Содержание к диссертации
Введение
1. Анализ применимости распределенных систем для обнаружения вторжений при комплексном подходе к обеспечению информационной безопасности 13
1.1. Методика адаїггивного управления безопасностью 13
1.2. Классификация систем обнаружения вторжений 16
1.2.1. Узловые системы обнаружения вторжений 17
1.2.2. Сетевые системы обнаружения вторжений ... 20
1.2.3. Выбор класса системы обнаружения вторжений 22
1.3. Типы сетевых систем обнаружения вторжений 25
1.3.1. Сетевые системы выявления злоупотреблений 25
1.3.2. Сетевые системы выявления аномалий 29
1.3.3. Выбор типа системы обнаружения вторжений 32
1.4. Современные распределенные системы , 34
1.4.1. Сравнительный анализ 34
1.4.2. Особенности метакомпьютерных распределенных систем 40
1.4.3. Механизмы обеспечения безопасности 43
1.5. Выводы 48
2, Разработка модели защищенной распределенной системы 50
2.1. Компоненты распределенной системы ,. 50
2.2. Модель нарушителя 51
2.3. Сервисы защиты распределенной системы 53
2.4. Формальное представление модели 57
2.5. Алгоритмы работы защищенной распределенной системы 60
2.5.1. Алгоритм взаимодействия клиента с сервером 60
2.5.2. Алгоритм работы сервера аутентификации 62
2.5.3. Алгоритм работы информационного сервера 63
2.6. Протоколы защищенной работы в распределенной среде „.64
2.7. Сценарий использования модели 75
2.8. Выводы 81
Глава 3. Синтез распределенной системы обнаружения вторжений 83
3.1. База данных сигнатур и файл обновлений S3
3.2. Компоненты распределенной системы обнаружения вторжений 86
3.2.1. Группы экспертов , 87
3.2.2. Корпоративные системы обнаружения вторжений 89
3.2.3. Сервер публикации 90
3.3. Защита распределенной системы обнаружения вторжений 91
3.3,1. Аутентификация 92
33.2. Авторизация 95
333. Аудит 99
33.4. Защита каналов связи 102
33.5. Обеспечение доступности серверов системы 105
3.4. Алгоритмическое обеспечение распределенной системы обнаружения вторжений 107
3.4.1. Взаимодействие эксперта с сервером публикаций 107
3.4.2. Взаимодействие корпоративной системы обнаружения вторжений с сервером публикаций 111
3.43. Обработка запросов сервером публикаций 117
3.5. Протоколы распределенной системы обнаружения вторжений 121
3.6. Формат файла обновлений 124
3.7. Выводы 127
Глава 4. Практическая реализация распределенной системы обнаружения вторжений 129
4.1. Структура системы обнаружения вторжений 129
4.2. Тестирование распределенной системы обнаружения вторжений 133
4.3. Рекомендации по практическому применению распределенной системы обнаружения вторжений 137
4.4. Оценка возможностей системы обнаружения вторжений 139
4.5. Выводы 151
Заключение 152
Список используемых сокращений...
- Классификация систем обнаружения вторжений
- Алгоритмы работы защищенной распределенной системы
- Корпоративные системы обнаружения вторжений
- Рекомендации по практическому применению распределенной системы обнаружения вторжений
Введение к работе
Интенсивное развитие Интернет, повсеместный переход на электронные формы хранения и передачи информации, активное внедрение в повседневную жизнь электронных форм платежей и многие другие факторы сегодняшней реальности повлияли на то, что безопасность сетей и сетевых сервисов стала действительно насущной проблемой практически всех организаций. В небольших организациях со слабо развитой информационной структурой эта проблема пока что малозаметна, и решается она установкой антивирусного пакета, который, как правило, редко обновляется, и/или попытками ограничения доступа к ресурсам. Но, как показывает практика, этого явно недостаточно. Часто высококлассные и практически не подверженные никакому «взлому» системы защиты информации рушатся или бездействуют из-за беспечности технического персонала. Так, например, как показывает статистика, большинство «взломов» серверов электронной коммерции происходит по причине недосмотра персоналом незначительных на первый взгляд ошибок, в результате которых конфиденциальные данные из баз данных сайтов становятся доступными каждому желающему без каких-либо особых усилий [1].
Согласно отчету ФБР [2, 3] наибольшие потери за 2003 и 2004 года были вызваны
атаками типа «отказ в обслуживании» (DoS), кражей конфиденциальной информации,
распространением вредоносного программного обеспечения (ПО) и
несанкционированным использованием сетевых ресурсов. Если с DoS-атаками бороться практически невозможно, так как не существует достаточно эффективных методик, не сказывающихся на доступности самого ресурса для законных пользователей, от всех остальных злоумышленных действий можно защититься путем применения совокупности организационных и технических мер.
Говорят, что имеет место атака, когда злоумышленник осуществляет в отношении какой-либо системы несанкционированные действия, используя ту или иную ее уязвимость [4]. Наличие уязвимости создает угрозу нарушения установленных правил работы с системой. Таким образом, угроза является потенциальной возможностью проведения атаки посредством реализации уязвимости. При этом сам процесс воздействия злоумышленника на систему называется вторжением [4].
Различают несколько видов вторжений в информационные системы [5]:
* Физическое вторжение. Злоумышленник имеет физический доступ к компьютеру (используется часть системы в непосредственном физическом контакте). Методы вторжения могут быть различными; от специальных привилегий при работе с консолью, до возможности использования части системы, к примеру, снятие винчестера для чтения/записи его на другой машине.
