Средства обнаружения сетевых атак

Повысить уровень защищенности корпоративной сети можно с помощью средств обнаружения вторжений (Intrusion Detection).

-Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные).

-Средства обнаружения вторжений могут также использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне.

-Средства обнаружения вторжений автоматизируют такие необходимые элементы деятельности администратора системы безопасности, как:

-регулярный анализ событий, связанных с доступом к ресурсам, по данным журналов аудита;

-выявление атак и подозрительной активности;

-выполнение ответных действий - реконфигурация средств защиты (межсетевых экранов, настроек операционных систем и т.п.) для пресечения подобных атак в будущем.

- Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта (например, подсистему самообучения). База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак и постоянно пополняться.

- Средства обнаружения вторжений могут обнаружить атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника.

- Средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика с помощью VPN и т.п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой.

- Еще одним важным требованием к средствам обнаружения вторжений является их масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в корпоративной сети.

Пример средства обнаружения атак.

Система обнаружения атак RealSecure ™ разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак.

- Имеет интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы корпоративной сети.

- Система построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) и ориентирована на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host- based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.

- Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены.

- Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.

Компоненты системы RealSecure:

- RealSecure Detector - отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем " прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

- Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).

Возможности системы RealSecure:

-большое число распознаваемых атак;

-задание шаблонов фильтрации трафика;

-централизованное управление модулями слежения;

-фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP;

-фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;

-различные варианты реагирования на атаки;

-аварийное завершение соединения с атакующим узлом;

-управление межсетевыми экранами и маршрутизаторами;

-задание сценариев по обработке атак;

-генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r);

-запись атаки для дальнейшего воспроизведения и анализа;

-поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring;

-отсутствие требования использования специального аппаратного обеспечения;

-работа с различными Cryptographic Service Provider;

-установление защищенного соединения между компонентами системами, а также другими устройствами;

-наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;

-отсутствие снижения производительности сети;

-работа с одним модулем слежения с нескольких консолей управления;

-мощная система генерация отчетов;

-использование протокола ODBC;

-простота использования и интуитивно понятный графический интерфейс;

-невысокие системные требования к программному и аппаратному обеспечению.

Система RealSecure™ позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Основные типы контролируемых событий:

- " Отказ в обслуживании" (Denial of service) - любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

- " Неавторизованный доступ" (Unauthorized access attempt) - любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

- " Предварительные действия перед атакой" (Pre-attack probe) - любое действие или последовательность действий по получению информации из или о сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

- " Подозрительная активность" (Suspicious activity) - сетевой трафик, выходящий за рамки определения " стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

- " Анализ протокола" (Protocol decode) - сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.