суббота, 5 декабря 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 11

В этой части рассмотрены следующие вопросы:
  • Практика управления доступом
  • Несанкционированное разглашение информации
  • Повторное использование объекта
  • Защита от утечки информации по техническим каналам
  • Мониторинг управления доступом
  • Выявление вторжений
  • IDS уровня сети
  • IDS уровня хоста
  • Выявление вторжений на основе знаний и сигнатур
  • IDS на основе состояния
  • Выявление вторжений на основе статистических аномалий
  • IDS на основе аномалий протоколов
  • IDS на основе аномалий трафика
  • IDS на основе правил
  • Сенсоры IDS
  • Сетевой трафик
  • Системы предотвращения вторжений
  • Хосты-приманки
  • Сетевые снифферы

Обновлено: 28.03.2010

Итак, мы рассмотрели, как идентифицировать пользователей, провести их аутентификацию, авторизацию и как контролировать их действия. Это необходимые части здоровой и безопасной сетевой среды. Но вы также хотите предпринять определенные шаги, чтобы убедиться в отсутствии ненужных открытых "дверей", а также в том, что среда остается на том же уровне безопасности, над достижением которого вы упорно трудились? Для этого необходимо внедрить хорошие практики управления доступом. Конечно, трудно устранять все проблемы в сети, бороться в политических баталиях, выполнять все запросы пользователей, и при этом своевременно выполнять все небольшие задачи по текущему обслуживанию. Тем не менее, невыполнение этих небольших задач вызывает больше всего проблем и уязвимостей.

Ниже представлен список задач, которые следует выполнять на регулярной основе, чтобы безопасность оставалась на достаточном уровне:
  • Запретить доступ к системам пользователям, не прошедшим аутентификацию, и анонимным учетным записям.
  • Огранить и контролировать использование административных и иных привилегированных учетных записей.
  • Блокировать учетную запись или вносить задержку после нескольких неудачных попыток регистрации.
  • Удалять учетные записи уволенных сотрудников сразу же после их ухода из компании.
  • Блокировать учетные записей, которые не использовались 30 – 60 дней.
  • Внедрить строгие критерии доступа.
  • Применять принцип «должен знать» и принцип минимальных привилегий.
  • Отключить ненужные функции системы, службы и порты.
  • Заменить пароли «по умолчанию» для встроенных учетных записей.
  • Ограничить и контролировать правила глобального доступа.
  • Убедиться, что названия учетных записей не раскрывают должностных обязанностей пользователей, которым они принадлежат.
  • Удалить излишние правила использования ресурсов учетными записями и группами.
  • Удалить из списков доступа к ресурсам излишние идентификаторы пользователей, учетные записи и роли.
  • Организовать периодическую смену паролей.
  • Установить требования к паролям (по длине, содержимому, сроку действия, распространению, хранению и передаче).
  • Организовать журналирование системных событий и действий пользователей, а также периодический просмотр журналов.
  • Обеспечить защиту журналов регистрации событий.
Но даже если все перечисленные выше контрмеры внедрены и надлежащим образом контролируются, несанкционированный доступ к данным по-прежнему возможен. В следующем разделе будет подробнее рассказано об этих проблемах и соответствующих контрмерах.


Некоторые вещи могут сделать информацию доступной неуполномоченным лицам, что может привести к неблагоприятным последствиям. Это может происходить как умышленно, так и случайно. Информация может быть разглашена непреднамеренно, когда человек становится жертвой специализированной атаки (например, социальной инженерии, использования скрытых каналов, вредоносного программного обеспечения, перехвата электромагнитных излучений). Также, информация может быть разглашена случайно посредством повторного использования объектов, о котором рассказано далее. (Социальная инженерия обсуждается в Домене 01, а скрытые каналы – в Домене 03).


Проблема повторного использования объекта связана с получением другим субъектом носителя информации, который ранее содержал один или несколько объектов. Это означает, что прежде чем кому-то будет передан для использования жесткий диск, USB-накопитель или лента, они должны быть очищены от любой остаточной информации, которая по-прежнему может находиться на них. Это также относится к повторному использованию объектов процессами компьютера, например, ячеек памяти, переменных и регистров. Любая критичная информация, которая может быть оставлена процессом, должна надежно удаляться, прежде чем другому процессу будет разрешен доступ к этому объекту. Это обеспечивает невозможность получения посредством повторного использования объектов доступа к информации неуполномоченных лиц и любых других субъектов. Часто в процессе работы происходит хаотичный обмен USB-накопителями. Что если руководитель передал свой USB-накопитель сотруднику, не стерев с него информацию, среди которой были конфиденциальные отчеты о работе сотрудников подразделения и прогнозы сокращению штата в следующем году? Это может иметь крайне негативные последствия, если информация распространится среди сотрудников компании. Форматирование диска или удаление файлов реально удаляет только ссылки на файлы, но не сами файлы. Эти файлы остаются на диске и доступны, пока операционной системе не потребуется это пространство, и она не перезапишет информацию поверх этих удаленных файлов. Таким образом, носители информации, содержащие критичную информацию, должны подвергаться более серьезным мерам, обеспечивающим реальное удаление информации, а не только ссылок на файлы.

