информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыСетевые кракеры и правда о деле ЛевинаЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / безопасность
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Обнаружение атак: реальность и мифы
Маркус Ранум
Опубликовано: dl, 17.04.02 01:06
Перевод А. Лукацкого
Примечание переводчика: как и все другие переведенные статьи, эта публикация на русском языке, посвящена системам обнаружения атак. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи.

Воскресенье, три часа ночи. Сетевой администратор крепко спит у себя дома. Тем временем скрытая программа, тщательно составленная хакером, проживающим за тысячи миль от этого места, развертывает себя внутри корпоративной сети, позади межсетевого экрана, готовясь открыть путь в сеть, которая скоро уже будет беззащитной. Тихо, без ведома хакера, пейджер сетевого администратора активизируется: "Атака! Подробности доступны". В течение нескольких минут администратор сети входит в свою сеть по защищенному каналу связи, получает доступ к системе обнаружения атак, и получает полное описание источника и природы атаки. После нескольких быстрых телефонных звонков попытка проникновения в сеть полностью блокирована, и представители закона выслеживают хакера, чтобы привлечь его к суду.

Звучит великолепно, не так ли? К сожалению, в реальной жизни системы обнаружения атак и реагирования на них даже близко не отвечают нашим требованиям. Все же системы обнаружения вторжений (Intrusion Detection Systems, IDS) являются ценным ресурсом, который покупают многие сетевые администраторы. Но стоит ли они тех денег, за которые предлагаются? Стали ли сети покупателей более защищенными? Давайте обратимся к некоторым из возможностей систем обнаружения вторжений; рассмотрим их достоинства и недостатки.

Парадигмы в обнаружении вторжений

Исследователи работают над системами обнаружения вторжений уже длительное время, но так и не достигли того, что можно было бы назвать "настоящим прорывом". Обычно, направление исследований сфокусировано на направлении, которое называется "обнаружение аномального поведения" (Anomaly Detection Intrusion Detection Systems, AD-IDS). В принципе, AD-IDS "изучает" то, что составляет "нормальный" сетевой трафик; на его основе разрабатываются наборы моделей, которые обновляются с течением времени. Затем эти модели применяются для нового трафика, и трафик, который не соответствует шаблону "нормального" трафика, отмечается как подозрительный (аномальный). AD-IDS являются привлекательными по своей концепции, но они требуют предварительного обучения. Однако реальность такова, что очень трудно классифицировать "нормальный" трафик. И это грустно. Поскольку сети со временем становятся достаточно крупными, число приложений, установленных в них, становится настолько большим и они настолько сложны, что сеть выглядит хаотичной. Хакер может анализировать и генерировать трафик для того, чтобы получить шаблон "нормального" трафика. Так что, рано или поздно, атака будет выглядеть как "нормальный" трафик и сможет пройти для IDS незамеченной. Если IDS является консервативной относительно составных частей атаки, она будет иметь тенденцию генерировать большое количество "false positives" - ложных предупреждений об опасности - которые становятся электронным эквивалентом пастуха из известной притчи, который кричит "волк!", когда на самом деле волка со стадом рядом нет. Рано или поздно сообщения системы обнаружения атак начнут игнорировать.

По-прежнему в области аномального обнаружения проводятся обширные исследования. Обещается появление новых средств, включая объединение анализа защиты с методами визуализации и анализа данных. Однако по прошествии времени кажется, что AD-IDS не являются той "серебряной пулей", которая может решить проблему. Поэтому многие коммерческие фирмы реализуют более простые и легкие в эксплуатации формы IDS, называемые "системами обнаружения злоупотреблений" (Misuse Detection Intrusion Detection Systems, MD-IDS).

MD-IDS сильно напоминают антивирусные системы, подключенные к сети. Обычно они содержат набор сигнатур, которые описывают типы соединений и трафика, которые указывают на то, что развертывается конкретная атака. Другие типы MD-IDS основаны на информации от хостов, например, из журналов регистрации операционной системы, для обнаружения событий, свидетельствующих о подозрительной деятельности.

