Билеты с ответами - Протокол IPSec

67. Обеспечение информационной безопасности в IP-сетях. Протокол IPSec.

IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC.
Гарантии целостности и конфиденциальности данных в спецификации IPsec обеспечиваются за счет использования механизмов аутентификации и шифрования соответственно.
Спецификация IPsec предусматривает возможность поддержки сторонами информационного обмена различных протоколов и параметров аутентификации и шифрования пакетов данных, а также различных схем распределения ключей. Результатом согласования контекста безопасности является установление индекса параметров безопасности (SPI), представляющего собой указатель на определенный элемент внутренней структуры стороны информационного обмена, описывающей возможные наборы параметров безопасности.
IPSec, работает на третьем уровне, т. е. на сетевом уровне. В результате передаваемые IP-пакеты будут защищены прозрачным для сетевых приложений и инфраструктуры образом.
В отличие от SSL (SecureSocketLayer), который работает на четвертом (т. е. транспортном) уровне и теснее связан с более высокими уровнями модели OSI, IPSec призван обеспечить низкоуровневую защиту.
К IP-данным, готовым к передаче по виртуальной частной сети, IPSec добавляет заголовок для идентификации защищенных пакетов. Перед передачей по Internet эти пакеты инкапсулируются в другие IP-пакеты. IPSec поддерживает несколько типов шифрования, в том числе DataEncryptionStandard (DES) и MessageDigest 5 (MD5).
Чтобы установить защищенное соединение, оба участника сеанса должны иметь возможность быстро согласовать параметры защиты, такие как алгоритмы аутентификации и ключи. IPSec поддерживает два типа схем управления ключами, с помощью которых участники могут согласовать параметры сеанса
Сверсией IPv4, могутбытьиспользованыили Internet Secure Association Key Management Protocol (ISAKMP), или Simple Key Management for Internet Protocol. С IPv6, придется использовать ISAKMP, известный сейчас как IKE.
Заголовок AH
Аутентифицирующий заголовок (AH) является обычным опциональным заголовком и, как правило, располагается между основным заголовком пакета IP и полем данных. Наличие AH никак не влияет на процесс передачи информации транспортного и более высокого уровней.
Основным и единственным назначением AH является обеспечение защиты от атак, связанных с несанкционированным изменением содержимого пакета, и в том числе от подмены исходного адреса сетевого уровня.
Протоколы более высокого уровня должны быть модифицированы в целях осуществления проверки аутентичности полученных данных.
ЗАГОЛОВОК ESP
В случае использования инкапсуляции зашифрованных данных заголовок ESP является последним в ряду опциональных заголовков, "видимых" в пакете.
Основной целью ESP является обеспечение конфиденциальности данных, разные виды информации могут требовать применения существенно различных алгоритмов шифрования.
Формат ESP может претерпевать значительные изменения в зависимости от используемых криптографических алгоритмов. Тем не менее, можно выделить следующие обязательные поля:
ДВА РЕЖИМА ПРИМЕНЕНИЯ ESP И AH
ТРАНСПОРТНЫЙ РЕЖИМ
Транспортный режим используется для шифрования поля данных IP пакета, содержащего протоколы транспортного уровня (TCP, UDP, ICMP), которое, в свою очередь, содержит информацию прикладных служб.
Все промежуточные узлы на маршруте пакета от отправителя к получателю используют только открытую информацию сетевого уровня и, возможно, некоторые опциональные заголовки пакета (в IPv6).
Недостатком транспортного режима является отсутствие механизмов скрытия конкретных отправителя и получателя пакета, а также возможность проведения анализа трафика. Результатом такого анализа может стать информация об объемах и направлениях передачи информации, области интересов абонентов, расположение руководителей.
Туннельный режим
Туннельный режим предполагает шифрование всего пакета, включая заголовок сетевого уровня.
Туннельный режим применяется в случае необходимости скрытия информационного обмена организации с внешним миром. При этом, адресные поля заголовка сетевого уровня пакета, использующего туннельный режим, заполняются межсетевым экраном организации и не содержат информации о конкретном отправителе пакета.
При передаче информации из внешнего мира в локальную сеть организации в качестве адреса назначения используется сетевой адрес межсетевого экрана.
После расшифровки межсетевым экраном начального заголовка сетевого уровня пакет направляется получателю.
SecurityAssociations (SA) – это соединение, которое предоставляет службы обеспечения безопасности трафика, который передаётся через него.
Два компьютера на каждой стороне SA хранят режим, протокол, алгоритмы и ключи, используемые в SA. Каждый SA используется только в одном направлении. Для двунаправленной связи требуется два SA. Каждый SA реализует один режим и протокол; таким образом, если для одного пакета необходимо использовать два протокола (как например AH и ESP), то требуется два SA.
Политика безопасности хранится в SPD (База данных политики безопасности). SPD может указать для пакета данных одно из трёх действий: отбросить пакет, не обрабатывать пакет с помощью IPSec, обработать пакет с помощью IPSec. В последнем случае SPD также указывает, какой SA необходимо использовать (если, конечно, подходящий SA уже был создан) или указывает, с какими параметрами должен быть создан новый SA.
SPD является очень гибким механизмом управления, который допускает очень хорошее управление обработкой каждого пакета. Пакеты классифицируются по большому числу полей, и SPD может проверять некоторые или все поля для того, чтобы определить соответствующее действие. Это может привести к тому, что весь трафик между двумя машинами будет передаваться при помощи одного SA, либо отдельные SA будут использоваться для каждого приложения, или даже для каждого TCP соединения.
ISAKMP/Oakley.
Протокол ISAKMP определяет общую структуру протоколов, которые используются для установления SA и для выполнения других функций управления ключами. ISAKMP поддерживает несколько Областей Интерпретации (DOI), одной из которых является IPSec-DOI. ISAKMP не определяет законченный протокол, а предоставляет "строительные блоки" для различных DOI и протоколов обмена ключами.
Протокол Oakley – это протокол определения ключа, использующий алгоритм замены ключа Диффи-Хеллмана. Протокол Oakley поддерживает идеальную прямую безопасность (PerfectForwardSecrecy – PFS). Наличие PFS означает невозможность расшифровки всего трафика при компрометации любого ключа в системе.
IKE – протокол обмена ключами по умолчанию для ISAKMP, на данный момент являющийся единственным. IKE находится на вершине ISAKMP и выполняет, собственно, установление как ISAKMP SA, так и IPSec SA. IKE поддерживает набор различных примитивных функций для использования в протоколах. Среди них можно выделить хэш-функцию и псевдослучайную функцию (PRF). В настоящее время вместо специальных PRF используется хэш функция в конструкции HMAC (HMAC – механизм аутентификации сообщений с использованием хэш функций).
Оценка протокола
Протокол IPSec получил неоднозначную оценку со стороны специалистов. С одной стороны, отмечается, что протокол IPSec является лучшим среди всех других протоколов защиты передаваемых по сети данных, разработанных ранее (включая разработанный Microsoft PPTP). По мнению другой стороны, присутствует чрезмерная сложность и избыточность протокола.
 
68. Обеспечение информационной безопасности в IP-сетях. Протокол SSL.
Протокол SSL спроектирован для обеспечения конфиденциальности обмена между двумя прикладными процессами клиента и сервера. Он предоставляет возможность аутентификации сервера и, опционно, клиента. SSL требует применения надежного транспортного протокола (например, TCP).
Преимуществом SSL является то, что он независим от прикладного протокола. Протоколы приложения, такие как HTTP, FTP, TELNET и т.д. могут работать поверх протокола SSL совершенно прозрачно. Протокол SSL может согласовывать алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того как приложение примет или передаст первый байт данных.
Протокол SSL предоставляет "безопасный канал", который имеет три основные свойства:
. • Канал является частным. Шифрование используется для всех сообщений после простого диалога, который служит для определения секретного ключа.
. • Канал аутентифицирован. Серверная сторона диалога всегда аутентифицируется, в то время как клиентская – аутентифицируется опционно.
. • Канал надежен. Транспортировка сообщений включает в себя проверку целостности.
Для аутентификации серверов и клиентов SSL используются сертификаты, которые базируются в основном на X.509
Диалог SSLв упрощенном виде:

69. Обеспечение защиты информационного периметра. DMZ (демилитаризованная зона).
DMZ (демилитаризованная зона) – технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (МСЭ). При этом не существует прямых соединений между внутренней сетью и внешней – любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.
схема с одним межсетевым экраном
c
Схема с двумя МСЭ может быть организована с общим подключением (когда между внешним и внутренним МСЭ есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним МСЭ, а второй с внутренним) – в таком случае прямого взаимодействия между внешним и внутренним МСЭ быть не может.

Конфигурация с тремя МСЭ
Существует редкая конфигурация с тремя МСЭ – в этой конфигурации первый МСЭ принимает на себя запросы из внешней сети, второй МСЭ контролирует сетевые подключения DMZ и третий МСЭ контролирует соединения внутренней сети
DMZ и SOHO
В случае SOHO (домашних) маршрутизаторов и точек доступа, под DMZ подразумевается возможность "проброса портов" (PAT, осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора, на указанный узел внутренней сети.

 
70. Сетевые атаки. Классификация.
Удалённая сетевая атака — информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи.
По характеру воздействия
Пассивное, активное.
Пассивное воздействие на распределённую вычислительную систему (РВС) представляет собой некоторое воздействие, не оказывающее прямого влияния на работу системы, но в то же время способное нарушить её политику безопасности.
Активное воздействие на РВС — воздействие, оказывающее прямое влияние на работу самой системы (нарушение работоспособности, изменение конфигурации РВС и т. д.), которое нарушает политику безопасности, принятую в ней.
По цели воздействия:
нарушение функционирования системы (доступа к системе), нарушение целостности, информационных ресурсов (ИР), нарушение конфиденциальности ИР.
Этот признак, по которому производится классификация, по сути есть прямая проекция трех базовых разновидностей угроз — отказа в обслуживании, раскрытия и нарушения целостности.
По условию начала осуществления воздействия
Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:
• Атака по запросу от атакуемого объекта (класс 3.1)
В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в ОС NovellNetWare может служить SAP-запрос, а в сети Internet - DNS- и ARP-запросы. Важно отметить, что данный тип удаленных атак наиболее характерен для распределенных ВС.
• Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2)
В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект. Примером такого события может быть прерывание сеанса работы пользователя с сервером в ОС NovellNetWare без выдачи команды LOGOUT [9].
• Безусловная атака
По наличию обратной связи с атакуемым объектом:
с обратной связью, без обратной связи (однонаправленная атака)
Атакующий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить ответ. Следовательно между атакующим и атакуемым появляется обратная связь, позволяющая первому адекватно реагировать на всяческие изменения на атакуемом объекте. В этом суть удалённой атаки, осуществляемой при наличии обратной связи с атакующим объектом. Подобные атаки наиболее характерны для РВС. Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на атакуемом объекте. Такие атаки обычно осуществляются при помощи передачи на атакуемый объект одиночных запросов. Ответы на эти запросы атакующему не нужны. Подобную УА можно назвать также однонаправленной УА. Примером однонаправленных атак является типовая УА «DoS-атака».
По расположению субъекта атаки относительно атакуемого объекта
• внутрисегментное (класс 5.1)
• межсегментное (класс 5.2)
. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
Физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной
Атаки на SSL-протокол :
• Раскрытие шифров
В качестве шифра сессии применяются различные криптографические алгоритмы. Если осуществлена успешная атака на эти алгоритмы, SSL не может уже считаться безопасным
• Атака открытого текста.
Атака открытого текста производится, когда атакующий имеет соображения о том, какого типа сообщения посылаются зашифрованнымиПроисходит дешифровка по вычисленному ключу сессии.
• Атака отклика
. Атака отклика достаточно проста. Злоумышленник записывает комму-никационную сессию между клиентом и сервером. Позднее, он устанавливает соединение с сервером и воспроизводит записанные сообщения клиента.
• Человек посередине
Атака посредника (человек посередине) предполагает участие в коммуникационной сессии трех субъектов: клиента, сервера и посредника-злоумышленника, находящегося между ними 
71. Обнаружение атак и защита от них на отдельных узлах распределённой системы.
Обнаружение атак – это одновременно и наука, и искусство, задача которых – установить, что компьютерная система или сеть используется некорректным образом или без соответствующих прав.
Технология обнаружения атак должна решать следующие задачи:
• Распознавание известных атак и предупреждение о них соответствующего персонала.
• "Понимание" зачастую непонятных источников информации об атаках.
• Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
• Возможность управления средствами защиты не-экспертами в области безопасности.
• Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).
Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,
• Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
• Контроль узлов сети с неустановленными обновлениями или узлов с устаревшим программным обеспечением.
• Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания
• Контроль электронной почты. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.
Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.
 
72. Системы обнаружения атак. Архитектура и источники информации
Система обнаружения атак (IDS – intrusion-detectionsystem) осуществляет мониторинг системных и сетевых ресурсов и выполняемых действий и на основе информации, собранной из этих источников, уведомляет администраторов в случае обнаружения возможного проникновения злоумышленников.
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности.IDSсостоят из следующих компонент: сенсор, который отслеживает события в сети или системе; анализатор событий, обнаруженных сенсорами; компонента принятия решения
Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
Определение злоупотреблений. Детекторы злоупотреблений анализируют деятельность системы, анализируя событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой, определение злоупотребления иногда называют "сигнатурным определением".
Преимущества сигнатурного метода:
. • Детекторы злоупотреблений являются очень эффективными для определения атак и не создают при этом огромного числа ложных сообщений.
. • Детекторы злоупотреблений могут быстро и надежно диагностировать использование конкретного инструментального средства или технологии атаки. Это может помочь администратору скорректировать меры обеспечения безопасности.
. • Детекторы злоупотреблений позволяют администраторам, независимо от уровня их квалификации в области безопасности, начать процедуры обработки инцидента.
Недостатки сигнатурного метода:
. • Детекторы злоупотреблений могут определить только те атаки, о которых они знают, следовательно, надо постоянно обновлять их базы данных для получения сигнатур новых атак.
. • Многие детекторы злоупотреблений разработаны таким образом, что могут использовать только строго определенные сигнатуры, а это не допускает определения вариантов общих атак. State-based детекторы злоупотреблений могут обойти данное ограничение, но они применяются в коммерческих IDS не столь широко.
Определение аномалий Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.
Метрики и технологии, используемые при определении аномалий, включают:
. • определение допустимого порога.. Такие атрибуты поведения могут определять число файлов, доступных пользователю в данный период времени, число неудачных попыток входа в систему, количество времени ЦП, используемое процессом и т.п.
• статистические метрики: параметрические, при которых предполагается, что распределение атрибутов профиля соответствует конкретному образцу, и непараметрические, при которых распределение атрибутов профиля является "обучаемым".
. • метрики, основанные на правилах, которые аналогичны непараметрическим статистическим метрикам в том, что наблюдаемые данные определяют допустимые используемые образцы, но отличаются от них в том, что эти образцы специфицированы как правила, а не как численные характеристики.
. • другие метрики, включая нейросети, генетические алгоритмы и модели иммунных систем.
Преимущества определения аномалий:
. • IDS, основанные на определении аномалий, обнаруживают неожиданное поведение и, таким образом, имеют возможность определить симптомы атак без знания конкретных деталей атаки.
. • Детекторы аномалий могут создавать информацию, которая в дальнейшем будет использоваться для определения сигнатур для детекторов злоупотреблений.
Недостатки определения аномалий:
. • Подходы определения аномалий обычно создают большое количество ложных сигналов при непредсказуемом поведении пользователей и непредсказуемой сетевой активности.
. • Подходы определения аномалий часто требуют некоторого этапа обучения системы, во время которого определяются характеристики нормального поведения.
Сетевые IDS
Основными коммерческими IDS являются сетевыми. Сетевые IDS часто состоят из множества сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя локальный анализ данного трафика и создавая отчеты об атаках для центральной управляющей консоли. Многие из этих сенсоров разработаны для выполнения в "невидимом (stealth)" режиме, чтобы сделать более трудным для атакующего обнаружение их присутствия и расположения.
Преимущества сетевых IDS:
. • Несколько оптимально расположенных сетевых IDS могут просматривать большую сеть.
. • Развертывание сетевых IDS не оказывает большого влияния на производительность сети.
. • Сетевые IDS могут быть сделаны практически неуязвимыми для атак или даже абсолютно невидимыми для атакующих.
Недостатки сетевых IDS:
. • Для сетевых IDS может быть трудно обрабатывать все пакеты в большой или занятой сети, и, следовательно, они могут пропустить распознавание атаки, которая началась при большом трафике.
. • Многие преимущества сетевых IDS неприменимы к более современным сетям, основанным на сетевых коммутаторах (switch). Многие коммутаторы не предоставляют универсального мониторинга портов, и это ограничивает диапазон мониторинга сенсора IDS только одним хостом..
Сетевые IDS не могут анализировать зашифрованную информацию. Эта проблема возрастает, чем больше организации (и атакующие) используют VPN.
. • Большинство сетевых IDS не могут сказать, была ли атака успешной; они могут только определить, что атака была начата
. • Некоторые сетевые IDS имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие фрагментированные пакеты могут привести к тому, что IDS будет функционировать нестабильно.
Host-Based IDS
Host-based IDS имеют дело с информацией, собранной внутри единственного компьютера. Такое выгодное расположение позволяет host-based IDS анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. Более того, в отличии от network-based IDS, host-based IDS могут "видеть" последствия предпринятой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системным процессам, являющимся целью атаки.
Преимущества host-based IDS:
. • Host-based IDS, с их возможностью следить за событиями локально относительно хоста, могут определить атаки, которые не могут видеть сетевые IDS.
. • Host-based IDS часто могут функционировать в окружении, в котором сетевой трафик зашифрован
. • На функционирование host-based IDS не влияет наличие в сети коммутаторов.
. • Когда host-based IDS работают с результатами аудита ОС, они могут оказать помощь в определении Троянских программ или других атак, которые нарушают целостность ПО.