Системное вторжение. Этот вид вторжения предполагает, что злоумышленник уже имеет учетную запись в информационной системе или части ее. Если в системе не установлены самые последние пакеты обновлений защиты, то велика вероятность получения административных или иных несанкционированных дополнительных привилегий.
Удаленное вторжение. Злоумышленник пытается проникнуть в систему через сеть с удаленного узла или группы узлов, изначально действуя без каких-либо специальных привилегий. Существует множество типов подобной деятельности, которая заключается в особом воздействии на атакуемую систему программным образом по каналам связи, например, перехват или подмена сетевого трафика, использование уязвимостей ПО, подбор паролей, атака специальным образом сформированными пакетами и т.п. Особенность заключается в том, что при этом злоумышленник может находиться где угодно, и вычислить его в целях наказания без использования специальных средств просто невозможно.
Наиболее интересен как раз третий тип вторжений - удаленные, поскольку только они не накладывают принципиальных ограничении на изначальные знания пли действия злоумышленников и являются типичными для большинства систем.
Один из основополагающих факторов хорошего уровня безопасности - обнаружение и пресечение попыток несанкционированного доступа (НСД) в реальном масштабе времени. Как правило, з полном объеме это необходимо только очень крупным сетям, но создать хорошо защищенную сеть без средств, позволяющих обнаруживать и пресекать НСД, просто невозможно. Примером средства пресечения является межсетевой экран. Существуют различные его реализации, но цель их применения одна — снижение риска проникновения в отдельный персональный компьютер или сеть. Однако если в сети установлен межсетевой экран, то это еще не означает, что безопасность гарантирована. Например, он не способен защитить от пользователей, прошедших аутентификацию. Кроме того, межсетевой экран, контролируя границы сети, не только не предотвращает вторжения в нее через модемные пулы или другие точки удаленного доступа, но и принципиально не может обнаружить такого злоумышленника [6-9].
В отличие от классических методов построения обороны, когда средства защиты действуют по принципу обособленных барьеров, устанавливаемых на границе сети (например, фильтрующий маршрутизатор или межсетевой экран), комплексная защита, включающая, помимо межсетевых экранов, целый набор компонентов (сканеры защищенности, ' системы аутентификации и авторизадии5 средства построения виртуальных частных сетей и т.п.) оказывается более эффективной. Один из необходимых
элементов такой системы защиты информации — средства обнаружения вторжений. Обнаружение вторжений является процессом оценки подозрительных действий, которые происходят в контролируемой информационной системе.
Актуальность использования систем обнаружения вторжений подтверждается растущим интересом крупных: и мелких организаций к данному сегменту рынка. Во многих отношениях он находится сейчас на'той же стадии,.что и рынок межсетевых экранов несколько лет назад. Тогда далеко не всякая компания понимала важность наличия пограничного устройства фильтрации, и еще меньшее число позаботилось об их установке. По всей видимости, обнаружение вторжений следует тем же путем. Сегодня практически каждая организация имеет, по крайней мере, один межсетевой'экран для защиты своей сети. Однако при этом руководство и сотрудники этой организации могут практически ничего не знать о методах и средствах обнаружения вторжений. Тем не менее, это обстоятельство не помешало зарождению рынка [10];
Таким образом, обнаружение вторжений - один из ключевых компонентов комплексной системы защиты. Они позволяют увеличить безопасность сети, контролируя все входящие и исходящие потоки трафика, как внутри периметра защищаемой организации (отслеживая по разным оценкам от 70 до 80% нарушений, связанных с внутренними злоумышленниками [11, 12]), так и снаружи (выявляя попытки удаленных вторжений и собирая статистику неудачных проникновений). Кроме того, пожалуй, это один из немногих элементов системы защиты, в основе которого лежит динамический принцип работы, то есть возможность автоматического изменения логики; своего функционирования по некоторому внешнему событию — изменению политики обнаружения вторжений (тогда как другие средства, например, межсетевые экраны, системы аутентификации, более консервативны и требуют явного вмешательства администратора).