Преимущества MD-IDS заметны сразу: быстрота, отсутствие "false positives". Слабая сторона MD-IDS заключается в том, что также как и сканеры вирусов, они не могут обнаружить того, о чем они не знают. К сожалению, атака, о которой вы не знаете, это именно то, что вы очень сильно хотели бы обнаружить. Для того чтобы поддерживать вашу MD-IDS в рабочем состоянии, вам необходимо будет проводить постоянные обновления ее базы данных сигнатур за счет какого-нибудь поставщика, который содержит и платит стабильную зарплату прирученным хакерам. Но даже в этом случае вы по-прежнему будете оставаться уязвимым к атакам, которых пока еще никто не видел. Кроме того, как это ни прискорбно, хакер довольно легко скрывает следы атаки, дурача MD-IDS путем использования трюков вроде вставки пробела в поток данных, тем самым, изменяя сигнатуру атаки. Есть превосходная статья, описывающая эти проблемы (смотри статью компании "Secure Networks" под названием "Problems with Intrusion Detection Systems" на их Web-сайте, расположенном по адресу http://www.secnet.com, в разделе "white papers").

Уведомления о взломе

Сценарий, открывающий эту статью, вряд ли станет реальным в ближайшее время, если IDS используется не очень внимательно. Благодаря использованию метода, который я называю "уведомления о взломе" ("burglar alarms"), IDS может предоставить полезное и надежное уведомление об определенных классах инцидентов безопасности. Для того чтобы понять, как работают уведомления о взломе, рассмотрим, как они применяются в "реальном мире". У меня дома есть сигнализация, которая проводит в жизнь простую политику безопасности: когда меня нет дома, никто не должен проникнуть через двери или окна, и никто не должен разбить стекла. Более того, у меня есть несколько скрытых датчиков, размещенных в наиболее важных местах моих апартаментов. Когда меня нет дома, никто не должен пройти через дверь невредимым. Опираясь на эту образную политику, я могу спроектировать систему уведомления о взломе на основе датчиков на окнах и дверях, детекторов разбитого стекла и некоторых поддельных датчиках. Заметьте, что я могу еще добавить требование, что никто не должен передвигаться внутри дома, когда меня там нет. В моем случае последнее требование не может быть выполнено, потому что в моем доме живет несколько кошек. Детекторы движения в этом случае будут генерировать слишком много "false positives". Другой дом может иметь отличающуюся политику безопасности. В этом и заключается секрет: система уведомления о взломе - это IDS, которая опирается на понимание сети и того, что не должно происходить внутри нее.

Удивительно, но одним из самых лучших инструментов для построения системы обнаружения атак с уведомлением о взломе (burglar alarm intrusion detection system) является MD-IDS. Если возможно, должен быть кто-то, кто позволит вам сконфигурировать собственную базу правил, указывающую, куда и на что смотреть. Сетевому администратору надо сесть и описать, опираясь на свои знания сети, какого типа события он хочет отслеживать. Затем настройте MD-IDS на обнаружение и уведомление о них. Например, предположим, что ваша сеть находится за межсетевым экраном (МСЭ), который блокирует IP трафик из Internet: анализируйте его и отправьте уведомление, если диапазон внешних IP-адресов из Internet виден в локальной сети. Предположим, что МСЭ не позволяет проходить какому-либо трафику, за исключением E-mail (SMTP), новостей USENET (NNTP) и запросов к DNS-серверу: установите MD-IDS, чтобы она начинала выдавать уведомления, если через МСЭ все же устанавливаются какие-либо соединения с внутренними системами для других, отличных от разрешенных, сервисов. Предположим, что вы обеспокоены тем, что кто-то внутри вашей организации, возможно, пытается взломать внешние серверы: установите MD-IDS так, чтобы она уведомляла вас, когда какая-либо из собственных сигнатур применима к трафику, проходящему через МСЭ. Уведомление снижает вероятность "false positives", потому что конфигурация уведомлений тесно связана с событиями, о которых вы знаете и которые хотите обнаружить.