Критичные данные должны быть классифицированы (секретно, совершенно секретно, конфиденциально, неклассифицированные и т.д.) владельцами данных. Должно контролироваться хранение критичных данных и процесс их использования. Но и это не все! Перед повторным использованием носителя информации, на котором ранее хранились критичные данные, вся информация с него должна быть надежно удалена специализированными средствами. (Ответственность за выполнение этой работы обычно лежит на подразделении эксплуатации ИТ.) Если носитель содержит критичную информацию и не может быть очищен, должны быть предприняты шаги, обеспечивающие надлежащее уничтожение самого носителя информации, чтобы никто другой не мог получить эту информацию.
ПРИМЕЧАНИЕ. Иногда хакеры настраивают сектор на жестком диске, помечая его как «плохой», чтобы его не могла использовать операционная система, однако при этом сам сектор остается исправным и в нем могут храниться вредоносные данные. Операционная система не будет записывать информацию в этот сектор, поскольку она думает, что он поврежден. Это один из способов скрытия данных. Некоторые загрузочные вирусы (boot-sector virus) способны размещать часть своего кода в специальном секторе жесткого диска, перезаписывая любые данные, которые там хранились ранее, а затем помечая его как «плохой».

Все электронные устройства излучают электрические сигналы, которые могут содержать важную информацию. При этом если атакующий купит специальное оборудование и встанет на нужное место, он сможет перехватить эту информацию из электромагнитных волн и получить передаваемые данные без физического подключения к сетевым проводам.

Произошло уже немало инцидентов, в которых злоумышленники с помощью недорогого оборудования перехватывали электромагнитные излучения компьютеров. Это оборудование может воспроизводить потоки данных и отображать их на мониторе компьютера злоумышленника, позволяя ему получить доступ к секретной информации. И это не просто бред из шпионских романов, это происходит в реальном мире. Поэтому были разработаны соответствующие контрмеры против таких атак.

Защита от электронной слежки (TEMPEST) началась с исследования Министерства обороны США, а затем превратилась в стандарт, который описывает разработку контрмер, предназначенных для контроля побочных электрических сигналов, излучаемых электрическим оборудованием. Для подавления этих сигналов до определенного приемлемого уровня используется специальное экранирование, которое предотвращает перехват злоумышленниками информации из прослушиваемых электромагнитных волн. Существуют специальные стандарты на такое экранирующее оборудование, которые ранжируют его по степени экранирования. Производители этого оборудования должны быть сертифицированы по этим стандартам.

Устройства (мониторы, компьютеры, принтеры и т.д.) снабжают внешним металлическим покрытием, называемым «клеткой Фарадея». Это покрытие имеет необходимую толщину, от которой зависит количество излучаемого во внешний мир сигнала. Кроме того, в устройствах, ранжированных по уровню защиты от электронной слежки, изменены и другие компоненты, в первую очередь блоки питания, имеющие пониженное энергопотребление.

При соблюдении допустимых предельных уровней излучения, безопасность считается достаточной. Одобренные продукты должны обеспечить соблюдение этих предельных уровней излучения. Такая защита обычно требуется только для военных учреждений, хотя и другие высокозащищенные среды используют такие защитные меры.

Многие военные организации беспокоятся о паразитных радиоволнах, излучаемых компьютерами и другим электронным оборудованием, так как злоумышленник может перехватить их, реконструировать данные и получить доступ к секретам, которые должны были оставаться тайной.

Технологии защиты от электронной слежки сложны, дороги и громоздки, поэтому они применяются только для защиты данных высшего уровня конфиденциальности.

Существуют две альтернативы средствам защиты от электронной слежки – белый шум или использование концепции контрольных зон.
ПРИМЕЧАНИЕ. TEMPEST (защита от электронной слежки) – это название программы (а сейчас – стандарта), которая была разработана в конце 1950-х годов американским и английским правительствами, чтобы решить проблему электрических и электромагнитных излучений от электрического оборудования – в первую очередь от компьютеров. Оборудование для электронной слежки обычно используется разведками, военными, правительствами и правоохранительными органами, его продажа находится под постоянным контролем.
Белый шум (white noise) – это контрмера для противодействия извлечению информации из электрического излучения, которая представляет собой однородный спектр случайных электрических сигналов. Белый шум распространяется по всему спектру в рамках полосы пропускания и злоумышленник не может отделить реальную информацию от случайного шума или случайной информации.

