможность построения отказоустойчивой конфигурации исключительно на продуктах CheckPoint, а также с привлечением продуктов третьих фирм. Вариант CheckPoint основан на применении модуля High Availability в экранах-шлюзах FireWall-1/VPN-1, который контролирует работоспособность устройств и обеспечивает прозрачных переход на работоспособное устройство в случае отказа без разрыва соединений, проходящих через экран и защищенных соединений VPN-шлюза. Кроме поддержки отказоустойчивости модуль High Availability является программируемым монитором работоспособности FireWall-1/VPN-1, что упрощает его обслуживание. Возможно также создание кластерных конфигураций, включающих большое количество синхронизируемых систем FireWall-1/VPN-1.
Существует также ряд продуктов от партнеров по программе OPSEC, обеспечивающих прозрачный переход на резервную систему FireWall-1/VPN-1 при отказе основной, например, StoneBeat от Stonesoft или Legato FullTime HA+ for FireWall-1 от Legato Systems.
Отказоустойчивость VPN-соединений можно также обеспечить на клиентской стороне с помощью продукта VPN-1 SecuRemote. Этот вариант может применяться тогда, когда в центральной сети имеется несколько VPN-шлюзов, но он не требует их синхронизации и резервирования. Клиент VPN-1 SecuRemote может самостоятельно обнаружить отказ шлюза и перейти на другой доступный VPN-шлюз. Такой способ полезен при наличии у предприятия нескольких шлюзов, обеспчеивающих доступ в копроративную сеть, но расположенных в разных географических пунктах, так что их синхронизация может оказаться проблематичной.
Отказоустойчивость средств контроля доступа на основе содержания может быть достигнута за счет установки на предприятии пула серверов, на которых работает один и тот же набор сервисов контроля третьих фирм. Отказ одного из таких серверов не влечет отказ системы системы контроля доступа по содержанию, а только означает некоторое снижение ее производительности.
Очевидно, что к надежности и отказоустойчивости средств защиты предприятия, предъявляются очень высокие требования, так как при отказе, например, межсетевого экрана или VPN-шлюза, предприятие полностью или частично (в зависимости от количества каналов связи) лишается возможности взаимодействовать с внешним миром, а это при современной схеме ведения бизнеса крайне убыточно.
Надежность и отказоустойчивость отдельного продукта безопасности определяется соответствующими характеристиками его платформы и качеством реализации самого продукта. Для обеспечения нужного уровня надежности средств защиты необходимо тщательно выбирать для них платформу (компьютер и операционную систему) или же пользоваться аппаратными устройствами безопасности, надежность которых гарантируется производителем.
В особо ответственных применениях надежность и отказоустойчивость системы защиты необходимо повышать за счет резервирования и избыточности самих средств защиты - межсетевых экранов, VPN-устройств, средств обнаружения вторжений и т.д. Для поддержки такой архитектуры устройства защиты должны поддерживать возможность работы по схемам горячего резервирования или кластерной организации с полной синхронизацией состояний. Переход на резервный межсетевой экран или избыточный шлюз должен происходить автоматически при обнаружении отказа основного устройства. Важным свойством отказоустойчивых средств безопасности является прозрачность перехода на резервное устройство для внешних пользователей, сессии которых не должны разрываться из-за реконфигурации устройств защиты.
Защищенное и эффективное управление инфраструктурой IP-адресов предприятия
Функции управления инфраструктурой IP-адресов реализуются в нескольких продуктах компании Check Point.
Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по распространенным в Internet алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью нрафического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во мнгоих случаях надежно защищает корпоративную сеть от внешних атак.
Продукты VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого пакета, то такой способ обмена существенно сокращает вероятность атаки на внутренние взлы сети по их IP-адресам.
Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.
Meta IP позволяет создать отказоустойчивую систему управления IP-адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP и DNS серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP и управляемую централизованно.
Инфраструктура IP- адресов современного предприятия, ведущего бизнес с помощью Internet, является для системы безопасности одновременно и ресурсом, который нужно защищать, и источником данных, на основе которых система безопасности выполняет свои основные обязанности - управляет доступом к другим ресурсам сети, обнаруживает атаки и т.д.
Защита IP-адресов предприятия состоит в скрытии их от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе. Обычно для этой цели в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями. Провайдеры Internet не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на хост с частным адресом извне корпоративной сети, что существенно повышает безопасность сети.