Вероятно наиболее мощная способность IDS с уведомлением о взломе состоит в том, что они действуют неожиданно для хакера. Вы знаете свою сеть, а они нет. Если они проникли внутрь, им необходимо изучить вашу сеть для того, чтобы эффективно реализовать свои атаки. Также как и взломщик, который может открыть несколько чуланов и шкафов в поисках денег или ювелирных изделий, сразу же после того, как он проник за охраняемый периметр, хакер будет сканировать вашу сеть в поисках систем, которые стоит атаковать, или шлюзов к другим сетям. Поиск попыток внутреннего сканирования - эффективный способ обнаружения хакера. Большинство хакеров не ожидают встретить достойной обороны, - они проникают внутрь и полагают, что как только они прошли МСЭ, то их уже никто не видит. IDS с уведомлением о взломе разрушает это предположение и, что также является многообещающим, хакер будет ступать по виртуальному минному полю, как только он проникнет за периметр защиты. Помните: в своей сети вы всегда сильнее, чем хакер - это преимущество вашего дома и вы должны эффективно использовать его.

В любом случае задумайтесь, зачем вы хотите иметь IDS? В идеальном сценарии, описанном в начале этой статьи, существует большое количество ложных допущений. Прежде всего, мы полагаем, что у сетевого администратора есть время и право на прослеживание и реагирование на атаки. К сожалению, большинство современных IDS не отслеживают хакера. Действительно, отслеживание - это чрезвычайно трудная задача, даже для большинства технически подготовленных экспертов. Обычно, все, что IDS способны сделать - это сообщить вам, что вас атакуют. Ну а что дальше?

Вероятно, большинство IDS в настоящее время развертываются не как системы обнаружения вторжения (Intrusion Detection Systems), а как системы обнаружения атак (Attack Detection Systems, ADS). Обнаружение атак представляет парадокс: если вы знаете, что конкретная атака существует, и блокируете ее, зачем вам заботиться о том, что кто-то пытается использовать ее против вас? Если вы знаете, что конкретная атака существует, и вы не блокируете ее, то зачем вы сидите и читаете эту статью? Бегите и защитите вашу сеть!

Я полагаю, что фактор, заставляющий сетевых администраторов использовать MD-IDS в ADS режиме - обычное любопытство. Интересно в короткий промежуток времени успеть задокументировать частоту и уровень атак, которым подверглась ваша сеть. Но $10000 и больше - это куча денег, которую придется потратить на это сомнительное удовольствие. Инструменты аудита также управляют рынком MD-IDS - если аудит вашей сети проводится экспертами в области защиты, вы будете раскритикованы, если их операции по тестированию и проникновению не будут обнаружены. Поскольку многие аудиторы используют широкий спектр автоматизированных средств анализа защищенности типа "Internet Scanner" от компании Internet Security Systems. Inc. или "CyberCop Scanner" от компании "Network Associates", то существует возможность немедленной, эмоциональной расплаты, если у вас есть ADS, которая обнаруживает сканирование. Сделайте паузу и поразмышляйте, какой нелепой может быть ситуация: вы тратите $10000 за то, чтобы ваша ADS обнаружила вашего аудитора, которого наняли за $20000. Польза от этой ситуации заключается в том, что вы, по крайней мере, продемонстрируете определенную степень готовности, потому что вы сможете обнаружить атаки. Теоретически, ADS вас будет предупреждать и повышать вашу бдительность в течение определенного периода времени, повышая ваши шансы в обнаружении и противодействии реальной атаке. Это является выгодным, поскольку хакер является достаточно "вежливым", чтобы предупредить вас запуском программы SATAN против вашей сети, прежде чем он запустит реальную атаку.

