Независимость от операционных систем, используемых в организации

Системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, т.к. они оперируют сетевым трафиком, которым обмениваются все узлы этой сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он соответствует стандартам, поддерживаемым системой обнаружения. Например, в сети могут работать ОС: Windows 98, Windows NT, Windows 2000, NetWare, Linux, MacOS, Solaris и т. д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны — это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже межсетевые экраны построенные по технологии "stateful inspection", не позволяют с уверенно­стью заявить, присутствует ли атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу или нет. Межсете­вые экраны, как и любые другие системы, имеют свою область применения, свои достоинства и свои недостатки [Лукацкий 7-99].

Пусть МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80-м порте (то есть HTTP-трафик). Таким образом, лю­бой трафик через 80-й порт "законен" с точки зрения МСЭ. С другой сторо­ны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, — с сетевым трафиком, они выполняют допол­няющие друг друга функции. Например, HTTP-запрос get /.,,/. ./.,/eto/passwd нттр/1.0 вероятнее всего характеризует несанкционированный доступ к файлу паролей, а http://www.domain.ru/asp. — использование известной уязвимости в MS IIS. Практически любой МСЭ разреша­ет прохождение данного запроса и использование указанного URL через себя. Однако система обнаружения атак легко распознает эту атаку и блоки­рует ее.

Наиболее распространенный вопрос, — каким образом система обнаружения атак дополняет МСЭ? Один способ ответить на него заключается в том, чтобы предоставить классификацию нарушений защиты по источнику атаки, независимо от того, исходят они с внешней или с внутренней стороны сети организации. МСЭ действуют в качестве барьера между корпоративны­ми (внутренними) сетями и внешним миром (например, сетью Internet) и фильтруют входящий трафик согласно установленной политики безопасно­сти. Как уже демонстрировалось в главе 1, межсетевые экраны не могут об­наруживать внутренние атаки, а также внешние атаки, реализуемые в обход межсетевых экранов или использующие уязвимости конфигурации МСЭ. Системам обнаружения атак безразлично, откуда исходят атаки — снаружи или изнутри. Они одинаково эффективно функционируют в обоих случаях. Можно провести следующую аналогию. Межсетевой экран — это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, зло­умышленник может пронести через проходную взрывное устройство или пистолет. Мало того. Злоумышленник может просто залезть к вам через окно. Именно поэтому и нужны системы обнаружения атак, которые уси­ливают защиту, обеспечиваемую межсетевыми экранами. Они являются пусть и необходимым, но явно недостаточным элементом сетевой безо­пасности.

Это только некоторые преимущества совместного применения систем обнаружения атак и межсетевых экранов:

q двойная проверка неправильно сконфигурированного МСЭ (в случае установки сетевых сенсоров до и после МСЭ);

q обнаружение атак, на "законных" основаниях проходящих через МСЭ (например, атаки против Web-сервера или враждебные апплеты);

q обнаружение внутренних злоумышленников.

Обманные системы

Обычно, когда речь заходит об обмане в области информационной безопасности, сразу вспоминаются попытки злоумышленников использовать те или иные скрытые лазейки для обхода задействуемых средств защиты. Будь то продажа паролей и работа от имени авторизованного пользователя или несанкционированное использование модемов. Однако обман может сослужить хорошую службу не только для злоумышленников, но и для защитников корпоративных ресурсов. Сразу необходимо отметить, что обман очень редко используется в качестве защитного механизма. Обычно, когда речь заходит о средствах защиты, на ум сразу приходят современнейшие межсетевые экраны, блокирующие любые попытки проникновения хакеров. Или если обратиться к фантастической литературе, первым делом представляются системы с искусственным интеллектом, которые "адаптируются" к условиям злоумышленников и противопоставляют им адекватные защитные. Такие системы описаны в "Лабиринте отражений" Сергея Лукьяненко и "Neuromancer" Уильяма Гибсона. Но "не межсетевым экраном единым живы". Если вы стремитесь к более мощной защите, то придется обратить свое внимание и на другие "нестандартные" защитные механизмы. Это частично собьет с толку злоумышленников и нарушителей, привыкших к широко разрекламированным средствам обеспечения информационной безопасности [Лукацкий 2-00].

Существует множество различных вариантов использования обмана в благих намерениях. Вкратце перечислю некоторые механизмы обмана, основываясь на классификации Даннигана (Dunnigan) и Ноуфи (Nofi) [Cohen l-98]:

q Сокрытие

q Камуфляж

q Дезинформация

В той или иной мере эти механизмы находят применение в практике работы, систем безопасности. Однако, как правило, эти механизмы задействуются не для информационной, а для иных областей обеспечения безопасности (физической, экономической и т. д.).

