Одним из самых интересных событий 2001 года в области защиты информации стало проведение трех исследований по масштабному обнаружению взлома: Aris (SecurityFocus.com), MyNetWatchman (www.mynetwatchman.com) и Dshield (www.dshield.com). В каждом их этих проектов сотням или тысячам клиентов предоставлялось программное обеспечение для создания отчетов об атаках. В качестве клиентов использовались различные устройства от брандмауэров Check Point и маршрутизаторов кабельных сетей Linksys до персональных брандмауэров. Все зарегистрированные данные отправлялись на центральный узел для анализа и выявления общих тенденций атак.

Набор этих данных, собранных со всего мира, позволяет сделать очень важные выводы. Например, с помощью Dshield сохранялось около шести миллионов новых записей в неделю. Несмотря на то, что в первый год использования Dshield были серьезные проблемы с обработкой порученных данных, эта технология пология позволила обнаружить появление червей Ramen, Lion и Leaves. На рис. 20.1 можно проследить, как увеличилось число проводимых сканирований широко распространенных уязвимых мест в работе протоколов SNMP и ASN.1 после выхода рекомендации CERT от 12 февраля 2002 года.

Рис. 20.1. Статистические данные, собранные с помощью Dshield

Это новые проекты, и сообщество пользователей еще только пытается найти наилучшее применение этим средствам. В распределенных системах обнаружения вторжений использована настолько простая и в то же время эффективная схема, что многие специалисты, включая и автора этих строк, не понимают, почему этого не делалось раньше. Возможно, с наступлением нового века в умах людей что-то изменилось, и теперь они хотят совместно использовать накопленную информацию.

Обмен информацией

Я спросил сотрудников lncidents.org, хочет ли кто-нибудь написать дополнения к этой книге. Автором следующего дополнения является Ричард Бэйтлих (Richard Bejtlich) - опытный аналитик. Обратите особое внимание на четвертый вопрос.

При оптимизации своей сетевой системы обнаружения вторжений я задаю четыре вопроса.

■ Что может вызвать появление подозрительного трафика?

■ Какие события может пропустить моя система обнаружения вторжений?

■ Чем реальные события в Internet отличаются от теоретического описания в учебниках?

■ Должен ли я рассказывать о выявленных событиях другим специалистам по защите информации?

В первом вопросе предполагается, что кроме обычных пакетов могут появляться пакеты с подложными адресами, специально подготовленные пакеты или незапрошенные ответные пакеты. Второй вопрос требует от меня вспомнить ограничения возможностей моей системы обнаружения вторжений и не забывать, что я не могу правильно интерпретировать или просто перехватить абсолютно все проходящие пакеты. Третий вопрос означает, что не всегда трафик, который не соответствует требованиям RFC и технических руководств, является вредоносным. Последний вопрос стимулирует аналитиков сетевого трафика делиться накопленными знаниями друг с другом то ли посредством сайта www.sans.org, то ли на форумах, подобных securityfocus.com.

Сети компьютеров с возможностями обнаружения взлома играют ключевую роль при организации ответных действий. Кроме сбора данных и отправки сохраненной информации для централизованного анализа, может быть организована автоматическая отправка отчетов о нарушениях лицам, ответственным за корректное использование IP-адресов. Например, 28 февраля 2002 года было обнаружено, что с хоста с IP-адресом 217 .128 . 207 .17 из домена abo .wanadoo . fr отправлено 33995 пакетов. Это послужило основанием к отправке уведомления администраторам этого домена, хотя такое уведомление о прекращении сканирования по службе FTP напоминает обращение к Бен Ладену с просьбой прекратить террористические акты - в лучшем случае они просто не реагируют. Однако многие люди более порядочные, и уведомление от системы Dshield может послужить первым сигналом системному администратору о возникшей проблеме. Ниже приводится пример отзыва от другого благодарного пользователя.

“Благодарю за уведомление о незаконных операциях, осуществляемых с компьютера нашего университета. При помощи программы поиска вирусов eSafe мы обнаружили на этом компьютере опасный вирус. Еще раз спасибо за предупреждение. Если вдруг повторится нечто подобное, сообщите нам, пожалуйста.”

Я немного сомневаюсь по поводу указанных выше причин проводимых атак, но даже если уведомление позволило выявить недобросовестного пользователя, то это еще одна победа новой системы защиты. К настоящему времени модель развития бизнеса создана только для системы Aris, поэтому не ясно, будет ли долговечной первая реализация распределенного выявления взлома. Я искренне надеюсь, что это не случайность, а тенденция. Завершить эту книгу я бы хотел несколькими разделами, посвященными антивирусным программам, обсуждению систем обнаружения вторжений на основе аппаратных или программных средств и, наконец, некоторым изменениям в проведении контрольных проверок системы безопасности.