Контрольная зона (control zone) – это другая альтернатива оборудованию защиты от электронной слежки. В стенах некоторых зданий используются специальные материалы, проводящие электрические сигналы. Это не позволяет злоумышленникам получить доступ к информации, излучаемой в виде электрических сигналов сетевыми устройствами. Контрольные зоны являются разновидностью периметра безопасности и создаются для защиты от доступа неуполномоченных лиц к данным и компрометации критичной информации.


Мониторинг управления доступом – это метод отслеживания тех, кто пытается получить доступ к определенным ресурсам компании. Это важный детективный механизм, для реализации которого существуют различные технологии, такие как IDS, IPS, сетевые снифферы, хосты-приманки (honeypot). Недостаточно просто вложить деньги в антивирус и межсетевой экран, компаниям необходим контроль своих собственных внутренних сетей.


Системы выявления вторжений (IDS – intrusion detection system) отличаются от традиционных межсетевых экранов, т.к. они созданы для выявления недостатков в системе безопасности – несанкционированного использования или атак компьютеров, сетей или телекоммуникационной инфраструктуры. IDS позволяют снизить ущерб от хакерских атак, взлома критичных компьютеров и сетевых устройств. Основная задача средства IDS – отмечать подозрительные действия в сети и своевременно уведомлять о них администратора (посредством подачи звукового сигнала, передачи сообщения на консоль управления, отправки SMS-сообщения на мобильный телефон и т.п.), либо даже автоматически вносить изменения в настройки ACL межсетевого экрана. Средства IDS могут просматривать потоки данных, находя в них последовательности битов, которые могут свидетельствовать о сомнительных действиях или событиях, либо осуществлять мониторинг системных журналов и иных файлов журналирования деятельности. Следует выявлять любое ненормальное поведение, которое может свидетельствовать о вторжении (или попытке вторжения).

Хотя существуют различные разновидности IDS, все они имеют три общих компонента: сенсоры, анализаторы и административные интерфейсы. Сенсоры собирают трафик или данные о действиях пользователей и отправляют их анализаторам, которые ищут в них подозрительные действия. В случае выявления анализатором таких действий (на которые он запрограммирован), он отправляет соответствующие сообщение в административный интерфейс. Существует два основных типа IDS: уровня сети (network-based), которые отслеживают весь сетевой трафик, и уровня хоста (host-based), которые анализируют действия в рамках одной компьютерной системы.

IDS могут быть настроены для выявления атак, анализа журналов аудита, прерывания соединений, уведомления администратора о происходящих атаках, защиты системных файлов, указания на уязвимости, которые должны быть учтены, а также для помощи в отслеживании действий отдельных хакеров.


IDS уровня сети (NIDS – network-based IDS) используют сенсоры, являющиеся отдельными компьютерами с установленным на них специальным программным обеспечением, либо специальными выделенными устройствами (appliance). Каждый сенсор имеет сетевую карту (NIC – network interface card), работающую в режиме прослушивания сети (promiscuous mode). Обычные сетевые карты получают только сетевые пакеты, адресованные этой сетевой карте, широковещательные (broadcast) и многоадресные (multicast) пакеты. Драйвер сетевой карты копирует данные из передающей среды и отправляет и отправляет его стеку сетевых протоколов для обработки. Если сетевая карта находится в режиме прослушивания, драйвер сетевой карты захватывает весь трафик, делает копии всех пакетов, а затем передает одну копию в стек TCP, а вторую копию – анализатору, для поиска определенных шаблонов (сигнатур).

NIDS контролирует сетевой трафик и не может увидеть действия, происходящие внутри отдельного компьютера. Для отслеживания таких действий следует использовать IDS уровня хоста.


IDS уровня хоста (HIDS – host-based IDS) может быть установлена на отдельные рабочие станции и/или серверы для выявления нежелательных или аномальных действий. HIDS обычно используются для обеспечения уверенности, что пользователи не удаляют системные файлы, не изменяют важные настройки или подвергают систему риску иными способами. Так, если NIDS понимает и контролирует сетевой трафик, средства HIDS ограничиваются только самим компьютером. HIDS не понимает и не отслеживает сетевой трафик, а NIDS не контролирует действия внутри системы. Каждое из этих средств имеет свои задачи и выполняет их своими способами.

В большинстве сред системы HIDS устанавливаются только на критичные серверы, а не на каждый компьютер в сети, поскольку это могло бы вызвать существенное повышение нагрузки на компьютеры и на администраторов.

