|
|
  |
Главная страница / Архитектура отрасли ОБЗОР СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙЭкспериментальные СОВ Исследования по обнаружению вторжения начала 90-х годов привели к созданию целого ряда новых инструментальных средств (http://seclab.cs.ucdavis.edu/papers.html). Однако большая часть их разрабатывалась студентами только для изучения базовых концепций. Вместе с тем они серьезно повлияли на выбор направления последующих исследований. В ранних разработках применялась в основном централизованная архитектура СОВ, но стремительный рост телекоммуникационных сетей разного назначения привел к тому, что усилия специалистов были сосредоточены на системах с сетевой архитектурой. Описанные далее средства отражают базу активных исследований в области обнаружения вторжений. Первые продукты – EMERALD и NetSTAT были сформированы на базе схожих подходов. Третий инструмент Bro – уникальный продукт для изучения проблемы проникновения в сеть с использованием попыток перегрузки или дезинформации СОВ. EMERALD EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), разработанный компанией SRI, – самый современный инструмент в своем классе. Эта линия инструментальных средств создавалась для исследования проблем в обнаружении вторжения, связанных как с выявлением отклонений от нормального пользовательского поведения (аномалий), так и с определением характерных “образов” вторжения (сигнатур). Первые работы SRI в области обнаружения вторжения начались в 1983 году, когда был разработан уникальный статистический алгоритм, способный уловить различия в поведении пользователя. Несколько позже подсистемы анализа сигнатур вторжения были дополнены экспертной системой P-BEST (www2.csl.sri.com/emerald/pbest-sp99-cr.pdf). Результаты исследований были реализованы в одной из ранних версий СОВ компании SRI – IDES (www2.csl.sri.com/nides.index5.html), способной в реальном времени контролировать действия пользователей, подключенных к нескольким серверам. На основании проведенных исследований в 1992–1994 годах был создан коммерческий продукт NIDES (www.sdl.sri.com/nides.index5.html). Подобно своему предшественнику, этот инструмент был предназначен для защиты отдельных серверов (host-based) и использовал экспертную систему P-BEST. Однако создатели системы пошли несколько дальше, добавив компонент “Resolver”, способный объединять результаты статистического анализа и анализа сигнатур. Интерфейс пользователя в NIDES был также существенно усовершенствован. Следующей СОВ, разработанной этой командой, стала система EMERALD. Она базируется на результатах ранних экспериментов с IDES/NIDES, но на сей раз направлена на обеспечение безопасности сетевых сегментов (network-based). Главная цель создания этого продукта состоит в решении проблем обнаружения вторжений в больших гетерогенных сетях. Такие среды более трудны для контроля и анализа в силу распределенного характера поступающей информации. EMERALD объединяет пользователей в совокупность независимо управляемых доменов, обеспечивающих необходимый набор суется индивидуальная политика безопасности, причем отдельные домены могут иметь доверенные отношения с другими. Ориентация на единое централизованное хранилище поступающей информации ведет к снижению эффективности системы в целом. Это и послужило основным мотивом создания системы EMERALD. Иерархический подход обеспечивает три уровня анализа, выполненного тройственной системой мониторов: мониторы сервисов, домена и окружения. Они имеют общую базовую архитектуру, набор анализаторов профилировщика (для обнаружения аномалий), анализаторов сигнатуры и resolver-компоненту (для интеграции результатов). Работа с NIDES продемонстрировала, что статистические методы могут быть эффективны как для контроля пользователей, так и прикладных программ. Однако контроль последних (например, анонимный ftp) оказался особенно действенным, так как для анализа требовалось меньше прикладных профилей. Поэтому в EMERALD была реализована методика, обобщающая понятие “профиля анализа”, где управление профилем отделено от анализа. В дополнение к интегрированию следствий статистического анализа и анализа сигнатуры решающая компонента (resolver) обеспечивает ряд дополнительных функций, позволяющих встраивать в среду EMERALD анализаторы, разработанные сторонними фирмами. Работы по созданию системы EMERALD еще не завершены, это направление разработки СОВ нового поколения продолжает оставаться одним из самых перспективных. Поскольку противник становится все более искушенным в организации вторжений, следует ожидать, что он будет стремиться рассеивать следы своего присутствия по всей сети, сводя к минимуму возможность его обнаружения. В таких ситуациях способность собирать, обобщать и анализировать информацию, исходящую от разнообразных источников в реальном времени, становится главным свойством СОВ. По мнению ряда экспертов, гибкость масштабируемой архитектуры, возможность интеграции внешних инструментальных средств делает EMERALD предшественником будущих инструментальных средств обнаружения вторжения. Однако управление и поддержка инфраструктуры СОВ и ее информационной основы в виде базы знаний для экспертной системы может потребовать существенных усилий и затрат. NetStat NetStat – последний продукт из линии инструментальных средств “STAT”, созданных в Калифорнийском университете в Санта-Барбаре. Исследования по проекту STAT начала 90-х были сосредоточены на использовании анализа состояний системы и процессов перехода в них системы с целью обнаружения вторжений в реальном масштабе времени (http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html). Подход основан на предпосылке, что некоторые последовательности действий, однозначно указывающие на нарушителя, переводят систему из начального санкционированного состояния в другое – несанкционированное. Большинство централизованных СОВ в категории аномалии анализируют доказательство вторжения в контрольном следе на компьютере. Однако в методе STAT контрольная информация преобразована через “аудитьтрует и обобщает информацию. Такие абстракции, более подходящие для анализа, называются “сигнатурами” и являются самым важным элементом в подходе STAT. Последовательность действий, описанная сигнатурой, перемещает систему через ряд состояний, каждое из которых все ближе подводит систему к несанкционированному. Последовательности вторжения определены посредством переходов между состояниями, которые зафиксированы в наборах продукционных правил. Первоначально метод был реализован в UNIX-системе USTAT, предназначенной для защиты отдельных серверов. На основе описания состояний используется таблица блока вывода для отслеживания каждого возможного вторжения, что позволяет USTAT идентифицировать скоординированное нападение, исходящее из множества источников. NSTAT (http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html) является естественным преемником USTAT. Система NSTAT ориентирована на поддержку обнаружения вторжений в сети серверов, имеющих единую распределенную файловую систему. В этом случае действия типа монтирования каталогов на одном сервере могут влиять на другие машины в сети. Наличие одной централизованной системы позволяет эффективно обнаруживать нападения в случае, когда задействовано несколько серверов. В этом случае локальные системы обнаружения на серверах преобразовывают контрольные данные в формат NSTAT и объединяют их для анализа в один файл. В настоящее время система NetStat (http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html) продолжает развиваться. Вносится ряд существенных изменений в архитектуру системы, приоритетным становится обеспечение безопасности сетевых сегментов, а не отдельных серверов. NetStat включает набор зондов, отвечающих за обнаружение и оценку вторжений в тех подсетях, где они функционируют. Каждый из них обеспечен фильтром данных с перестраиваемой конфигурацией, блоком вывода и решателем и способен действовать автономно. Если будут обнаружены компоненты вторжения, то информация о событии может быть отправлена другим заинтересованным зондам, которые подпишутся на информацию о подобных событиях, что позволит более полно понять схемы вторжения. Этим способом могут быть идентифицированы разные подсети, которые участвуют в осуществлении вторжения. Зонды связаны с анализатором – автономным инструментом, который поддерживает порождение и управление зондами. Анализатор состоит из базы фактов, базы данных сценариев вторжения, основанных на состоянии системы, блока анализа и диспетчера программы конфигурации. Он определяет событие, для которого должны быть проверены данные, а также место проверки, какая информация о сетевой топологии требуется и др. Для выполнения этих действий система обращается к информации об использовании сетевых ресурсов, располагающейся вместе с базой данных сценария. Затем информация передается составителю программы конфигурации, который в свою очередь генерирует конфигурацию зондов. Bro Bro (http://www.aciri.org/vern/papers.html) – исследовательский инстрвается Национальной лабораторией им. Лоуренса Ливермора Министерства энергетики США. Система строится для изучения проблем отказоустойчивости СОВ. Bro имеет иерархическую архитектуру с тремя уровнями функций. На самом низком уровне Bro использует утилиту libpcap для извлечения из сети пакетов с данными. Этот блок делает независимыми от технических особенностей телекоммуникационной сети, в которой развернута система, основные блоки анализа по обнаружению вторжения, что также позволяет отклонять существенную долю пакетов. Таким образом libpcap, к примеру, может перехватывать все пакеты, связанные с прикладными протоколами (например, ftp, telnet и др.). Следующий уровень – уровень события выполняет проверки целостности по заголовкам пакетов. Если заголовок плохо сформирован, будет сгенерировано событие о возможной проблеме. Затем запускается процедура проверки, чтобы определить, было зарегистрировано полное содержание пакета или только информация заголовка либо вообще ничего. События, сгенерированные в результате этого процесса, размещаются в очереди, которая опрашивается интерпретатором сценария политики. Сам сценарий постоянно находится на третьем уровне иерархии. Интерпретатор сценария политики, написанный на внутреннем языке Bro, связывает значения случая с кодом для обработки и затем интерпретирует код. Выполнение кода может закончиться генерацией дальнейших событий, регистрацией уведомления в реальном времени или регистрацией данных. В настоящий момент Bro контролирует четыре прикладных сервиса – finger, ftp, portmapper и telnet, но имеет возможность расширения функций. Bro работает под несколькими вариантами ОС UNIX и используется как часть системы защиты Национальной лаборатории. Начиная с 1998 года результатом функционирования Bro стало формирование 85 сообщений об инцидентах, переданных в CIAC и CERT/CC. Разработчики особо подчеркивают способность системы обрабатывать высокоскоростные потоки информации. Bro не испытывает проблем с потерей пакетов в сети FDDI на скорости 25 Мбит/с при пиковой производительности до 200 пакетов в секунду. Примеры общедоступных СОВ Существует ряд свободно распространяемых систем, которые могут использоваться для обнаружения вторжения. Ниже рассматриваются две из них – Shadow и Network Flight Recorder, которые созданы объединенными усилиями военно-морского Центра сухопутных операций США, компанией Network Flight Recorder, Агентством национальной безопасности США и Институтом SANS (http://www.nswc. navy.mil/ISSEC/CID/). Уровень поддержки этих систем несколько ниже, чем коммерческих, поэтому для работы с ними требуется более высокая квалификация персонала. Однако многим такие системы очень интересны в силу доступности исходных кодов, что позволяет лучше понять и оценить принципы работы СОВ, их возможности и ограничения. Рассматривается также утилита Tripwire (http://www.tripwiresecurity.com/products/history.html) – инструмент, подобно Network Flight Recorderк и коммерческих систем. Shadow Система Shadow (http://www.nswc. navy.mil/ISSEC/CID/step.htm) использует датчики и анализирующие станции. Датчики обычно располагаются в важных точках сети, например на внешней стороне межсетевых экранов, в то время как станция анализа находится внутри защищенного сегмента сети. Датчики извлекают заголовки пакетов и сохраняют их в файле. Эта информация ежечасно фильтруется анализирующей станцией и на ее основе генерируется соответствующий журнал событий. Философия Shadow такова, что предупредительные сообщения не должны генерироваться, когда события уже идентифицированы и есть стратегия реагирования. Этот принцип взят из опыта работы с другими СОВ, где множество предупреждений оказывались ложными, отвлекали и раздражали пользователей. Анализирующая станция использует Web-интерфейс для отображения информации от датчиков или отображения результатов фильтрации на необработанных данных. Shadow функционирует под многими UNIX-системами, включая FreeBSD и Linux. Network Flight Recorder Network Flight Recorder (NFR) еще недавно была доступна как в коммерческой, так и свободной версии. Однако NFR прекратил доступ к старому исходному тексту версии, потому что свободное ПО не было столь же эффективно, как коммерческий продукт, а пользователи могли принять его за последний. Вместе с тем NFR по-прежнему планирует делать коммерческую версию доступной для изучения, хотя, очевидно, уже не в исходных кодах. Подобно Shadow NFR использует несколько измененную версию libpcap для извлечения случайных пакетов из сети (эта версия может извлекать не только заголовки, но и тело пакета). База данных и модуль анализа функционируют на той же самой платформе вне межсетевых экранов. Однако копии NFR могут быть размещены также в стратегических внутренних точках для обнаружения потенциальных угроз, исходящих от внутренних пользователей сети. NFR включает законченный язык программирования N, предназначенный для анализа пакетов. Функции генерации предупреждений и отчетов используются для извлечения данных после фильтрации и формирования выходных форм. Функция сигнализации может посылать информацию о событии по электронной почте или по факсу. Функция записи объединяет данные в форматы, требуемые различными модулями анализа выходных форм. Tripwire Tripwire – инструмент оценки целостности файла, который был разработан в университете г. Пурду, США. Подобно NFR эта программа входит как в общедоступные, так и коммерческие версии. Tripwire отличается от большинства других инструментальных средств обнаружения вторжения тем, что не ищет подозрительных действий, а занимается поиском изменений в уже проверенной файловой системе. Tripwire вычисляет контрольные суммы или криптографические подписи файлов. Если такие подписи были вычислены в условиях, когда файловая система находится в безопасности, и были сохранены таким способом, что не могли быть изменены, их можно использовать для сравнеления возможных изменений. Tripwire может быть сконфигурирован по-разному: сообщать администратору о всех изменениях в проверенной файловой системе, выполнять проверки целостности регулярно и обеспечивать администраторов систем информацией для восстановления системы в случае вмешательства. Tripwire может обеспечивать восстановление наряду с обнаружением вторжения – особенность, несвойственная большинству СОВ. Подход программы независим от типа события, однако она не будет обнаруживать вторжение, не изменяющее проверенные файлы. Кроме этого, запуск Tripwire вне расписания полезен для оценки ущерба после возможного вторжения. Текущий коммерческий выпуск Tripwire – версия 2.X для ряда платформ UNIX и Windows NT 4.0. Бинарная версия 2.0 для Red Hat Linux 5.1 и 5.2 доступна бесплатно. Версия 1.3 доступна в исходных кодах и представляет состояние программы на 1992 год. Согласно заявлению разработчика все версии Tripwire, начиная с 2.0 коммерческой редакции, включают: • скрытое криптографическое подписание – программное обеспечение для UNIX использует криптографическую технологию электронной подписи. Подписание базы данных Tripwire и файлов политики поддерживает целостность этих критических файлов; • усовершенствованный язык политики – в новых версиях этот язык был расширен, чтобы добавить гибкости в определение правил; • сообщения электронной почты – программное обеспечение для UNIX посылает сообщения по электронной почте администратору системы. Продолжение в следующем номере Главная страница / Архитектура отрасли |