Так как число и частота атак все время увеличиваются, становится очень важным идентифицировать атаки на раннем этапе их развития и своевременно среагировать на них. В критических случаях вмешательство в атаку должно быть реализовано намного быстрее, чем сможет среагировать человек. Другая причина для автоматизации процесса обнаружения несанкционированной деятельности заключается в том, что все чаще и чаще злоумышленники используют автоматизированные средства реализации атак. В одном из опубликованных примеров был отмечен факт осуществления 2000 попыток проникновения на интернет-сервер из 500 мест в течение 8 часов (т.е. 4 атаки в минуту). В том случае автоматизированная система обнаружения атак помогла отследить источник атаки. В ее отсутствие задача обнаружения самой атаки и злоумышленника, ее реализующего, стала бы просто невозможной. По данным отчета Symantec Internet Security Threat Report, информационные системы компаний в 2002 году в среднем были атакованы 31 раз в неделю.

Однако специалистов беспокоит не только рост числа атак, но и рост их сложности. По оценкам специалистов Пентагона, средства для реализации атак качественно совершенствуются 1–2 раза в год. Еще 21 июня 2001 года Лоуренс Гершвин, один из руководителей ЦРУ, пожаловался Конгрессу США, что его ведомство не поспевает за хакерами, которые совершенствуют свои технологии гораздо быстрее, чем ЦРУ разрабатывает противодействующие им средства. «Все что мы можем сделать, это зафиксировать факт нападения», — сказал Гершвин. Помимо усложнения атак упрощается их использование. Средства реализации атак все чаще облекаются в красивый графический интерфейс, которым пользоваться могут даже младенцы.

Согласно отчету «Network Security Survey 2001» около 60% компаний считает межсетевой экран (firewall) самым лучшим средством защиты. Однако статистика — вещь неумолимая. Особенно когда дело касается информационной безопасности. По данным Национального отделения ФБР по компьютерным преступлениям от 85 до 97% нападений на корпоративные сети не то что не блокируются, но и не обнаруживаются. Проведенные в 1995 году испытания, которые финансировало Министерство Обороны США, показали плачевные результаты. Специальные группы экспертов, так называемые «команды тигров» («tiger team»), провели анализ защищенности 8932 военных информационных систем. В 7860 (т.е. в 88%) случаях проникновение в «святая святых» Министерства Обороны США было успешным, несмотря на наличие периметровых средств защиты (межсетевых экранов, списков контроля доступа и т.д.). Администраторы только 390 из этих систем обнаружили атаки и всего 19 из них (вдумайтесь в это число) сообщили о нападениях.

Итак, только 5% систем смогли зафиксировать атаки на себя и только 0,24% от общего числа успешно атакованных систем (или иначе 4,9% от числа зафиксировавших атаки) сообщили о них в соответствующие инстанции. В коммерческих компаниях ситуация чуть лучше, однако и им далеко до обнаружения всего множества атак. «Только 40% компаний чувствуют, что они могут обнаружить атаки», — гласит отчет «Global Information Security Survey 2002» компании Ernst&Young.

Почему это происходит? Причина не только в низкой квалификации персонала. На наш взгляд, причина кроется не в том, что традиционные механизмы защиты, такие как разграничение доступа, фильтрация, аутентификация и другие не лишены недостатков, а потому что при их создании не были учтены многие аспекты, связанные с характеристиками современных атак.

Рассмотрим этапы осуществления атаки. Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На данном этапе ищутся уязвимости, использование которых делает возможным в принципе реализацию атаки, которая и составляет второй этап. На третьем этапе атака завершается, «заметаются» следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, SARA или Nessus, сам по себе считается атакой.

Существующие механизмы защиты, реализованные в межсетевых экранах (firewall), серверах аутентификации, системах разграничения доступа и т. д., работают только на втором этапе. То есть по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они могут защитить от атак, которые уже находятся в процессе осуществления. И даже если эти механизмы смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от «успешной» атаки, а также разработать меры по устранению повторных попыток реализовать аналогичную атаку.

