Реконфигурирование сетевого оборудования

Еще одним вариантом активного реагирования является реконфигурирование сетевого оборудования или межсетевых экранов (в терминах компании Cisco Systems это понятие называется shunning). В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа (рис. 8.17). Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как изменение будет отменено администратором реконфигурируемого сетевого оборудования.

Блокирование трафика

Некоторые системы обнаружения атак (например, RealSecure Server Sensor) в дополнение к существующим вариантам активного реагирования добавляют еще один — блокирование сетевого трафика так, как это реализовано в межсетевых экранах [ISS 5-00]. Такой вариант позволяет изолировать тра­фик, а также адресатов, которые могут получить доступ к ресурсам защи­щаемого компьютера, позволяя при этом выполнять функции, доступные в персональных межсетевых экранах.

Обманная техника

Об обманной технике уже говорилось в главе б, и поэтому нет необходимо­сти обращаться к этой теме снова. Можно только сказать, что такой меха­низм реализован в отдельных системах обнаружения атак. Например, систе­ма RealSecure Server Sensor обладает механизмом Decoy, который позволяет эмулировать различные порты и сетевые сервисы.

Устранение уязвимостей

Результатом работы систем анализа защищенности должно быть устранение обнаруженных уязвимостей. Это можно делать в ручном или автоматизиро­ванном режиме. Первый режим более прост в реализации, но и требует до­полнительных усилий со стороны администратора безопасности, который должен самостоятельно устранять все уязвимости в порядке их приоритета. Некоторые системы анализа защищенности пытаются автоматизировать этот процесс и предлагают администраторам механизм автоматического "залатывания" обнаруженных "дыр". К таким системам могут быть отнесены SFPrtotect (механизм IntelliFix), System Seamier и Desktop Scanner. Если для небольших сетей необходимость в данной функции является эфемерной, то для крупных сетевых комплексов, ощущающих нехватку квалифицирован­ного персонала, такой механизм может быть очень важным.

Дополнительные варианты реагирования

Практически каждая система обнаружения атак разрешает создавать свои собственные сценарии обработки событий, что позволяет практически неограниченно расширить спектр различных вариантов реагирования. Например, позволить записать событие не только в журнал регистрации системы обнаружения атак, но и в системный журнал EventLog или Syslog, запустив антивирусную систему для определенного типа трафика или даже реализовать контратаку против атакующего узла.

Обработка фрагментированного трафика

В главе 6 при упоминании архитектуры сетевого сенсора системы обнаружения атак одним из его элементов назывался модуль обработки фрагментированного трафика. Больше на этом можно было бы не останавливаться, если бы не тот удивительный факт, что многие средства обнаружения атак (особенно условно-бесплатные и свободно-распространяемые) лишены этой функции, что приводит к потенциальной возможности выведения их из строя путем посылки фрагментированного трафика. Примеры таких атак описаны в главах 4 и 5. Современная система обнаружения сетевых атак обязательно должна иметь механизм обработки фрагментированных пакетов.

Шаблоны

Давайте представим, что перед вами стоит задача проанализировать защищенность трех сегментов корпоративной сети. Первый сегмент находится, наудалении от головного офиса и не известно число узлов в нем, второй сегмент является демилитаризованной зоной и содержит Web-, FTP-, SMTP-, DNS-серверы. Третий сегмент локализован внутри сети головного офиса и содержит сервера баз данных. Данная задача может быть решена путем запуска всех проверок против каждого из анализируемых устройств. Но во-первых, необходимо определить список анализируемого оборудования, т.е. провести инвентаризацию сети. Во-вторых, нужно классифицировать все сканируемые устройства по типу ОС и запущенного на них ПО — это позволит сузить число проверок и увеличить скорость анализа защищенности. Для этого и предназначены шаблоны, которые описывают проводимые действия для каждой из категорий устройств, описанных в карте сети. Наиболее грамотно данная схема реализована компанией Internet Security Systems, которая предлагает концепцию так называемых "уровней безопасности" (рис. 8.18), существенно облегчающих управление инфраструктурой обеспечения информационной безопасности. В основу этой концепции положены принципы, перечисленные ниже.

q Обеспечение безопасности невозможно без знания сетевой топологии защищаемых ресурсов и информационных потоков.

q Для большинства устройств корпоративной сети (например, рабочих станций) не требуется реализация дорогостоящих и трудоемких мер по обеспечению их защиты.

q Наиболее важные и критичные устройства нуждаются в серьезной защите на всех уровнях информационной инфраструктуры.

q Наибольшая опасность исходит от внутренних пользователей.

q Защита должна быть эшелонированной.

На самом первом уровне осуществляется анализ имеющихся в сети уст­ройств, рабочих станций, серверов и т.п. что позволяет понять, "что же необходимо защищать?" Этот анализ является одной из составляющих про­цесса построения карты сети (рис. 8.19). На следующем уровне (обеспечение минимальной безопасности) предотвращаются атаки внешних злоумышленников по отношению к защищаемому узлу. Уровень обеспечения средней безопасности включает в себя защиту от внутренних (авторизованных) поль­зователей, реализующих различные атаки и злоупотребления. И, наконец, самый высший уровень предназначен для защиты наиболее важных узлов корпоративной сети, в частности, от нарушения их доступности или нару­шения доступности некоторых сервисов, предоставляемых ими [ISS 8-00].

Таким образом, на нижнем уровне идентифицируются и классифицируются абсолютно все устройства корпоративной сети (в том числе и удаленных филиалов). Для них же реализуется и уровень минимальной безопасности. Уровнем минимальной безопасности ограничивается защита рабочих стан­ций. На следующем уровне число обороняемых от внешних атак устройств сужается, и остаются только внутренние серверы, сетевое оборудование и Другие важные устройства, от которых зависит функционирование корпора­тивной сети (серверы приложений, DMZ-устройства, сетевое оборудование). И, наконец, максимальной защите подлежат узлы, являющиеся ядром всей корпоративной сети (серверы расчетной системы, периметровые устройства). Все вышесказанное иллюстрируется рис. 8.20.

Данная концепция получила свое практическое воплощение в семи шаблонах, используемых во всех средствах компании ISS. Первые пять уровней применимы для системы Internet Scanner, осуществляющей дистанционный анализ защищенности (табл. 8.4). Уровни со второго по седьмой реализованы в системе Database Scanner, также выполняющей дистанционный анализ. Но поскольку эта система используется для анализа вполне конкретных устройств (СУБД), то этап инвентаризации и классификация (1 уровень), Database Scanner не задействуются. Система System Scanner предназначена для обнаружения внутренних уязвимостей, имеющихся на анализируемом узла, поэтому данная система использует с 3-го по 7-й уровень безопасности.

Данная структуризация позволяет выделить устройства, для которых выдвигаются различные требования по безопасности.

Таблица 8.4. Стандартные шаблоны ISS Internet Scanner