В сфере защиты информации наибольшее распространение получил первый метод — сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сете­вой топологии при помощи межсетевого экрана. Примером "камуфляжа" можно также служить использование Unix-подобного графического интер­фейса в системе, функционирующей под управлением операционной систе­мы Windows NT, Если злоумышленник наткнется на такой интерфейс, то можно быть уверенным, что он будет пытаться реализовать атаки, характер­ные для ОС Unix, а не для ОС Windows NT. Это существенно увеличит вре­мя, необходимое для "успешной" реализации атаки. Во многих американских фильмах о хакерах последние, атакуя военные сис­темы Пентагона, мгновенно определяли тип, программного обеспечения во­енной системы, лишь мельком взглянув на приглашение ввести имя и пароль. И это не преувеличение. Как правило, каждая операционная система обладает присущим только ей способом идентификации пользователя, отли­чающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение; текстом самого приглашения, местом его расположения и т.д. Камуфляж позволяет защититься именно от такого рода атак. И, наконец, в качестве примера дезинформации можно назвать использова­ние заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система уязвима. Например, если в сети используется почто­вая программа sendmail версии 8.9.3, а возвращаемый ею заголовок утвер­ждает обратное, то нарушитель потратит много времени и ресурсов, чтобы попытаться эксплуатировать уязвимости, присущие ранним версиям sendmail (до 8.9.3).

Рассмотрим только 2 и 3 классы обманных методов, как менее распростра­ненные и наиболее интересные, Работа систем, их реализующих, заключает­ся в том, что эти системы эмулируют те или иные известные уязвимости, которых в реальности в защищаемых объектах не существует. Использова­ние средств, реализующих камуфляж и дезинформацию (deception systems), как правило, имеет эффект наподобие описанного ниже.

q Увеличение числа выполняемых нарушителем операций и действий. По­скольку заранее определить, является ли обнаруженная нарушителем уязвимость истинной или нет, нельзя, злоумышленнику приходится тратить много дополнительных усилий, чтобы выяснить это. И даже дополни­тельные действия не всегда помогают в этом. Например, попытка запус­тить программу подбора паролей (такую как Crack для Unix или LOphtCrack для Windows) на сфальсифицированный и несуществующий в_: реальности файл, приведет к бесполезной трате времени без какого-либо видимого результата. Нападающий будет думать, что он не смог подоб­рать пароли, в то время как на самом деле программа "взлома" была про­сто обманута.

q Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры, например, сообщить об атаке в судебные инстанции.

Обычно в информационной системе задействуются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и др. Если обманные системы эмулируют использование еще 100 и более портов, то работа нападающего увеличивается во сто крат. Теперь злоумышленник обнаружит не 5—10, а 100 с лишним открытых портов. При этом мало найти открытый порт, надо еще попытаться взять под контроль уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т. д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под дамокловым мечом, опасаясь своего обнаружения.

Есть и другая особенность, присущая обманным системам. По умолчанию обращение ко всем неиспользуемым портам игнорируется. Тем самым попытки сканирования портов могут быть пропущены активными защитными средствами. В случае же привлечения обманных систем все эти действия будут сразу же обнаружены при первой попытке обращения к ним.

С помощью обманных систем злоумышленников бьют их же оружием и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите. Включение в систему безопасности обманных систем — это достаточно интересный и при правильном применении — эффективный метод обеспечения информационно безопасности. Однако для большей эффективности можно порекомендовать использовать связку защитных средств "обманные системы — системы обнаружения атак", которая позволит не только обнаружить нападающего сразу же после первой попытки атаки, но и заманить его при помощи обманной системы, и тем самым дать время администраторам безопасности на обнаружение злоумышленника и принятие соответствующих мер.

Существует два класса обманных систем. Первые эмулируют некоторые сервисы или уязвимости только на том компьютере, на котором они запущены. Примером такой системы является Decoy-режим RealSecure OS Sensor, WinDog-DTK или система The Deception Toolkit (DTK). Второй класс систем эмулирует не отдельные сервисы, а сразу целые компьютеры и даже сегменты, содержащие виртуальные узлы, функционирующие под управлением разных ОС. Пример такой системы — CyberCop Sting.

