Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Обнаружение атак: реальность и мифы




Маркус Ранум (mjr@nfr.net)

 

Воскресенье, три часа ночи. Сетевой администратор крепко спит у себя дома. Тем временем скрытая программа, тщательно составленная хакером, проживающим за тысячи миль от этого места, развертывает себя внутри корпоративной сети, позади межсетевого экрана, готовясь открыть путь в сеть, которая скоро уже будет беззащитной. Тихо, без ведома хакера, пейджер сетевого администратора активизируется: "Атака! Подробности доступны". В течение нескольких минут администратор сети входит в свою сеть по защищенному каналу связи, получает доступ к системе обнаружения атак, и получает полное описание источника и природы атаки. После нескольких быстрых телефонных звонков попытка проникновения в сеть полностью блокирована, и представители закона выслеживают хакера, чтобы привлечь его к суду.

Звучит великолепно, не так ли? К сожалению, в реальной жизни системы обнаружения атак и реагирования на них даже близко не отвечают нашим требованиям. Все же системы обнаружения вторжений (Intrusion Detection Systems, IDS) являются ценным ресурсом, который покупают многие сетевые администраторы. Но стоит ли они тех денег, за которые предлагаются? Стали ли сети покупателей более защищенными? Давайте обратимся к некоторым из возможностей систем обнаружения вторжений; рассмотрим их достоинства и недостатки.

Парадигмы в обнаружении вторжений

Исследователи работают над системами обнаружения вторжений уже длительное время, но так и не достигли того, что можно было бы назвать "настоящим прорывом". Обычно, направление исследований сфокусировано на направлении, которое называется "обнаружение аномального поведения" (Anomaly Detection Intrusion Detection Systems, AD-IDS). В принципе, AD-IDS "изучает" то, что составляет "нормальный" сетевой трафик; на его основе разрабатываются наборы моделей, которые обновляются с течением времени. Затем эти модели применяются для нового трафика, и трафик, который не соответствует шаблону "нормального" трафика, отмечается как подозрительный (аномальный). AD-IDS являются привлекательными по своей концепции, но они требуют предварительного обучения. Однако реальность такова, что очень трудно классифицировать "нормальный" трафик. И это грустно. Поскольку сети со временем становятся достаточно крупными, число приложений, установленных в них, становится настолько большим и они настолько сложны, что сеть выглядит хаотичной. Хакер может анализировать и генерировать трафик для того, чтобы получить шаблон "нормального" трафика. Так что, рано или поздно, атака будет выглядеть как "нормальный" трафик и сможет пройти для IDS незамеченной. Если IDS является консервативной относительно составных частей атаки, она будет иметь тенденцию генерировать большое количество "false positives" - ложных предупреждений об опасности - которые становятся электронным эквивалентом пастуха из известной притчи, который кричит "волк!", когда на самом деле волка со стадом рядом нет. Рано или поздно сообщения системы обнаружения атак начнут игнорировать.

По-прежнему в области аномального обнаружения проводятся обширные исследования. Обещается появление новых средств, включая объединение анализа защиты с методами визуализации и анализа данных. Однако по прошествии времени кажется, что AD-IDS не являются той "серебряной пулей", которая может решить проблему. Поэтому многие коммерческие фирмы реализуют более простые и легкие в эксплуатации формы IDS, называемые "системами обнаружения злоупотреблений" (Misuse Detection Intrusion Detection Systems, MD-IDS).

MD-IDS сильно напоминают антивирусные системы, подключенные к сети. Обычно они содержат набор сигнатур, которые описывают типы соединений и трафика, которые указывают на то, что развертывается конкретная атака. Другие типы MD-IDS основаны на информации от хостов, например, из журналов регистрации операционной системы, для обнаружения событий, свидетельствующих о подозрительной деятельности.

Преимущества MD-IDS заметны сразу: быстрота, отсутствие "false positives". Слабая сторона MD-IDS заключается в том, что также как и сканеры вирусов, они не могут обнаружить того, о чем они не знают. К сожалению, атака, о которой вы не знаете, это именно то, что вы очень сильно хотели бы обнаружить. Для того чтобы поддерживать вашу MD-IDS в рабочем состоянии, вам необходимо будет проводить постоянные обновления ее базы данных сигнатур за счет какого-нибудь поставщика, который содержит и платит стабильную зарплату прирученным хакерам. Но даже в этом случае вы по-прежнему будете оставаться уязвимым к атакам, которых пока еще никто не видел. Кроме того, как это ни прискорбно, хакер довольно легко скрывает следы атаки, дурача MD-IDS путем использования трюков вроде вставки пробела в поток данных, тем самым, изменяя сигнатуру атаки. Есть превосходная статья, описывающая эти проблемы (смотри статью компании "Secure Networks" под названием "Problems with Intrusion Detection Systems" на их Web-сайте, расположенном по адресу http://www.secnet.com, в разделе "white papers").

Уведомления о взломе

Сценарий, открывающий эту статью, вряд ли станет реальным в ближайшее время, если IDS используется не очень внимательно. Благодаря использованию метода, который я называю "уведомления о взломе" ("burglar alarms"), IDS может предоставить полезное и надежное уведомление об определенных классах инцидентов безопасности. Для того чтобы понять, как работают уведомления о взломе, рассмотрим, как они применяются в "реальном мире". У меня дома есть сигнализация, которая проводит в жизнь простую политику безопасности: когда меня нет дома, никто не должен проникнуть через двери или окна, и никто не должен разбить стекла. Более того, у меня есть несколько скрытых датчиков, размещенных в наиболее важных местах моих апартаментов. Когда меня нет дома, никто не должен пройти через дверь невредимым. Опираясь на эту образную политику, я могу спроектировать систему уведомления о взломе на основе датчиков на окнах и дверях, детекторов разбитого стекла и некоторых поддельных датчиках. Заметьте, что я могу еще добавить требование, что никто не должен передвигаться внутри дома, когда меня там нет. В моем случае последнее требование не может быть выполнено, потому что в моем доме живет несколько кошек. Детекторы движения в этом случае будут генерировать слишком много "false positives". Другой дом может иметь отличающуюся политику безопасности. В этом и заключается секрет: система уведомления о взломе - это IDS, которая опирается на понимание сети и того, что не должно происходить внутри нее.