Для обеспечения взаимодействия сети с частными адресами с внешним миром в Internet разработана техника трансляции адресов NAT, поддержка которой является прямой обязанностью системы безопасности. Реализация некоторых режимов NAT (например, организация соединений по инициативе внешних хостов или двойной NAT, решающий проблему пересечения адресного пространства внутренних и внешних адресов) требует помощи службы DNS, поэтому для защиты адресного пространства средства безопасности должны быть тесно интегрированы с этой службой.
Защиту IP-адресов обеспечивают также VPN-шлюзы, скрывающие за счет инкапсуляции истинный адрес отправителя и отправляющие пакет во внешнюю сеть от адреса своего внешнего интерфейса.
Перспективные средства защиты IP-адресов должны учитывать возможность использования адресации по стандарту IPv6, плавный переход на который ожидается в ближайшем будущем.
Интеграция средств безопасности с основными службами сети, управляющими IP-адресацией, нужна и для выполнения первыми основных функций по контролю доступа. Традиционное использование средствами защиты IP-адресов в качестве идентификаторов субъектов доступа сегодня существенно затрудняется динамическим характером назначения адресов, поддерживаемым службой DHCP. Для того, чтобы сопоставить IP-адрес с пользователем, средства защиты должны получать информацию от двух сетевых служб: аутентификации и DHCP.
Наличие службы DHCP влияет и на работу транслятора адресов, который должен при установлении внешних соединений с внутренними хостами корректно заменять DNS-имена на внутренние IP-адреса хостов. Эта проблема может решаться стандартным образом, если служба DNS поддерживает режим Dynamic DNS, в противном случае сервис NAT должен решать ее самостоятельно.
В результате для эффективной работы в новых условиях средства безопасности сети должны уметь координировать свою работу с основными службами управления IP-адресами (DHCP, DNS), а также обеспечивать поддержку новых протоколов, связанных с IP-адресацией (например, IPv6, Mobile IP) в случае необходимости.
Система Meta IP включает:
Реализацию DNS-сервера в среде Windows NT, основанную на последней версии BIND 8.1.2 и дополненную инетрфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на настоящее время версию стандарта Dynamic DNS для среды Windows NT. Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP-сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP. Сервис UAM, тесно интегрированный с FireWall-1, и агентов UAT, работающих в службах аутентификации операционных систем. Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельной сервис управления (Manager Service), который собирает в LDAP-совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP-совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP - например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.
Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP с помощью графической консоли, которая имеет две реализации - для среды Win32 и виде Java-апплета, способного работать в любой системе с помощью поддерживающего Java браузера. С помощью Meta IP можно управлять также стандартными DNS-серверами.
Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.
Централизованное управление средствами безопасности
Продукты компании CheckPoint в полной мере удовлетворяют требованиям централизованного управления в масштабах предприятия.
Системы контроля доступа FireWall-1, защиты данных VPN-1 и управления трафиком FloodGate-1 конфигурируются и управляются с помощью общей системы управления политикой компании Check Point. Эта система позволяет администратору с помощью графического редактора Policy Editor создавать и редактировать правила контроля доступа, VPN-защиты и управления трафиком в едином стиле и с использованием, если нужно, общих объектов. Правила всех типов хранятся в сервере Management Server, откуда централизованно распространяются по всем модулям FireWall-1, VPN-1 и FloodGate-1 предприятия. Графический редактор построен в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой удобной точки сети. Данная архитектура обеспечивает согласованное управление основными компонентами системы безопасности сети на основе продуктов компании Check Point, хорошо масштабируется и может применяться в отказоустойчивом варианте при резервировании центрального сервера Management Server.
Администратор системы безопасности FireWall-1/VPN-1/FloodGate-1 может использовать графический пользовательский интерфейс модуля Account Management, входящего в состав FireWall-1, для использования в правилах политики имена пользователей и групп пользователей, учетные данные которых хранятся во внешней LDAP-совместимой службе каталогов. Это свойство позволяет использовать в системе безопасности Check Point все преимущества централизованного управления пользовательскими данными на основе стандартных служб каталогов, во многих сетевых операционных системах (например, NDS для NetWare и Windows NT, Active Directory для Windows 2000 и т.д.).
Такие продукты компании CheckPoint как RealSecure и Meta IP имеют собственные системы управления, которые построены в архитектуре клиент-сервер и обеспечивают централизованное управление своими модулями в масштабах предприятия.