Чтобы сделать жизнь немного проще, HIDS и NIDS могут быть одного из следующих типов:
  • Сигнатурные (signature based)
    • Отслеживающие шаблоны (pattern matching)
    • Отслеживающие состояние (stateful matching)
  • Основанные на аномалиях (anomaly based)
    • Основанные на статистических аномалиях (statistical anomaly-based)
    • Основанные на аномалиях протоколов (protocol anomaly-based)
    • Основанные на аномалиях трафика (traffic anomaly-based)
  • Основанные на правилах (rule-based) или эвристические (heuristic-based)

Знания об отдельных атаках накапливаются производителями IDS и хранятся в виде моделей, отражающих процесс их выполнения. Эти модели называются сигнатурами. Как только выявляется новый вид атаки, производитель сигнатурного IDS создает соответствующую сигнатуру, которая в последующем используется при проверке сетевого трафика для обнаружения такой же атаки. Разрешаются любые действия, которые не были идентифицированы как атака.
ПРИМЕЧАНИЕ. Выявление атак на основе сигнатур также называют обнаружением по шаблонам (pattern matching).
Примером сигнатуры является сетевой пакет, в котором адрес отправителя и получателя совпадают – это, так называемая, Land-атака. В Land-атаке хакер изменяет заголовок пакета и когда система получателя отправляет отправителю ответ, она отправляет его на свой же адрес. Сейчас это выглядит довольно безобидно, но все еще есть уязвимые системы, не имеющие программного кода, позволяющего распознать такую ситуацию, которая приводит к их «зависанию» или перезагрузке.

Сигнатурные IDS являются наиболее популярными IDS в наше время, но их эффективность напрямую зависит от регулярности обновления баз сигнатур, как в антивирусном программном обеспечении. Этот тип IDS практически не защищает от новых атак, так как он не может их распознать до появления их сигнатур в его базе данных. Атаки или вирусы, обнаруженные в реальных средах, называются «дикими» (in the wild). Атаки или вирусы, существующие, но не выпущенные в реальный мир, называются «в зоопарке» (in the zoo). Это не шутка.


Перед тем, как углубиться в изучение работы IDS на основе состояния, вам следует понять, что представляет собой состояние системы. Каждое изменение в работе системы (вход пользователя, запуск приложения, взаимодействие приложений, ввод данных и т.д.) приводит к изменению состояния. С технической точки зрения, все операционные системы и приложения представляют собой просто множество строк команд, написанных для выполнения определенных функций над данными. Команды работают с переменными, которые содержат данные. Когда вы, например, используете утилиту «Калькулятор» и вводите цифру «5», специальная пустая переменная сразу же получает это значение. Введя эту цифру, вы изменяете состояние приложения. Когда приложения взаимодействуют друг с другом, они заполняют пустые переменные специальными наборами команд. Таким образом, переход состояния – это когда меняется значение переменной, что происходит постоянно в любой системе.

При проведении атак, происходят соответствующие изменения состояний (действия). Например, если атакующий выполняет удаленное переполнение буфера, происходят следующие изменения состояний.
  1. Удаленный пользователь подключается к системе.
  2. Удаленный пользователь отправляет данные приложению (объем передаваемых данных превышает выделенный для них буфер в соответствующей пустой переменной).
  3. Данные принимаются, перезаписывая при этом буфер и, возможно, другие сегменты памяти.
  4. Выполняется вредоносный код.
Таким образом, состояние – это «снимок» (snapshot) значений операционной системы в оперативной, полупостоянной и постоянной областях памяти. В IDS на основе состояния первоначальным состоянием является состояние перед началом атаки, а скомпрометированным состоянием – состояние после успешного вторжения. IDS имеет правила, которые описывают последовательность переходов состояния, свидетельствующих о происходящей атаке. Действия, которые происходят между первоначальным и скомпрометированным состояниями – это именно то, что ищет данный тип IDS. Он отправляет сигнал опасности, если любая последовательность переходов состояния совпадает с предварительно настроенными правилами. Этот тип IDS осуществляет поиск сигнатур атак в контексте потока действий, а не просто смотрит отдельные пакеты. Он также может выявить только известные атаки и требует частого обновления своих сигнатур.


IDS на основе статистических аномалий (statistical anomaly–based IDS) – это системы, основанные на поведении. Они не используют сигнатуры. Вместо этого они создают профиль «нормальной» деятельности, работая в режиме обучения. Этот профиль строится на основе постоянного анализа происходящей в среде деятельности. Точность профиля и качество защиты зависит от времени нахождения IDS в режиме обучения. После создания профиля, весь последующий трафик и деятельность сравниваются с ним. Все что не похоже на профиль, считается атакой, о которой направляется соответствующее уведомление. Такие IDS используют сложные статистические алгоритмы, выискивая аномалии в сетевом трафике и действиях пользователей. Каждому пакету присваивается рейтинг его «аномальности», который указывает на степень его отклонения от нормального профиля. Если рейтинг выше определенного порога «нормального» поведения, выполняется заранее определенное действие.

Преимуществом IDS на основе статистических аномалий является их возможность реагировать на новые типы атак, в том числе атаки «нулевого дня», для которых еще нет сигнатур или патчей. Эти IDS также могут выявлять «низкие и медленные» атаки, при которых атакующий пытается остаться ниже порога срабатывания средств мониторинга, отправляя пакеты понемногу в течение длительного периода времени. IDS на основе статистических аномалий могут выявлять эти типы атак, поскольку они достаточно отличаются от профиля.