Новые технологии защиты

Возможности современных систем обнаружения взлома довольно ограничены. Они не годятся для выявления атак со стороны локальных пользователей, атак с помощью изменяющегося кода, интеллектуальных вирусов для сбора информации, атак с помощью модемов. Системы обнаружения вторжений для защиты хоста способны выявлять эти атаки, но у них есть два больших недостатка: стоимость реализации и непроизводительные расходы ресурсов системы. Компания, которая сможет создать более эффективное средства, заработает много денег. Рассмотренные нами консоли системных аналитиков для обеспечения защиты на уровне корпорации предназначены для получения части этих прибылей. На сегодняшний день наиболее развит сектор рынка, занимающийся продажей антивирусных средств.

Еще раз об антивирусных программах

Я с изумлением наблюдал, как две компании NAI и Symantec, которые смогли точно найти баланс между нарастающими угрозами и ответной реакцией, не смогли получить полный контроль над сектором рынка средств по обнаружению взлома. Если производители программного обеспечения для защиты от вирусов еще не приступили к созданию специализированных средств для выявления взлома, они, по крайней мере, уже частично присутствуют и в этом секторе рынка. Для всех троянских программ Subseven и NetBus могут быть созданы сигнатуры. Антивирусные приложения позволяют выявить и удалить подобные программы. Но не все так просто. Впервые я понял, что антивирусную программу можно “обойти”, когда один из моих студентов случайно загрузил троянскую программу (он увидел запуск команды notepad. exe после щелчка на загруженной Web-странице). После небольшого исследования оказалось, что была загружена троянская программа QAZ. Тем не менее антивирусная программа не выявила ничего подозрительного. Но как это возможно по отношению к хорошо известной троянской программе? Дело в том, что хакеры могут упаковывать троянские программы в другие средства. Более подробную информацию по этой теме можно найти по адресу http : / /гг. sans . org/malicious/trojan_war. php.

Тем не менее антивирусные программы нельзя сбрасывать со счетов. Они позволяют выявить пакеты наиболее популярных программ атаки и, конечно, (при использовании совместно с персональным брандмауэром) активные троянские программы, запущенные в сети. Все это будет справедливо, если программа атаки одним из своих первых действий не отключит брандмауэр или антивирусное приложение, но производители программного обеспечения работают и над этой проблемой.

Средство Internet Security компании Symantec объединяет в себе антивирусное приложение и персональный брандмауэр, но действует уж слишком “грубо”. Компании, занимающиеся разработкой антивирусных средств, могут иметь успех в области обнаружения взлома по следующим причинам:

■ ни одна из программ защиты не может обеспечить такого глубокого уровня анализа работы компьютера, как антивирусное приложение;

■ средствами обнаружения взлома обычно используются до 500 сигнатур, а для антивирусных программ их создано более 20000;

■ антивирусные программы входят в комплект программного пакета брандмауэров, операционных систем серверов или настольных компьютеров;

ш антивирусное программное обеспечение позволяет выполнять обнаружение, блокирование и устранение вредоносных программ, а также восстановление после взлома при минимальном участии пользователя;

т компании-производители антивирусных средств полностью решили задачу обновления пользовательских сигнатур наиболее простыми способами;

■ многие крупные организации приобрели лицензии на использование программного обеспечения этих компаний;

■ производители антивирусных средств готовы к быстрому изменению пользовательских сигнатур при обнаружении новой программы атаки;

■ часто совместно с антивирусными приложениями поставляются другие продукты с функциями обеспечения защиты.

Аналогия настолько очевидна, что я не понимаю, почему антивирусные средства не доминируют на рынке программного обеспечения для обнаружения взлома. Требуется внести очень небольшие изменения в персональные брандмауэры компаний NAI или Symantec, чтобы превратить их в сетевые системы обнаружения вторжений, но вместо этого с выходом каждой новой версии эти средства все больше отдаляются от средств корпоративной защиты.

Теперь рассмотрим аппаратные средства для обнаружения взлома. Компания Cisco больше других занималась внедрением средств обнаружения вторжений в сетевое оборудование, благодаря чему и было создано несколько соответствующих аппаратных решений.