Наличие у современного предприятия многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов, систем аутентификации, контроля доступа по содержанию и т.п.), распределенных к тому же по территории, требует централизованного управления.
Централизованное управление средствами безопасности подразумевает наличие некоторой единой (возможно, распределенной) базы правил, описывающих согласованную политику безопасности предприятия. Эта политика определяет поведение многочисленных средств защиты предприятия - межсетевых экранов, VPN-шлюзов, VPN-клиентов, трансляторов адресов и т.п. Согласованное задание администратором правил политики безопасности для различных устройств защиты с помощью общей консоли управления обеспечивает их непротиворечивость и эффективность, а также сокращает затраты труда и, соответственно, стоимость управления. Каждое устройство защиты, работающее в сети, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству. Управление на основе политики является эффективным инструментом не только в области безопасности, но в других областях, например, при управлении качеством транспортного обслуживания. Возможность интеграции различных систем управления на основе политики безусловно повышает эффективность управления и является весьма желательным свойством для корпоративных продуктов безопасности и поддержки QoS.
Общая тенденция при построении централизованно управляемых сетей состоит в использовании единой службы каталогов (называемой также справочной службой), хранящей данные, необходимые для управления всеми аспектами сетевой активности и всеми компонентами сети: учетные данные пользователей, права их доступа к сети и отдельным ее ресурсам, данные о распределении программных компонент по компьютерам сети, правила управления качеством обслуживания и т.д. и т.п. Над общей службой каталогов работают различные сетевые сервисы, использующие данные о компонентах сети для выполнения частных задач управления: администрирования пользователей, аутентификации пользователей, управления качеством обслуживания и т.д.
В этом ряду должны находиться и сервисы управления безопасностью, однако пока производители средств безопасности предпочитают использовать для хранения правил политики отдельные базы данных и фирменные протоколы распределения правил по устройствам защиты. Возможно, что дальнейшее развитие и распространение служб каталогов приведет к переносу в них и баз правил политики безопасности. Ситуация усложняется сегодня и тем, что продукты безопасности разных производителей если и имеют систему централизованного управления, то она не совместима с системами управления других производителей.
Наличие централизованных средств управления продуктами безопасности является безусловным требованием для возможности их применения в корпоративном масштабе. Также крайне желательна интеграция систем централизованного управления различными продуктами в единую систему управления, работающую на основе общей политики безопасности.
Использование открытых стандартов для интеграции средств защиты разных производителей
Следование открытым стандартам является принципиальной политикой компании Check Point. Такая политика обеспечивает эффективную интеграцию продуктов разных производителей при создании комплексной системы безопасности корпоративной сети.
Продукты Check Point соответсвуют всем основным стандартам безопасности, используемым в Internet: IPSec, IKE, SSL, RADIUS и стандарту X.509 для цифровых сертификатов. Кроме того, поддержка стандарта LDAP, не относящегося непосредственно к области защиты данных, позволяет продуктам Check Point взаимодействовать со стандартными службами каталогов.
Мощным средством интеграции средств безопасности служат открытые стандарты и инструменты платформы OPSEC, развиваемые компанией Check Point и компаниями, поддерэживающими эту платформу.
В рамках платформы OPSEC можно выделить три направления стандартизации средств безопасности:
Использование языка классификации трафика INSPECT или модулей Inspection Module как стандартных средств контроля доступа в продуктах тертьих фирм. Примерами такого использовани могут служить маршрутизаторы Nortel Networks или коммутаторы Alcatel (Xylan). Применение открытых протоколов взаимодействия между компонентами безопасности определенного типа. Платформа OPSEC включает следующте протоколы:
CVP (Contenet Vectoring Protocol), используемый для экранирования содержания или анти-вирусной проверки, UFP (URL Filter Protocol), используемый для контроля доступа к внешним Web-серверам SAMP (Suspiсious Activity Monitoring Protocol), используемый для обнаружения и блокирования вторжений, LEA (Log Export API), используемый для извлечения и экспорта данных журнала регистрации FireWall-1, OMI (Object Management Interface), используемый для взаимодействия клиента с Management Server системы FireWall-1 при задании и модификации правил политики.
Использование при разработке продуктов безопасности инструментальных средств OPSEC SDK, которые предоставляют соответсвующие API к перечисленным выше протоколам и тем самым обеспечивают совместимость разрабатываемых продуктов.
Наличие большого количества продуктов третьих фирм для платформы OPSEC и ее растущая популярность создают хорошие перспективы для развития системы безопасности корпоративной сети на основе продуктов компании Check Point и ее партнеров по инициативе OPSEC.
Более подробную информацию вы можете найти на сайте корпорации Uni: http://www-win.uniinc.msk.ru/chkpf/index.htm
Переход на открытые стандарты составляет одну из основных тенденций развития средств безопасности. Такие стандарты как IPSec и PKI обеспечивают защищенность внешних коммуникаций предприятий и совместимость с соответствующими продуктами предприятий-партнеров или удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня стандартной основой для аутентификации пользователей и устройств. Перспективные средства защиты безусловно должны поддерживать эти стандарты уже сегодня.
Однако стандартизация распространяется пока далеко не все компоненты комплексной системы безопасности предприятия. Большой проблемой остается совместимость продуктов безопасности, работающих внутри сети и обеспечивающих различные аспекты защиты ресурсов. Например, система обнаружения вторжений должна при распознавании атаки каким-то образом воздействовать на межсетевой экран, чтобы заблокировать действия злоумышленника, а также сделать запись в журнале регистрации, который должен быть общим для всех компонент системы безопасности.
Совместимость различных продуктов безопасности можно обеспечить в том случае, когда их выпускает один производитель, и этот путь часто выбирают разработчики систем безопасности предприятия. Однако проблема надежной защиты корпоративных ресурсов настолько сложна и многопланова, что трудно ожидать от одного производителя выпуска всего спектра продуктов по всем направлениям защиты. Другим решением является интеграция лучших продуктов по каждому направлению от разных производителей на основе некоторых открытых стандартов взаимодействия. Построение системы защиты на основе такого подхода является гораздо более гибким и эффективным подходом.
Более подробную информацию вы можете найти на сайте корпорации Uni: http://www-win.uniinc.msk.ru/chkpf/index.htm
А бывает ли это на самом деле?
"Описанные выше два случая - это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни".
По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем - рассылка электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек.
Другой пример подробно описан на странице http://www.citforum.ru/internet/securities/seccas1.shtml и я не хотел бы его лишний раз пересказывать. Хочу только отметить, что современные технологии Internet позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть "как настоящие", со всеми атрибутами (адрес и имя отправителя, подпись и т.д.).
Администрирование
Легкость администрирования является одним из ключевых аспектов в создании
эффективной и надежной системы защиты. Ошибки при определении правил доступа могут
образовать дыру, через которую может быть взломана система. Поэтому в большинстве
брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора
правил. Наличие этих утилит позволяет также производить проверки на синтаксические или
логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют
просматривать информацию, сгруппированную по каким либо критериям - например, все что
относится к конкретному пользователю или сервису.
"Активные зондирующие проверки" (active probing check)
Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.
Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.
Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".
Аннотация
Рассматривается структура современных систем обнаружения вторжений (СОВ). Характеризуются основные направления распознавания нарушений безопасности защищаемых систем в современных СОВ. Выполнен анализ используемых методов и моделей структуры СОВ в соответствии с выделенными основными группами. Приведены основные недостатки существующих СОВ и обоснованы направления их совершенствования.
Антишпионское программное обеспечение:
защищает от программ класса adware, шпионских программ и "угонщиков браузеров", cookies-сканеров и других интернет-паразитов.
Антиспамерское программное обеспечение:
блокирует вводящие в заблуждение, жульнические ("рыболовные") схемы; сокращает работу по фильтрованию писем, уменьшая вероятность того, что пользователь случайно второпях активирует вирус, полученный по электронной почте.
Антивирусное программное обеспечение:
защищает систему от известных вирусов, червей и "троянцев", но менее эффективно против новых инфекций; не защищает систему от программ распространения рекламы (adware), шпионских программ и "угонщиков браузеров".
Аппаратная расширяемость
Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.
Аппаратный маршрутизатор:
с помощью NAT (Network address Translation, трансляция сетевых адресов, — стандарт Internet, позволяющий использовать в локальной сети различные наборы IP-адресов для внешнего и внутреннего трафика) маскирует IP-адреса, делая неэффективным сканирование портов. блокирует поступление данных из интернета, на которые нет разрешения пользователя; не защищает систему от большинства злонамеренных программ, таких как "троянские кони", вирусы, почтовые "черви" и шпионские программы.