Однако даже если вы наряду с традиционными механизмами защиты используете средства поиска уязвимостей, которые своевременно обнаруживают и рекомендуют меры по устранению «слабых мест» в системе защиты, то это еще не доказывает вашей защищенности. Существует ряд факторов, которые необходимо учитывать при использовании межсетевых экранов, систем аутентификации, систем разграничения доступа и т.д. Эти факторы характеризуют не слабости упомянутых технологий, а особенности их архитектуры. Большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В абсолютном большинстве случаев этот элемент — пароль. В других случаях таким уникальным элементом является таблетка Touch Memory или iButton, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом могут быть адреса или флаги, находящиеся в заголовке пакета и т.д.

Можно заметить, что самым слабым звеном описанной схемы является уникальность элемента. Если нарушитель каким-либо образом получил этот самый элемент или подменил его и предъявил системе защиты, то она воспринимает его, как «своего», и разрешает действовать в рамках полномочий того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к самому секретному ключу не составляет большого труда. Его можно «подслушать» при передаче по сети при помощи анализаторов протоколов (sniffer). Его можно подобрать при помощи специальных программ, например, при помощи L0phtCrack или John the Ripper.

Другой не менее часто приводимый пример. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей и т.п. Известны случаи, когда такие обиженные администраторы «портили кровь» не одной компании и их действия приводили к очень серьезному ущербу.

«Почему раньше эти проблемы не были замечены?» — спросите вы. Это не совсем так. Указанные проблемы были известны, только они не выходили на первый план. Происходило это по нескольким причинам. Во-первых, сети получили широкое распространение относительно недавно, десять-двадцать лет назад. Во-вторых, модели разграничения доступа, на основе которых строятся современные системы защиты, были разработаны в военных ведомствах, в которых своя специфика — там практически нет «чужих». И, наконец, количество уязвимостей сетевых операционных систем и прикладных программ и возможных атак на них растет с угрожающей быстротой.

Так, по данным Symantec Internet Security Threat Report общее число уязвимостей высокой степени риска в 2002 году превысило показатели 2001 года на 84,7%, а общее число уязвимостей перевалило за несколько тысяч. Ситуация усугубляется еще и тем, что многие администраторы безопасности, как это ни парадоксально звучит, не осознают всей серьезности проблемы сетевой безопасности. Немногие из них имеют время для анализа сообщений о новых обнаруженных угрозах и уязвимостях. Еще меньшему количеству людей доступно проведение аудита и постоянного мониторинга сети. «Сетевые администраторы не имеют возможности вовремя реагировать на все возрастающее число уязвимостей», — говорит Джим Харлей, старший аналитик компании Aberdeen Group.

Если спросить любого человека, хоть немного знакомого с интернетом, чем, по его мнению, надо защищать свою сеть от хакеров, то в 99% случаев на первое место он поставит межсетевые экраны, а около 60%, как мы уже упоминали, считают это решение «самым лучшим» для защиты сетей. Однако эти решения хоть и достаточно эффективны, но не обеспечивают действительно надежной защиты от всех видов атак.

Общее непонимание состоит в том, что межсетевой экран не распознает атаки и не блокирует их. Межсетевой экран (МСЭ) — это решение, которое сначала запрещает все, а потом разрешает только «хорошие» вещи. То есть при установке межсетевого экрана первым делом запрещаются все соединения между защищаемой и открытой сетями. Затем администратор добавляет специфичные правила, которые позволяют определенному трафику проходить через МСЭ. Типичная конфигурация МСЭ запретила бы весь входящий трафик ICMP, оставив разрешенным только исходящий трафик и некоторый входящий трафик на базе UDP- и TCP-протоколов (например, HTTP, DNS, SMTP и т.д.). Это позволит сотрудникам защищаемой организации работать с интернетом и запретит доступ злоумышленников к внутренним ресурсам. Однако не стоит забывать, что МСЭ — это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже экраны, использующие технологию «stateful inspection», не позволяют с точностью сказать, присутствует атака в трафике или нет. Они могут лишь уведомить, соответствует ли трафик заданным правилам.

Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей — существует большое число способов обхода этого защитного средства (часть из них описана в нашей статье «Способы обхода межсетевых экранов»). Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но на сегодняшний день явно недостаточный, уровень защиты корпоративных ресурсов. Традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий, например, технологии обнаружения атак (intrusion detection), которая активно развивается за рубежом и шесть лет назад попала в Россию.

Обратимся к аналогиям из мира физической безопасности. Давайте представим вашу сеть в виде многоэтажного здания, где этажи представляют собой удаленные филиалы, а комнаты на этажах — сегменты сети. Что защищает здание от проникновения в него посторонних? Массивная дубовая дверь, запирающаяся на ночь. Днем на входе дежурит бабушка из вневедомственной охраны или охранник устрашающего вида, облаченный в униформу и грозно помахивающий дубинкой. Можно пойти еще дальше и представить на входе вертушки-турникеты, металлодетекторы и другие средства контроля доступа. Однако кого они могут обмануть? Только неопытного грабителя, который может прилично одеться, подделать документы или пронести оружие, не содержащее металлических частей. Наконец, можно просто передать что-то запретное (например, взрывное устройство) с курьером или почтовым отправлением, минуя бдительного охранника. Это прямая аналогия с межсетевым экраном, который предотвращает только небольшую часть угроз корпоративной сети.

Можно пойти еще дальше. Ведь в любом здании помимо главного существуют и другие входы. Кроме того, проникнуть в помещение можно через окно или подвал и т.д. Аналогичная ситуация и с сетью, в которой может быть резервный канал выхода в интернет или модем, несанкционированно установленный сотрудником организации. Что делать, чтобы повысить защищенность помещений в здании? Используются различные системы видеонаблюдения и охранной сигнализации, емкостные и температурные датчики, реагирующие на изменение объема или температуры в помещении и т.д. Такие же охранные системы существуют и в мире информационной безопасности. Это и есть системы обнаружения атак, контролирующие сетевые сегменты (читай этажи и помещения здания) или отдельные серверы (например, витрины ювелирного магазина или вход в банковское хранилище).

Необходимо сразу отметить, что технология обнаружения атак, с одной стороны, еще очень незрела, а с другой — постоянно привлекает новых производителей и разработчиков, которые появляются как грибы после дождя. Только за 1999–2002 гг. возникло более 30 фирм, предлагающих свои услуги в этой области. А число коммерческих и свободно распространяемых средств обнаружения атак приблизилось к сотне. Вместе с тем, также быстро они и исчезают или поглощаются более мощными соперниками и конкурентами. Но, несмотря на недостаток теоретических основ технологии обнаружения атак, существуют достаточно эффективные методы, используемые сегодня.

Как и многие другие механизмы защиты, технология обнаружения атак должна решать несколько главных задач:

• Снижение нагрузки на персонал (или освобождение от нее), отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами информационной системы (ИС).
• «Понимание» зачастую непонятных источников информации об атаках (сетевого трафика, журналов регистрации, системных вызовов и т.д.).
• Предоставление возможности управления средствами защиты не экспертами в области безопасности.
• Контроль всех действий субъектов ИС (пользователей, программ, процессов и т.д.), в т.ч. и обладающих административными привилегиями.
• Распознавание известных и по возможности неизвестных атак и уязвимостей и предупреждение о них персонала, отвечающего за обеспечение информационной безопасности.

Можно видеть, что некоторые из этих задач могут быть решены встроенными в операционные системы или приложения механизмами. Например, контроль всех действий пользователей или программ в ОС Windows 2000 и Unix может быть осуществлен путем ручного анализа журналов регистрации EventLog и syslog соответственно. Однако процесс такого анализа достаточно трудоемок и требует выполнения большого числа рутинных операций, что в результате приводит к упущению из вида некоторых нарушений.