Но есть и плохие новости. Крайне сложно создать для сети качественный профиль «нормальной» деятельности, который не приводит к огромному количеству ложных срабатываний. Это связано с тем, что в сети происходят постоянные изменения. Часто это приводит к тому, что компании просто отключают свои IDS, из-за того, что они требуют крайне много времени для своей надлежащей поддержки. Чтобы сократить число ложных срабатываний, нужен очень высококвалифицированный ИТ-персонал. Также, важным моментом является правильное определение порога срабатывания IDS.

Если атакующий выявляет наличие IDS в сети, он попытаться определить ее тип, чтобы попробовать обойти ее. Для поведенческой IDS атакующий может попытаться совместить свою деятельность с шаблоном поведения сетевого трафика. Если это удастся ему, его деятельность будет выглядеть нормальной для IDS и поэтому останется не выявленной. Кроме того, крайне важно гарантировать отсутствие атак во время работы IDS в режиме обучения, т.к. иначе IDS будет считать такие атаки «нормальной» деятельностью и не будет сообщать о них в будущем.

Если компания решает использовать IDS на основе статистических аномалий, она должна убедиться, что ее сотрудники, которые будут внедрять и поддерживать систему, разбираются в проведении анализа протоколов и пакетов. Это связано с тем, что такие IDS (в отличие от IDS других типов) отправляют малоинформативные уведомления и сетевой инженер должен в каждом случае разбираться, в чем на самом деле заключается проблема. Например, сигнатурная IDS сообщает тип выявленной атаки, IDS на основе правил сообщает какое правило было нарушено. IDS на основе статистических аномалий просто сообщают о том, что произошло что-то «ненормальное», не соответствующее профилю.
ПРИМЕЧАНИЕ. Поведенческие IDS также называют эвристическими IDS. Этот термин означает создание новой информации из различных источников данных. IDS собирает различные факты из сети или систем и рассчитывает вероятность, что происходит атака. Если рассчитанный рейтинг превышает порог, передается сигнал тревоги.
Техники атак. При подготовке к атаке, хакеры чаще всего первым делом определяют, установлен ли IDS в сети, которую они собираются атаковать. Если IDS установлен, они проводят DoS-атаку на него, чтобы нарушить его работу. Другой тактикой является отправка IDS некорректных данных, которые заставят IDS отправить уведомление о начавшейся атаке, хотя никакой атаки в действительности не будет. Это делается для того, чтобы добиться отключения IDS специалистами компании из-за ее «неправильной» работы, либо чтобы отвлечь внимание этих специалистов на анализ некорректных пакетов, пока будет происходить реальная атака.
Что в имени? Сигнатурные IDS также известны как системы выявления некорректного использования (misuse-detection system), а поведенческие IDS – как системы, основанные на профилях (profile-based system).
Определение правильных порогов статистически значимых отклонений – это на самом деле ключ к успешному использованию поведенческой IDS. Если порог установлен на слишком низком уровне, обычная деятельность будет часто ошибочно расцениваться в качестве атак (false positive, «ложное срабатывание»). Если порог, наоборот, установлен слишком высоко, некоторые вредоносные действия не будут выявлены (false negative, «нераспознавание»).

Когда IDS обнаруживает атаку, она может производить различные действия, в зависимости от своих возможностей и настроенных на ней политик. IDS может отправить уведомление на консоль управления, чтобы сообщить об атаке соответствующим специалистам; отправить сообщение по электронной почте или на мобильный телефон специалисту, ответственному за реакцию на атаки; сбросить соединение, с которого зарегистрирована атака; или перенастроить маршрутизатор или межсетевой экран, чтобы попытаться остановить все последующие похожие атаки. Реакция может варьироваться от блокировки конкретного IP-адреса, до перенаправления или блокировки отдельных видов деятельности.