Однако анализ статистики нарушений приводит к выводу, что и этого недостаточно р]. Вне зависимости от того, какой класс СОВ используется для защиты (традиционно они делятся на два класса: сетевые и узловые) и какие принципы работы. СОВ соответствующего класса применяются для обнаружения подозрительных действий в сети (выявление аномалий или злоупотреблений) или на узле (анализ журналов прикладных программ, изменений в файловой системе или контроль системных вызовов), особенности вторжений злоумышленников не позволяют их своевременно обнаруживать и блокировать- Причина в том, что разработчики не успевают выпускать дополнения и изменения к своим средствам защиты. В отношении СОВ это выражается з несвоевременном выпуске пополнений БД признаков вторжений. Можно возразить, что
зачастую виновником оказывается даже не слишком медлительный разработчик, а сами администраторы, которые не успевают поддерживать системы в актуальном состоянии и своевременно устанавливать выпускаемые обновления. Но недавнее появление ряда угроз под названием «атаки с нулевым временем предупреждения» («zero-day attacks» [13]) снова ставит на первое место вопрос наискорейшего выпуска дополнений к БД признаков. вторжении с описаниями последних обнаруженных уязвимостей, которые злоумышленники и используют при проведении своих атак [14],
При этом в большинстве случаев негативных последствий можно было бы и избежать, если: бы администраторы своевременно- среагировали и выполнили рекомендации по защите от вновь обнаруженных уязвимостей. В этом деле накоплена огромная мировая статистика, которая позволяет сделать вывод, что зачастую информация о новой уязвимости известна задолго (за месяцы) до того, как произойдет реальное вторжение с ее использованием. Так, например, существует негласное правило, согласно которому, хакерская группа, обнаруживая новое некорректное поведение ПО, первым делом уведомляет об этом производителя продукта, давая ему возможность выпустить исправление («заплатку») и только спустя какое-то время распространяет полную информацию по уязвимости [15]. Хотя предоставление полной информации провоцирует атаки злоумышленников, осуждать подобные действия также трудно. Ведь, с одной стороны, разработчики объективно заинтересованы исключительно в повышении прибыли и снижении издержек, в частности связанных с задержкой выхода новых версий ^ создаваемого ими ПО, их тщательным тестированием и т.п. С другой стороны, если бы у разработчиков не было мотивации в повышении качества своих продуктов и скором их исправлении (например, из-за подобных публикаций о вновь обнаруженных уязвимостях), то вряд ли бы их пользователи были бы еще больше защищены.
Например, эпидемию червя W32.Blaster (или ), заразившего миллионы компьютеров по всему миру в августе 2003 года, молено было бы избежать еще в середине июля, когда в список рассылки о вновь обнаруженных уязвимостях пришло сообщение от польской хакерской группы Last Stage of Delirium [16], а впоследствии и от группы китайских хакеров Xfocus [17], где говорилось о новой критической уязвимости во всех последних версиях ОС Microsoft. Действия злоумышленников привели как. к непосредственным, так и опосредованным многомиллионным убыткам,.на многие часы вывели из строя многие компьютерные системы. Но от атаки можно было защититься еще 12 июля. Например, описанных последствий можно было бы избежать, если бы системы обнаружения вторжений, установленные в большинстве крупных компаний, своевременно получили информацию о необходимости пассивного или активного реагирования при
обнаружении подключений извне на порт ТСР/135, используемый сервисом RFC, или инициирования сессий по протоколу TFTP.
Аналогичный случай был и с нервен получившем название SQL Slammer, который заразил сотни тысяч машин в январе 2003 года [18-19]. Информация об уязвимости, связанной с переполнением буфера в сервисе MSSQLSERVER, в результате эксплуатации которой злоумышленник получал возможность запуска произвольных команд на машине-жертве, была известна в координационном центре CERT [20] еще в июле 2002 г. Практически сразу же Microsoft выпустила исправления для своего программного продукта. Однако по разным причинам, несмотря на наличие-подробного описания и «заплатки», закрывающей уязвимость, по тем или иным причинам многие машины остались незащищенными. Если бы в сети стояла активная или пассивная система обнаружения вторжений, вовремя отследившая попытки подключения извне на 1434 порт с использованием транспортного протокола UDP и рассылки специфичных сообщении размером 376 байт по произвольным LP-адресам, огромного ущерба можно было бы избежать.
Можно спорить о том, насколько два приведенных примера показательны и позволяют судить об актуальности защиты. используемого ПО и АО от атак-злоумышленников при помощи различных средств защиты в общем и систем обнаружения вторжений в частности. Однако, объективная реальность такова, что человеку свойственно ошибаться, а следовательно, все, что он создает, в том числе прикладное и системное программное обеспечение, будет содержать ошибки, которые можно использовать для совершения несанкционированных действий [21]. Поэтому атаки наподобие описанных W32.BIaster, SQL Slammer, а также известных и несколько-устаревших, но использующих тот же принцип, Code Red и Nimda [22], являются типичными и будут появляться в будущем. Поэтому актуальным является разработка общих подходов и систем, позволяющих от них защититься.
При этом на сегодняшний день разработки, связанные с обеспечением работоспособности СОВ, ведутся в основном в направлении создания систем централизованного управления и сбора событий, поскольку группы методов, используемых для выявления несанкционированных действий, считаются достаточно развитыми [23-33]- Многие крупные западные исследовательские институты и коммерческие организации также безуспешно пытаются найти подходы к оценке эффективности СОВ [30, 32, 34-35], причем работы по данной тематике можно найти и в России [36], Публикаций, посвященных развитию их принципов функционирования, как в России, так и на Западе фактически нет. Изредка только можно встретить пресс-релиз о выходе продукта, поддерживающего тот или иной способ обнаружения вторжений.
Таким образом, можно сделать вывод о недостаточной эффективности используемых в настоящее время СОВ, сложности и актуальности темы, обозначенной в заглавии работы. С большинством современных сетевых угроз можно было бы легко справиться, если бы существовала автоматизированная система обнаружения вторжений, динамически подстраивающая правила обнаружения вторжений под вновь обнаруживаемые уязвимости.
Целью данной работы является разработка методов и алгоритмов функционирования систем обнаружения вторжений на основе централизованного управления правилами защиты.
Объектом исследования являются системы обнаружения вторжений. Предметом исследования являются механизмы защиты информации, используемые в системах обнаружения вторжений.
В соответствии с поставленной целью диссертационной работе решаются следующие задачи:
анализ и систематизация существующих классификаций систем обнаружения вторжений, выявление недостатков традиционных СОВ;
сравнительный анализ ряда существующих распределенных систем и механизмов обеспечения безопасности, которые в них применяются;
построение модели защищенной распределенной системы;
разработка алгоритмов надежной двусторонней аутентификации участников информационного обмена в распределенной системе;
синтез распределенной СОВ;
разработка структуры, алгоритмического обеспечения, а также протоколов распределенной СОВ;
систематизация знаний в области оценки функциональных возможностей СОВ и предложение методики оденки распределенной СОВ.
Основными методами исследования, используемыми в работе, являются методы теории множеств, математической логики, криптографии, теории алгоритмов и исследования операций.
Научная новизна работы заключается в следующем: 1) с учетом принципов переносимости и способности к взаимодействию, характерных для открытых систем, разработана универсальная модель, позволяющая создавать защищенные распределенные системы, способные противостоять типичным угрозам удаленных, вторжений;
введена расширенная классификация компонентов распределенной системы, явно разделяющая функциональные возможности серверов по их способности аутентифицировать и обрабатывать запросы пользователей;
разработан протокол двусторонней аутентификации участников информационного. обмена с применением сертификатов посредников, обладающий масштабируемостью и гибкостью, сформулирована и доказана теорема о- его свойствах с использованием аппарата математической логики;
на основе модели защищенной распределенной системы разработана концепция распределенной СОВ с агентом автоматического обновленім, позволяющим получать актуальную информацию о последних уязвимостях ПО и АО;
с использованием существующих стандартов и рекомендаций разработаны алгоритмы и протоколы работы и формат файла обновлений распределенной СОВ, обеспечивающие оперативное реагирование на новые уязвимости ПО и АО;
Практическую ценность представляют протокол двусторонней аутентификации участников информационного взаимодействия на основе сертификатов посредников, учитывающий особенности работы в распределенной системе, алгоритмическое и протокольное обеспечение ее модели, предложенный подход к построению СОВ на базе модели распределенной системы, а также разработанные рекомендации по наиболее рациональному использованию СОВ.
На защиту выносятся следующие основные результаты работы:
набор классификационных признаков, позволяющих производить расширенную классификацию компонент распределенной системы;
модель защищенной распределенной системы в предположении о возможности активного вмешательства нарушителя в процесс ее функционирования;
протокол двусторонней аутентификации абонентов на основе сертификатов посредников, обеспечивающий гибкость и масштабируемость распределенной системы;
концепции структура и содержание алгоритмического обеспечения модели и определение возможностей ее применения к построению распределенной СОВ;
подход к оценке возможностей систем обнаружения вторжений на основе их архитектурных особенностей и логики работы.
Достоверность результатов подтверждается использованием в алгоритмическом обеспечении в качестве составных частей стандартных алгоритмов и протоколов, широко проверенных на практике, результатами опытных испытаний, а также математическими и логическими доказательствами основных утверждений, сформулированных в работе.
Использование результатов исследования. Основные результаты
диссертационного исследования используются в работе сектора информационной безопасности отдела сетевых проектов и технологий ЗАО «Техносервъ А/С». Результаты диссертационной работы также внедрены в учебный процесс на факультете "Информационная безопасность11 Московского инженерно-физического института (государственного университета) и в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности информации в вычислительных системах средних и крупных корпоративных структур.
Публикации и апробация работы.
По теме диссертации опубликована 21 печатная работа, в том числе 1 учебное пособие, 8 научных, статей, 4 конспекта лекций, 7 тезисов доклада и 1 книга (в соавторстве). Результаты работы докладывались на общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2003, 2004 и 2005 гг.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2005 г.), научно-практической конференции «Информационная безопасность - Юг России» (Таганрог, 2004 г), а также на международных конференциях INC704 (Великобритания, 2004 г.), IFIP 18 (Франция, 2004 г,) и ITA05 (Великобритания, 2005г.).
Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка использованных сокращений, списка использованных источников, включающего 179 наименований, а также двух приложений. Текст диссертации изложен на 175 страницах, включая 32 рисунка и 7 таблиц.
В первой главе систематизируются современные методы обеспечения безопасности информации, роли, принципы и функции систем обнаружения вторжений, существующие типы распределенных систем» их механизмы защиты и примешшость для обнаружения вторжений.
Во второй главе описывается новая модель защищенной распределенной системы, вводится расширенная классификация ее компонент, описывается модель типичного нарушителя установленных правил работы, предлагаются сервисы обеспечения безопасности для борьбы с возникающими угрозами. Разрабатывается алгоритмическое обеспечение и протоколы работы модели, доказывается теорема об их свойствах. Приводится сценарий использования модели, демонстрируется применимость алгоритмов и протоколов.
В третьей главе на основе модели защищенной распределенной системы предлагается распределенная система обнаружения вторжений, описываются ее отличительные особенности, корректируется алгоритмическое обеспечение модели п используемые протоколы для работы в составе распределенной- СОВ, Предлагается формат файла обновлений для описания вновь обнаруживаемых уязвимостей и вторжений на их основе,
В четвертой главе приводятся практические аспекты реализации распределенной системы обнаружения вторжений. Систематизируется информация об. оценке функциональных возможностей СОВ, даются рекомендации по оценке с точки зрения архитектурных особенностей СОВ и логики их работы. Описывается экспериментальный стенд, который по результатам испытаний позволил сделать вывод о более высоких эксплуатационных характеристиках распределенной СОВ с агентом автоматического обновления по сравнению с традиционными системами. Также приводятся рекомендации по практическому использованию СОВ в общем и распределенной СОВ в частности,
В заключении перечислены основные результаты работы.
В приложениях приведена схема XML файла обновлений распределенной СОВ и представлен скрипт обновления правил обнаружения вторжений распределенной СОВ.
Классификация систем обнаружения вторжений
В зависимости от класса системы сенсоры могут размещаться на устройствах, рабочих станциях, серверах, защищать какой-либо сегмент сета или всю сеть целиком [44]. Принцип их действия заключается в анализе различных событий в сети, таких как запуск прикладных программ, попытки доступа к данным, сетевых соединений и т.п. В случае выявления подозрительной активности какого-либо из подконтрольных объектов СОВ может, например, выслать предупреждение администратору безопасности или даже блокировать несанкционированную деятельность.
Множество СОВ обычно разделяют на две большие группы: системы контроля над отдельными устройствами (узловые системы обнаружения вторжений — УСОВ — Host-based IDS), а также системы контроля над сетью (сетевые системы обнаружения вторжений — ССОВ — Network-based IDS) [45], Классификационным признаком в данном случае служит не место установки СОВ, а объект, который система контролирует в процессе своей работы, УСОВ осуществляют мониторинг операционной и файловой систем, прЕгкладных программ, тогда как ССОВ проводят мониторинг сетевого трафика в реальном времени. Хотя названные классы систем позволяют полностью покрыть множество классификационных признаков, они не являются полностью непересекающимися, как будет показано в дальнейшем.
Каждый из классов СОВ имеет свои достоинства и недостатки» которые будут рассмотрены в соответствующих подразделах.
Узловые системы обнаружения вторжений УСОВ появились еще до того, как получили широкое распространение сетевые технологии. В SO-x годах типичное обнаружение вторжений на узлы состояло в анализе журналов аудита на предмет аномальной активности [23].
В отличие от сетевых систем, узловые по большей части фиксируют несанкционированную деятельность по факту ее успешной реализации злоумыш ленником. Однако не так давно появились так называемые системы предотвращения вторжений (Intrusion Prevention System), которые встраиваются в ядро операционной системы защищаемого узла и контролируют активность прикладных программ в режиме реального времени, блокируя ее в случае необходимости [27],
УСОВ имеют и другими преимущества. Например» они обладают более сильными средствами анализа (сбора доказательств), поскольку могут сообщить о факте вторжения и степени его серьезности; Кроме того, узел сети представляет собой лучшее место для противодействия направленным атакам. Также узловые системы способны, к примеру, предоставлять подробную информацию о том, какие процессы и прикладные программы обращаются к конкретным файлам или каталогам и когда пользователи начинают и завершают сеансы связи с защищаемым узлом/ Всего выделяют семь основных преимуществ УСОВ [28],
1. Мониторинг системных событий - узловые системы производят мониторинг акгивносги пользователей, позволяют узнать, кто обращался к файлам, изменял разрешений на доступ к ним, пытался установить новые программы или получить доступ к привилепфованным сервисам. Для сетевой системы обнаружения вторжений сложно получить такую же степень детализации событий. Кроме того, УСОВ могут осуществлять мониторинг задач, связанных с деятельностью администратора. Однако не менее важно и то, что они позволяют контролировать изменения политик аудита, влияющие на регистрируемые в системных журналах события. Наконец, узловые системы могут контролировать модификацию ключевых системных и исполняемых файлов.
2. Низкая стоимость самой СОВ — хотя сетевые системы обнаружения вторжений обеспечивают большое покрытие с малыми трудозатратами, они зачастую очень дорога. Развертывание одной системы может стоить более $10,000. С другой стороны, стоимость узловых систем обнаружения вторжений зачастую составляет сотни долларов (в расчете на одного агента), в результате их могут себе позволить организации, расходы которых ограничены. Для минимизации затрат сенсоры УСОВ обычно устанавливаются на наиболее критичных узлах сети:
3. Обнаружение атак, которые пропускают ССОВ - узловые системы могут обнаруживать вторжения, которые не регистрируются сетевыми средствами. Например, атаки на сервера, первопричиной которых является ввод команд с клавиатуры, не приводят к генерации сетевых пакетов, а следовательно, физически не могут быть обнаружены сетевыми системами.
4. Обнаружение и реагирование почти в режиме реального времени — хотя узловые системы обнаружения вторжении и не обладают настоящим быстродействием в режиме реалыюго времени, так как реагируют на уже случившиеся события, современные системы могут приблизиться к этому показателю. В отличие от ранних систем, которые регулярно проверяли статус и содержимое журнальных файлов через заданные промежутки времени, сегодня многие УСОВ используют технологию прерываний ОС. Хотя все еще остается небольшая задержка между регистрацией события ОС и распознаванием его СОВ, во многих случаях удается обнаружить и остановить злоумышленника перед тем, как он успеет нанести ущерб. Кроме TorOj уже упомянутый подкласс узловых систем под названием системы предотвращения вторжений (IPS), работающие па уровне ядра ОС, позволяют не только реагировать на действия нарушителя в режиме реального времени, но и блокировать все его действия, которые могут нанести ущерб защищаемому узлу.
5. Отсутствие требований дополнительного аппаратного обеспечения — ввиду того, что узловые системы устанавливаЕотся на уже имеющиеся файловые, Web-сервера и другие разделяемые ресурсы, никаких дополнительных устройств приобретать не надо, а следовательно, не надо и выполнять дополнительные административные задачи, заключающиеся в выделении адресов, конфигурировании и периодическом техническом обслуживании. Это делает УСОВ рентабельными.
6. Подтверждение успеха или неудачи вторжения — поскольку УСОВ часто используют журнальные файлы, регистрирующие события, которые имели место в прошлом, они могут служить индикаторами успешности проведения вторжения с большей точностью и меньшим количеством ложных срабатываний, нежели сетевые системы. В этом отношении узловые системы являются отличным дополнением к ССОВ, когда последние обеспечивают ранее предупреждение о подозрительной активности, а первые подтверждают, действительно ли имело место вторжение или нет.
Алгоритмы работы защищенной распределенной системы
В функции сервера аутентификаціш входит регистрация клиентов в сети путем выдачи им аутентификаторов.. Аутентификатор можно сравнить с билетом протокола Kerberos [119], Однако (как отмечалось в. разделе 1.4.3) если Kerberas использует симметричную криптографию для поддержания необходимых функций безопасности, в предлагаемой модели используются цифровые сертификаты формата Х.509, как наиболее гибкий и хорошо, мае штаб иру ем ый способ подтверждения личности субъекта взаимодействия. Сертификат применяется для регистрации самих серверов аутентификации в БД информационных серверов, чтобы они могли отслеживать корректность выдаваемых аутентификаторов, которые предъявляются клиентами при доступе к соответствующим сервисам. Кроме того, сам сервер аутентификации может использозать БД сертификатов для проверки личности пользователей при их регистрации в системе (в противном случае это может быть и обычный текстовый файл с паролями пользователей, хотя это менее безопасно).
В любом случае сервер аутентификации выдает сертификат посредника, подписанный сервером и идентифицирующий клиента. Более подробно данные, которые должны содержаться в этом сертификате, будут описаны далее (раздел 2,6).
В общем виде алгоритм работы сервера аутентификации представлен на рис. 2.5. Приведенный алгоритм выделяется использованием сертификатов посредников для подтверждения личности пользователей системы.
Таким образом, сервер аутентификации принимает подключение, убеждается, что общается с законным клиентом, и генерирует для него персональный сертификат посредника. Этот сертификат обладает ограниченным временем жизни, которое должно задаваться в настройках сервера. Это позволяет уменьшить нагрузку на сервер аутентификации, а также, избавить клиентов от необходимости постоянной перерегистрации в системе в случае необходимости обращения к группе серверов.
Помимо выдачи сертификата посредника сервер может также регистрировать успешные и/или неуспешные -обращения клиента к службе аутентификации с целью выявления атак на основе перебора пароля или просто отслеживания активности клиентов в системе.
Информационный сервер предоставляет сервисы для обслуживания запросов клиентов. В зависимости от реализуемой политики безопасности доступ к ресурсам может быть либо разрешен всем пользователям (в том числе и не прошедшим аутентификацию), либо разрешен определенной группе, обладающей заранее определенными
В общем случае в задачу информационного сервера входит обслуживание запросов аутентифицированных клиентов к своим сервисам. Для этого он проверяет предъявляемые ими аутентификаторы, которые должны быть получены от известных ему серверов аутентификации.
Если информационный сервер не опознает аутентификатор? выданный клиенту неизвестным, незарегистрированным в сети, а следовательно, потенциально ложным сервером аутентификации, или у клиента отсутствуют достаточные права на запрос сервиса, в доступе ему отказывается. При этом вне зависимости от успешности операции сервер регистрирует все обращения клиента в журнале.
В общем виде алгоритм работы информационного сервера представлен па рис. 2.6. Особенностью работы в предлагаемой конфигурации является использование сертификатов посредников, которые проверяются на корректность на основе отношений доверия между данным сервером и сервером аутентификации, выдавшим сертификат.
При описании алгоритмов были рассмотрены общие принципы взаимодействия субъектов и показаны последовательности операций, которых каждый из них придерживается. Теперь на основе этих данных необходимо составить протоколы и описать сообщения, которыми компоненты системы обмениваются друг с другом.
Далее необходимо показать корректность протокола. Для этого воспользуемся инструментом, позволяющим формально доказать, что информация, которой обмениваются участники протокола, дает им возможность сделать определенные выводы друг о друге и достичь желаемой цели при выполнении установленных требований и предположений. Применительно к протоколам аутеитификащш на основе симметричных криптоалгоритмов целью, как правило, является согласование общего секретного ключа; ,лр Для асимметричных криптосистем, которые используются в предлагаемой модели по обозначенным в разделе 1.4.3 причинам, в качестве цели разумно потребовать необходимость подтверждения подлинности своей личности каждым из участников протокола. В результате участники должны быть уверены в том, что абоненты, с которыми они в конкретный момент общаются, действительно обладают своими закрытыми ключами, соответствующими открытым ключам ш сертификатов посредников.
Инструментом, который позволяет показать корректность протокола аутентификации, является логика аутентификации (BAN-логика) [126], В настоящей работе используется ее расширенный вариант, который описан в [133].
В общем виде протоколы взаимодействия клиента с сервером аутентификации и последующего обмена данными с информационным сервером, которые объединены в один общий протокол состоящий из 7 шагов, выглядят следующим образом (рис. 2.7). Его особенностью является.использование независимых субъектов для аутентификации и обслуживания запросов клиентов и применение сертификатов посредников, что облегчает масштабирование системы, обеспечивает гибкость конфигурации и увеличивает стойкость к DoS-атакам за счет распределения нагрузки.
Корпоративные системы обнаружения вторжений
Вторым компонентом распределенной СОВ будут непосредственно СОВ, установленные в корпоративных сетях или у рядовых пользователей и осуществляюшие круглосуточный мониторинг происходящих событий. Как отмечалось в главе 1, одной из ключевых составляющих современной СОВ, непосредственно влияющей па ее эффективность, помимо поддержки и своевременного использования разнообразных методик анализа подозрительных действий, является наличие актуальной БД сигнатур. Чем большее количество описаний уязвимостей в БД содержится, тем лучше может система обнаруживать атаки злоумышленников и защищать ресурсы корпоративной сети.
Основная проблема заключается в естественной инерционности производителей систем, выпускающих регулярные обновления. По сути, им приходится проделывать двойную работу: сначала уязвимость обнаруживают эксперты в области информационной безопасности, публикуют информацию о ней в списках рассылки, эти данные анализируют специалисты-разработчики СОВ и на их основе создают новую сигнатуру, тестируют ее и выпускают обновление для пользователей,
В случае развертывания распределенной СОВ снимается проблема быстрой разработки небольших файлов обновлений для новых уязвимостей. Поскольку эта икформация будет доступна на центральном сервере публикации, компонент обновления, интегрированный в состав СОВ, всегда сможет ее получить путем использования PULL-методики в удобный ему момент времени (например, когда минимальна загрузка каналов связи).
Кроме того, сами злоумышленники , создающие вредоносное ПО, которое впоследствии используется для организации вторжений, редко сами что-то самостоятельно исследуют (их называют «script kiddies» [147]), но даже если и исследуют и обнаруживают ноную недоработку какого-то продукта, все равно из морально-этических или тщеславных соображений публикуют эту информацию. Дезинформация в этих кругах случается редко, поскольку все вновь появляющиеся сведения по нескольку раз перепроверяются. Более того, если даже будет создана временная сигнатура, обнаруживающая «несуществующую» атаку, много вреда она не принесет. А с выходом очередного «гарантированно проверенного» обновления производителя СОВ все снова встанет на свои места.
Как бы то ни было, создание «червя» или вируса происходит на основе уже публично доступных (или ограниченно доступных) данных, когда, по крайней мере, известно описание уязвимости. Создание файла обновлений с новой сигнатурой для этой вредоносной программы при наличии готового описания не составляет большого труда. В результате корпоративная СОВ оказывается своевременно обновленной и способной, в зависимости от свои к возможностей, либо акти ш о блокировать, либо пассивно предупреждать администратора обо всех вторжениях на подконтрольный ей сегмент сети.
Таким образом получается, что агент обновления способен минимизировать временные затраты на загрузку и подключение, новых сигнатур (эти этапы будут проходить в автоматическом режиме) — величины D и М в формуле раздела 3.1, Более того, путем создании сервера публикации и централизованною хранения на пем информации о новых уяэвимостях, сокращается и время получения новой информации о недоработках ПО или АО-/там же. В результате СОВ быстрее реагирует на изменения и лучше способна обнаруживать атаки злоумышленников.
Как и группы экспертов, СОВ с интегрированными агентами автоматического обновления попадают в класс клиентов распределенных систем в соответствии с общей классификацией, используемой в разделе 2.1.
Третьим важным компонентом распределенной СОВ, непосредственно влияющим на ее эффективность, является сервер публикации. Он не обязательно должен быть один: для повышения отказоустойчивости и обеспечения возможности балансировки нагрузки можно установить несколько серверов публикации, переключение между которыми для клиентов будет происходить незаметно за счет сервиса именования, служащего промежуточным слоем и абстрагирующим клиента от данных о фактическом местоположении интересующего его ресурса. Можно также создать иерархию серверов, когда подчиненные обслуживают запросы клиентов, снижая нагрузку на корневой, и одновременно реплицируют свою информацию на него для поддержания актуальности информации в рамках всей системы.
В любом случае, с каким-то одним из серверов публикаций взаимодействуют группы экспертов и корпоративные СОВ для выгрузки и загрузки файлов обновлении соответственно.
Сервер публикации поддерживает базу данных файлов обновлений с описаниями обнаруженных уязвимостей программного и аппаратного обеспечения. Эти файлы публикуются экспертами и загружаются компонентами обновления, входящими в состав корі юр ати иных СОВ. Таким образом, по яынолнмемым функциям сервер обновлений принадлежит классу «информационных серверов» (раздел 2.1).
К серверу предъявляются повышенные требования по обеспечению защиты хранимой информации. Поскольку она фактически представляет собой описание известных уязвимостей, способы обнаружения попыток использования этих уязвимостей, а также рекомендации но предпочтительным вариантам реагирования на попытки вторжений с использованием этих уязвимостей (более подробно формат файла обповлений описывается в разделе 3.6), то компрометация этой информации может нанести существенный ущерб множеству организаций, не успевших вовремя.установить все пакеты обновлений или вручную обновить поштикусбнаружшиявгортшйт
Так, сервер публикации, используя механизмы обеспечения безопасности, которые в общих чертах обсуждались в главе 2, должен обеспечивать аутентификацию пользователей, подключающихся к нему, с четким разделением их на две категории: эксперты, которые могут информацию обновлять, if пользователи (агенты обновления), которые могут ее только просматривать (то есть читать и загружать для обновления подчиненных СОВ). Соответственно ш результатам аутентификации на основании локальной политики безопасности разным группам должны назначаться разные права. Наконец, для гарантированной защиты от атак наосновс прослушивания канала связи (например, атака «человек посередине») необходимо использовать специальные методы защиты информационного обмена, гарантирующие обеспечение конфиденциальности и/или целостности передаваемых данных. Рассмотрим сервисы обеспечения безопасности для распределенной СОВ более подробно с учетом описанной специфики работы.
Рекомендации по практическому применению распределенной системы обнаружения вторжений
Практическое применение описанной распределенной СОВ не Офаничивается только возможностями контроля входящих (относительно нитрасети организации) потоков трафика, когда в них отслеживается появление подозрительных сигнатур новых вирусов, «троянских коней», другого вредоносного ПО, попыток сканирования внутренних ресурсов злоумышленниками, организации DoS-атак пли использования уязвимостей ПО и АО. Система может применяться и для отслеживания внутренних нарушений, например, вовремя предупреждая администратора об утечке конфиденциальной информации, когда недобросовестный сотрудник отправляет корпоративные данные конкурентам в письме электронной почты или для контроля соблюдения политики использования сетевых ресурсов {или доступа в Интернет) [174]. Единственное, что необходимо для реализации этого сценария - это локальная установка центрального сервера обновлений и соответствующая модификация записей в службе именования ресурсов, перенаправляющих агентов обновления СОВ па локальный, а не глобальный, сетевой каталог. Столь малые требуемые изменения в системе подтверждают ее гибкость и масштабируемость.
Стоит также отметить, что подобные модификации необходимы лишь в том случае, если администратору системы потребуется описать сигнатуры некорректного поведения пользователей с указанием конфиденциальных данных, которые ими могут передаваться и которые соответственно не должны стать достоянием общественности. Безусловно, подобной защиты можно добиться и на центральном, общедоступном, сервере, обновлений, расположенном и Игггернет за счет реализации более строгих механизмов контроля доступа. Однако главным образом по идеологическим соображениям редкий руководитель согласиться предоставить важную информацию лицу, которого он лично не знает или над которым он не имеет непосредственного контроля (даже если заключено соответствующее соглашение о неразглашении сведений) - гораздо спокойнее держать все непосредственно в зоне своей ответственности- Поэтому для критичных вариантов установки, когда важен непосредственный контроль над содержимым БД сервера обновлений, он может быть расположен локально, тогда как во всех остальных случаях для минимизации затрат и лучшей масштабируемости доступ с соблюдением всех мер зашиты будет осуществляться к центральному ресурсу, расположенному в Интернет.
Использование центрального универсального хранилища сигнатур позволит также производить быстрый и прозрачных переход с СОВ одного производителя на другую. Например, решение фирмы ISS RealSecure популярно благодаря большому количеству так называемых «сигнатур аудита», позволяющих отслеживать различные аспекты сетевой активности пользователей. Недостатками же RealSecure принято считать невысокую производительность и небольшое количество сигнатур. Поэтому иногда возникает необходимость замены СОВ ISS на СОВ другого производителя. Однако, поскольку каждый из них поддерживает свой собственный формат БД сигнатур, перенос вышеназванных сигнатур аудита» становится проблематичным. Если бы, например, TSS и другие организации поддерживали алгоритмы доступа к глобальному каталогу (раздел 3.4) и универсальный формат описания сигнатур (раздел 3.6), процесс миграции сводился бы к простой регистрации нового агента обновления на сервере публикации и прописывании параметров последнего в сервисе именования (службе DNS).
Еще одно применение предлагаемой распределенной СОВ, состоящей из нескольких взаимосвязанных компонент, заключается в возможности быстрого сравнительного тестирования группы ССОВ. Например, при проведении анализа способности систем различных производителей противостоять разного рода вторжениям возникает, по крайней мере, две сложно решаемых в настоящий момент на практике задачи: 1) адаптации одной и той же сигнатуры под особенности конкретных СОВ? проходящих тестирование; 2) оценка адекватности генерируемых СОВ предупреждений.
Первая задача осложняется еще и тем, что при написании специфичных для каждой СОВ сигнатур увеличивается вероятность совершения ошибки или неточного отражения характеристик конкретного вторжения. В этом отношении составление единого унифицированного описания не только снижает риск возникновения ошибки, но и упрощает саму процедуру тестирования. Становится возможным уделять больше внимания существу теста, а не специфическим особенностям языка описания сигнатур конкретного решения.
Вторая задача заключается в оценке того, насколько количество и тип генерируемых СОВ предупреждений отражает существо проводимого тестового вторжения. После этого становится возможным сделать предположения о количестве ложных положительных (и отрицательных) срабатываний и выделить такую важную характеристику СОВ, как отношения количества значимых (действительно важных) предупреждений к общему количеству (спсрируемых на консоль СОВ предупреждений (эта величина несколько отличается от вероятности обнаружения, рассматриваемой ниже, т.к. учитываются не все срабатывания СОВ).