Архитектура систем обнаружения атак

Все системы обнаружения атак можно разделить, на две категории — автономные и клиент-серверные системы. Первые выполняют сбор информации, ее анализ и реагирование на одном компьютере. Системы второй категории строятся по иному принципу. В наиболее критичных точках корпо­ративной сети устанавливаются агенты системы обнаружения атак (модули слежения, сенсоры), которые отвечают за выявление атак и реагирование на них. Все управление осуществляется с центральной консоли, на которую также передаются все сигналы тревоги.

Архитектура системы обнаружения атак достаточно проста ипоказана на рис. 6.13. Она включает 7 модулей, каждый из которых отвечает за выполнение своей задачи. Модуль работы с источником информации отвечает завзаимодействие с журналом регистрации, сетевой картой или ядром ОС для получения данных, на основе которых делается вывод о наличии или отсут­ствии атаки. Второй модуль служит для управления всеми компонентами системы обнаружения атак и обеспечения "общения" между ними.

Хранилище данных является обычным журналом регистрации, в котором содержится вся информация о зафиксированных атаках и подозрительных событиях. Этот журнал регистрации может иметь формат обычного тексто­вого файла (как, например, в системе Snort) или размещаться в базе данных. База данных может быть как локальной (например, MS Access в системе Re­alSecure или eTrust IDS), так и клиент-серверной (как Oracle в системе Cisco Secure IDS или RealSecure). База знаний содержит информацию, на основа­нии которой принимается решение о том, зафиксирована ли атака в записях выбранного источника или нет. В зависимости от используемых методов анализа эта база знаний может хранить сигнатуры атак или профили поль­зователей и т. д. Сопоставление правил базы знаний с записями выбранного источника информации выполняет модуль обнаружения атак, который на основании полученного результата может отдавать команды модулю реаги­рования. Графический интерфейс облекает всю работу системы обнаруже­ния атак в удобную для администратора форму. При помощи графического интерфейса осуществляется как управление, так и сбор информации от всех компонентов системы обнаружения атак. В некоторых системах обнаружения атак (особенно реализованных в ОС Unix) графический интерфейс отсутствует (например, в системе Snort). В том случае, если система обнаружения атак построена как автономный агент, то все указанные модули находятся на одном компьютере. А если система разработана с учетом архитектуры "клиент-сервер", то в ней выделяется два основных уровня: сенсор (sensor), также называемый агентом (agent) или модулем слежения, и консоль (console). Сенсор отвечает за обнаружение и реагирование на атаки, а также за передачу сведений об обнаруженных несанкционированных действиях на консоль управления (рис. 6.14).

Сенсор обычно запускается на компьютере как сервис или демон и работает круглосуточно. Поскольку оповещение об атаках передается сенсором на консоль, то модуль графического интерфейса, отображающий эти данные на сенсоре отсутствует.

Консоль предназначена для управления сенсорами и сбора информации всех сенсоров, подключенных к ней (рис. 6.15).

Обычно одна консоль может координировать неограниченное число сенсоров, также как и сенсор может посылать информацию сразу на несколько консолей, реализуя тем самым резервирование консолей. По такому принципу построены системы RealSecure и Cisco Secure IDS (рис. 6.16).

Для того чтобы две консоли одновременно не смогли изменять настройки удаленного сенсора, одной из них присваивается специальный статус (в тер­минах компании ISS — Master Controller). Только консоли, имеющая ука­занный статус, предоставлено право на изменение конфигурации сенсоров и выполнение над ними других операций. В основе данного механизма лежат принципы, похожие на заложенные в межсетевой экран Check Point Firewall-1, согласно которым в один момент времени только один админи­стратор может подключиться к межсетевому экрану с правами Read/Write.Все остальные администраторы работают исключительно в режиме Read.

В хранилище данных содержится информация, полученная от всех сенсоров. Можно заметить, что на консоли отсутствуют модули, отвечающие за получе­ние данных из источников информации, их анализ и реагирование на атаки. Все перечисленные функции возложены на сенсоры. Сделано это с той це­лью, чтобы в случае выхода из строя консоли или канала связи между консо­лью и сенсором функционирование последних никак бы не нарушалось. В этом случае сенсоры продолжают работать в автономном режиме, по-прежнему обнаруживая атаки и реагируя на них. Как только соединение с консолью восстанавливается, сенсоры посылают ей всю накопленную инфор­мацию. Однако этот очевидный факт понимается далеко не всеми разработ­чиками средств обнаружения атак. Например, одна из известных автору оте­чественных систем построена по совершенно другому принципу. Сенсоры этой системы обнаружения атак выполняют только сбор данных из журналов регистрации или из сети. Вся остальная обработка осуществляется на консоли (рис. 6.17). К чему это может привести — объяснять не надо. В случае выходи из строя консоли или нарушения взаимодействия между нею и удаленными сенсорами последние превращаются в бесполезные программы, которые на­ходятся в памяти, собирают информацию, но ничего с ней сделать не мо­гут, т. к. вся обработка централизована на консоли. Мало того. В случае вос­становления соединения с консолью на нее поступает накопленный огром­ный объем информации со всех сенсоров. Кроме перегрузки сети это может привести к повторному нарушению функционирования консоли из-за невоз­можности "переварить" такие объемы данных. И так до бесконечности...

Классическая двухуровневая схема "сенсор-консоль" (см. рис. 6.16) ориентирована на небольшое (до нескольких десятков) число сенсоров, подключенных к одной консоли. Такая схема идеальна для удаленных филиалов офисов, в которых управление безопасностью осуществляется самостоятельно, собственными силами филиала, или для небольших и средних компаний только с централизованным управлением всеми сенсорами. Развивая эту модель, компания Cisco предложила новый подход, который существенно развил интеграцию централизованного и децентрализованного управления сенсора системы обнаружения атак. Особенно хорошо данная схема проявляется компаниях с иерархической структурой службы защиты информации, в которой по определению существует центральный аппарат, осуществляющий разработку единой политики информационной безопасности и контроль нижестоящих служб, расположенных во всех удаленных филиалах.

Конфигурация, предложенная компанией Cisco, показана на рис. 6.18.

Как только происходит обнаружение атаки, информация о ней немедленно передается на консоль управления филиала. В этом вариант компании Cisco мало чем отличается от классической двухуровневой модели управления. Помимо консоли, установленной в филиале, оповещение об особо опасных атаках (и любых других, согласно предписаниям администратора) поступает на главную консоль, расположенную в центральном аппарате службы защи­ты информации.

Существует и еще одна схема, описываемая формулой "сенсор - сервер управления - консоль администратора" (рис. 6.19). В данном случае сенсор посылает информацию об атаках не на консоль администратора, а на специальный сер­вер управления, к которому и подключается администратор безопасности. В качестве консоли администратора может выступать любой не мощный ком­пьютер. Достоинство такой схемы в том, что все сведения о политиках безо­пасности, загружаемых на сенсоры, событиях, зафиксированных сенсорами, и другая информация хранятся на сервере управления, а не на консоли админи­стратора. Соответственно, в качестве сервера управления выбирается мощный компьютер с функциями резервирования, вероятность выхода из строя кото­рого намного ниже, чем обычного сервера или рабочей станции. По такой схеме функционирует система обнаружения атак NetProwler.