Как показал опрос «Computer Crime and Security Survey», проведенный в 2002 году Институтом компьютерной безопасности и ФБР, 60% опрошенных используют в своей сети средства обнаружения атак. По данным уже называемого отчета компании Ernst&Young число таких компаний равно 36%, а по данным отчета «Network Security Survey 2001» — 41%. При этом абсолютное большинство из опрошенных обнаруживало при помощи этих средств в своей сети злоумышленников. Согласно данным отчетам «люди стали меньше тратить времени на „ручной“ поиск свидетельств об атаке и теперь они могут реагировать на инциденты в реальном режиме времени. Инструментальные средства обнаружения атак облегчают этот процесс и позволяют отказаться от ручных операций, что существенно экономит время персонала безопасности». Это наблюдение важно для понимания, потому что в соответствии с проведенными опросами недостаток времени является одним из основных барьеров для повышения уровня защищенности корпоративных ресурсов.

Первый шаг в обеспечении защиты — это, конечно, не использование систем обнаружения атак в несвойственных им целях. Например, бессмысленно ставить такую систему, если доступ в корпоративную сеть из интернета не закрыт никаким другим защитным средством (межсетевым экраном и др.) и войти в сеть может любой желающий. Обнаружение атак — логическое дополнение существующих средств защиты, расширяющее их возможности по управлению безопасностью ИС.

Кроме того, технологии обнаружения атак позволяют контролировать эффективность других защитных систем, таких как межсетевые экраны, системы идентификации и аутентификации, системы разграничения доступа, средства построения виртуальных частных сетей, системы криптографической защиты информации и антивирусные системы. Все они выполняют существенно или критически важные функции по защите системы. Однако, играя такие жизненно важные роли, они являются и главными целями атак злоумышленников. Не менее опасным можно считать и тот факт, что эти системы создаются и эксплуатируются простыми смертными и, следовательно, также подвержены человеческим ошибкам, как и все остальные компоненты ИС. Вследствие нарушения конфигурации, полного выхода из строя или атаки, отказ любого из этих компонентов инфраструктуры защиты подвергает опасности защиту всех систем, которые они охраняют.

Однако если спросить специалистов, что же может делать система обнаружения атак, то в абсолютном большинстве случаев ответ будет следующим: «Как что? Обнаруживать атаки, например, Denial of Service». С одной стороны — это действительно так. Но с другой… Системы обнаружения атак перестали быть рядовым средством защиты. Теперь это современные многофункциональные комплексы, призванные решать большой спектр задач:

• Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
• Контроль «непропатченных» узлов сети или узлов с устаревшим программным обеспечением.
• Блокирование и контроль доступа к определенным узлам интернета. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, MAILsweeper или WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным интернет-ресурсам, например, к Web-серверам порнографического содержания. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т.д.
• Контроль электронной почты. Системы обнаружения атак могут использоваться для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылка резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.
• Резервирование функций межсетевых экранов. Очень часто злоумышленники выводят из строя межсетевые экраны с целью дальнейшего бесконтрольного проникновения в корпоративную сеть. Чтобы снизить вероятность такого проникновения можно использовать системы обнаружения атак, функционирующие на уровне сети, для временного резервирования функций межсетевого экрана. Системы указанного класса позволяют осуществить фильтрацию сетевого трафика по различным полям заголовка IP-пакета, что позволяет организовать достаточно мощный пакетный фильтр, мало чем уступающим возможностям настоящего межсетевого экрана. Кроме того, системы обнаружения атак могут использоваться для временного замещения межсетевого экрана во время регламентных работ по обновлению программного обеспечения МСЭ или тестирования его настроек.
• Контроль доступа к файлам. Для контроля доступа к файлам обычно применяются системы защиты информации от несанкционированного доступа, например, Secret Net. Однако, в некоторых случаях эти системы не могут быть использованы для контроля доступа к файлам, содержащим важную и критичную информацию (например, файлы паролей или базы данных). Связано это с тем, что многие из них не функционирует под управлением операционных систем семейства Unix и, в частности, ОС Solaris, Linux, HP UX и AIX. Эти системы идеально подходят для защиты платформы Windows и, иногда Netware, но становятся беспомощными для защиты Unix. На помощь приходят системы обнаружения атак, функционирующие на отдельных узлах (т.н. host-based IDS). При этом могут быть использованы как системы, анализирующие журналы регистрации, так и анализирующие системные вызовы.
• Анализ информационных потоков. Нередки ситуации, когда сотрудники отделов защиты информации и даже отделов телекоммуникаций не владеют достоверной информацией об используемых в защищаемых сегментах сети протоколах. С помощью систем обнаружения атак можно контролировать все используемые в сети протоколы и сервисы, а также частоту их использования, что позволяет построить схему информационных потоков в организации и карту сети, являющуюся залогом успешного создания инфраструктуры защиты информации в организации.
• Сбор доказательств и расследование инцидентов. Системы обнаружения атак могут и должны быть использованы для сбора доказательств несанкционированной деятельности за счет следующих возможностей:
  • запись событий, происходящих во время атаки, для дальнейшего анализа и исследований;
  • имитация несуществующих приложений с целью введения злоумышленника в заблуждение (т.н. режим обманной системы);
  • расширенный анализ журналов регистрации прикладных и системных приложений, серверов баз данных и Web-серверов и т.д.;
  • возможность исследования событий безопасности перед выполнением каких-либо действий;
  • получение DNS-, MAC-, NetBIOS- и IP-адресов компьютера злоумышленника.
• Построение карты сети. Очень часто некоторые IT-подразделения организации или их сотрудники получают неограниченную и неконтролируемую власть над информационной системой и ее компонентами, что приводит к появлению уязвимых мест в программно-аппаратном обеспечении, не устраняемых в течении долгого времени. Обычно это происходит из-за нехватки времени, врожденной лени или просто нежелания заниматься рутинной работой. Обиженные или недовольные администраторы IT-подразделений также могут несанкционированно и бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба своей организации или шантажа своего руководства с целью повышения по служебной лестнице или улучшения материального положения. Такие случаи нередки; особенно в российской практике, когда зарплата персонала, обслуживающего вычислительную технику, достаточно низка. Системы обнаружения атак являются эффективным, а зачастую единственным средством контроля сотрудников и подразделений, имеющих большую власть над информационной системой организации

С другими вариантами применения средств обнаружения атак можно познакомиться в наших статьях «IDS — это целая философия» и «Сканеры ищут не только дыры в сети».

Обнаружение атак требует выполнения одного из двух условий: или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. При создании систем обнаружения атак используются два основных подхода:

• Обнаружение аномального поведения, используя хорошо себя зарекомендовавший аппарат математической статистики. Данный подход используется, как правило, при обнаружении DoS-атак, использующих посылку большого числа трафика за короткий интервал времени и т.п. Также данный подход пытаются применять при контроле поведения пользователя в информационной системе. Типичные действия пользователя описываются в шаблоне, отклонения от которого и признаются аномалией, требующей вмешательства соответствующих служб.
• Обнаружение злоупотреблений, используя сигнатуры, описывающие последовательность байт или действий, характеризующих несанкционированную деятельность. Этот подход знаком всем по антивирусным системам, которые построены именно поэтому принципу.

Сейчас трудно выделить какой-то предпочтительный метод для использования его в системе обнаружения атак. Каждый из них имеет свою область применения; свои атаки, на обнаружение которых он рассчитан. Например, троянцы и черви проще всего обнаруживать, используя сигнатуры, а различные «штормы» — с помощью контроля статистики. Специалисты отмечают, что эти методы используются в современных системах обнаружения атак в соотношении 70/30 в пользу сигнатурного подхода.

