Во второй части серии тестов, посвященной сетевым системам обнаружения вторжений, исследовались продукты от Network Associates, Internet Security Systems, Symantec и Netscreen. От Snort и ее разновидностей они отличаются прежде всего правилами.

В августовском номере «Журнала сетевых решений/LAN» ,sk представлен отчет о результатах тестирования свободно распространяемой системы Snort и ее коммерческих производных - Opensnort от Sourcefire и Packetalarm от Varysys. Теперь читателю предлагается возможность ознакомиться с особенностями имеющихся на рынке средств для обнаружения вторжения, ядра которых разрабатывались самими производителями: IntruShield от McAfee Security в корпусе IntruVert 1200, RealSecure SiteProtector от Internet Security Systems (ISS) в виде специализированного устройства Proventia A-201, а также Manhunt от Symantec и IDP 100 от NetScreen на платформе Dell Poweredge 1650.

Общее впечатление от проведенных испытаний таково: если системы обнаружения вторжения в сеть (Network Intrusion Detection System, NIDS) на базе Snort иногда сталкивались с проблемами при распознавании известных и неизвестных атак, то продукты из второй серии тестов лучше справлялись со своей задачей отчасти благодаря содержащимся в закрытых кодах правилам. Это особенно было заметно в случае McAfee при распознавании инжекций SQL и спуфинге ARP.

Тестовая среда и сценарии остались прежними. Несколько атакующих и атакуемых компьютеров взаимодействовали по разделяемой среде и находились в одной локальной сети, к которой подключались тестируемые системы обнаружения вторжений вместе с их управляющими станциями. Все четыре продукта должны были продемонстрировать, в какой мере они способны распознать два метода инжекции SQL, спуфинг ARP и атаки на классические уязвимые места, как описанные в идентификаторах Bugtraq DDI-1013, 1387, 5363 и 8205. При сравнении обращалось внимание на управление, графическое представление (см. Рисунок 1) и извещение о событиях.

Рисунок 1. Показания об атаках в реальном времени: системы (здесь - экран McAfee) представляют происходящее в сети в графической форме разными способами.

INTRUSHIELD И INTRUVERT 1200

Компания Network Associates (NAI) была основана в 1986 г. в г. Санта-Клара в Калифорнии. В апреле 2003 г. она инвестировала 100 млн долларов в приобретение IDS IntruVert. Директор NAI Джин Ходжес тогда заявил: «Мы думаем, что это единственный производитель, чья технология в состоянии не только обнаружить атаку, но и надежно защитить атакуемую сеть». Тем самым NAI стала конкурентом своему бывшему партнеру - компании ISS, с которой у ней было заключено соглашение о сотрудничестве в области обнаружения вторжений. Подразделение NAI, работающее в том числе и в этом сегменте, называется McAfee Security.

Компания, получившая известность благодаря своему антивирусному программному обеспечению и приложениям для прослушивания сети, предоставила оборудование IntruVert 1200 вместе с предназначенным для него ПО IntruShield версии 1.9.

Устройство, которое - помимо тестируемого пассивного режима - может устанавливаться «в разрыв», продемонстрировало очень стабильную работу: после намеренного отключения электропитания во время загрузки программного обеспечения и повторного включения обновление ПО продолжалось без какого-либо ущерба для системы. Конфигурация сетевых настроек проводилась посредством командной строки через последовательный интерфейс. К сожалению, производитель не предоставил информации о том, какие аппаратные компоненты установлены в устройстве.

При потере датчиком связи с управляющей станцией система способна сохранять информацию об около 100 тыс. атак на базе сигнатур с последующей передачей ее менеджеру после восстановления соединения. Управляющее программное обеспечение, работающее также под управлением Solaris 9, во время тестирования устанавливалось на англоязычную версию Windows 2000 Server с Service Pack 4. В процессе 15-минутной инсталляции пользователю предлагалось отдать предпочтение одной из баз данных - Oracle 9i или MySQL. На этот раз выбор пал на MySQL по причине небольшого размера сети менеджеров и датчиков. Дополнительно были установлены Java версии 1.3 и Java WebStart, которые IntruShield использует в качестве базисного ПО и для графического представления.

Сразу после входа в сетевую консоль посредством HTTPS пользователь получает централизованный вид всей системы. Если в области «состояние системы» (System Health) отображается информация о статусе управляющей станции, специализированного устройства и базы данных, то «сводка угроз» (Alert Summary) сообщает о распознанных атаках - как за определенный период, так и в реальном времени (при помощи технологии принудительного распространения Java Push).

Во время тестирования можно было видеть непосредственное перемещение последних атак сверху вниз. Однако в случае аналогичного повторного нападения система сообщала об атаке с задержкой до 2 мин по причине проведения корреляции с предыдущими событиями. Если атака с использованием одного из 86 протоколов успешно распознавалась на уровне со второго по седьмой, то NIDS показывала всю необходимую для оценки и реагирования информацию. Опция в программе просмотра угроз (Alert Viewer) позволяла проверять сигнатуры правила, на основании которого была идентифицирована атака. Это оказалось особенно полезным при распознавании инжекций SQL.

К сожалению, правила не удается посмотреть полностью, поскольку производитель объявил их «закрытыми». Система содержит более 2600 правил. Собственные правила пользователь должен создавать в формате Бэкуса-Наура (Backus-Naur Form, BNF). Правила Snort продуктом от McAfee напрямую не поддерживаются. Однако у производителя должна иметься возможность, вручную или при помощи самостоятельно написанного сценария на Perl, перевести правила из открытых кодов в формат, совместимый с IntruShield.

