Связь и интернет Архив Программирование
Интернет
Интернет

Обнаружение атак: реальность и мифы

Сотовые мобильные телефоныПолифонические мелодии для сотовых
Связь :
Новости
Мобильные технологии
Программы для сотовых
Картинки для сотовых
Новинки
Виды связи
Российские операторы
Сотовые телефоны
Мелодии для сотовых
Права потребителя мобильника
Это интересно!
Телефонные карты
Доска объявлений
Новости связи
Новые статьи

Интернет :
Новости
Новые технологии
Безопасность в интернет
История Интернета
Принцип работы Интернета
Создание сайта
Обучение Интернет
Право и Интернет
Интернет-бизнес
Техника в Интернет
Провайдеры России
Зарубежные провайдеры
Рейтинги почтовых служб
Литература
Словарь терминов
Гостевая
Партнеры
Голосование :
Ваша модель телефона:
Наиболее популярные модели :
Nokia 3310 271
Motorola v50 198
Siemens C45 139
Motorola T191 94
Siemens C55 93
Siemens ME45 87
Samsung SGH R220 82
Samsung SGH N500 79
Nokia 3510 74
Siemens M50 73
Поиск по сайту :
Новые статьи
Rambler's Top100 Rambler's Top100
Сотовые телефоны Новости
Интернет : Безопасность в интернет ->

Обнаружение атак: реальность и мифы

Воскресенье, три часа ночи. Сетевой администратор крепко спит у себя дома. Тем временем скрытая программа, тщательно составленная хакером, проживающим за тысячи миль от этого места, развертывает себя внутри корпоративной сети, позади межсетевого экрана, готовясь открыть путь в сеть, которая скоро уже будет беззащитной. Тихо, без ведома хакера, пейджер сетевого администратора активизируется: "Атака! Подробности доступны".

В течение нескольких минут администратор сети входит в свою сеть по защищенному каналу связи, получает доступ к системе обнаружения атак, и получает полное описание источника и природы атаки. После нескольких быстрых телефонных звонков попытка проникновения в сеть полностью блокирована, и представители закона выслеживают хакера, чтобы привлечь его к суду.

Звучит великолепно, не так ли? К сожалению, в реальной жизни системы обнаружения атак и реагирования на них даже близко не отвечают нашим требованиям. Все же системы обнаружения вторжений (Intrusion Detection Systems, IDS) являются ценным ресурсом, который покупают многие сетевые администраторы. Но стоит ли они тех денег, за которые предлагаются? Стали ли сети покупателей более защищенными?

Давайте обратимся к некоторым из возможностей систем обнаружения вторжений; рассмотрим их достоинства и недостатки.

Парадигмы в обнаружении вторжений

Исследователи работают над системами обнаружения вторжений уже длительное время, но так и не достигли того, что можно было бы назвать "настоящим прорывом". Обычно, направление исследований сфокусировано на направлении, которое называется "обнаружение аномального поведения" (Anomaly Detection Intrusion Detection Systems, AD - IDS). В принципе, AD - IDS "изучает" то, что составляет "нормальный" сетевой трафик; на его основе разрабатываются наборы моделей, которые обновляются с течением времени. Затем эти модели применяются для нового трафика, и трафик, который не соответствует шаблону "нормального" трафика, отмечается как подозрительный (аномальный).

AD - IDS являются привлекательными по своей концепции, но они требуют предварительного обучения. Однако реальность такова, что очень трудно классифицировать "нормальный" трафик. И это грустно. Поскольку сети со временем становятся достаточно крупными, число приложений, установленных в них, становится настолько большим и они настолько сложны, что сеть выглядит хаотичной. Хакер может анализировать и генерировать трафик для того, чтобы получить шаблон "нормального" трафика. Так что, рано или поздно, атака будет выглядеть как "нормальный" трафик и сможет пройти для IDS незамеченной.

Если IDS является консервативной относительно составных частей атаки, она будет иметь тенденцию генерировать большое количество "false positives" - ложных предупреждений об опасности - которые становятся электронным эквивалентом пастуха из известной притчи, который кричит "волк!", когда на самом деле волка со стадом рядом нет. Рано или поздно сообщения системы обнаружения атак начнут игнорировать.

По - прежнему в области аномального обнаружения проводятся обширные исследования. Обещается появление новых средств, включая объединение анализа защиты с методами визуализации и анализа данных. Однако по прошествии времени кажется, что AD - IDS не являются той "серебряной пулей", которая может решить проблему. Поэтому многие коммерческие фирмы реализуют более простые и легкие в эксплуатации формы IDS, называемые "системами обнаружения злоупотреблений" (Misuse Detection Intrusion Detection Systems, MD-IDS).

MD - IDS сильно напоминают антивирусные системы, подключенные к сети. Обычно они содержат набор сигнатур, которые описывают типы соединений и трафика, которые указывают на то, что развертывается конкретная атака.

Другие типы MD - IDS основаны на информации от хостов, например, из журналов регистрации операционной системы, для обнаружения событий, свидетельствующих о подозрительной деятельности.