Обнаруживать, блокировать и предотвращать нарушения политики безопасности можно несколькими путями. Первый, и самый распространенный способ — это распознавание уже реализуемых атак. То есть если вспомнить уже приведенные этапы реализации атак, то в соответствии с предложенной классификацией данный способ функционирует на втором этапе осуществления атаки. Этот способ применяется в «классических» системах обнаружения атак (например, RealSecure Network 10/100 или Cisco IDS 4200), межсетевых экранах (таких как Check Point Firewall-1\VPN-1), системах защиты информации от НСД (например, SecretNet) и т.п. Однако, «недостаток» средств данного класса в том, что атаки могут быть реализованы повторно. Они также повторно обнаруживаются и блокируются. И так далее, до бесконечности, что, само собой, разумеется, неэффективно, т.к. приводит к непозволительной трате временных, человеческих и материальных ресурсов. Было бы правильнее предотвращать атаки еще до их осуществления. Это и есть второй способ. Реализуется он путем поиска уязвимостей (то есть иными словами представляет собой обнаружение потенциальных атак), которые могут быть использованы для совершения атаки. И, наконец, третий путь, — выявление уже совершенных атак и предотвращение их повторения в дальнейшем. В силу сказанного, системы обнаружения нарушений политики безопасности могут быть классифицированы по этапам развития атаки, как описано ниже.

• Системы, функционирующие на первом этапе осуществления атак, позволяют обнаружить уязвимости информационной системы, используемые нарушителем. Иными словами это системы предупреждения атак. Иначе средства этой категории называются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners). Примером такой системы является Internet Scanner или Nessus.
• Системы, действующие на втором этапе осуществления атаки и позволяющие выявить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. Примером такой системы является RealSecure Network Sensor или Intruder Alert. Помимо этого, в последнее время выделились новые классы средств обнаружения атак — обманные системы (deception systems) и системы предотвращения атак (intrusion prevetion systems). В качестве примера таких систем можно назвать DTK и Okena StormWatch соответственно.
• Системы, «выходящие на сцену» на третьем этапе осуществления атаки и обнаруживающие уже совершенные атаки. Эти системы делятся на два класса — системы контроля целостности (integrity checkers), отслеживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации (log checkers). В качестве примера таких систем могут быть названы Tripwire или Logwatch.

Помимо приведенной, существует еще одна распространенная классификация систем обнаружения нарушения политики безопасности — по принципу реализации: host-based, т.е. обнаружение уязвимостей или атак, направленных на конкретный узел сети, и network-based, направленных на всю сеть или сегмент сети.

Сразу надо отметить, что данная классификация может вызвать споры. Некоторые специалисты считают неправильным причисление систем анализа защищенности к классу средств обнаружения атак, однако, если следовать описанным выше принципам классификации, то такое отнесение вполне логично. Аналогичная ситуация и с системами контроля целостности и анализа журналов регистрации. Эти системы помогают в обнаружении атак, «но на системы IDS совсем не похожи». Я не буду оспаривать этот факт, хочу только заметить, что, учитывая этапы реализации атак, приведенная мной классификация вполне закономерна.

Кроме того, до сих пор не выработана единая терминология в этой области. Каждый производитель, желая показать, что его система уникальная и превосходит другие решения, создает новый класс систем обнаружения атак. Так появились гибридные системы обнаружения атак (например, Prelude IDS), виртуальные системы обнаружения атак, многоуровневые системы (multitiered IDS), шлюзовые (gateway IDS), системы с контролем состояния (stateful IDS) и даже системы, основанные на спецификациях (specification-based IDS) или стеке (stack-based IDS) и т.д.

Учитывая растущий интерес к средствам обнаружения (а точнее блокирования) DoS-атак, я решил выделить эти средства в отдельную категорию, тем более что эти средства действительно отличаются от своих собратьев и многие специалисты даже считают, что они используют отдельный от сигнатурного и аномального подход к обнаружению атак. Главное их отличие — способность не только обнаружить, но и блокировать или хотя бы ослабить атаку. Многие из компаний, предлагающих эти решения, вышли на волне бума в 2000 году, связанного с DDoS-атаками. К таким компаниям могут быть отнесены Mazu Networks, Arbor Networks и т.д. Уже известные компании тоже осваивают этот перспективный рынок, — свои комплексы предотвращения атак есть у TopLayer Networks, Radware и ISS. Да и другие гранды безопасности не оставляют своим вниманием это направление. Например, в конце 2001 года подразделение McAfee компании Network Associates заключило соглашение с Mazu Networks, Asta Networks и Arbor Networks о совместных разработках новых методов обнаружения и предотвращения DDoS-атак. Быстро появившись на свет, некоторые из этих компаний также быстро его и покидают. Например, компания Asta Networks с 1 января 2003 года прекратила свой бизнес.