IDS на основе статистических аномалий могут использовать фильтры, основанные на аномалиях протоколов. Такие IDS имеют знания о каждом протоколе, который они контролируют. Аномалии протоколов выявляются на основании формата и поведения протокола. IDS строит модель (профиль) «нормального» использования каждого протокола. Нужно иметь в виду, что теоретическое использование протоколов описано в соответствующих RFC, но их реальная работа почти всегда отличается от теоретической, поскольку производители программного обеспечения в большинстве случаев не строго следуют RFC. Таким образом, большинство профилей отдельных протоколов является смесью из официальных и реальных вариантов их использования. Когда IDS включается в работу, она ищет аномалии, которые не совпадают с профилями, построенными для конкретных протоколов. Хотя в самих операционных системах и приложениях достаточно эксплуатируемых уязвимостей, большинство успешных атак используют уязвимости самих протоколов. Например, на канальном уровне модели OSI протокол ARP (Address Resolution Protocol) не имеет защиты от атак, при которых в таблицу ARP вставляются поддельные данные. На сетевом уровне протокол ICMP (Internet Control Message Protocol) может использоваться для Loki-атаки для передачи данных из одного места в другое, хотя этот протокол создан только для передачи информации о состоянии, но не пользовательских данных. Заголовки IP могут быть легко модифицированы для проведения спуфинга. На транспортном уровне пакеты в соединение между двумя системами могут быть внедрены TCP-пакеты для захвата сеанса связи (session hijacking attack).
ПРИМЕЧАНИЕ. Если злоумышленник взламывает компьютер и устанавливает на него бэкдор (backdoor, «черный ход»), он может взаимодействовать с этим компьютером через бэкдор, оставаясь при этом незаметным для межсетевого экрана и IDS. Хакеры знают, что небольшой объем кода можно вставлять в пакеты ICMP, которые будут затем интерпретироваться программным обеспечением бэкдора, установленного на скомпрометированной системе. Устройства безопасности обычно не настраиваются на мониторинг такого трафика, поскольку ICMP является протоколом, который (теоретически) передает только информацию о состоянии, а не команды или данные.
Интеграция фильтров, основанных на аномалиях протоколов, в любую сетевую поведенческую IDS является неплохой идеей, потому что формирование и доставка каждого пакета происходят с использованием множества протоколов, а для этих протоколов существует множество различных вариантов атак.


Большинство поведенческих IDS имеют фильтры, основанные на аномалиях трафика, которые выявляют изменения в шаблонах трафика, например DoS-атаки или появление новых сервисов в сети. Созданный профиль является неким базисом обычного трафика среды, и весь последующий трафик сравнивается с этим профилем. Как и во всех фильтрах, здесь требуется настройка порога срабатывания для уменьшения числе ложных срабатываний (как ложных разрешений, так и ложных запретов). Такой тип IDS также способен выявлять неизвестные атаки.


IDS на основе правил (rule-based IDS) используют другой подход, отличающийся от подхода сигнатурных IDS или IDS на основе статистических аномалий. Например, если сигнатурная IDS выявляет пакет, в котором все флаги заголовка TCP установлены в «1», он знает, что это свидетельствует об xmas-атаке, и отправляет соответствующее оповещение. IDS на основе статистических аномалий также достаточно прямолинейны. Например, если Боб зарегистрировался на своем компьютере в 6 утра, а в соответствии с его профилем это ненормально, IDS отправляет уведомление об этом, поскольку это выглядит как действия, которые должны быть проанализированы. IDS на основе правил поступает хитрее в зависимости от сложности применяющихся правил.

IDS на основе правил похожи на экспертные системы. Экспертная система основана на базе знаний (knowledge base), механизме логических выводов (inference engine) и программировании на основе правил (rule-based programming). Знания представляют собой правила, а анализируемые данные – факты. Знания системы описываются с помощью программирования на основе правил (ЕСЛИ ситуация ТОГДА действие). Эти правила применяются к фактам, к данным, получаемым сенсором, или к контролируемым системам. Например, в сценарии 1 IDS получает данные из журнала аудита системы и временно сохраняет их базе данных фактов, как показано на рисунке 2-18. Затем к этим данным применяются предварительно настроенные правила, которые проверяют, есть ли что-нибудь подозрительное в произошедших событиях. В нашем сценарии правило указывает, что «ЕСЛИ пользователь root создал File1 И создал File2 ПРИ ЭТОМ оба эти файла находятся в одной директории ЗАТЕМ запустил «Административную Утилиту1» ТОГДА отправить уведомление». Это правило определяет, что если пользователь root создал два файла в одной директории, а затем запустил определенную административную утилиту, должно быть отправлено уведомление.

Рисунок 2-18. Компоненты IDS, основанной на правилах, и экспертной системы

Механизм логических выводов реализует некий искусственный интеллект в данном процессе. Он может делать выводы, создавая новую информацию из полученных данных, используя правила. Чтобы понять это, давайте взглянем на следующее.

Сократ – это человек.

Все люди смертны.

Поэтому мы можем сделать вывод, что Сократ – смертен.

Обычные языки программирования – это примерно как «черное и белое» в жизни. Они отвечают только «да» или «нет», но не «может быть да» или «может быть нет». Хотя компьютеры выполняют сложные вычисления гораздо быстрее, чем люди, им труднее делать догадки, выводы, давать ответы – поскольку они очень жестко структурированы. Языки программирования пятого поколения (языки искусственного интеллекта) способны работать с «серым» цветом жизни и могут пытаться принимать правильные решения на основе полученных данных.