Обнаружение взлома с помощью аппаратных средств

При использовании сетевых систем обнаружения вторжений приходится решать три серьезные проблемы:

■ наличие зашифрованных пакетов, в которых невозможно выявить заданные строки символов;

■ пропускная способность сети выше пропускной способности датчика;

■ сложность анализа трафика в коммутируемых сетях.

Обнаружение взлома в коммутируемых сетях рассмотрим чуть позже. Более серьезной проблемой является шифрование. Надежное шифрование при сохранении в безопасности ключа - очень хороший метод защиты данных. Но шифрование превращается в проблему, когда его используют хакеры для обмана системы обнаружения вторжений. Как узнать, что поток данных зашифрован? Конечно, проверив наличие случайных повторений. Сделать это довольно просто, но накладно с точки зрения использования центрального процессора. Это аргумент в пользу осуществления такой проверки с помощью специальных аппаратных средств. Я не уверен в правильности такого подхода, современные компьютеры очень быстро становятся все более производительными. Но есть и области, в которых применение специальных аппаратных средств имеет смысл, например в высокопроизводительных сетях.

Идеальным местом для размещения системы SecurelDS компании Cisco является сетевой адаптер, установленный в маршрутизаторе или коммутаторе Cisco. Однако по-настоящему хорошие результаты достигаются, когда часть атак выявляется посредством программного процесса в машрутизаторе или коммутаторе. Такой подход является насущной необходимостью, а его основное преимущество заключается в достижении скорости обработки пакетов в реальном времени. Во всех других случаях (за исключением обнаружения взлома на брандмауэре) обнаружение взлома происходит непосредственно после прохождения пакетов. В данном случае можно остановить вредоносный пакет или направить его на хост-ловушку. Такая возможность пригодится при использовании модуля Policy Feature Card, доступного для коммутаторов Catalyst 6000. Я не уверен в том, что нужно было создавать отдельную плату. Вероятно, это сделано для того, чтобы этот продукт мог соперничать с TopLayer - коммутатором уровня приложений, который используется аналитиками сетевого трафика, когда им требуется высокая скорость обработки пакетов. Возможно, этот проект имеет преимущества на рынке продуктов, ориентированных на качество обслуживания. Однако возможность фильтрации и маркировки пакетов с помощью коммутатора уровня приложений внутри сетевого устройства при интенсивности получения 5 миллионов пакетов в секунду на уровне 3 открывает широкие горизонты обнаружения атак и организа ции защиты. Среди преимуществ такого решения можно отметить возможности автоматических ответных действий, например, обрыва соединения, ограничения интенсивности проходящего трафика, копирования пакетов в более мощную систему обнаружения взлома или перевода соединения на хост-ловушку. Как и для распределенных систем обнаружения вторжений, требуется некоторое время, чтобы оценить возможности подобных средств, но их изучение должно стать очень интересным.

Программное обнаружение взлома

Я просто не могу привыкнуть к размерам современных программ. Когда-то у меня был компьютер Commodore 64. Цифра 64 означала объем оперативной памяти - 64 Кбайт. Предполагалось, что этого будет достаточно для запуска и работы программ. Интересно сравнить Commodore 64 с моим Pentium II с частотой 400 МГц и объемом оперативной памяти в 1024 Мбайт. Те приложения, которые использовались на Commodore 64, выполняли примерно те же функции, что и приложения пакета Microsoft Office. Но современные программы просто огромны! Если размер программ и дальше будет расти (а так оно и будет), пользователи вправе требовать обеспечения некоторого уровня защиты.

На второй конференции по проблемам обнаружения взлома SANS в 1999 году мне повезло познакомиться с Симеоном Гарфинкелем (Simson Garfinkle), программистом специализированных средств обеспечения защиты. Многие приложения обеспечения безопасности, особенно программы сканирования уязвимых мест, могут быть использованы для незаконных действий. Симеон хочет защитить свою интеллектуальную собственность от пиратов, а также гарантировать невозможность некорректного использования своих программ, не раскрывая при этом исходного кода.

Можно ли предотвратить копирование или незаконное использование приложения? В одно время это имело огромное значение для производителей компьютерных игр, по крайней мере, в отношении защиты от незаконного копирования. Сегодня эта проблема не выглядит такой актуальной. Ни одна из игр, купленных моим сыном, не требовала защитной заглушки. Такая аппаратная заглушка применяется для защиты программного кода одного из используемых мною средств, Expert Witness. Компания Microsoft использует свою стратегию защиты программ, которая заключается в наклейке странных оранжевых полосок на ее фирменные компакт-диски, в длинных серийных номерах, в методе перезвона домой и инспектировании локальных сетей на предмет наличия лицензий для своих продуктов. Симеон подошел к этому вопросу серьезнее, чем любая из компаний. Он предложил целый набор мер противодействия незаконному копированию, включая шифрование частей программ и добавление контрольных сумм.