Преимущества MD - IDS заметны сразу: быстрота, отсутствие "false positives". Слабая сторона MD - IDS заключается в том, что также как и сканеры вирусов, они не могут обнаружить того, о чем они не знают. К сожалению, атака, о которой вы не знаете, это именно то, что вы очень сильно хотели бы обнаружить.

Для того чтобы поддерживать вашу MD - IDS в рабочем состоянии, вам необходимо будет проводить постоянные обновления ее базы данных сигнатур за счет какого - нибудь поставщика, который содержит и платит стабильную зарплату прирученным хакерам. Но даже в этом случае вы по - прежнему будете оставаться уязвимым к атакам, которых пока еще никто не видел. Кроме того, как это ни прискорбно, хакер довольно легко скрывает следы атаки, дурача MD - IDS путем использования трюков вроде вставки пробела в поток данных, тем самым, изменяя сигнатуру атаки. Есть превосходная статья, описывающая эти проблемы (смотри статью компании "Secure Networks" под названием "Problems with Intrusion Detection Systems" на их Web - сайте, расположенном по адресу http://www.secnet.com, в разделе "white papers").

Уведомления о взломе

Сценарий, открывающий эту статью, вряд ли станет реальным в ближайшее время, если IDS используется не очень внимательно. Благодаря использованию метода, IDS может предоставить полезное и надежное уведомление об определенных классах инцидентов безопасности. Для того чтобы понять, как работают уведомления о взломе, рассмотрим, как они применяются в "реальном мире". Cистема уведомления о взломе - это IDS, которая опирается на понимание сети и того, что не должно происходить внутри нее.

Удивительно, но одним из самых лучших инструментов для построения системы обнаружения атак с уведомлением о взломе (burglar alarm intrusion detection system) является MD - IDS. Если возможно, должен быть кто - то, кто позволит вам сконфигурировать собственную базу правил, указывающую, куда и на что смотреть.

Сетевому администратору надо сесть и описать, опираясь на свои знания сети, какого типа события он хочет отслеживать. Затем настройте MD - IDS на обнаружение и уведомление о них. Например, предположим, что ваша сеть находится за межсетевым экраном (МСЭ), который блокирует IP трафик из Internet: анализируйте его и отправьте уведомление, если диапазон внешних IP - адресов из Internet виден в локальной сети.

Предположим, что МСЭ не позволяет проходить какому - либо трафику, за исключением E - mail (SMTP), новостей USENET (NNTP) и запросов к DNS - серверу: установите MD - IDS, чтобы она начинала выдавать уведомления, если через МСЭ все же устанавливаются какие - либо соединения с внутренними системами для других, отличных от разрешенных, сервисов.

Предположим, что вы обеспокоены тем, что кто - то внутри вашей организации, возможно, пытается взломать внешние серверы: установите MD - IDS так, чтобы она уведомляла вас, когда какая - либо из собственных сигнатур применима к трафику, проходящему через МСЭ. Уведомление снижает вероятность "false positives", потому что конфигурация уведомлений тесно связана с событиями, о которых вы знаете и которые хотите обнаружить.

Вероятно наиболее мощная способность IDS с уведомлением о взломе состоит в том, что они действуют неожиданно для хакера. Вы знаете свою сеть, а они нет. Если они проникли внутрь, им необходимо изучить вашу сеть для того, чтобы эффективно реализовать свои атаки. Также как и взломщик, который может открыть несколько чуланов и шкафов в поисках денег или ювелирных изделий, сразу же после того, как он проник за охраняемый периметр, хакер будет сканировать вашу сеть в поисках систем, которые стоит атаковать, или шлюзов к другим сетям. Поиск попыток внутреннего сканирования - эффективный способ обнаружения хакера.

Большинство хакеров не ожидают встретить достойной обороны, - они проникают внутрь и полагают, что как только они прошли МСЭ, то их уже никто не видит. IDS с уведомлением о взломе разрушает это предположение и, что также является многообещающим, хакер будет ступать по виртуальному минному полю, как только он проникнет за периметр защиты. Помните: в своей сети вы всегда сильнее, чем хакер - это преимущество вашего дома и вы должны эффективно использовать его.

В любом случае задумайтесь, зачем вы хотите иметь IDS? В идеальном сценарии, описанном в начале этой статьи, существует большое количество ложных допущений. Прежде всего, мы полагаем, что у сетевого администратора есть время и право на прослеживание и реагирование на атаки. К сожалению, большинство современных IDS не отслеживают хакера. Действительно, отслеживание - это чрезвычайно трудная задача, даже для большинства технически подготовленных экспертов. Обычно, все, что IDS способны сделать - это сообщить вам, что вас атакуют. Ну а что дальше?

Вероятно, большинство IDS в настоящее время развертываются не как системы обнаружения вторжения (Intrusion Detection Systems), а как системы обнаружения атак (Attack Detection Systems, ADS). Обнаружение атак представляет парадокс: если вы знаете, что конкретная атака существует, и блокируете ее, зачем вам заботиться о том, что кто - то пытается использовать ее против вас? Если вы знаете, что конкретная атака существует, и вы не блокируете ее, то зачем вы сидите и читаете эту статью? Бегите и защитите вашу сеть!

Возможно, фактор, заставляющий сетевых администраторов использовать MD - IDS в ADS режиме - обычное любопытство.

Интересно в короткий промежуток времени успеть задокументировать частоту и уровень атак, которым подверглась ваша сеть. Но $10000 и больше - это куча денег, которую придется потратить на это сомнительное удовольствие. Инструменты аудита также управляют рынком MD - IDS - если аудит вашей сети проводится экспертами в области защиты, вы будете раскритикованы, если их операции по тестированию и проникновению не будут обнаружены.

Поскольку многие аудиторы используют широкий спектр автоматизированных средств анализа защищенности типа "Internet Scanner" от компании Internet Security Systems. Inc. или "CyberCop Scanner" от компании "Network Associates", то существует возможность немедленной, эмоциональной расплаты, если у вас есть ADS, которая обнаруживает сканирование.

Сделайте паузу и поразмышляйте, какой нелепой может быть ситуация: вы тратите $10000 за то, чтобы ваша ADS обнаружила вашего аудитора, которого наняли за $20000.

Польза от этой ситуации заключается в том, что вы, по крайней мере, продемонстрируете определенную степень готовности, потому что вы сможете обнаружить атаки.

Теоретически, ADS вас будет предупреждать, и повышать вашу бдительность в течение определенного периода времени, повышая ваши шансы в обнаружении и противодействии реальной атаке. Это является выгодным, поскольку хакер является достаточно "вежливым", чтобы предупредить вас запуском программы SATAN против вашей сети, прежде чем он запустит реальную атаку.

Keep 'A Knocking - You Can't Come In

Многие организации, которые в настоящее время не обнаруживают и не учитывают атаки, не осознают, что их ждет неприятный сюрприз, когда они проинсталлируют IDS или ADS.

Они обнаружат, что даже когда они знают, что атака запущена, не существует эффективных способов противодействия, которые они могли бы применить против нее.

Сегодня вы не можете полагаться на адрес, из которого, как видно, происходит атака. Он может принадлежать безвредному "парню, чей компьютер уже скомпрометировали".

Даже если вы знаете, откуда происходит атака, то почти всегда оказывается, что она идет от пользователя, чей пароль был украден, или с адреса, который был зарегистрирован по украденной кредитной карточке. Полное отслеживание такой атаки - это отвратительно долгая по времени и сложности задача, которая связана с публичным доступом, потому что другого пути получения прибылей в вашем бизнесе нет. По - прежнему, наиболее эффективным по стоимости методом будет просто перестать гоняться за хакерами и вернуться к работе. Но это снова возвращает нас к вопросу: зачем вам нужно обнаруживать атаку, если вы знаете, что вы ничего не сможете сделать против нее? Может быть, незнание будет для вас большим счастьем?

Что делать?

К сожалению, "серебряной пули" не существует. Если вы понимаете ограничения и возможности IDS, то вы можете эффективно использовать их. Для того, чтобы ваши IDS работали наилучшим образом, сядьте и составьте перечень всех типов событий, которые вы знаете и которые могут вызвать серьезные проблемы в вашей сети, затем настройте систему, чтобы она могла видеть их.

Если вы установили вашу IDS снаружи вашего МСЭ, вероятно, вы установили ее в неправильном месте - двигайтесь внутрь. Количество атак во внутренней сети должно быть очень небольшим, и будет исходить либо от аудиторов, либо от хакеров, которые каким - то образом пробрались через защиту вашего периметра. В самом худшем, хотя и вполне возможном случае, можно обнаружить сотрудников, которые запускают атаки против внешних серверов в сети Интернет. Нам всем хочется верить, что этого не происходит, но самое лучше обезопасить себя от этого.

Что касается сети Internet, то средства защиты улучшается с большой скоростью. Современное поколение IDS - это только начало. В будущем мы увидим, что IDS комбинирует обнаружение аномалий и обнаружение злоупотреблений, и, будем надеяться, что они будут гладко интегрироваться с МСЭ и другими системами защиты. Так что следите за развитием технологий в этой области, и широко используйте их сегодня: сеть, которую вы спасаете, может быть вашей собственной.


Автор: Маркус Ранум


ТОП-5 Самых новогодних иностранных фильмов! ТОП-5 Самых новогодних иностранных фильмов!
В продолжение подборки самых новогодних отечественных фильмов предлагаем ТОП-5 лучших новогодних иностранных фильмов
Онлайн казино - лучшее предложение любителям азартных игр! Онлайн казино - лучшее предложение любителям азартных игр!
Азартные игры входят в число самых древних развлечений человека


Комментарии к статье

 
Copyright ©RIN 2003 - 2004.* connect@rin.ru
Российская Информационна Сеть