Недостатки host-based IDS: • Host-based IDS более трудны в управлении,• источники информации для host-based IDS расположены на том же хосте, который является целью атаки,• Host-based IDS не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как IDS наблюдает только за сетевыми пакетами, получаемыми конкретным хостом. • Host-based IDS могут быть блокированы некоторыми DoS-атаками. • Когда host-based IDS использует результаты аудита ОС в качестве источника информации, количество информации может быть огромно, что потребует дополнительного локального хранения в системе. • Host-based IDS используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы.
Application-Based IDS Application-Based IDS является специальным подмножеством host-based IDS, которые анализируют события, поступившие в ПО приложения. Наиболее общими источниками информации, используемыми application-based IDS, являются файлы протоколов транзакций приложения.
Способность взаимодействовать непосредственно с приложением, с конкретным доменом или использовать знания, специфичные для приложения, позволяет application-based IDS определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа
Преимущества application-basedIDS: • Application-based IDS могут анализировать взаимодействие между пользователем и приложением, что часто позволяет отследить неавторизованную деятельность конкретного пользователя. • Application-based IDS зачастую могут работать в зашифрованных окружениях,
Недостатки application-based IDS: • Application-based IDS могут быть более уязвимы, чем host-based IDS, для атак на файлы протоколов приложения, которые могут быть не так хорошо защищены, как результаты аудита ОС, используемые host-based IDS. • Application-based IDS часто просматривают события на пользовательском уровне абстракции, на котором обычно невозможно определить Троянские программы или другие подобные атаки, связанные с нарушением целостности ПО.
Следовательно, целесооб-разно использовать application-based IDS в комбинации с host-based и/или сетевыми IDS.
 
73. Принципы выбора системы обнаружения атак
Первое, что необходимо сделать еще до начала инсталляции системы обнаружения атак,
– это понять, где она будет установлена и какие задачи будет решатьЧто защищать?
Независимо от выбранной системы обнаружения атак нужно рассмотреть следующие аспекты, многие из которых уже должны быть описаны в сети:
. • защищаемые ресурсы;
. • наиболее вероятные атаки;
. • объекты (протоколы, адреса, порты, файлы и т. д.), доступные извне для защищаемого ресурса;
. • субъекты (пользователи, приложения и т. п.), использующие этот ресурс; О показатели доступности и производительности для защищаемого ресурса;
. • кто и как будет управлять выбираемой системой обнаружения атак;
. • масштабы потенциального роста защищаемого ресурса и, как следствие, возможность От чего защищать? Прежде всего, вы должны проанализировать наиболее вероятные для ваших ресурсов атаки.
От кого защищать? Ответ на вопрос "от кого?" позволит установить соответствующие приоритеты в обнаружении внешних и внутренних атак
При построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, сколько от злоумышленников внутренних. С учетом того, что "классические" системы защиты (например, межсетевые экраны или серверы аутентификации) ориентированы именно вовне. Больше половины всех компьютерных преступлений связаны с внутренними нарушениями, т. е. осуществляются сотрудниками компании. Нынешними или уволенными.
Как защищать? Во всем мире сейчас принято развертывать комплексную систему защиты, следуя нескольким этапам.
Первый, – информационное обследование – самый важный. На этом же этапе строится модель нарушителя, которая описывает вероятный облик злоумышленника,
По результатам анализа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты.
Наряду с анализом существующей технологии должна осуществляться разработка орга-низационно-распорядительных документов. Результатом этого этапа является разработанная и утвержденная руководством компании политика безопасности, в том числе и касающаяся вопросов обнаружения атак.
Приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов обеспечения информационной безопасности. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.. Если нет возможности выделить отдельного оператора для слежения за сигналами тревоги, появляющимися в реальном режиме времени, то и выбирать вам нужно систему, которая позволяет проводить автономный анализ.
Необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование ИС или ее подсистем, обучать новый персонал, обновлять средства защиты.
Чем защищать? Ответы на вопросы что, от чего, от кого и как, позволят сузить круг выбираемых систем до 2 – 3, что качественно облегчит их выбор и ускорит процесс тестирования.
Критерии оценки.
Требования к выбираемой системе обнаружения атак можно условно разделить на 3 группы – обязательные, желательные и дополнительные. Выбор надо останавливать на той системе, которая в первую очередь удовлетворяет обязательным требованиям.Место установки. Существуют две основные точки установки систем обнаружения атак — на сегменте сети и на конкретном узле. В зависимости от того, какой ресурс должен быть защищен, может быть применена либо система обнаружения атак уровня сети (network¬based), либо система, функционирующая на уровне ОС, СУБД или приложений (host-based). Если необходимо защищать как сетевые, так и системные ресурсы, то желательно выбирать систему обнаружения атак, имеющую сетевую и системную компоненты.
Источники информации и методы анализа. Некоторые IDS для нахождения атакующих анализируют сетевые пакеты, захватываемые ими из сети. Другие IDS для обнаружения признаков проникновения анализируют источники информации, созданные ОС или приложением (результаты аудита ОС и системные журналы).
Выполнение. Следующим распространенным критерием, влияющим на выбор системы обнаружения атак, является момент времени, в который осуществляется обработка данных, по-лучаемых из заданных источников информации.
Пакетная обработка. В пакетно-ориентированных, ОС, СУБД и приложений (или механизмы систем кон-троля целостности) регистрируют информацию о каждом событии в соответствующих журналах, а система обнаружения атак периодически анализирует эти журналы на предмет обнару-жения злоупотреблений или аномальной деятельности Функционирование в реальном масштабе времени. Системы, работающие в реальном масштабе времени, предоставляют более широкий диапазон сигналов тревоги, чем системы пакетной обработки, а также позволяют предусмотреть варианты автоматического реагирования на обнаруженные атаки. Архитектура. Архитектура системы обнаружения атак определяет, какие имеются функциональные компоненты и как они взаимодействуют друг с другом.
Поддерживаемые платформы.
Мониторинг дополнительных событий. Многие системы обнаружения атак расширяют свою функциональность за счет добавления новых возможностей.
Частота и способы обновление сигнатур. Поскольку портфель атак и уязвимостей не-престанно пополняется, то для эффективного обнаружения нападений и "дыр" необходимо постоянно обновлять базу знаний системы обнаружения атак.
Варианты реагирования. Все варианты реагирования делятся на две категории:
пассивные варианты реагирования, заключающиеся в обычном информировании персонала об обнаруженных атаках, злоупотреблениях и иных аномальных проявлениях
активные варианты реагирования, включающие разрыв соединения с атакующим узлом или блокировку учетной записи нарушителя, реконфигурацию сетевого оборудования и средств защиты, автоматическое устранение уязвимости и т. д.
Трассировка событий. Иногда администратору безопасности необходимо проследить за всеми действиями, выполняемыми злоумышленником, и всеми командами, им вводимыми. В некоторых системах обнаружения атак реализован механизм трассировки событий (eventtrace).Завершение соединения. Завершение соединения используется для прерывания действий атакующего.
Реконфигурирование сетевого оборудования. В случае обнаружения атаки на маршру-тизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Блокирование трафика. Такой вариант позволяет изолировать трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя при этом выполнять функции, доступные в персональных межсетевых экранах.
Обманная техника.
Устранение уязвимостей. Результатом работы систем анализа защищенности должно быть устранение обнаруженных уязвимостей. Это можно делать в ручном или автоматизированном режиме.. Некоторые системы анализа защищенности пытаются автоматизировать этот процесс и предлагают администраторам механизм автоматического "латания" обнаруженных "дыр".
Контратака. На первый взгляд, такое решение реализуется очень просто — достаточно за-фиксировать адрес злоумышленника и провести против него ответную атаку.
Надо заметить, что не стоит безоглядно сбрасывать со счетов данный вариант реагирования. При выполнении ряда условий он имеет право на жизнь.
Уведомление о пропуске событий. Очень важной представляется функция уведомления оператора системы обнаружения атак о том, что она не справляется с нагрузкой и начинает пропускать события (например, сетевые кадры).
Создание собственных контролируемых событий. Механизм описания своих проверок, уязвимостей, атак и иных контролируемых событий является очень полезной возможностью для администраторов, отслеживающих уязвимости. Система подсказки по каждой атаке.
Еще одним критерием при выборе системы обнаружения вторжения является наличие подсказки по каждой из обнаруживаемых атак, описывающей не только механизм ее реализации, но и уязвимые платформы, варианты ложного срабатывания (falsepositives и falsenegatives) и т. п.
Расширенная настройка сигнатур. Какой бы эффективной ни была система обнаружения атак и какой бы полной ни была ее база сигнатур, существует необходимость дополнительной настройки каждой из них. Например, для снижения числа ложных срабатываний. Дополнительные варианты реагирования. Практически каждая система обнаружения атак разрешает создавать свои собственные сценарии обработки событий, что позволяет практически неограниченно расширить спектр различных вариантов реагирования. Создание собственных вариантов реагирования. Хорошая система обнаружения атак должна позволять дополнять список предопределенных вариантов реагирования на обнаруженные атаки. Управление сенсорами. Очевидно, что сенсоры системы обнаружения атак могут управляться дистанционно или локально. Причем локальное управление необходимо в двух случаях — при наличии всего одного сенсора (в небольшой компании) или при невозможности удаленного управления (например, по причине нарушения взаимодействия с консолью). Локально управлять даже двумя-тремя сенсорами очень неудобно, не говоря уже о контроле десятков и сотен сенсоров. Поэтому и применяется дистанционное управление.
Удаленное управление. Следующий критерий, который особо важен для крупных, тер-риториально-распределенных сетей с множеством сенсоров, — возможность удаленного управления. Удаленное управление может осуществляться двумя путями:
. • с любой консоли • с авторизованной консоли —
Число консолей управления. Во многих организациях функции обеспечения информационной безопасности распределены среди нескольких управлений. Управление информационных технологий следит за одними параметрами сети, управление защиты информации — за другими. Кроме того, децентрализованная схема управления требует наличия нескольких консолей — в центральном и удаленном офисах.
Число управляемых агентов. Если вы планируете использовать не более 5—10 сенсоров, то большой разницы между консолями управления различных производителей практически нет. Однако превышение этого числа приводит к ряду проблем, начиная от невозможности слежения за всеми сигналами тревоги на консоли и переполнения базы данных и заканчивая отказом консоли или сервера управления.
Иерархическое управление
В больших сетях, где принята смешанная схема управления, центральный офис может осуществлять контроль за действиями удаленных филиалов, несмотря на то, что основной груз управления ложится именно на региональные отделы защиты информации. В другом случае может возникнуть нужда в том, чтобы сенсор системы обнаружения атак передавал все сообщения в рабочее время на локальную консоль, установленную в регионе, а в нерабочее время— на другую консоль, за которой круглосуточно наблюдает оператор системы обнаружения атак. В обоих этих вариантах может потребоваться иерархическая схема управления системой обнаружения атак, позволяющая в автоматизированном режиме переключаться с одной консоли на другую без вмешательства персонала. Такая схема, например, используется в системе обнаружения атак Cisco IDS.
Групповые операции
Данный критерий становится очевидным при работе с большим числом сенсоров. В тер-риториально-распределенных сетях очень неудобно для каждого сенсора:
обновлять базу сигнатур атак;
применять шаблоны функционирования;
стартовать и останавливать их работу и т. д.
Отсюда вырастает требование наличия в выбираемой системе обнаружения атак возможности выполнения групповых операций над сенсорами.
Управление событиями.
Задание приоритетов
Одна и та же атака может иметь различные последствия для разных узлов корпоративной сети. Какие-то узлы могут быть подвержены данной атаке, а какие-то – нет. Поэтому система обнаружения атак должна предусматривать возможность задания приоритетов для обна-руживаемых атак или уязвимостей. При этом задание приоритетов может быть как статическим (что было продемонстрировано выше), так и динамическим
 
74. Особенности использования систем обнаружения атак.
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности. IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
Можно выделить несколько категорий потребителей систем обнаружения атак:
Небольшие компании.. Особенность данной категории в наличии одной точки выхода в Internet, небольшого числа узлов в локальной сети, централизованном управлении всеми ресурсами и т. д.
Крупные компании с филиалами. Данная категория характеризуется фактом присутствия как минимум одного филиала, расположенного в том же городе, что и головной офис, или в другом городе. Транснациональные корпорации. Транснациональные корпорации во многом похожи на крупные компании, за двумя исключениями. Во-первых, корпорация может состоять из не-скольких юридических лиц, объединенных в единый холдинг . Данные юридические лица могут выдвигать различные требования к безопасности, иногда противоречащие друг другу. И второе,– расположение офисов в различных странах. Провайдеры Internet. Провайдеры Internet (ISP), в отличие от описанных выше категорий компаний, в основном оперируют не собственными ресурсами, а ресурсами (в т.ч. и трафиком) своих клиентов, что характерным образом отражается на применении у них систем обнаружения атак. Провайдерам Internet, в сравнении с конечными потребителями, присуще большое число сетевых подключений и пользователей, и для них неприменимо большинство существующих систем обнаружения атак, поскольку, как уже отмечалось, сетевые системы ориенти-рованы на атаки, направленные на один сетевой сегмент, или "прослушивают" несколько портов на коммутаторах и маршрутизаторах. У провайдера же таких коммутаторов может быть десятки и сотни. Кроме того, высокие сетевые скорости не позволяют контролировать весь проходящий через провайдера трафик.. Одним из путей Решения является применение систем, интегрированных с сетевым оборудованием (например, RealSecureforNokia или CiscoCatalyst 6500 IDS Module).
Провайдеры услуг. Этот вариант представляет собой нечто среднее между конечным пользователем и ISP-провайдером. Провайдеры услуг контролируют трафик конкретного поль-зователя, но при этом все управление IDS осуществляется из компании-аутсорсера. Конечные пользователи прибегают к аутсорсингу, поскольку они не так хорошо разбираются в защитных механизмах и технологиях, и им необходима сторонняя помощь.. Хорошая система обнаружения атак должна разрабатываться таким образом, чтобы она могла эксплуатироваться обычным техником. Однако пока все еще необходима экспертиза для анализа данных и выработки варианта реагирования.
Тип IDS следует определять, исходя из следующих характеристик:
. • Способ мониторинга системы. По способам мониторинга системы делятся на сетевые, host-based и application-based.
. • Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misusedetection) и обнаружение аномалий (anomalydetection).
. • Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на системы, работающие в пакетном режиме и в режиме реального времени. Большинство коммерческих IDS являются сетевыми системами реального времени. Эти IDS определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, сетевых IDS может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты.
Host-Based IDS
Host-based IDS имеют дело с информацией, собранной внутри единственного компьюте-ра. Такое выгодное расположение позволяет host-based IDS анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС.
Application-Based IDS
Application-Based IDS является специальным подмножеством host-based IDS, которые анализируют события, поступившие в ПО приложения.
Достоинства и недостатки средств, работающих в режиме реального времени.
Достоинства. В зависимости от скорости анализа атаки могут обнаруживаться достаточно быстро, что позволяет своевременно прервать их. Зачастую обнаружение атаки происходит еще до момента достижения ею своей цели.
Недостатки. Эти системы требуют персонала, который постоянно следит за сообщениями, генерируемыми ими.
Достоинства и недостатки средств, работающих в режиме пакетной обработки.
Достоинства. Системы пакетной обработки подходят для сетей, в которых степень риска от возможных атак является относительно низкой. Схемы анализа в пакетном режиме оказывают меньшую нагрузку на системы, чем анализ в реальном масштабе времени, особенно, когда интервалы сбора являются короткими и объемы собираемых данных, соответственно, небольшими.
Сбор информации и анализ при пакетно-ориентированном подходе особенно предпочтителен для организаций, в которых людские и системные ресурсы на обеспечение информационной безопасности ограничены. Организации, у которых нет постоянного персонала, отвечающего за защиту информации, или такой персонал не может работать круглосуточно, возможно, найдут, что сигналы тревоги в реальном масштабе времени, генерируемые системами обнаружения атак, не столь необходимы.
Многие современные методы, связанные со сбором информации о компьютерном пре-ступлении, были разработаны именно на основе ручного анализа и сбора информации в пакетном режиме.
Недостатки. Пользователи будут очень редко получать сигналы тревоги об атаках до того, как они завершатся, т. к. в журналы регистрации попадают события только после того, как они произошли и были зафиксированы. Таким образом, фактически нет возможности активного учета инцидентов по мере того, как они происходят (т. е. в режиме реального времени), в попытке свести ущерб от атак к минимуму.
Сбор информации при пакетном анализе требует наличия большого объема свободного дискового пространства у системы, производящей анализ, для записи всех событий, происходящих в промежутке между запусками пакетной обработки.
Данный метод неэффективен в том случае, если подсистема аудита фиксирует не все события, или же часть событий при регистрации пропускается.
К сожалению, детекторы аномалий и IDS, основанные на них, часто создают большое количество ложных сообщений, так как образцы нормального поведения пользователя или системы могут быть очень неопределенными. Несмотря на этот недостаток, исследователи предполагают, что IDS, основанные на аномалиях, имеют возможность определять новые формы атак, в отличии от IDS, основанных на сигнатурах, которые полагаются на соответствие образцу прошлых атак.
Более того, некоторые формы определения аномалий создают выходные данные, которые могут быть далее использованы в качестве источников информации для детекторов злоупотреблений. Например, детектор аномалий, основанный на пороге, может создавать диаграмму, представляющую собой "нормальное" количество файлов, доступных конкретному пользователю; детектор злоупотреблений может использовать данную диаграмму как часть сигнатуры обнаружения, которая говорит: "если количество файлов, доступных данному пользователю, превышает данную "нормальную" диаграмму более чем на 10%, следует инициировать предупреждающий сигнал".
Хотя некоторые коммерческие IDS включают ограниченные формы определения аномалий, мало кто полагается исключительно на данную технологию. Определение аномалий, которое существует в коммерческих системах, обычно используется для определения зондирования сети или сканирования портов. Тем не менее, определение аномалий остается предметом исследований в области активного определения проникновений, и скорее всего, будет играть возрастающую роль в IDS следующих поколений.