Keep 'A Knocking - You Can't Come In

Я построил свою первую защищенную и важную Internet-систему в 1991 году, как часть Internet-шлюза крупной корпорации. Программное обеспечение на межсетевом шлюзе имело большое количество довольно элементарных систем уведомления о взломе, но даже в 1991 году тревоги раздавались приблизительно два раза в неделю. Уведомления были коварными и появлялись только после того, как система уже была взломана до определенной степени. Я обычно прослеживал атаки и часто вылавливал хакеров. Процесс отслеживания атаки и документирование инцидента занимал примерно 4 часа на каждую атаку. Конечно, мои усилия не сыграли особой роли, потому что по мере увеличения количества пользователей сети Интернет, увеличилось и количество атак. В конце концов, я понял, что если работать "по старинке", то это займет приблизительно 16 часов в неделю. Поскольку я создавал эту систему, я знал, что она может противостоять атакам, которые были обнаружены. По сути, я ничего не достиг в том, что касается моего времени, потому что мне приходилось выполнять функции суррогатного родителя для кучи плохо подготовленных выпускников высших учебных заведений. Следующее поколение моих систем уведомления о взломе было настроено на автоматическое выполнение определенных процедур, когда возникали ситуации, которые, как я считал, никогда не должны были происходить.

Многие организации, которые в настоящее время не обнаруживают и не учитывают атаки, не осознают, что их ждет неприятный сюрприз, когда они проинсталлируют IDS или ADS. Они обнаружат, что даже когда они знают, что атака запущена, не существует эффективных способов противодействия, которые они могли бы применить против нее. Сегодня вы не можете полагаться на адрес, из которого, как видно, происходит атака. Он может принадлежать безвредному "парню, чей компьютер уже скомпрометировали". Даже если вы знаете, откуда происходит атака, то почти всегда оказывается, что она идет от пользователя, чей пароль был украден, или с адреса, который был зарегистрирован по украденной кредитной карточке. Полное отслеживание такой атаки - это отвратительно долгая по времени и сложности задача, которая связана с публичным доступом, потому что другого пути получения прибылей в вашем бизнесе нет. По-прежнему, наиболее эффективным по стоимости методом будет просто перестать гоняться за хакерами и вернуться к работе. Но это снова возвращает нас к вопросу: зачем вам нужно обнаруживать атаку, если вы знаете, что вы ничего не сможете сделать против нее? Может быть незнание будет для вас большим счастьем?

Что делать?

К сожалению, "серебряной пули" не существует. Если вы понимаете ограничения и возможности IDS, то вы можете эффективно использовать их. Для того, чтобы ваши IDS работали наилучшим образом, сядьте и составьте перечень всех типов событий, которые вы знаете и которые могут вызвать серьезные проблемы в вашей сети, затем настройте систему, чтобы она могла видеть их. Если вы установили вашу IDS снаружи вашего МСЭ, вероятно, вы установили ее в неправильном месте - двигайтесь внутрь. Количество атак во внутренней сети должно быть очень небольшим, и будет исходить либо от аудиторов, либо от хакеров, которые каким-то образом пробрались через защиту вашего периметра. В самом худшем, хотя и вполне возможном случае, можно обнаружить сотрудников, которые запускают атаки против внешних серверов в сети Интернет. Нам всем хочется верить, что этого не происходит, но самое лучше обезопасить себя от этого.

Что касается сети Internet, то средства защиты улучшается с большой скоростью. Современное поколение IDS - это только начало. В будущем мы увидим, что IDS комбинирует обнаружение аномалий и обнаружение злоупотреблений, и, будем надеяться, что они будут гладко интегрироваться с МСЭ и другими системами защиты. Так что следите за развитием технологий в этой области, и широко используйте их сегодня: сеть, которую вы спасаете, может быть вашей собственной.

Об авторе
Маркус Ранум (Marcus Ranum) - CEO из Network Flight Recorder, Inc., фирме, специализирующейся на ПО для анализа сетевого трафика. В 1991 году он создал первый коммерческий Internet-продукт - межсетевой экран, и впоследствии разработал и внедрил несколько других значительных систем защиты, включая комплект инструментов TIS Firewall, TIS Gauntlet и Whitehouse.gov. Маркус часто выступает с лекциями на конференциях и дает консультации как аналитик по сетевой защите промышленного применения.

обсудить  |  все отзывы (0)

[21676; 1; 7]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach