Атаки на сеть и хосты не всегда возможно перехватить во время их проведения с помощью брандмауэров и другого инструментария защиты. Обнаружение атак способно стать вашими глазами и ушами.
Если только вы не живете в маленьком городке, где каждый знает каждого, то наверняка запираете входную дверь на замок. Но если кто-нибудь вломится в ваш дом в ваше отсутствие, то вы ничего не будете знать об этом, пока не вернетесь домой и не увидите разбросанные по всей квартире вещи.
Однако многих людей такая постановка вопроса не удовлетворяет. Чтобы узнать о грабеже вовремя, они устанавливают системы сигнализации для немедленного извещения полиции о любых подозрительных действиях. Коммерческие предприятия часто идут еще дальше и устанавливают системы наблюдения, чтобы захватить грабителей на месте преступления.
Мир информации также принял на вооружение эту весьма эффективную модель. Брандмауэры и системы идентификации можно уподобить замкам и запорам — они не дают проникнуть внутрь нежелательным визитерам и пропускают только знакомых. Однако они не в состоянии видеть все, что происходит в сетевой среде. Например, если одни атакующие специализируются на проникновении через брандмауэр, то другие его вообще минуют и проникают с помощью модемного доступа или другими путями. Кроме того, если атакующему удастся узнать пароль и проникнуть в закрытую в остальных отношениях сеть, то ни система идентификации, ни брандмауэр не будут знать о том, что посторонний проник внутрь и делает нечто запрещенное.
Другая проблема с брандмауэрами состоит в том, что они не очень-то подходят для контроля за активностью внутри корпоративной сети, откуда, как свидетельствует статистика, и исходит основная угроза. Подобные атаки могут быть инициированы недовольными сотрудниками и другими людьми, имеющими законный доступ в сеть и использующими эту привилегию для нанесения ущерба. Брандмауэры и системы идентификации жизненно необходимы, но для постоянного контроля за сетевым трафиком и знания о любых нетипичных событиях защиту сети следует укрепить с помощью системы обнаружения атак (Intrusion Detection System, IDS).
Продукты обнаружения атак позволяют знать о том, что происходит в вашей сети. Они помогают выявить атаки на основании заданных признаков (signature) и известных методов вторжения, а также идентифицировать статистические отклонения от типичного поведения. Они могут следить за такими параметрами, как загруженность ЦПУ и число и типы проходящих через систему пакетов. Кроме того, многие продукты обнаружения атак протоколируют любые подозрительные действия и помогают таким образом собрать улики на случай, если впоследствии злоумышленника потребуется преследовать по суду.
Продукты для обнаружения атак тесно связаны с родственной группой продуктов, обычно называемых средствами оценки риска, или, проще, сканерами. Если продукты обнаружения атак позволяют выявить атаку во время ее проведения, то сканеры в действительности проводят предупредительный поиск уязвимых мест в сети. Несмотря на свою меньшую известность, нежели брандмауэры и другие аспекты общей защиты сети, продукты для обнаружения атак быстро заполняют свою нишу.
ПРОРЫВ НА РЫНКЕ
Рынок продуктов для обнаружения атак обычно разделяют на два основных сегмента. Большинство из них предназначены для контроля либо за хостами и осуществляют мониторинг ОС и приложений, либо за сетью и проводят мониторинг трафика в реальном времени. Однако в последнее время отрасль стала предлагать и так называемые гибридные продукты, объединяющие функции обеих названных категорий, а также включающие компоненты для оценки рисков. Как можно представить, каждый из типов систем обнаружения атак имеет свои за и против, но в общем каждый из них выполняет весьма полезную службу.
Какую бы систему вы ни выбрали, она должна обладать всеми нижеперечисленными возможностями. Во-первых, она должна выполняться непрерывно, в фоновом режиме. Во-вторых, она должна быть отказоустойчива, иными словами, в случае краха или сбоя продукт не нужно было бы перестраивать или переконфигурировать. В-третьих, она должна быть не подвержена атакам. В-четвертых, она должна возлагать на систему минимальную дополнительную нагрузку. Наконец, система обнаружения атак должна адаптироваться к изменениям в сети, приложениях и устройствах.
Системы для хостов появились еще до того, как получили широкое распространение распределенные сети. В 80-х типичное обнаружение атак на хосты состояло в анализе журналов аудита на предмет аномальной активности. Этого было вполне достаточно, так как атаки на среды на базе мэйнфреймов были довольно редки. Обнаружение атак на хосты по-прежнему достаточно популярно, хотя его роль несколько изменилась с тех времен, когда компьютерным миром правили мэйнфреймы. Сегодня продукты на базе хостов обычно осуществляют контроль за журналами в системах Windows NT и UNIX. Они просматривают журнальные файлы и, при обнаружении изменений, сравнивают записи с характерными признаками атак. При выявлении подозрительных действий инструментарий обнаружения атак извещает системного администратора.
Системы обнаружения атак на хосты заслуживают внимания по нескольким причинам. Прежде всего, они могут сообщить о факте атаки и степени ее серьезности. Кроме того, хост представляет собой лучшее место для противодействия атакам. Продукты на базе хостов способны предоставлять весьма подробную информацию о том, кто к каким файлам обращается и когда пользователи начинают и завершают сеансы связи с сервером.
Этот класс систем обнаружения атак позволяет также выявить изменения в системных файлах и узнать о попытках установки потенциально вредоносного программного обеспечения. В частности, так называемые «потайные ходы» представляют собой специализированные программы, с помощью которых хакеры могут удаленным образом контролировать сервер и либо украсть информацию с сервера, либо изменить ее в злонамеренных целях.
Продукты на базе хостов имеют и иные преимущества, в частности относительно невысокую цену. Заказчики могут приобрести несколько агентов для выполнения на выбранных хост-компьютерах, затратив всего лишь пару сотен долларов на каждого агента. Ввиду того, что продукты для хостов выполняются на имеющемся оборудовании, таком, как серверы файлов и Web, никаких дополнительных устройств приобретать не надо.
Рынок IDS предлагает также продукты для обнаружения атак на сеть. Системы для сети осуществляют мониторинг за сетевым трафиком в реальном времени, в результате они могут более быстро реагировать на любую проводимую атаку и извещать о ней администратора. Принцип работы продуктов для сетей заключается в анализе заголовков пакетов, поэтому, в отличие от систем для хостов, они способны обнаружить такие атаки, как отказ в обслуживании, которые иными методами, без анализа пакетов, выявить невозможно. Более того, они могут проверять не только заголовок, но и содержимое пакета.
Продукты для сетей способны также прерывать атаки. Благодаря обнаружению в реальном времени они могут остановить проводимую атаку прежде, чем она нанесет сколь-нибудь серьезный урон, например блокирует критический сервер. Кроме того, в отличие от продуктов для хостов системы обнаружения атак на сеть не зависят от конкретной ОС.
Каждый вид продуктов обнаружения атак служит конкретной цели, так что на практике они выполняют различные функции. В идеале компании следует использовать системы обоих типов для сокращения риска атаки через незаделанные дыры.
Что касается такой важной области, как стандарты, никакого универсального метода для взаимодействия продуктов обнаружения атак между собой и с системами управления сетью пока не существует. Недавно IETF создала рабочую группу для определения формата обмена информацией об обнаружении атак. Эта группа работает над определением форматов данных и протоколов обмена для совместного использования информации об атаках несколькими системами обнаружения атак и управления.
Кроме того, Международная ассоциация компьютерной защиты (International Computer Security Association, ICSA) в декабре создала Консорциум обнаружения атак (Intrusion Detection Consortium, IDC) для разработки стандартов на сертификацию продуктов и информирования пользователей об этой категории продуктов.
СНОВА ДЕЖА ВЮ
Во многих отношениях рынок систем обнаружения атак находится сейчас на той же стадии, что и рынок брандмауэров несколько лет назад. Тогда далеко не всякая компания понимала важность наличия брандмауэра, и еще меньшее число позаботилось об их установке.
По всей видимости, обнаружение атак следует тем же путем. Сегодня практически каждая относительно крупная компания имеет по крайней мере один брандмауэр для защиты различных сегментов в сети. Однако те же компании могут практически ничего не знать об обнаружении атак. Тем не менее это обстоятельство не помешало зарождению рынка.
По оценкам Hurwitz Group, в 1997 году на продукты для обнаружения атак и оценки рисков компаниями было потрачено около 65 млн долларов. С ростом интереса и информированности о данном секторе рынка эти цифры должны значительно возрасти в ближайшие несколько лет.
Кроме того, рынок обнаружения атак напоминает рынок брандмауэров и происходящим процессом объединения крупнейших игроков — крупные, с устоявшейся репутацией компании приобретают более мелкие. Эта тенденция начала проявляться в начале 1998 года, когда Cisco Systems купила Wheel Group из-за ее технологии обнаружения атак (затем эта технология пополнила список предложений Cisco в области защиты).
В марте 1998 г., Security Dynamics подписала соглашение на сумму 32 млн долларов о покупке Intrusion Detection. Затем в июне 1998 года Memco Software завершила сделку по приобретению разработчика программного обеспечения для обнаружения атак AbirNet. Совсем недавно, в январе 1999 года, Axent Technologies, ранее приобретшая производителя брандмауэров — компанию Raptor, объявила о вхождении в ее состав Internet Tools.
Практически все поставщики средств защиты теперь заявляют, что у них есть продукты для выявления атак — точно так же, как раньше они заявляли о наличии у них брандмауэров. Для повышения привлекательности своих предложений многие производители продуктов для брандмауэров и VPN лицензируют недостающие технологии у разработчиков средств обнаружения атак. Чтобы не вносить ненужную путаницу, я ограничусь рассмотрением оригинального программного обеспечения для обнаружения атак.
КАК ХОРОШИЙ ХОСТ
Одним из поставщиков систем для хостов является ODS Networks, начавшая в марте 1999 года поставлять четвертую версию своего продукта Computer Misuse Detection System (CMDS). Данная система предназначена для серверов и рабочих станций Windows NT 4.0, но вскоре она будет поддерживать и платформы UNIX.
Продукт позволяет не только обнаружить очевидные признаки атаки, такие, как неудачная попытка регистрации, несанкционированный доступ с привилегиями root и изменение системы, но и определяет типичную картину использования хост-системы. Сравнивая определенные статистические параметры, он может выявить потенциальные нарушения защиты, например попытки регистрации поздно ночью или резкое увеличение числа просматриваемых файлов на сервере.
Другая система обнаружения атак на хосты под названием CyberCop Server предлагается Network Associates. Она выполняется как на Windows NT 4.0, так и на Solaris. Данный продукт дополняет брандмауэр в деле защиты серверных ресурсов и обнаружения таких атак, как незаконная регистрация и несанкционированное изменение узла Web. Он автоматически регистрирует информацию об атаке и отправляет предупреждение системному администратору, а также прерывания SNMP на центральную станцию управления.
Кроме того, рынок обнаружения атак на хосты не обошла своим вниманием и Security Dynamics, приобретшая продукт Kane Security Monitor вместе с компанией Intrusion Detection. Этот продукт позволяет защитить серверы Windows NT от таких отклоняющихся от нормы действий пользователя, как неудачные попытки регистрации и доступ к файлам, злоупотребление идентификаторами администратора и получение чрезмерных привилегий. Продукт состоит из трех частей: Console выполняется на клиентской машине администратора, Auditor Service — на сетевом сервере, а Agents устанавливаются с Console на машинах под NT, за которыми они должны следить.
Другая группа продуктов для обнаружения аномалий на сервере предлагается Tripwire Security Systems. Ее одноименные продукты выполняются на Windows NT, Red Hat Linux и Solaris и служат для мониторинга целостности файлов. Такой мониторинг подразумевает контроль за попытками изменения защищаемых файлов и добавления/удаления файлов в/из защищаемых каталогов. Tripwire сообщает о подозрительных действиях по электронной почте и создает базу данных об изменениях в системе в качестве доказательства вмешательства в ее работу.
Семейство продуктов Secured для обнаружения атак на хосты от Memco Software оптимизировано для конкретных типов приложений на базе серверов. Эта группа продуктов состоит из Secured for Web, Secured for E-mail и Secured for Firewalls. Все продукты выполняются на HP-UX от Hewlett-Packard и Solaris. Продукт для Web поддерживает Web-серверы Netscape Communications и Apache и предотвращает крах серверов или изменение страниц Web в результате несанкционированных действий пользователей. Secured for E-mail защищает серверы Sendmail посредством предотвращения случайных остановок. И, наконец, Secured for Firewalls защищает Firewall-1 компании Check Point Software от несанкционированного доступа.
Продукты Secured используют технологию защиты от переполнения буферов (Stack Overflow Protection, STOP) — любимого способа взлома серверов хакерами. Memco продвигает свою линию продуктов скорее как средство предупреждения атак, чем сообщения об атаках.
КТО СМОТРИТ ЗА СЕТЬЮ?
Системы обнаружения атак на хосты очень важны для выявления иногда практически незаметных изменений на серверах, наличие которых может тем не менее служить сигналом о вмешательстве в функционирование системы. Однако для мониторинга всех сетевых пакетов, приходящих и исходящих с данных IP-адресов внутри компании, вам не обойтись без систем обнаружения атак на сеть. Одним из предложений в этой области является Intruder Alert от Axent Technologies для непрерывного мониторинга всей сети, в том числе для контроля за маршрутизаторами, брандмауэрами, серверами Web и другими устройствами по указанию администратора. Кроме того, благодаря интеграции с платформами управления от Tivoli и HP, возможности мониторинга Intruder Alert значительно возросли. Продукт способен обнаружить ряд серьезных атак, в том числе троянских коней, изменения в ядре UNIX и в конфигурации системы, Satan, переполнение буферов и лавину запросов ping.
Другой продукт для обнаружения атак на сеть, NetRanger, предлагается Cisco. Он появился в результате приобретения компании Wheel Group. NetRanger состоит из двух компонентов: Sensor и Director. Sensor может работать практически в любой сети TCP/IP и следить за трафиком в сегментах локальной сети, соединениях Internet и сетевой части пулов модемов, связывающих компанию с внешними партнерами. Этот компонент анализирует заголовки и содержимое всех пакетов, а также взаимосвязь пакетов с другими в потоке данных. Сенсоры могут быть настроены для той области, мониторинг за которой они призваны осуществлять.
Например, если какой-то пользователь часто подает по своей природе безвредные запросы ping, то Sensor может быть сконфигурирован на игнорирование таких сигналов с конкретного сетевого адреса. При обнаружении возможного вторжения Sensor посылает предупреждение на консоль Director, другой компонент NetRanger. Director осуществляет надзор за несколькими сенсорами и подает предупреждения на пейджер, электронную почту и даже в приложения справочной службы. Кроме того, он помогает администратору определить, где именно произошла атака и насколько она серьезна. Информационная база данных содержит рекомендации о контрмерах и другие сведения об атаках.
Когда Memco Software в прошлом году приобрела AbirNet, она получила в свое распоряжение продукт для обнаружения атак под названием SessionWall-3. В октябре 1998 года AbirNet представила корпоративную версию продукта с поддержкой мониторинга всей сети из центрального узла. Продукт позволяет выявлять признаки атаки, известные вирусы, доступ с неразрешенных серверов Web и даже апплеты Java и код ActiveX. Кроме того, продукт протоколирует все события в системе электронной почты при просмотре Web, telnet и ftp.
При обнаружении чего-либо необычного SessionWall-3 посылает предупреждение по электронной почте или на пейджер, отправляет прерывания SNMP и блокирует подозрительные действия. Кроме того, он поддерживает контекстное динамическое блокирование открытых сеансов в зависимости от их содержания. Продукт может также создавать правила для блокирования последующих сеансов аналогичного типа.
ЛУЧШЕЕ ИЗ ДВУХ МИРОВ
Рынок систем обнаружения атак все больше склоняется в пользу гибридных продуктов, объединяющих лучшее от продуктов для хостов и сетей. Пока вы можете найти на рынке не больше дюжины подобных продуктов, но большинство отраслевых экспертов предсказывают не только рост, но и их доминирование на рынке в ближайшем будущем.
Internet Security Systems, одна из наиболее известных компаний-разработчиков систем обнаружения атак, предлагает один из первых гибридов RealSecure 3.0 с декабря 1998 года. Он позволяет обнаружить аномалии как на уровне сети, так и на уровне операционной системы и немедленно отреагировать на атаку.
RealSecure состоит из двух основных компонентов: RealSecure Detectors и RealSecure Manager. Детекторы располагаются в стратегических местах предприятия и осуществляют мониторинг сетевого трафика в реальном времени; кроме того, они следят за журнальными и системными файлами ОС. Менеджер позволяет конфигурировать и управлять детекторами из нескольких точек, включая HP OpenView и собственную консоль управления ISS.
Centrax также вышла на рынок гибридов со своим Entrax Security Suite 2.1 в январе 1999 года. Этот продукт позиционируется как единое интегрированное решение для управления корпоративной защитой из одной точки. Он поддерживает управление правилами, оценку уязвимости (во многом аналогично сканерам сети) и обнаружение атак на уровне хостов. Entrax совместим с Solaris и Windows и содержит 41 проверку для UNIX и 21 — для NT. Продукт может также обнаружить 64 типа событий в UNIX и 83 в NT.
Несмотря на то что многие компании предлагают как продукты для обнаружения атак, так и продукты для оценки рисков (сканеры), объединение их вместе, как поступила Centrax, представляется знаменательным шагом. Администратору важно знать как то, что происходит в сети, так и ее слабости.
ПОД СТРОГИМ НАДЗОРОМ
Хакеры постоянно изобретают новые способы проникновения в сеть, и, при всей своей важности, брандмауэры и другие системы защиты — не всесильны. Поэтому, вместо того чтобы запирать вашу дверь или надеяться на лучшее, вы можете приобрести все видящего и слышащего помощника в деле защиты сети в лице системы обнаружения атак.
ОБ АВТОРЕ
Анита Карве — помощник редактора Network Magazine. С ней можно связаться по адресу: akarve@mfi.com.Сканирование сети
Многие из компаний-разработчиков систем обнаружения атак предлагают и продукты другого типа, где реализован несколько иной подход к мониторингу подозрительной сетевой активности. Обычно называемые инструментарием для оценки рисков, или сканерами, эти продукты в действительности служат для нахождения потенциально уязвимых мест в сетевой среде. Большинство таких продуктов имеет огромные базы данных по известным атакам, которые они и пытаются провести против вашей сети для выяснения степени надежности ее защиты.
Установив программное обеспечение сканеров, администратор может указать подлежащие проверке IP-адреса, после чего сканер проверит операционные системы, маршрутизаторы, серверы и любые другие сетевые устройства, имеющие IP-адрес. Сканеры способны выявить самые разные бреши в защите, в том числе незащищенные паролем области, неправильно сконфигурированное программное обеспечение, переполнение буферов сервера и другие свидетельства потенциальных проблем. Кроме того, сканеры имеют развитые средства составления отчетов. Среди их ключевых возможностей — распределение потенциальных рисков по приоритетам, предложение исправлений и предоставление информации о контрмерах.
Одной из компаний, сделавших себе имя на рынке сканеров, является Internet Security Systems, чей Internet Scanner представляет собой один из наиболее популярных инструментов на рынке. Продукт осуществляет автоматическое сканирование сети и поиск дыр в защите с помощью базы данных об известных атаках. Он способен оценить слабость всей защиты компании, включая маршрутизаторы, брандмауэры, серверы Web и приложения.
Продукт позволяет выявить «потайные ходы», такие, как программа Back Orifice, получившие много внимания в последнее время, и удалить их прежде, чем злоумышленник сумеет ими воспользоваться. ISS гордится постоянным обновлением своего продукта, благодаря чему он предоставляет самую последнюю информацию об уязвимых местах защиты.
Network Associates также выпускает продукт для сканирования под названием CyberCop Scanner, который она продвигает под теми же лозунгами, что и продукт для обнаружения атак.
Security Dynamics предлагается еще один сканер, Kane Security Analyst, который она получила в результате приобретения компании Intrusion Detection в 1998 году. Этот продукт проверяет сети Windows NT и Novell NetWare на предмет неиспользуемых пользовательских бюджетов и идентификаторов, соответствия паролей требованиям политики защиты, установки сетевого антивирусного программного обеспечения и того, кто к чему обращается.
Приобретя Wheel Group, компания Cisco Systems получила вместе с ней сканер NetSonar для поиска дыр в защите посредством анализа маршрутизаторов, коммутаторов, рабочих станций, брандмауэров, серверов Web и других сетевых устройств. Продукт может строить подробные графики и диаграммы о том, где какие опасности имеются. Он может выполняться самостоятельно или быть сконфигурирован для работы вручную.
Axent Technologies также принадлежит к числу тех компаний, кто помимо продуктов обнаружения атак выпускает средства для оценки рисков. Ее NetRecon зондирует практически все сетевые устройства, включая маршрутизаторы, серверы, рабочие станции, серверы Web и брандмауэры, и проверяет на защиту против наиболее распространенных способов проникновения.
Другой имеющийся на рынке продукт для проверки уязвимости сети предлагает Netect, чей HackerShield рекламируется как антихакерское программное обеспечение. Продукт анализирует операционную систему и сеть на наличие целого ряда потенциальных дыр в защите. Он осуществляет проверку ftp, sendmail, отказа в обслуживании, потайных ходов, DNS и браузеров Web.
Рассматриваемые продукты и услуги
Axent Technologies
Intruder Alert, NetRecon http://www.axent.com
Centrax
Entrax Security Suite 2.1 http://www.centraxcorp.com
Cisco Systems
NetRanger, NetSonar http://www.cisco.com
Internet Security Systems
RealSecure 3.0, Internet Scanner http://www.iss.net
Memco Software
Secured, SessionWall-3 http://www.memco.com
Netect
HackerShield http://www.netect.com
Network Associates
CyberCop Server, CyberCop Scanner http://www.nai.com
ODS Networks
Computer Misuse Detection System 4.0 http://www.ods.com
Security Dynamics
Kane Security Analyst, Kane Security Monitor http://www.securitydynamics.com
Tripwire Security Systems
Tripwire for Unix, Windows NT http://www.tripwiresecurity.com
Ресурсы Internet
Отличной исходной точкой для знакомства с миром средств обнаружения атак является сервер технологий защиты, аудита и работы с компьютерами (Computer Operations, Audit, and Security Technology, COAST) по адресу: http://www.cs.purdue.edu/coast/intrusion-detection.welcome.html. Другим обширным источником информации по обнаружению атак может служить сервер Института компьютерной защиты (Computer Security Institute) по адресу: http://www.gocsi.com/intrusion.htm.
Любопытная статья о различных технологиях защиты и выборе наилучшей из них с учетом ситуации в вашей компании размещена на http://www.infosecuritymag.com/nov/ids.htm. Информацию о Рабочей группе IETF по формату обмена информацией об обнаружении атак (Intrusion Detection Exchange Format Working Group) можно найти на http://www.ietf.org/html.charters/idwg-charter.html.
Домашняя страница Консорциума разработчиков средств обнаружения атак (Intrusion Detection Consortium) имеет адрес: http://www.icsa.net/services/consortia/intrusion/.