Апрель
В начале апреля 19-летнему
Christopher Schanot, известному в компьютерном подполье Сент-Луиса
под псевдонимом "N00gz", в Филадельфии было предъявлено
обвинение в компьютерном мошенничестве. Старшекласснику-отличнику
инкриминировался несанкционированный доступ ко многим корпоративным
и правительственным компьютерам, Его жертвами стали такие компании,
как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал
себя виновным по двум пунктам обвинения в компьютерном мошенничестве
и одном пункте обвинения в незаконном прослушивании. Ему грозит
до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило
агентство AP 15 ноября, приговор должен быть вынесен 31 января
1997 года.
В телеконференциях (см.
RISKS 18.02) появились разоблачения, касающиеся сотрудников Управления
социального страхования США. Эти сотрудники злоупотребили своими
правами на доступ к компьютерам Управления и продали детальную
персональную информацию о более чем 11 тысячах жертвах членам
шайки, занимающейся махинациями с кредитными картами. (Еще один
урок по поводу важности человеческого фактора в информационной
безопасности.)
Агентство Associated Press
19 апреля сообщило о проникновении хакеров в систему голосовой
почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие
на следующий текст: "Вы попали в полицейский департамент
Нью-Йорка. В случае реальной опасности позвоните по телефону 119.
Для всех остальных дел как раз сейчас мы немного заняты - пьем
кофе с пирожными". Далее следовало: "Вы можете не вешать
трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете,
что имеется в виду. Спасибо". Поддельные сообщения звучали
в течение 12 часов, прежде чем власти исправили ситуацию.
Peter Neumann подготовил
краткое изложение новостийной статьи о важном повороте в битве
против законодательства, касающегося международной торговли оружием.
"16 апреля 1996 года
районный судья Marilyn Hall Patel вынесла постановление, согласно
которому математик Daniel Bernstein может попробовать доказать,
что сфера действия принятых в США правил контроля за экспортом
криптографических технологий слишком широка и затрагивает его
права на общение с другими учеными и компьютерной общественностью
- права, защищаемые свободой печати. (Криптографические программы,
которые разработал Bernstein, называются Snuffle и Unsnuffle.
Государственный департамент США в 1993 году принял решение о том,
что на статью и программы, написанные математиком, необходимо
получить экспортную лицензию, поскольку согласно действующему
в США законодательству поставщик криптосредств приравнивается
к международному торговцу оружием. Позднее ограничения на экспорт
статьи были сняты. После этого Bernstein возбудил судебное дело,
требуя снять ограничения со своих программ.)"
В декабре судья Patel
нанесла решающий удар по запрету, назвав его "примером бессистемного
произвола", неспособного обеспечить право граждан на свободу
слова (UPI, 19 декабря; RISKS 18.69).
Согласно сообщению в "San
Francisco Chronicle" от 20 апреля (Peter Neumann изложил
его в RISKS 18.07), личный секретарь вице-президента корпорации
Oracle получила отказ в иске по поводу незаконности ее увольнения.
Женщина утверждала, что ее уволили после того, как она отказалась
вступить в связь с президентом компании. В качестве доказательства
она привела фрагмент электронного письма, якобы отправленного
ее боссом президенту. В письме босс подтверждал, что выполнил
просьбу президента и уволил секретаршу. Однако, как показало следствие,
в то время, когда было отправлено письмо, босс на самом деле находился
за рулем автомобиля (во всяком случае, об этом свидетельствуют
протоколы переговоров по сотовой связи). Истица знала пароли своего
начальника (он имел обыкновение просить ее о смене пароля). Местный
прокурор пришел к заключению, что электронное письмо было сфабриковано
секретаршей и обвинил ее в лжесвидетельстве.
Весьма интересны выводы,
к которым пришел Peter Neumann:
Не следует верить,
что заголовок FROM: электронного письма соответствует реальному
отправителю.
Не следует доверять
содержанию электронного сообщения вне зависимости от корректности
его заголовков.
Не следует разделять
свой пароль с кем бы то ни было или делать кого-либо другого ответственным
за Ваши пароли.
Не следует использовать
скрытно компрометируемые многоразовые фиксированные пароли; частота
их смены не имеет принципиального значения.
Вместо фиксированных
паролей используйте одноразовые средства аутентификации.
Даже если Вы используете
PEM, PGP или иные средства криптографической защиты электронной
почты, Вы не можете быть уверены в аутентичности сообщений из-за
потенциальной ненадежности операционных систем и пользователей.
Остерегайтесь использовать
сообщения электронной почты в качестве судебных доказательств.
Однако, не следует
думать, что протоколы сотовой связи являются безупречными судебными
доказательствами; они также могут быть сфабрикованы или изменены.
Если Вас втягивают в судебное разбирательство, найдите кого-нибудь,
кто в состоянии продемонстрировать, насколько легко изменить эти
протоколы.
К этому Mike Marler
<Mike.Marler@oit.gatech.edu> добавляет (см. RISKS 18.07):
Не следует думать,
что некто не может запустить на своем компьютере пакетное задание
или фоновый процесс, которые отправят электронное сообщение другому
лицу (с подделкой заголовков или без таковой), в то время как
автор, например, ловит рыбу в пяти милях от побережья Коста-Рики.
Не следует думать,
что некто не может располагать автоматизированной системой ответов
на письма, которая пошлет ответ на "фрагмент электронного
письма", начинающийся примерно так: "К сожалению, я
не могу направить развернутый ответ на Ваш 'фрагмент электронного
письма', поскольку до конца дня я буду очень занят на собраниях".
В это время упомянутый некто может просто бездельничать или продолжать
ловить рыбу у берегов Коста-Рики.
J.R.Valverde (младший)
<jrvalverde@samba.cnb.uam.es> еще добавил:
Никогда не беритесь
за обслуживание счета другого пользователя, не получайте доступ
к чужому компьютеру.
Причуды America Online
развеселили Интернет и особенно жителей небольшого городка на
востоке Англии с названием Scunthorpe, когда житель этого городка
Doug Blackie попытался зарегистрировать свой новый счет. Если
верить статье в "Computer underground Digest" выпуск
8.29 (изложение которой можно найти в RISKS 18.07), фильтр непристойностей,
встроенный в программное обеспечение America Online, отверг слово
"Scunthorpe", но принял "Sconthorpe". (На
русском языке это приблизительно соответствует замене названия
"Отпадинск" на "Отпудинск" - прим. перев.)
С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe
Filter". В других сообщениях, поступивших в телеконференцию
RISKS, многочисленные корреспонденты прокомментировали эффекты
фильтрации безобидных жаргонных словечек, имеющих ложные вхождения
в нормальные слова на английском или, в особенности, на других
языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов,
построенных на этом принципе - прим. перев.) Можно подумать, что
программисты America Online брали уроки у разработчиков современных
антивирусных средств.
Согласно сообщению английской
газеты "Daily Mail" от 27 апреля (см. также RISKS 18.09),
криминальные хакеры получили доступ к конфиденциальным файлам
университета в Кембридже, из-за чего пришлось срочно менять пароли
у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали
медицинскую, коммерческую и научную информацию. Однако, в отличие
от эффектной газетной заметки, правда оказалась более прозаичной.
Как сообщил Stephen Early <sde1000@chiark.chu.cam.ac.uk>
(см. RISKS 18.10), в одной из подсетей информационной системы
университета была обнаружена установленная программа перехвата
сетевых пакетов.
Аутентификация
Аутентификация является одним из самых важных компонентов брандмауэров. Прежде
чем пользователю будет предоставлено право воспользоваться тем или иным сервисом,
необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается,
что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы
разрешены называется авторизацией. Авторизация обычно рассматривается в контексте
аутентификации - как только пользователь аутентифицирован, для него определяются
разрешенные ему сервисы). При получении запроса на использование сервиса от имени
какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для
данного пользователя и передает управление серверу аутентификации. После получения
положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое
пользователем соединение.
Как правило, используется принцип, получивший название "что он знает" - т.е.
пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в
ответ на его запрос.
Одной из схем аутентификации является использование стандартных UNIX паролей.
Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть
перехвачен и использован другим лицом.
Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи
перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить
следующий пароль из предыдущего является крайне трудной задачей. Для генерации
одноразовых паролей используются как программные, так и аппаратные генераторы -
последние представляют из себя устройства, вставляемые в слот компьютера. Знание
секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд
брандмауэров поддерживают Kerberos - один из наиболее распространенных методов
аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры
поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее
приемлемой для своих условий.
Аварийное завершение соединения с атакующим узлом
Модуль слежения системы RealSecure? может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.