Может ли критически важная программа сама обнаружить попытку проведения атаки? Предположим, что служба sendmail или пакет BIND имеют статическую библиотеку с функциями защиты. Программа могла бы выявлять несанкционированное использование, попытку доступа или введения данных в виде двоичного кода. Это могло бы заблокировать атаку и поднять тревогу. Для программ могут быть даже созданы специальные “профили” их использования таким образом, чтобы выявлялись все попытки несанкционированного доступа к фай лам программы и осуществлялось предопределенное ответное действие. Еще один способ обеспечения безопасности на программном уровне заключается в применении упаковщиков, что является наиболее очевидной тенденцией.

Первым упаковщиком 4 была программа Битса Бинима TCP Wrapper, которая оставалась отличным средством безопасности на протяжении нескольких лет (хотя в наше время лучше упомянуть о программе xinetd). Но эта идея была расширена и дополнена. Более подробную информацию по этому вопросу можно получить на сайте www. immunix. org. Я считаю, что в скором времени все службы с доступом в Internet придут к использованию надежного метода упаковки, работы в замкнутом пространстве chroot или одновременному применению и того, и другого.

Сообразительные аудиторы

Б первом издании этой книги я утверждал, что аудиторы станут гораздо умнее, но этого не произошло. Я повторюсь и во втором издании, так как прогресс все-таки есть, и я надеюсь, что это актуальная тенденция! Как говорил Алан Кэя (Alan Kay), лучший способ спрогнозировать будущее - организовать его. Когда вы будете держать в руках эту книгу, институт SANS должен внести свой вклад и создать средства и ресурсы для аудиторов. Аудиторы уже достаточно мудры, поэтому они занимаются аудитом в то время, пока вы сидите и потеете. Они значительно лучше стали разбираться в технологиях обеспечения безопасности. Прошли те времена, когда после утвердительного ответа на вопрос о наличии брандмауэра они разворачивались и уходили прочь.

По моему мнению, основной тенденцией в области аудита является обучение аудиторов, которые бы могли оценивать уровень защиты сетей с помощью специальных программных средств. Аудиторы могут посетить вашу локальную сеть с доступом в Internet и запустить средство оценки во время проведения интервью. Потом они могут сравнить ваши ответы с результатами, полученными с помощью своей программы.

Хотя системным администраторам это может и не понравиться, но осведомленные, хорошо подготовленные аудиторы могут стать одной из наиболее эффективных мер противодействия нарастающим угрозам. Хакеры, злоумышленники, являющиеся пользователями локальной сети, и создатели программ атаки, не настолько мудры. Просто мы ленивы, беспечны и наивны. Когда мы допускаем ошибку или небрежность, в нашей системе обороны остается открытая брешь, которой и пользуются злоумышленники. Если же мы будем кому-то подотчетны, то будем стараться сделать все как следует на благо своей организации.

Резюме

Все указывает на то, что аналитиков сетевого трафика ждет хорошее будущее. Перед нами огромный объем работы, которая должна быть хорошо оплачена. Хорошие аналитики просто нарасхват, и вряд ли что-то изменится в ближайшем буду щем. Руководство компаний начинает понимать, что знания очень важны и они требуют сертификатов ОСЛА или просят продемонстрировать навыки при приеме на высокооплачиваемые должности. Для противодействия угрозам создаются специальные средства, разрабатываются новые методы и проводятся курсы обучения.

Спасибо всем читателям этой книги. Мне было приятно работать в одной команде с Джуди и Марти над этим обновленным изданием и я благодарен им за понимание. У нас действительно получилась настольная книга аналитика сетевого трафика.

Еще одно последнее замечание. Информация сайта www.incidents.org зависит только от сообщества неравнодушных людей. Покуда есть еще энтузиасты, чтобы быть в курсе всех событий, участвуйте в форумах этого сайта, высказывайте свои мнения по тому или иному вопросу и делитесь накопленными знаниями. Это позволит оставаться в курсе всех событий Пожалуйста, будьте активны. Мы рады участию людей любой нации, любым мнениям и сообщениям о выявленных атаках с помощью любого программного обеспечения. Дисциплина обнаружения втожений находится в периоде становления и требует усовершенствования. Для этого нужны совместные усилия. До встреч на этом сайте!

Эшелонированная защита | Обнаружение нарушений безопасности в сетях | Программы атаки и методы сканирования


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс