А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков
 Скачать 9.2 Mb.
|
|
3.6. Сетевая среда лабораторной работы Сетевая среда лабораторной работы, эмулируемая в программе VMware Workstation, представлена на рис. 3.11. Компьютер рабочего места (на рисун- ке — «PC») и виртуальный компьютер «IN» являются внутренними узлами защищаемой сети 192.168.20.0/24 (VMnet1 Host only). Два виртуальных ком- пьютера «OUT1» и «OUT2» представляют «неизвестную» внешнюю сеть 10.0.0.0/8 (VMnet2). Виртуальный компьютер «FW-W98» представляет собой узел с программным обеспечением МЭ и используется для защиты периметра внутренней сети. Все IP-адреса сетевых интерфейсов виртуальных узлов на- значены вручную, поэтому необходимо отключить DHCP-сервер VMware Workstation и настроить стек TCP/IP интерфейса «VMnet1 Host only» рабочего места. Для настройки IP-адресов и проверки доступности сетевых узлов ис- пользуйте информацию, приведенную на рис. 3.11. На виртуальных компьютерах «IN», «OUT1» и «OUT2» установлены ОС Windows 98 и ПО, необходимое для выполнения заданий: программа E-Serv (серверы HTTP, FTP и электронной почты), клиентские приложения Internet Explorer и Outlook Express. На виртуальном компьютере «FW-W98» установ- лены ОС Windows 98, простейший прокси-сервер AnalogX Proxy Server (также установлен на «IN» для реализации схемы на основе экранирующего узла), статический пакетный фильтр WinRoute Pro и анализатор сетевого трафика Ethereal. Захват и анализ сетевого трафика можно использовать в процессе на- стройки и диагностики МЭ, а также для изучения информационного обмена между узлами в рамках того или иного сетевого сервиса. Для создания сетевой среды лабораторной работы в приложении VMware Workstation необходимо последовательно открыть файлы виртуаль- ных машин с именами «IN», «FW-W98», «OUT1», «OUT2» и включить их. После загрузки программ автозапуска на компьютерах «IN», «OUT1», «OUT2» можно свернуть окна приложения E-Serv. 62 Рис. 3.11. Сетевая среда лабораторной работы 3.7. Применение МЭ на основе двудомного узла Пусть для защиты внутренней сети используется схема МЭ на основе двудомного узла и необходимо предоставить клиентам внутренней сети дос- туп только к web-сервису через прокси-сервер, функционирующий на данном двудомном узле. В качестве прокси-сервера при решении задачи используется программа AnalogX Proxy Server. Конфигурирование параметров производится в диало- говом окне, которое вызывается с помощью контекстного меню «Configure» иконки программы на панели задач. Диалоговое окно настройки параметров функционирования прокси-сервера показано на рис. 3.12. Для поддержки программой сетевого сервиса используется соответст- вующая кнопка на панели «Services». Строка ввода «Proxy Binding» определя- ет привязку сервера к тому или иному сетевому интерфейсу узла, на котором он функционирует. Значение «disabled» указывает на то, что сервер будет об- служивать запросы клиентов, поступающие на все интерфейсы (Open state). Если задать в этом поле определенный IP-адрес (как правило, принадлежащий внутренней сети), то сервер будет обслуживать запросы клиентов, поступаю- щие только на этот интерфейс (Closed state). Кнопка «Logging» включает ре- жим регистрации системных событий (файл «proxy.log» в каталоге програм- мы). По умолчанию все клиентские запросы по протоколу HTTP прокси- сервер ожидает на порт 6588. 63 Рис. 3.12. Окно настройки программы AnalogX Proxy Server Настройка программы Internet Explorer (рис. 3.13) узла-клиента на рабо- ту через прокси-сервер осуществляется с помощью закладки «Подключения» свойств обозревателя. Рис. 3.13. Настройка программы Internet Explorer на работу через прокси-сервер ВЫПОЛНИТЬ! 1. Убедиться в доступности узлов «OUT1» и «OUT2» с узла «IN» и наоборот. 2. Отключить маршрутизацию на «FW-W98», выбрав пункт «Stop WinRoute Engine» контекстного меню иконки программы WinRoute на панели задач (изображение иконки должно смениться на ). Убедиться в недоступ- ности узлов «OUT1» и «OUT2» с узла «IN» и наоборот. 64 3. Запустить на «FW-W98» прокси-сервер и настроить его на обслуживание запросов HTTP (рис. 3.12). 4. На компьютерах «IN» и «OUT1» настроить программу Internet Explorerна работу через прокси-сервер (рис. 3.13) и убедиться в возможности работы с web-серверами на этих узлах (обратиться с «IN» к серверу на «OUT1» и наоборот). Это должно быть возможным, так как прокси-сервер, функцио- нирует в режиме «Open state». 5. Перевести прокси-сервер в режим «Closed state», указав в строке ввода «Proxy Binding» адрес интерфейса «FW-W98», принадлежащий внутрен- ней сети. 6. Проверить возможность обращения клиента «IN» к серверу «OUT1» и не- доступность сервера «IN» для клиента «OUT1». Задача решена: защищаемая сеть извне недоступна. Все клиенты внут- ренней сети, настроенные на работу через прокси-сервер обеспечены web- сервисом. Никакой другой трафик кроме web-сервиса между сетями прохо- дить не будет. 7. Вернуть настройки приложения AnalogX Proxy Server в исходное состоя- ние и закрыть его. На компьютерах «IN» и «OUT1» вернуть настройки приложения Internet Explorer в исходное состояние. 3.8. Применение МЭ на основе фильтрующего маршрутизатора Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора со статическим фильтром и необходимо пре- доставить всем клиентам внутренней сети только лишь web-сервис (рис. 3.14). Рис. 3.14. Схема информационного обмена по условию задачи В качестве статического фильтра пакетов используется программа Win- Route на узле «FW-W98». Запуск программы происходит автоматически при загрузке ОС. Конфигурирование параметров функционирования фильтра, т. е. определение правил фильтрации, производится в диалоговом окне «Packet Fil- ter», которое изображено на рис. 3.15. На вкладках «Incoming» и «Outgoing» диалогового окна добавляются новые (Add…), редактируются (Edit…) и удаляются (Remove) имеющиеся правила фильтрации каждого сетевого интерфейса, присутствующего в систе- 65 ме для входящих и исходящих сетевых пакетов соответственно. Изменить по- рядок применения правил к обрабатываемым пакетам можно с помощью кно- пок «Вверх» и «Вниз», находящихся в правой части диалогового окна. Для вступления правил фильтрации в силу следует использовать кнопку «Приме- нить». В системе, как изображено на рис. 3.15, присутствуют два сетевых адаптера: первый, называемый «In AMD PCNET Family Ethernet Adapter», подключен к внутренней сети, второй, называемый «Out AMD PCNET Family Ethernet Adapter», подключен к внешней сети. Рис. 3.15. Окно настройки фильтра пакетов Следует учесть, что в статическом фильтре для каждого направления се- тевого взаимодействия в рамках того или иного сервиса правила фильтрации, разрешающие прохождение сетевых пакетов через маршрутизатор, необходи- мо определять, как минимум, два раза. Например, при взаимодействии клиен- та с сервером прохождение пакетов клиента внутренней сети к внешнему сер- веру определяется разрешающими правилами в последовательности: входя- щее для внутреннего сетевого адаптера, затем исходящее для внешнего сете- вого адаптера, а прохождение обратных пакетов — в последовательности: входящее для внешнего сетевого адаптера, затем исходящее для внутреннего сетевого адаптера. Необходимость задания разрешающих правил одновременно для двух сетевых интерфейсов поясним следующим примером. Пусть по условиям не- которой задачи необходимо предоставить клиентам внутренней сети какой- 66 либо сервис. Решить поставленную задачу можно несколькими способами, определяя правила фильтрации пакетов для одного из интерфейсов или для двух одновременно, но только последний из них надлежащим образом обес- печит защиту самого МЭ от атак из внешней и внутренней сети (рис. 3.16). (а) (б) (в) Рис. 3.16. Варианты определения правил фильтрации для интерфейсов МЭ: (а) — явная угроза со стороны внутренней сети; (б) — явная угроза со стороны внешней сети; (в) — явная угроза со стороны сетей отсутствует Создание или редактирование правил фильтрации производится в диа- логовом окне, изображенном на рис. 3.17. В общем случае для правила опре- деляются: протокол (Protocol), адреса и порты отправителя (Source) и получа- теля (Destination), а также действие (Action), которое выполняется над паке- том, удовлетворяющим заданным критериям фильтрации. В зависимости от типа протокола некоторые поля могут отсутствовать, а присутствовать допол- нительные критерии фильтрации. Например, для протокола IP не имеют 67 смысла значения портов отправителя и получателя, а для протокола ICMP имеется возможность фильтрации по типу сообщения. Возможное действие над пакетом определяется на панели «Action» следующим образом: разрешить (Permit), отбросить (Drop), запретить с извещением отправителя об ошибке (Deny). На панели «Log Packet» определяется режим регистрации событий при обработке пакета. Рис. 3.17. Окно определения правила фильтрации На рис. 3.17 изображены критерии фильтрации для правила, разрешаю- щего прохождение пакетов любого клиента внутренней сети к внешнему web- серверу c адресом 10.0.0.5 в любое время суток. ВЫПОЛНИТЬ! 8. Запустить приложение администрирования WinRoute c помощью пункта «WinRoute Administration…» контекстного меню иконки программы на панели задач, подключившись к «LocalHost» как пользователь Admin с пустым паролем. 9. Через меню Settings ⇒ Advanced ⇒ Packet Filter… вызвать диалоговое окно управления таблицей фильтрации пакетов. 10. Создать необходимые правила для разрешения web-сервиса внутренним пользователям и правило, запрещающее все остальное (для этой цели можно использовать последнюю строку «Any interface»). 11. Проверить правильность функционирования МЭ. 68 Для приобретения навыков администрирования пакетного фильтра са- мостоятельно выполните следующие задачи. Задача 1. Необходимо ограничить пользователя компьютера «PC» в ис- пользовании web-сервиса так, чтобы он мог работать только с сервером «OUT2» (рис. 3.18). Обратите внимание на правильную последовательность определения правил фильтрации. Рис. 3.18. Схема информационного обмена по условию задачи № 1 Задача 2. При начальных условиях предыдущей задачи необходимо предоставить внутренним пользователям возможность использования коман- ды Ping для проверки доступности внешних узлов, но исключить такую воз- можность для внешних узлов при сканировании узлов защищаемой сети (рис. 3.19). Рис. 3.19. Схема информационного обмена по условию задачи № 2 Задача 3. При начальных условиях предыдущей задачи необходимо предоставить всем клиентам внутренней сети FTP-сервис (рис. 3.20). Учтите, что на рис. 3.20 показан типовой обмен клиента и FTP-сервера, а программа E-Serv, установленная на виртуальных компьютерах, инициализирует переда- чу данных не с порта 20, а с порта >1024. 69 Рис. 3.20. Схема информационного обмена по условию задачи № 3 Задача 4. При начальных условиях предыдущей задачи необходимо ог- раничить пользователя компьютера «IN» в использовании FTP-сервиса так, чтобы он мог работать только с сервером «OUT2» (рис. 3.21). Рис. 3.21. Схема информационного обмена по условию задачи № 4 Задача 5. При начальных условиях предыдущей задачи необходимо предоставить пользователю компьютера «IN» сервис электронной почты (рис. 3.22). На компьютере «IN» приложение Outlook Express настроено на почтовый ящик c адресом «U1@mail.ru» на сервере «OUT1». Выемка почто- вой корреспонденции осуществляется по протоколу POP3. Произведите от- правку электронного сообщения от имени пользователя U1 самому себе. Рис. 3.22. Схема информационного обмена по условию задачи № 5 70 Задача 6. При начальных условиях предыдущей задачи необходимо предоставить пользователю внешнего узла «OUT1» возможность работы с внутренним web-сервером «IN» (рис. 3.23). Рис. 3.23. Схема информационного обмена по условию задачи № 6 Задача 7. При начальных условиях предыдущей задачи необходимо предоставить пользователю внешнего узла «OUT2» возможность работы с внутренним FTP сервером «IN» (рис. 3.24). Рис. 3.24. Схема информационного обмена по условию задачи № 7 3.9. Применение МЭ на основе экранирующего узла При построении схемы МЭ на основе экранирующего узла для защиты сети используют внутренний узел бастионного типа, на котором запущена программа прокси-сервера, выполняющая поддержку необходимых сервисов. На остальных узлах внутренней сети клиентские приложения настраиваются на работу через прокси-сервер. На фильтрующем маршрутизаторе, находя- щемся на периметре сети, определяются правила фильтрации сетевых пакетов таким образом, чтобы из внутренней сети во внешнюю разрешался только трафик с узла бастионного типа, а весь допустимый входящий в защищаемую сеть трафик направлялся только на узел бастионного типа. Такая схема по- строения МЭ похожа на схему МЭ на основе двудомного узла, но обладает большей гибкостью по сравнению с ней, так как для некоторых узлов защи- 71 щаемой сети допустимы исключения в виде предоставления тех или иных сервисов напрямую через фильтрующий маршрутизатор. Пусть для защиты внутренней сети используется схема МЭ на основе экранирующего узла. Необходимо предоставить клиентам внутренней сети только лишь web-сервис. В качестве экранирующего шлюза используйте вир- туальный компьютер «IN», в составе которого имеется приложение AnalogX Proxy Server, а в качестве клиента — компьютер рабочего места (рис. 3.25). Рис. 3.25. Схема информационного обмена по условию задачи ВЫПОЛНИТЬ! 12. На узле «IN» запустить прокси-сервер и установить необходимые пара- метры его функционирования. 13. На узле «FW-W98» для пакетного фильтра WinRoute создать необходимые правила для разрешения web-сервиса и правило, запрещающее все осталь- ное. 14. Настроить программу Internet Explorerна узле «PC» для работы через прокси-сервер и убедиться в возможности работы с внутренним и внеш- ними web-серверами. 15. Проверить правильность функционирования МЭ. 16. Вернуть настройки программного обеспечения узлов «PC», «IN», «FW- W98» в исходное состояние. 72 3.10. Применение технологии трансляции сетевых адресов Трансляция сетевых адресов (NAT) — технология, которая позволяет маршрутизатору выполнять функцию прокси-сервера по сокрытию информа- ции об узлах внутренней сети. В целях сокрытия информации о внутренней сети, маршрутизатор с NAT функционирует следующим образом: − при передаче запросов клиентов защищаемой сети во внешнюю сеть за- меняет их IP-адреса на IP-адрес своего внешнего интерфейса (может исполь- зоваться и диапазон IP-адресов); − при возврате ответов серверов клиентам производит обратную замену: свой адрес в поле получателя меняет на адрес клиента, отправившего исход- ный запрос (рис. 3.26). Рис. 3.26. Технология NAT Преимущество использования трансляции сетевых адресов состоит в том, что при подключении внутренней сети к сети Интернет технология NAT позволяет существенно увеличить адресное пространство за счет использова- ния IP-адресов из диапазона частных сетей, не обрабатываемых маршрутиза- торами Интернет. Существует несколько методов реализации NAT. Одни трансляторы ад- ресов осуществляют это посредством статического присваивания адресов (static address assignment), при этом адрес клиента внутренней сети связывает- ся с фиксированным внешним IP-адресом. Другие трансляторы, функциони- рующие по принципу динамического присваивания адресов (dynamic address assignment), выделяют клиентам внутренней сети внешний IP-адрес по мере поступления запросов. После освобождения клиентом внешнего IP-адреса он возвращается маршрутизатором в список свободных адресов и может быть предоставлен другому клиенту. Концепция трансляции сетевых адресов, о которой шла речь до сих пор, обычно называется базовой трансляцией адресов (basic NAT). Ее реализация требует наличия нескольких внешних IP-адресов для обеспечения одновре- менной работы нескольких клиентов внутренней сети. Это означает, что чис- 73 ло внешних IP-адресов маршрутизатора с NAT должно быть равно макси- мально возможному числу активных исходящих соединений. Чтобы расши- рить число возможных исходящих соединений и при этом не увеличивать ко- личество отведенных маршрутизатору внешних адресов в новой форме NAT, которая называется трансляцией портов сетевых адресов (NAPT), использует- ся замена одновременно и IP-адреса и номера порта отправителя. Таким обра- зом, один IP-адрес можно распределить между множеством клиентов внут- реннней сети просто за счет изменения номера порта отправителя. Иногда для обозначения NAPT употребляются термины «PAT» (трансляция адресов пор- тов) и «Overloading NAT». Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора с включенной функцией NAT. В учебных це- лях для пакетного фильтра никакие правила фильтрации не определяются. ВЫПОЛНИТЬ! 17. На маршрутизаторе «FW-W98» включить функцию NAT для внешнего се- тевого интерфейса МЭ. В программе WinRoute функция NAT включается посредством диалогового окна, которое вызывается командой меню Set- tings ⇒ Interface Table… (рис. 3.27). Рис. 3.27. Включение функции NAT в WinRoute 18. Проверить, что для внутренних клиентов существует возможность досту- па к внешним серверам «OUT1» и «OUT2». 19. Проверить, что для внешних клиентов отсутствует возможность доступа к внутреннему серверу «IN». 74 20. Одновременно на двух клиентах внутренней сети запустить команду Ping с параметром -t к одному и тому же внешнему узлу. Объяснить, на какой информации основывается решение МЭ по распределению обратного тра- фика между клиентами при выполнении функции NAT. Технология, называемая векторизацией адресов («address vectoring») или перенаправлением портов («port mapping»), по сути, является обратной NAT и служит для обеспечения возможности доступа извне к некоторым узлам за- щищаемой с помощью NAT сети. МЭ с включенной функцией перенаправле- ния портов принимает запрос на соединение от внешнего клиента и в случае допустимости поступившего запроса переадресовывает его во внутреннюю сеть на указанный в таблице перенаправления узел, причем порт назначения внутреннего узла не обязательно должен совпадать с портом назначения в за- просе внешнего узла (рис. 3.28). Рис. 3.28. Технология векторизации адресов Пусть при начальных условиях предыдущей задачи необходимо допол- нительно предоставить доступ внешних клиентов «OUT1» и «OUT2» к серве- рам Web и FTP на внутреннем узле «IN» соответственно. В программе WinRoute функция векторизации адресов включается по- сле добавления записей в таблицу переназначения портов посредством диало- гового окна, которое вызывается командой меню Settings ⇒ Advanced ⇒ Port Mapping... (рис. 3.29). Прослушиваемый IP-адрес (Listen IP) можно оставить в значении по умолчанию, а для указания узлов, которым разрешен доступ во внутреннюю сеть (поле «Allow access only from»), необходимо предваритель- но создать адресную группу. 75 Рис. 3.29. Создание таблицы векторизации адресов ВЫПОЛНИТЬ! 21. Создать адресную группу для web-сервиса, включив в нее узел «OUT1». 22. Создать адресную группу для FTP-сервиса, включив в нее узел «OUT2». В программе WinRoute для создания адресных групп используется пункт ме- ню Settings ⇒ Advanced ⇒ Address Groups… 23. Создать соответствующие задаче записи таблицы переназначения портов. 24. Проверить, что для клиента «OUT1» существует возможность доступа к web-серверу на внутреннем узле «IN». 25. Проверить, что для клиента «OUT2» существует возможность доступа к FTP-серверу на внутреннем узле «IN». 76 4. СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК Система обнаружения атак — это программный или программно- аппаратный комплекс, предназначенный для выявления и по возможности предупреждения действий, угрожающих безопасности информационной сис- темы. Первые прототипы СОА появились в начале 1980-х годов и были ориен- тированы в первую очередь на защиту автономных ЭВМ, не объединенных в сеть. Обнаружение атак производилось путем анализа журналов регистрации событий постфактум. Современные системы в основном ориентированы на защиту от угроз, направленных из сети, поэтому их архитектура существен- ным образом поменялась. Вместе с тем основные подходы к обнаружению атак остались прежними. Рассмотрим классификацию и принципы работы СОА более подробно. 4.1. Сигнатурный анализ и обнаружение аномалий Основные подходы к обнаружению атак практически не изменились за последнюю четверть века, и, несмотря на громкие заявления разработчиков, можно с уверенностью утверждать, что концептуально обнаружение атак ба- зируется либо на методах сигнатурного анализа, либо на методах обнаруже- ния аномалий. Возможно также совместное использование указанных выше методов. Сигнатурный анализ основан на предположении, что сценарий атаки из- вестен и попытка ее реализации может быть обнаружена в журналах регист- рации событий или путем анализа сетевого трафика. В идеале администратор информационной системы должен устранить все известные ему уязвимости. На практике, однако, данное требование может оказаться невыполнимым, так как в результате может существенным образом пострадать функциональность ИС. Не исключено также, что людские и материальные затраты, необходимые для устранения этих уязвимостей, могут превысить стоимость информации, обрабатываемой системой. Системы обнаружения атак, использующие мето- ды сигнатурного анализа, предназначены для решения обозначенной пробле- мы, так как в большинстве случаев позволяют не только обнаружить, но и предотвратить реализацию атаки на начальной стадии ее выполнения. Процесс обнаружения атак в данных системах сводится к поиску зара- нее известной последовательности событий или строки символов в упорядо- ченном во времени потоке информации. Механизм поиска определяется спо- собом описания атаки. Наиболее простым является описание атаки при помощи набора правил (условий). Применительно к анализу сетевых пакетов эти правила могут включать определенные значения отдельных полей заголовка пакета (IP-адрес и порт источника или получателя, установленные флаги, размер пакета 77 и т. д.). При анализе журналов регистрации событий правила могут ограничи- вать время регистрации пользователя в системе, количество попыток непра- вильного ввода пароля в течение короткого промежутка времени, а также на- личие изменений в критических файлах системы. Таким образом, описание атаки отражает, во-первых, характер передаваемой информации и, во-вторых, совокупность реакций системы на реализацию атаки. Если описать текущее состояние информационной системы совокупно- стью пар атрибут-значение, а события представить как действия, связанные с изменением этих атрибутов, то для описания атаки может использоваться тео- рия конечных автоматов. В этом случае реализации каждой атаки соответст- вует последовательность переходов из «исходного» состояния системы в ее «конечное» состояние, характеризующее реализацию данной атаки. Условия и направление перехода определяются набором правил, как было описано выше. Такой подход к описанию сценария атаки является более точным, чем описа- ние при помощи набора правил, так как позволяет учитывать динамику разви- тия атаки и выявлять попытки реализации атак, скрытых в интенсивном пото- ке событий, сгенерированных злоумышленником для прикрытия своих истин- ных намерений. Применение методов сигнатурного анализа требует от разработчика СОА выбора или создания специального языка, позволяющего описывать ре- гистрируемые системой события, а также устанавливать соответствия между ними. Универсальность и полнота этого языка являются определяющими фак- торами эффективной работы системы обнаружения, так как в конечном счете на этом языке будут сформулированы правила, по которым выявляется атака. Реагирование на попытку реализации атаки может включать как простое извещение администратора информационной системы, так и более активные меры: разрыв установленного соединения, отключение уязвимой службы, пе- репрограммирование межсетевого экрана на отклонение пакетов, полученных от выявленного системой злоумышленника, а также другие меры, препятст- вующие «успешному» завершению атаки. Все СОА, использующие метод обнаружения атак по сигнатуре, имеют в своем составе базу данных известных атак (их сигнатур). Очевидно, что к принципиальным недостаткам рассматриваемого класса СОА относится не- возможность обнаружения атак, сигнатуры которых отсутствуют в базе дан- ных. Поэтому, чтобы обеспечить эффективную работу системы обнаружения, эта база должна регулярно обновляться. Обычно возможность обновления, в том числе автоматического, предусмотрена разработчиками системы. Пре- имуществами систем, использующих сигнатурный анализ, являются низкая вероятность «ложной тревоги» (ошибочного обнаружения атаки при ее фак- тическом отсутствии), а также относительная простота настройки. Подход к обнаружению атак, основанный на попытке обнаружения аномального поведения системы, также был впервые предложен в 1980-х го- дах. Основной предпосылкой применения указанного подхода является то, что 78 в процессе «штатного» функционирования информационная система находит- ся в некотором равновесном состоянии. Попытка реализации атаки ведет к выходу системы из этого состояния, причем факт выхода может быть зафик- сирован. При создании СОА, работающих по принципу обнаружения анома- лий, должны быть решены три задачи. Во-первых, необходимо разработать способ описания состояния информационной системы. Это нетривиальная за- дача, так как должна быть учтена как статическая, так и динамическая состав- ляющие. Например, должны быть описаны типичные для системы потоки данных, передаваемых по сети. Во-вторых, необходимо разработать алгорит- мы, при помощи которых будет автоматически (или с вмешательством адми- нистратора) составляться описание реальной работающей системы — ее «профиль». Это нужно для того, чтобы «научить» СОА различать штатный режим работы информационной системы. В-третьих, необходимо выбрать ма- тематические методы, которые будут использоваться для обнаружения анома- лий в процессе функционирования системы. Другими словами, должны быть определены механизмы принятия решения о попытке атаки защищаемой сис- темы. Очевидно, что используемые механизмы принятия решения в первую очередь зависят от того, как была описана система. Рассмотрим простой пример. Пусть одним из параметров информаци- онной системы является количество отклоненных входящих TCP-соединений, а точнее — среднее значение и дисперсия указанного параметра. В случае штатной работы системы количество отклоняемых соединений должно быть незначительным. Если злоумышленник начнет исследовать уязвимость систе- мы при помощи сканирования портов, то есть попытается реализовать атаку «сканирование портов», количество отклоненных TCP-соединений резко воз- растет. Такой скачок может быть обнаружен различными способами. Во- первых, может быть применен статистический критерий равенства средних значений двух случайных величин. Для его использования, правда, необходи- мо сделать два достаточно неоднозначных предположения: о нормальности распределений случайных величин и о равенстве их дисперсий. Во-вторых, что представляется более уместным, могут быть применены математические методы, известные под общим названием «методов обнаружения разладки». Эти методы специально разрабатывались для решения подобного класса за- дач, первоначально связанных с контролем систем слежения и управления. В-третьих, могут применяться математические методы распознавания обра- зов. Известны также разработки, использующие нейросетевые методы анали- за, однако о практическом внедрении этих методов в коммерческих про- граммных продуктах до сих пор не сообщается. Основным преимуществом использования подхода, основанного на об- наружении аномального поведения системы, является теоретическая возмож- ность обнаружения новых, не описанных ранее, атак. Данная возможность ос- нована на предположении, что атака по определению представляет собой на- бор действий, нехарактерных для штатного режима работы системы. На- 79 сколько эффективно будут выявляться новые атаки, определяется опять же способом описания состояния системы и количеством анализируемых пара- метров. Большинство математических методов обнаружения, используемых в рассматриваемом классе СОА, не являются детерминированными. Это озна- чает, что все решения принимаются на основе статистического анализа и, сле- довательно, могут содержать ошибки. Возможны два класса ошибок: «про- пуск атаки» и «ложная тревога». Вероятность пропуска определяется характе- ром атаки и степенью адекватности описания текущего состояния системы. «Ложная тревога» может иметь место в том случае, если в информационной системе наблюдается нетипичная активность, являющаяся следствием дейст- вий законных пользователей (или процессов). Например, если на всех компь- ютерах локальной сети, имеющей подключение к Интернет, будет установле- на антивирусная программа, запрограммированная на обновление антивирус- ных баз в одно и то же время каждые два дня, то одновременная попытка всех компьютеров подключиться к одному серверу Интернет будет интерпретиро- ваться СОА как вирусная атака. Поэтому именно высокую вероятность «лож- ной тревоги» обычно называют главным недостатком систем обнаружения атак, основанных на обнаружении аномальной активности. Еще одним недос- татком принято считать сложность настройки («обучения») системы, так как этот процесс требует от администратора глубоких знаний базовых принципов взаимодействия элементов информационной системы. В связи с этим полно- ценных коммерческих продуктов, использующих принципы обнаружения аномальной активности, на рынке практически нет, хотя разработки этих сис- тем непрерывно ведутся ввиду их перспективности. 4.2. Обнаружение в реальном времени и отложенный анализ По типу обрабатываемых данных системы обнаружения атак подразде- ляются на «системы реального времени» и «системы отложенной обработки». Системы отложенной обработки анализируют содержимое журналов регист- рации событий или массив предварительно записанного трафика, а системы реального времени — входящий поток событий от программных датчиков. Очевидно, что адекватное реагирование на попытку реализации атаки, вклю- чая ее предотвращение, возможно только при использовании систем реально- го времени. В то же время это не означает, что СОА реального времени «луч- ше», чем системы отложенной обработки. Так, СОА реального времени, не имеющая функций по предотвращению атак, заведомо менее эффективна, чем аналогичная система с отложенной обработкой, поскольку в системе реально- го времени одним из основных критериев эффективности является простота используемых алгоритмов, а не их оптимальность с позиций надежности об- наружения атак. Поэтому выбор того или иного типа СОА должен делаться исходя из анализа задач, которые ставятся перед системой обнаружения. Апостериорный анализ может использоваться со следующей целью: 80 − расследование информационных преступлений и инцидентов; − выявление атак, не являющихся информационным преступлением (сбор информации об инфраструктуре сети, сканирование портов и пр.); − сбор информации об уязвимостях информационной системы с целью их устранения; − анализ активности отдельных пользователей; − минимизация системных требований к СОА. Основной целью использования систем обнаружения атак реального времени является быстрое реагирование на попытки реализации атак, в том числе пресечение этих попыток. В связи с этим типичными процедурами для данных систем является анализ и фильтрация трафика на сетевом и транс- портном уровнях модели OSI. Чтобы сократить производительные затраты, часто рассматриваются лишь заголовки пакетов, а их содержимое «отбрасы- вается». Это, очевидно, значительно сокращает перечень обнаруживаемых атак. 4.3. Локальные и сетевые системы обнаружения атак СОА, использующие информацию, получаемую от персонального ком- пьютера, на который они установлены, обычно называют локальными (host- based). В противоположность им системы обнаружения, ориентированные на анализ всего доступного сетевого трафика, называют сетевыми (network- based). Рассмотрим, какая информация может использоваться локальными СОА для выявления попыток атаки. − Отслеживание попыток входящих и исходящих TCP- и UDP-соединений. В результате могут обнаруживаться и пресекаться попытки несанкциониро- ванных подключений к отдельным портам, а также попытки сканирования портов. − Анализ входящего и исходящего сетевого трафика на предмет наличия «подозрительных» пакетов. «Досмотру» могут подлежать как поля заголовков пакетов, так и их содержимое. − Отслеживание попыток регистрации на локальной ЭВМ. В случае инте- рактивной регистрации может накладываться ограничение на время регистра- ции, а в случае регистрации по сети можно ограничить перечень сетевых ад- ресов, с которых разрешается вход в систему. Отдельное внимание уделяется множественным неудачным попыткам регистрации, которые могут иметь ме- сто в случае атаки «подбор пароля методом перебора». − Отслеживание активности пользователей, наделенных повышенными полномочиями в системе (суперпользователь root в UNIX-системах, пользова- тели группы Администраторы в ОС Windows). Так как в широком классе слу- чаев атака направлена на получение полномочий суперпользователя, могут 81 отслеживаться попытки регистрации этого пользователя в системе в неразре- шенное время, попытки сетевой регистрации суперпользователя и т. д. − Проверка целостности отдельных файлов или ключей реестра (для Windows-систем). Несанкционированные действия взломщика могут заклю- чаться в попытках внесения изменений в базу данных пользователей или в модификации отдельных настроек системы. Контроль целостности критичных областей данных позволит СОА обнаружить попытку реализации атаки. Сетевые СОА собирают и анализируют все доступные им сетевые паке- ты на предмет наличия «подозрительного» содержимого или несанкциониро- ванных потоков информации от одного узла сети к другому. В связи с этим точка подключения СОА должна обеспечивать максимальный охват трафика, циркулирующего в сегменте сети. Обычно такие системы подключаются к специальному порту коммутатора либо устанавливаются непосредственно на маршрутизаторе сети. СОА данного класса гораздо эффективнее, чем локаль- ные, способны обнаруживать факт сканирования портов, а также выявлять попытки атак на «отказ в обслуживании». Кроме того, если система обнару- жения установлена на шлюзе, обеспечивающем доступ из локальной сети в Интернет, то путем фильтрации нежелательных пакетов может обеспечивать- ся защита этой локальной сети от внешних атак. Получается, что СОА выпол- няет в этом случае функции межсетевого экрана (либо управляет им). Таким образом, сетевые системы обнаружения атак находят свое применение в ин- формационных системах, где установка специализированного программного обеспечения на компьютеры пользователей затруднительна, и там, где требу- ется изолировать сетевой сегмент от внешней угрозы. Необходимо отметить, что анализ интенсивного потока данных требует существенных вычислитель- ных затрат, поэтому аппаратные требования к узлу, на котором устанавлива- ется такая СОА, могут быть очень высокими. Наиболее критичной эта про- блема становится при попытке защиты сети, содержащей несколько сотен компьютеров и имеющей выход в Интернет. К этому классу относятся боль- шинство сетей крупных предприятий. 4.4. Распределенные системы обнаружения атак Отдельным классом систем обнаружения атак являются распределенные системы. Их основным отличием является перераспределение функций сбора данных между несколькими «агентами» — программными датчиками, уста- новленными на узлах информационной системы. Агенты могут собирать ин- формацию непосредственно с компьютера, на который они установлены, или анализировать данные, передаваемые по сети. Наиболее принципиальным моментом при внедрении распределенных СОА является организация инфор- мационного обмена между отдельными агентами системы. Конечной целью этого обмена является принятие решения о факте атаки. 82 Преимуществом использования распределенных систем является воз- можность собирать и анализировать значительно больший объем информа- ции, что позволяет обнаруживать широкий спектр атак. В этом отношении наиболее эффективным является решение, объединяющее методологию ло- кальных и сетевых СОА в единое целое. С другой стороны, распределенные системы обладают рядом недостатков, наиболее существенным из которых является меньшая защищенность их компонентов. Во-первых, сбор данных с нескольких узлов создает дополнительную нагрузку на сеть, которая, в случае полномасштабной атаки, может превысить ее пропускную способность. Во- вторых, обмен информацией по сети подразумевает наличие открытых пор- тов, потенциально доступных для атаки на отказ в обслуживании (переполне- ние очереди входящих TCP-соединений). В-третьих, на узлах информацион- ной системы возможно внедрение вредоносного программного обеспечения, которое будет блокировать работу агента или пытаться подделывать инфор- мацию, им передаваемую. Отдельной задачей, возникающей при проектировании распределенных СОА, является выбор идеологии процедуры принятия решения. Возможны не- сколько вариантов процедуры, отличающиеся степенью централизации. Наи- более простым является вариант процедуры с предельной степенью централи- зации, когда агенты занимаются лишь сбором данных и передачей их цен- тральному узлу СОА — модулю принятия решения. Этот модуль анализирует поступающую информацию и выносит решение о факте атаки. Данный вари- ант характеризуется большим объемом передаваемых по сети данных, что по- вышает вероятность обнаружения факта работы СОА злоумышленником и делает систему уязвимой к атакам на отказ в обслуживании. Наиболее оче- видным решением по использованию такого типа СОА является их установка в рамках подсетей небольшого размера, что позволит обойти проблему пере- грузки сети пакетами, сгенерированными системой. Увеличение масштабов сети требует многоступенчатого подхода к принятию решения. Он заключает- ся в том, что выделяются промежуточные модули принятия решения, которые собирают данные только с ограниченного числа «своих» агентов и передают на верхний уровень гораздо меньший объем информации, дополненный про- межуточным решением. При любом варианте реализации процедуры приня- тия решения очевидно, что первоочередной становится задача обеспечения защищенности самой СОА. 4.5. Система обнаружения атак Snort 4.5.1. Общие сведения Snort — это бесплатная система обнаружения атак с открытым исход- ным кодом, разработанная Мартином Рошем (Martin Roesch). Доступны вер- сии программы, работающие под управлением операционных систем Win- 83 dows NT, Linux, BSD, Mac OS X, а также некоторых других. В соответствии с предложенной выше классификацией, Snort является сетевой СОА, основан- ной на сигнатурном анализе. Сигнатуры атак описываются при помощи пра- вил — специальных синтаксических конструкций, позволяющих выявлять ин- тересующую администратора информацию в полях заголовков и содержимом передаваемых по сети пакетов. Кроме того, в Snort реализовано несколько препроцессоров, выполняющих более сложные операции по анализу трафика, такие, например, как дефрагментация IP-пакетов, отслеживание TCP- соединений и выявление попыток сканирования портов. 4.5.2. Установка и запуск программы Для обеспечения возможности перехвата сетевых пакетов программой Snort необходима предварительная установка и запуск службы WinPcap (WinPcap_3_1.exe). Рис. 4.1. Служба WinPcap в перечне служб Для установки СОА Snort версии 2.4.3 необходимо запустить файл «Snort_243_Installer.exe» и ответить на интересующие программу-инсталлятор вопросы. По умолчанию Snort устанавливается в каталог «С:\snort», а его ис- полняемый файл располагается в каталоге «С:\snort\bin». Запуск СОА Snort осуществляется из командной строки, в табл. 4.1 приведен неполный список параметров, с которыми может производиться запуск. Чтобы вывести этот список на экран во время работы, необходимо выполнить команду snort -? |