Но не стоит забывать, что обманные системы — это не панацея от всех бед. Они помогают в случае простых нападений, осуществляемых начинающими или неопытными злоумышленниками. Если атаки осуществляются квалифи­цированными и опытными нарушителями, обманные системы теряют свою эффективность. Предварительный анализ трафика позволяет злоумышленнику понять, какие из обнаруженных портов фиктивные. Моделирование атак на стенде и сравнивание результатов с тем, что выдается в реальной атакуемой системе, также позволяет обнаружить использование обманных средств. Мало того, неправильная конфигурация обманной системы приведет к тому, чтозлоумышленник сможет обнаружить факт слежки за ним и прекратит свою несанкционированную деятельность. Однако число действительно квалифи­цированных злоумышленников не так велико, и поэтому использование, об­манных средств может помочь в большинстве случаев.

The Deception Toolkit

Набор инструментальных обманных средств (The Deception Toolkit, DTK) является первым решением, преследующим цель обмана злоумышленников, пытающихся проникнуть в сеть организации. Данное средство разработано Фредом Коэном (Fred Cohen), чтобы ввести в заблуждение автоматизиро­ванные средства анализа защищенности путем создания ложных уязвимо­стей. Создаваемые сканерами безопасности отчеты не смогут помочь зло­умышленнику определить, какие из обнаруженных уязвимостей являются реальными, а какие нет. Тем самым взломщику придется тратить время и ресурсы на проверку всех обнаруженных уязвимостей, что позволит свое­временно обнаружить такие попытки и противопоставить им эффективные средства защиты и, возможно, обнаружить злоумышленника [Лукацкий 2-00].

DTK может быть легко настроен под различные требования пользователей, но обычно это программирование ограничивается созданием ответных реакций на действия нападающих. Например, можно создать заголовок (banner) программы sendmail, возвращаемый на попытку установления соединения с соответствующим портом. В такой заголовок может быть помещена стан­дартная информация о версии программы, которая используется многими средствами анализа защищенности для принятия решения о наличии уязви­мости [Лукацкий 6-99].

DTK представляет собой набор программ на языке С и Perl, реализующих описанные выше механизмы обмана злоумышленников. Эти программы могут быть адаптированы под конкретные нужды пользователей. Как заме­чает автор, DTK способен функционировать под управлением любой ОС, поддерживающей стек протоколов TCP/IP и имеющей реализацию трансля­тора с языка Perl. В частности, под управлением большого числа различных модификаций ОС Unix. Теоретически, после небольшой доработки исход­ных текстов, DTK сможет работать и под управлением Windows NT с Resource Kit, однако пока таких опытов не проводилось. Настройка DTK осуществляется путем редактирования конфигурационных файлов из текстового редактора. Пакет The Deception Toolkit распространяется бесплатно и может быть получен по следующему адресу: http://all.net/contents/dtk.Html.

Развивая пакет DTK, автор разработал улучшенную версию — DTK-Pro, которая, сохраняя все возможности DTK, дополняет его новыми механизмами:

q централизованным управлением несколькими DTK, установленными на разных узлах сети;

q графическим интерфейсом администратора DTK-Pro (рис. 6.28);

q проверкой согласованности задаваемых обманных правил и рядом других функций.

CyberCop Sting

Система CyberCop Sting разработана в компании Network Associates и предназначена для эмуляции Ethernet-сегмента, состоящего из маршрутизаторов Cisco с IOS 11.2 и серверов под управлением операционных систем Windows NT 4.0 и Solaris 2.6. Все посланные на смоделированные виртуальные хосты пакеты отслеживаются, что позволяет обнаруживать и отслеживать зло­умышленников, в то время как они пытаются атаковать несуществующие узлы [Sting 1-99].

CyberCop Sting "создает" виртуальную сеть на выделенном узле, работающем под управлением Windows NT. Каждый из виртуальных узлов имеет один или несколько IP-адресов, на которые можно посылать сетевой трафик и получать вполне "реальный" ответ. В более сложных случаях виртуальный узел может выступать в роли ретранслятора пакетов на невидимый, но ре­альный компьютер, который и отвечает на все запросы злоумышленника. Главное достоинство системы CyberCop Sting в том, что для моделирования "приманки" для нарушителя вам не требуется большого количества оборудо­вания и маршрутизаторов, — все реализуется на единственном компьютере (рис. 6.29).

Однако в CyberCop Sting отсутствует та гибкость, которая имеется в DTK: вы не можете задать эмулируемые уязвимости и даже для стандартных сете­вых сервисов, моделируемых Sting'oм, вы не сможете определить специфич­ные варианты ответов на запросы. Кроме того, так же, как и в DTK, CyberCop Sting не обладает качественным механизмом анализа журнала регистрации: вам придется просматривать сотни, а иногда и тысячи записей текста, преж­де чем вы найдете интересующую вас информацию. И хотя для этой цели можно использовать продукты третьих фирм, например, WebTrends Log Analyzer, неплохо было бы иметь и встроенные средства анализа журналов регистрации.