|
|
  |
Главная страница / Архитектура отрасли ОБЗОР СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙПримеры коммерческих программ обнаружения вторжений Коммерческие программы, описанные ниже, только небольшая часть множества продуктов, присутствующих на рынке (http://www.iatac.dtic.mil/iatools.htm). Опубликован ряд отчетов, содержащих сравнительную оценку коммерческих продуктов (http://www.data.com/lab_tests/ intrusion.html). Выбранные для описания системы могут рассматриваться в качестве классических образцов. В отличие от создателей экспериментальных программ, рассмотренных выше, разработчики коммерческих продуктов практически не предоставляют доступного объективного описания достоинств и недостатков систем, что значительно затрудняет выбор. Для решения этой проблемы в настоящее время ведется разработка единого стандарта на тестирование СОВ (http://www.ll.mit.edu/IST/ ideval/index.html). CMDST Компьютерная система обнаружения неправильного употребления (CMDST) была первоначально разработана корпорацией Science Applications International (http://cpits-web04.saic.com/satt.nsf/externalbycat), однако в настоящее время поддерживается и продается ODS Networks Inc. (http://www.ods.com/security/products/ cmds.shtml). Эта система предназначена для обеспечения безопасности серверов и осуществляет мониторинг иерархической сети машин. Система поддерживает статистическую и сигнатурную категории обнаружения и может генерировать отчеты о возможных тенденциях развития вторжения. В категории анализа аномалий CMDS использует статистический анализ для идентификации образов поведения, отклоняющихся от нормальной пользовательской практики. Профили пользовательского поведения обновляются каждый час работы системы. Они служат для выявления подозрительного поведения в каждой из трех основных категорий (вхождение в сет, выполнение программ и ознакомление с информацией). Вычисляются отклонения от ожидаемого (в течение часа) поведения и, если они выше порогового значения, генерируется предупреждение. Распознавание сигнатур поддержано экспертной системой CLIPS (http://www.axent.com/iti/netprowler/ idtk_ds_word_1.html). Факты, полученные из описания событий, имена объектов и т. д. используются для представления правил в системе. CMDS определяет сигнатуры нападения на UNIX системы, связанные с неудавшейся попыткой установления суперпользовательских полномочий, ошибкой входа в систему, активностью отсутствующих пользователей или критической модификацией файлов. Каждое из подобных событий имеет эквивалентный набор определенных сигнатур и для Windows NT. NetProwler Выпускаемая в настоящее время система NetProwler (http://www.axent. com/product/netprowler/default.htm) связана с системой Intruder Alert от компании Axent. Компонент Intruder Alert поддерживает обнаружение вторжения на основе защиты серверов, в то время как NetProwler (ранее именовавшийся ID-Track от компании Internet Tools, Inc) поддерживает обнаружение вторжений в сегментах сетей. Основу NetProwlerы”. Этот метод обеспечивает средства для интеграции небольших порций информации, которая извлекается из сети, в более сложные события, что позволяет проверять события на совпадение с предопределенными сигнатурами в реальном масштабе времени, а также формировать новые сигнатуры. NetProwler имеет библиотеку сигнатур для широкого спектра операционных систем и различных типов нападений, что позволяет пользователям самим строить профили, используя мастер определения. NetProwler также поддерживает возможность автоматизированного ответа. Система включает регистрацию и завершение сеанса, отправление сообщений по электронной почте, на пейджер и т. п., уведомлений на пульт администратора. NetRanger NetRanger (http:// www.cisco.com/ warp/public/778/security/netranger/) от Cisco Systems – СОВ в сетевых сегментах. С ноября 1999 года система называется Cisco Secure Intrusion Detection System. Программа работает в реальном времени и масштабируема к уровню информационной системы. Система NetRanger формируется из датчиков и одного или более Директоров, связанных системой почтовой связи. Каждый из датчиков развернут на базе аппаратной платформы Cisco, однако Директор реализован на основе программного обеспечения. Датчики размещаются в стратегических точках сети и контролируют проходящий сетевой трафик, анализируя заголовки и содержание каждого пакета, а также сопоставляя выбранные пакеты с образцом. Датчики используют экспертную систему для определения типа нападения. Для обеспечения совместимости с большинством существующих сетевых стандартов NetRanger дает пользователю возможность самостоятельной настройки сигнатур. В случае фиксации факта нападения датчик имеет возможность включить процесс сигнализации, просто регистрировать критичное событие, уничтожить сеанс или полностью разорвать сетевое соединение. Директор обеспечивает централизованную поддержку управления для системы NetRanger. Это включает удаленную инсталляцию новых сигнатур в датчики, сбор и анализ данных защиты. Состояние датчиков отражается на консоли администратора путем цветового кодирования. Нормальное состояние показывается зеленым, пограничное – желтым, критическое – красным