Удивительно, но одним из самых лучших инструментов для построения системы обнаружения атак с уведомлением о взломе (burglar alarm intrusion detection system) является MD-IDS. Если возможно, должен быть кто-то, кто позволит вам сконфигурировать собственную базу правил, указывающую, куда и на что смотреть. Сетевому администратору надо сесть и описать, опираясь на свои знания сети, какого типа события он хочет отслеживать. Затем настройте MD-IDS на обнаружение и уведомление о них. Например, предположим, что ваша сеть находится за межсетевым экраном (МСЭ), который блокирует IP трафик из Internet: анализируйте его и отправьте уведомление, если диапазон внешних IP-адресов из Internet виден в локальной сети. Предположим, что МСЭ не позволяет проходить какому-либо трафику, за исключением E-mail (SMTP), новостей USENET (NNTP) и запросов к DNS-серверу: установите MD-IDS, чтобы она начинала выдавать уведомления, если через МСЭ все же устанавливаются какие-либо соединения с внутренними системами для других, отличных от разрешенных, сервисов. Предположим, что вы обеспокоены тем, что кто-то внутри вашей организации, возможно, пытается взломать внешние серверы: установите MD-IDS так, чтобы она уведомляла вас, когда какая-либо из собственных сигнатур применима к трафику, проходящему через МСЭ. Уведомление снижает вероятность "false positives", потому что конфигурация уведомлений тесно связана с событиями, о которых вы знаете и которые хотите обнаружить.

Вероятно наиболее мощная способность IDS с уведомлением о взломе состоит в том, что они действуют неожиданно для хакера. Вы знаете свою сеть, а они нет. Если они проникли внутрь, им необходимо изучить вашу сеть для того, чтобы эффективно реализовать свои атаки. Также как и взломщик, который может открыть несколько чуланов и шкафов в поисках денег или ювелирных изделий, сразу же после того, как он проник за охраняемый периметр, хакер будет сканировать вашу сеть в поисках систем, которые стоит атаковать, или шлюзов к другим сетям. Поиск попыток внутреннего сканирования - эффективный способ обнаружения хакера. Большинство хакеров не ожидают встретить достойной обороны, - они проникают внутрь и полагают, что как только они прошли МСЭ, то их уже никто не видит. IDS с уведомлением о взломе разрушает это предположение и, что также является многообещающим, хакер будет ступать по виртуальному минному полю, как только он проникнет за периметр защиты. Помните: в своей сети вы всегда сильнее, чем хакер - это преимущество вашего дома и вы должны эффективно использовать его.

В любом случае задумайтесь, зачем вы хотите иметь IDS? В идеальном сценарии, описанном в начале этой статьи, существует большое количество ложных допущений. Прежде всего, мы полагаем, что у сетевого администратора есть время и право на прослеживание и реагирование на атаки. К сожалению, большинство современных IDS не отслеживают хакера. Действительно, отслеживание - это чрезвычайно трудная задача, даже для большинства технически подготовленных экспертов. Обычно, все, что IDS способны сделать - это сообщить вам, что вас атакуют. Ну а что дальше?

Вероятно, большинство IDS в настоящее время развертываются не как системы обнаружения вторжения (Intrusion Detection Systems), а как системы обнаружения атак (Attack Detection Systems, ADS). Обнаружение атак представляет парадокс: если вы знаете, что конкретная атака существует, и блокируете ее, зачем вам заботиться о том, что кто-то пытается использовать ее против вас? Если вы знаете, что конкретная атака существует, и вы не блокируете ее, то зачем вы сидите и читаете эту статью? Бегите и защитите вашу сеть!

Я полагаю, что фактор, заставляющий сетевых администраторов использовать MD-IDS в ADS режиме - обычное любопытство. Интересно в короткий промежуток времени успеть задокументировать частоту и уровень атак, которым подверглась ваша сеть. Но $10000 и больше - это куча денег, которую придется потратить на это сомнительное удовольствие. Инструменты аудита также управляют рынком MD-IDS - если аудит вашей сети проводится экспертами в области защиты, вы будете раскритикованы, если их операции по тестированию и проникновению не будут обнаружены. Поскольку многие аудиторы используют широкий спектр автоматизированных средств анализа защищенности типа "Internet Scanner" от компании Internet Security Systems. Inc. или "CyberCop Scanner" от компании "Network Associates", то существует возможность немедленной, эмоциональной расплаты, если у вас есть ADS, которая обнаруживает сканирование. Сделайте паузу и поразмышляйте, какой нелепой может быть ситуация: вы тратите $10000 за то, чтобы ваша ADS обнаружила вашего аудитора, которого наняли за $20000. Польза от этой ситуации заключается в том, что вы, по крайней мере, продемонстрируете определенную степень готовности, потому что вы сможете обнаружить атаки. Теоретически, ADS вас будет предупреждать и повышать вашу бдительность в течение определенного периода времени, повышая ваши шансы в обнаружении и противодействии реальной атаке. Это является выгодным, поскольку хакер является достаточно "вежливым", чтобы предупредить вас запуском программы SATAN против вашей сети, прежде чем он запустит реальную атаку.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...