Таким образом, в IDS основанных на правилах, работающих аналогично экспертным системам, IDS собирает данные с сенсоров или из журналов аудита, а механизм логических выводов обрабатывает их, используя предварительно запрограммированные правила. Если характеристики удовлетворяют правилу, отправляется соответствующее уведомление или выполняется определенное действие для решения возникшей проблемы.
Типы IDS. Важно понимать характеристики, отличающие друг от друга различные типы технологий IDS. Ниже представлено краткое резюме:
  • Сигнатурные (signature-based)
    • Отслеживающие шаблоны (pattern matching), работающие подобно антивирусному программному обеспечению
    • Сигнатуры должны постоянно обновляться
    • Не могут выявить новые атаки
    • Два типа:
      1. Отслеживающие шаблоны (pattern matching) – сравнивают пакеты с сигнатурами 
      2. Отслеживающие состояние (stateful matching) – сравнивают действия с шаблонами
  • Основанные на аномалиях (anomaly-based)
    • Основанные на поведении системы (behavioral-based), которые изучают «нормальную» деятельность в среде
    • Могут выявлять новые атаки
    • Также называются поведенческими или эвристическими
    • Три типа:
      1. Основанные на статистических аномалиях (statistical anomaly-based) – создают профиль «нормальной» деятельности и сравнивают реальную деятельность с этим профилем
      2. Основанные на аномалиях протоколов (protocol anomaly-based) – выявляют факты необычного использования протоколов
      3. Основанные на аномалиях трафика (traffic anomaly-based) – выявляют необычные действия в сетевом трафике
  • Основанные на правилах (rule-based)
    • Используют ЕСЛИ/ТОГДА программирование, основанное на правилах, в рамках экспертных систем
    • Используют экспертную систему, имеющую характеристики искусственного интеллекта
    • Более сложные правила
    • Не может выявлять новые атаки
 Ссылки по теме:

IDS сетевого уровня используют сенсоры для осуществления мониторинга. Сенсор, который работает как аналитический движок (analysis engine), размещается в сетевом сегменте, который должна контролировать IDS. Сенсор получает «сырые» (raw) данные от генератора событий, как показано на рисунке 2-19, и сравнивает их с базой данных сигнатур, профилем или моделью – в зависимости от типа IDS. Если выявляется некое совпадение, которое свидетельствует о подозрительной активности, сенсор работает как модуль реагирования для определения вида действий, которые нужно предпринять (сообщение через систему мгновенных сообщений, мобильный телефон, электронную почту, перенастройка межсетевого экрана и т.д.). Сенсор предназначен для фильтрации поступающих на него данных, отбрасывая ненужную информацию и выявляя подозрительную деятельность.

Рисунок 2-19. Основная архитектура NIDS

Коммутируемая среда. NIDS сложнее работать в коммутируемой среде по сравнению с традиционными, некоммутируемыми средами, поскольку данные в ней передаются через независимые виртуальные каналы, а не транслируются, как в некоммутируемых средах. Поэтому в коммутируемой среде сенсор должен быть подключен к специальному порту (spanning port) на коммуникационном устройстве, на который автоматически копируется весь трафик, проходящий через все виртуальные каналы. Это позволит сенсору иметь доступ ко всему трафику, проходящему через коммутируемую сеть.
Консоль мониторинга контролирует все сенсоры и предоставляет сетевому персоналу обзор работы всех сенсоров в рамках всей сети. Размещение сенсоров является одним из критичных этапов конфигурирования IDS. Компания может разместить один сенсор перед межсетевым экраном для выявления атак, а другой сенсор за межсетевым экраном (в сетевом периметре) для выявления реальных вторжений. Сенсоры следует также размещать в высококритичных областях, DMZ и в экстрасетях. Рисунок 2-20 показывает сенсоры, передающие данные на центральную консоль.

Рисунок 2-20. Сенсоры должны быть размещены в каждом сетевом сегменте, который подлежит контролю IDS

IDS может быть централизованной (например, встроенная в межсетевой экран), либо распределенной (с множеством сенсоров, распределенных по всей сети).


Если объем сетевого трафика превышает порог IDS, отдельные атаки могут остаться незамеченными. Каждая IDS имеет собственный порог, о котором обязательно нужно знать до покупки и внедрения IDS.

В средах с очень большим объемом трафика следует размещать множество сенсоров, чтобы обеспечить уверенность, что все пакеты проанализированы. Если необходимо оптимизировать пропускную способность и скорость работы сети, можно настроить различные сенсоры на анализ каждого пакета на соответствие различным (отдельным) наборам сигнатур. Таким образом, нагрузка по анализу пакетов может быть разбита на несколько различных точек.