цветом. Управление датчиками осуществляется через Директора при помощи инструмента nrConfigure на основе Java. Директор уведомляет персонал о событии через электронную почту. Centrax До недавнего времени компания Centrax продавала программу под названием Entrax. После слияния в марте 1999 года с компанией Cybersafe были внесены некоторые существенные технические изменения, система переименована в Centrax (http://www.centraxcorp.com/centrax22.html). Первоначально система Entrax была ориентирована на обеспечение безопасности отдельных серверов. Однако текущая версия Centrax включает как контроль событий в сегменте сети, так и обеспечение безопасности отдельных серверов. Centrax имеет два главных компонента – пульт управления и целевой агент. Они аналогичны ент может быть одного из двух типов: первый для сбора информации на основе централизованной, другой – на основе сетевой архитектуры. Целевые агенты постоянно находятся на машинах, которые они контролируют (например, индивидуальные PC, файл-серверы или серверы печати), и передают информацию для обработки на пульт управления. Для повышения эффективности сетевой целевой агент реализован на автономной машине. Агенты первого типа поддерживают более чем 170 сигнатур, в то время как агенты на основе сети поддерживают только 40 сигнатур. Агенты на основе централизованного анализа могут обнаруживать и реагировать в реальном времени на угрозы местного масштаба. Пульт управления служит для администратора системы консолью связи с СОВ и функционирует под Windows NT, в то время как целевые агенты реализованы под Windows NT или под OС Solaris. Сетевой целевой агент реализован под Windows NT. RealSecure RealSecure (http://www.iss.net/prod/ realsecure.pdf) от Internet Security Systems – еще одна СОВ в реальном времени, которая использует трехуровневую архитектуру, состоящую из: • модулей распознавания для сегмента сети; • модулей распознавания для отдельных серверов; • модуля администратора. Сетевой модуль распознавания расположен на специализированных рабочих станциях, обеспечивает обнаружение и ответ на вторжение. Он контролирует трафик пакетов, проходящий по определенному сетевому сегменту, на предмет наличия сигнатур нападения. Когда обнаруживается неправомочное действие, модуль может ответить, разрывая подключение, посылая электронную почту или сообщение на пейджер, делая запись сеанса, повторно конфигурируя выбранные межсетевые экраны или выполняя другие определяемые пользователем действия. Кроме того, сетевой модуль передает сигнал тревоги модулю администратора или стороннему пульту управления для продолжения программы мероприятий и мониторинга ситуации. Модуль распознавания для серверов – дополнение к сетевому модулю. Он анализирует ведущие файлы регистрации с целью выявления нападения, определяет результат нападения и предоставляет некоторую другую информацию, недоступную в реальном масштабе времени. Модули этого типа предотвращают дальнейшие вторжения, завершая пользовательские процессы и приостанавливая учетные записи пользователя. Все модули распознавания конфигурируются административным модулем, который контролирует их состояние. Как результат – достижение всесторонней защиты, легкость конфигурирования и управления с единственной консоли. Административный модуль работает с любыми блоками распознавания и как сменный модуль доступен для ряда архитектур сети и операционных систем. СОВ для государственных учреждений Первичные требования к СОВ заключаются в том, что они должны выявлять подозрительное сетевое действие, предупреждать и предлагать, если возможно, варианты ответа. На первый взгляд требования к коммерческим и правительственным системам одни и те же, однако они суБизнесмены заинтересованы в защите их сетей и информации только для создания прибыли. Компании активно покупают СОВ, поскольку ясно осознают угрозы, способные привести к потере данных или программ, составляющих определенную долю капитализации компаний. Подобно бизнесменам федеральное правительство заинтересовано в защите собственных сетей, однако первичное требование для него не в создании прибыли, а в защите национальной безопасности. Прежде всего требуется обеспечить обнаружение вторжений в государственные информационные сети со стороны спецслужб иностранных государств. В феврале 1999 года Министерство энергетики США, Совет национальной безопасности и Управление политики в области науки и техники Администрации США провели симпозиум “Обнаружение враждебного программного кода, вторжений и аномального поведения”. На мероприятии присутствовали представители как коммерческого, так и государственного секторов. В принятом документе был изложен ряд требований к СОВ, которые не должны реализовываться разработчиками в коммерческих продуктах: • усовершенствование методов обнаружения вторжений со стороны спецслужб иностранных государств; • более внимательная идентификация действий пользователей; • объективные оценки характеристик СОВ. Другое важное различие между коммерческими и правительственными требованиями – акценты внимания. Бизнесмены сосредоточены на получении своевременного описания подозрительного действия и возможности его прекратить. Для правительственных же организаций важно еще и выяснить мотивы, которыми руководствовался нарушитель. В некоторых ситуациях правительство может избирательно перехватывать информацию с целью разведки или исполнения постановлений суда. Коммерческие программные продукты ни сегодня, ни в ближайшее время не будут интегрироваться со специализированными программными комплексами перехвата информации (типа Carnivore). Одним из утвержденных на симпозиуме 1999 года положений было то, что производители коммерческих продуктов не будут разрабатывать объективные оценки СОВ. В настоящее время подобных стандартов не существует. Это может удовлетворить бизнесменов, но правительственные организации, основной задачей которых является национальная безопасность, должны знать, что и как делает конкретная программа. Другая проблема состоит в том, что коммерческая СОВ может быть приобретена любым пользователем. Это ведет к тому, что потенциальный нарушитель может приобрести продукт, используемый в государственной организации, и, досконально изучив его архитектуру, выяснить уязвимые места. Вероятность этого может быть снижена, если используется специально разработанное для государственных организаций и не попадающее в продажу ПО. В США подготовлены правительственные требования к обнаружению вторжения, что послужило поводом к разработке группы специализированных СОВ для государственных организаций. CIDDS CIDDS (Common Intrusion Detection Director System, также известная как CID Dная операционная среда, разрабатываемая для Центра информационной войны военно-воздушных сил США (Air Force Information Warfare Center, AFIWC). AFIWC – структура, ответственная за разработку СОВ для сетей ВВС США. В состав AFIWC входит Служба компьютерной безопасности Воздушных сил (AFCERT), занимающаяся разработкой ежедневных операций по администрированию и обеспечению защиты информационных сетей. Программное обеспечение CID Director состоит из набора программ C и C ++, на Java, сценариев и SQL-запросов базы данных Oracle. Director хранит информацию в локальной базе данных Oracle и с помощью графического интерфейса позволяет пользователю устанавливать корреляцию, изучать и анализировать потенциально опасные действия, злонамеренные или неправомочные события, происходящие в сетях ВВС США. CIDDS – центральная база данных и точка анализа для всех сетевых систем. CIDDS получает данные о подключениях и расшифровки стенограмм работы в реальном времени от ASIM (Automated Security Incident Measurement – автоматизированного измерителя инцидентов защиты), системы датчиков и других инструментальных средств обнаружения вторжения. Программное обеспечение ASIM датчика состоит из кода на языке C, программ Java, сценариев для оболочки UNIX (Bourne) и файлов конфигурации, которые вместе фиксируют, фильтруют и анализируют сеть. ASIM датчик – утилита перехвата и анализа разнородных пакетов данных. Датчик ведет мониторинг трафика протокола ip, tcp, udp, icmp, анализирует его для идентификации подозрительных действий. Есть два режима работы датчика: пакетный и режим реального времени. В типичной для ASIM инсталляции системного ПО датчика оба режима включены по умолчанию. В режиме реального времени идентифицируются строки и услуги, могущие указывать на попытки неправомочного доступа, и одновременно с посылкой предупреждения администратору немедленно включается аварийный процесс на сервере. Датчик пакетного режима собирает сетевой трафик за определенный период времени. Данные обобщаются и анализируются с целью идентификации подозрительных действий. Программное обеспечение генерирует расшифровки стенограммы собранных данных, которые могут быть просмотрены как локально, так и переданы в центральный офис (AFIWC/AFCERT) для наблюдения и анализа. Каждый день данные, собранные датчиками ASIM, шифруются на сайтах, сертифицированных AFCERT, и передаются в головную систему ASIM (AFIWC/AFCERT) для анализа специалистом-аналитиком. Аналитик определяет, является идентифицированное действие злонамеренным, неправомочным или нормальным. Планы дальнейшего развития предусматривают установку ряда CIDDS на различных уровнях во всех структурах ВВС. Они будут отправлять основную информацию в единую базу данных AFCERT. *** Проведенный анализ показывает, что для создания СОВ в настоящее время характерен переход к разработке систем, основанных на обнаружении вторжений в сетевые сегменты. Следует отметить, что для американского ты для коммерческого применения значительно отличаются от систем, рекомендованных для государственных учреждений. Это общая тенденция – правительственные организации должны использовать только специально разработанные безопасные информационные системы. Характерное свойство последних – ориентация не на автоматические алгоритмы распознавания признаков вторжений, а на экспертов-аналитиков, ежедневно оценивающих передаваемые данные. Особый интерес для отечественных разработчиков могут представлять свободно распространяемые системы, доступные в исходных кодах. При отсутствии отечественных разработок в этой области наличие исходных текстов программ позволит изучить свойства продуктов и приступить к созданию собственных программ этого класса. Главная страница / Архитектура отрасли |