Самый простой способ блокирования атаки — это запретить прохождение трафика между двумя сетями. Однако такой запрет приведет к невозможности обращения к защищаемым устройствам. Т.е. устройство, предназначенное для защиты от DoS-атак, само будет являться средством, препятствующим нормальной работе Web-сервера, сервера приложений и т.п. Поэтому данный метод применим только к некоторым типам атак, — в-основном, построенным на базе протокола ICMP.

Второй способ блокирования DoS-атак — фильтрация трафика на основе IP-адресов злоумышленников. Данный способ самый эффективный из всех, но он «срабатывает» только в том случае, если вы абсолютно уверены, что IP-адрес в заголовке пакета, содержащего признаки атаки, принадлежит действительно злоумышленнику, а не подменяется им. Но так как отслеживание каждого уникального адреса — задача непростая, требующая серьезных вычислительных ресурсов, то некоторые производители поступают проще — они фильтрую трафик на основе диапазонов адресов. И хотя в этом случае вы можете заблокировать и авторизованных пользователей, находящихся в одном диапазоне со злоумышленником, данный способ «имеет право на жизнь».

Третий способ очень похож на спуск воды на плотинах, т.к. позволяет сдерживать поток трафика и время от времени пропускать небольшие его фрагменты в защищаемую сеть. И хотя в этой порции может находиться и враждебный трафик, его объем не позволяет вывести из строя защищаемые узлы. Этот метод очень эффективен против атаки SYN Flood и ей подобных.

Последний способ предотвращения нарушения работоспособности защищаемых узлов аналогичен тому, что используется классическими средствами обнаружения сетевых атак. Средство блокирования DoS-атак фильтрует трафик на основе заранее известных признаков атак (порт источника, TTL, идентификатор пакета и т.п.).

Т.к. данные средства направлены на ослабление или полное блокирование атаки, то, как правило, они выполняются в виде отдельного устройства, которое устанавливается между защищаемой и открытой сетями, что позволяет полностью контролировать весь сетевой трафик. Примером таких средств являются FireProof компании Radware или TrafficMaster Enforcer компании Mazu Networks. До придания этим средствам самостоятельного, они носили название «inline IDS». Надо отметить, что данные средства не всегда выполняются как самостоятельные устройства. Нередко данные механизмы встраиваются в сетевое оборудование, например, в балансировщики нагрузки. Так поступили компании Foundry Networks со своим продуктом ServerIron 400 и TopLayer Networks с AppSwitch 3500. Интересное решение поставляет компания Reactive Networks, которая создала на базе платформы Dell и ОС Linux систему FloodGuard. Однако данное устройство не само блокирует атаку, а использует для этого списки контроля доступа маршрутизаторов компании Cisco.

Работать эти системы могут не только на уровне сети, но и на уровне конкретного узла. В последнем случае предотвращение атаки осуществляется путем контроля всех системных вызовов. В случае обнаружения действий, несоответствующих заданной политике безопасности, они блокируются. По такому принципу действуют системы Okena StormWatch, купленная компанией Cisco Systems 24 января 2003 года, и Entercept, купленная компанией Network Associates 4 апреля 2003 года. И хотя на Западе это направление появилось совсем недавно, в России его знают уже не один год. Ведь практически все системы защиты информации от несанкционированного доступа (например, Secret Net или Dallas Lock), сертифицированные в Гостехкомиссии России, работают именно по этому принципу.

Алексей Викторович Лукацкий, руководитель отдела Internet-решений Научно-инженерного предприятия «Информзащита» (Москва). Автор книг «Обнаружение атак», «Атака из Internet» и «Protect Your Information with Intrusion Detection». Связаться с ним можно по тел. (095) 937–3385 или e-mail: luka@infosec.ru.

Вернуться на главную страницу обзора