Поскольку средства IDS не способны остановить доступ плохих парней к активам компании, а только выявляют такие факты и отправляют уведомление администратору, у компаний возникла потребность в новых продуктах и технологиях, позволяющих решить эту проблему. В результате появились системы предотвращения вторжений (IPS – intrusion prevention system), целью которых является не только выявление несанкционированной деятельности, но и предотвращение доступа злоумышленника к цели, как показано на рисунке 2-21. Таким образом, IPS является превентивной и проактивной технологией, сосредоточенной в первую очередь на предотвращении атак, в отличие от IDS, являющейся детективной технологией, применяемой к уже свершившимся фактам. Основной идеей является комбинирование средств IDS и IPS в одном продукте – межсетевом экране, который проводит глубокий анализ сетевых пакетов, выявляет атаки и останавливает их. Как и в мире IDS, существуют средства IPS уровня хоста (HIPS) и уровня сети (NIPS). Большинство сетевых IPS являются линейными (inline) устройствами, включаемыми «в разрыв» сети и пропускающими через себя и контролирующими весь трафик. Однако это может привести к появлению «узкого места» (бутылочного горлышка), снизить производительность сети и стать единой точкой отказа. Производители упорно работают над технологиями, позволяющими решить все эти проблемы.

Рисунок 2-21. Архитектура IDS vs. IPS

Реакция на вторжения. Большинство IDS имеют несколько видов реакции на произошедшие события. IDS может отправить специальный сигнал, чтобы отбросить или уничтожить соединение как на стороне источника, так и на стороне получателя пакета. Это эффективно разрывает соединения и не позволяет осуществлять передачу. IDS может блокировать доступ пользователя к ресурсу на отдельной системе при достижении порога срабатывания IDS. IDS может отправить уведомление о событии на другой компьютер, на консоль управления или администратору. И, наконец, некоторые IDS могут перенастроиться для выполнения неких заранее определенных действий.
Большинство NIPS имеют два сетевых интерфейса – внешний и внутренний. Трафик приходит на внешний интерфейс, анализируются и, в случае признания пакетов безопасными, они направляются на внутренний интерфейс. Если пакеты признаются вредоносными, они отбраковываются.

Время покажет, смогут ли продукты IPS полностью заменить продукты IDS. Некоторым кажется, что это просто новый маркетинговый термин, тогда как другие считают IPS новым шагом в эволюции технологий информационной безопасности.

Ссылки по теме:

Хост-приманка (honeypot) – это специально настроенный компьютер-жертва, на котором открыто много портов, запущено много служб. Такой компьютер должен привлечь злоумышленника больше, чем реальные системы в сети. Хост-приманка не содержит никакой реальной информации компании, и нет никаких рисков в случае его успешного взлома.

Это позволяет администратору узнавать о происходящих атаках, своевременно укреплять сетевую среду, а также упрощает поиск злоумышленника. Чем больше времени хакер остается на этом компьютере, тем больше информации можно получить о его методах.

Очень важно провести четкую грань между приманкой (enticement) и провокацией (entrapment) при внедрении хостов-приманок. Следует учитывать при этом особенности действующего законодательства. Если система просто имеет открытые порты и службы, которыми злоумышленник может захотеть воспользоваться – это является примером приманки. Если же система имеет интернет-страницу, на которой указано, что пользователь может бесплатно скачать некие файлы, а администратор, как только пользователь сделает это, будет пытаться привлечь его к ответственности – это уже будет примером провокации. Провокация – это когда атакующего склоняют к совершению преступления. Провокация в большинстве случаев будет являться незаконной и не может быть использована для привлечения человека к ответственности за хакерство или несанкционированные действия.

Ссылки по теме:

Пакетный или сетевой сниффер – это программа или устройство, позволяющее анализировать трафик в сетевом сегменте. Трафик, который передается по сетевой среде, представляет собой электрические сигналы, закодированные с помощью двоичного представления. Сниффер должен иметь возможности для анализа протоколов, чтобы распознать различные протоколы и правильно интерпретировать их.

Сниффер должен иметь доступ к сетевому адаптеру, работающему в режиме прослушивания сети (promiscuous mode), и драйверу, который захватывает данные. Объем этих данных может быть огромен, поэтому они должны надлежащим образом фильтроваться. Отфильтрованные данные сохраняются в буфере, показываются пользователю и/или сохраняется в специальном журнале. Некоторые утилиты имеют сниффер и средства модификации сетевых пакетов, что позволяет им проводить некоторые виды атак (например, спуфинг или атаки «человек-по-середине» (man-in-the-middle attack) и т.п.).

Сетевые снифферы обычно используются администраторами и специалистами по безопасности («белыми шляпами») для попытки выявления проблем в сети. Но эти же средства могут использовать злоумышленники и хакеры («черные шляпы») для анализа данных, проходящих в определенном сетевом сегменте, перехвата паролей и другой критичной информации, несанкционированной модификации данных, а также для проведения различных атак.
ПРИМЕЧАНИЕ. Снифферы очень опасны, т.к. крайне сложно выявить факт их работы в сети.

3 комментария:

Анонимный комментирует...

В примечании: "Реакция на вторжения. Большинство IDS имеют несколько видов реакции..."
Речь действительно идет про IDS? Или все же про IPS?

eagle комментирует...

Да, действительно про IDS. Вы посмотрите внимательнее на рисунок 2-21 и все станет понятно :)

Анонимный комментирует...

Действительно) Спасибо за оперативную реакцию!