Рисунок 2. Полезная особенность IntruShield от NAI/McAfee: виртуальные IDS для заданных областей IP-адресов.

Для более подробного исследования пакетов - к примеру потока пакетов какой-либо атаки - дополнительно можно установить инструмент Ethereal. Еще одна область сетевой консоли открывает - также с хорошим представлением - доступ к созданию отчетов и конфигурации. Система готовит отчеты обо всей необходимой информации в разных вариантах и сохраняет их в формате HTML или PDF.

Одно из главных преимуществ IntruShield состоит в конфигурации. Наряду с общими настройками имеется возможность определять так называемые «виртуальные IDS» для конкретных IP-адресов или их групп, которые представляются в качестве субинтерфейса с собственной политикой в пределах физического интерфейса прослушивания сети устройства IntruVert (см. Рисунок 2).

Хорошим подспорьем для пользователя являются печатная версия руководства и интегрированная оперативная подсказка. Правда, требования системы к аппаратному обеспечению очень высоки. Для инсталляции Windows 2000 с MySQL как минимум необходима машина с процессором Pentium 4 и оперативной памятью объемом 1 Гбайт. В момент написания статьи IntruShield с соответствующим аппаратным обеспечением проходил сертификацию на соответствие уровню EAL 3 «Общих критериев».

REALSECURE SITEPROTECTOR НА БАЗЕ PROVENTIA A201

Основанная в 1994 г. компания Internet Security Service (ISS) предоставила специализированное устройство Proventia A201 с управляющим программным обеспечением RealSecure SiteProtector 2.0 с Service Pack 3. Инсталляция программного обеспечения вместе со всеми настройками заняла 10 мин. На подготовку управляющего компьютера с установленным Windows 2000 Server (с Service Pack 4) и MS SQL 2000 (с Service Pack 3) ушло еще 20 мин. Загрузка новых правил и программного обеспечения для отдельных компонентов и оборудования выполнялась при помощи функции автоматического экспресс-обновления на сайте производителя. Этот процесс занял еще 30 мин. После активации соответствующей политики использующая все правила IDS контролировала сетевой трафик 106 протоколов и распознала почти все атаки. К сожалению, программное обеспечение для управления оказалось сложным для визуального восприятия и непростым в обслуживании.

К примеру, все события сводились в одну таблицу (см. Рисунок 3), однако если требовалась более подробная информация о содержании полезной нагрузки, то система показывала не привычный шестнадцатеричный дамп памяти, что облегчило бы анализ, а представляла данные в виде обычного текста в таблице событий.

Рисунок 3. Детали анализа событий системы от ISS.

Информация об отдельных атаках подробна и дополняется справками. Хотя функция создания отчетов и выдавала все необходимые сведения в текстовом и графическом виде, точная настройка слабо детализируема и оставляет желать лучшего. Очень удобной, напротив, оказалась модернизация IDS при помощи экспресс-обновления. Так, система самостоятельно проверяет наличие нового программного обеспечения или новых версий сигнатур для используемых компонентов. Многие функции, входящие в пакет поставки прочих IDS, в случае ISS предлагается приобретать отдельно (в частности, это придется сделать, чтобы обеспечить корреляцию атак с действительно имеющимися в сети системами).

Представленная документация была очень подробной, однако оказалась не самой новой, поэтому множество нужной информации приходилось добывать в общедоступной базе знаний, впрочем, вполне исчерпывающей, благодаря полноте изложенного в ней материала.

MANHUNT НА БАЗЕ DELL POWEREDGE 1650

Symantec (год основания - 1982 г.) в 2000 г. после обмена акциями стоимостью 975 млн долларов приобрела компанию Axent вместе с ее продуктом NetProwler; а летом 2002 г. за 135 млн долларов была куплена компания Recourse, так что Manhunt стала второй системой обнаружения вторжений в арсенале известного производителя ПО.

Для тестирования Symantec предоставила приложение Manhunt версии 3.01. Продукт инсталлировался на Red Hat Linux 8.0 с ядром 2.4.20-24.8.i686, а в качестве аппаратной платформы послужила система Dell PowerEdge 1650.

Благодаря инсталляционному сценарию установка оказалась очень простой и отняла всего несколько минут. Так же быстро был установлен на компьютер под управлением Windows XP Professional с Service Pack 1 и интерфейс управления на базе Java. Во время выполнения конфигурации выяснилось, что и руководство пользователя, и оперативная подсказка содержат множество посвященных установке разделов, которые частично дублируют друг друга или содержат перекрестные ссылки.

Как выяснилось из разговора с техническим сотрудником производителя, для активации датчика и пользовательского интерфейса со всеми сигнатурами достаточно пяти операций. Так, после включения лицензии и обновления сигнатур вручную необходимо лишь указать подконтрольное устройство и интерфейс прослушивания сети для датчика, к которому привязываются подходящие сигнатуры. Кроме того, датчик Symantec распознал почти все проводимые атаки на сеть.

При отображении событий система объединяет атаки одного типа в группы (см. Рисунок 4), после чего распознанные атаки можно изучить внимательнее. Для этого IDS среди прочего предлагает описание полезной нагрузки.

Рисунок 4. Наглядность системы от Symantec: важнейшие события в виде круговой диаграммы.

Manhunt исследует на злонамеренную функциональность 27 протоколов, применяя для этого 500 сигнатур, которые могут быть дополнены собственными или разработанными на базе Snort правилами.

Отчеты позволяли получать содержательную картину происходящего в сети (см. Рисунок 5). К сожалению, производитель не предусмотрел возможность прямой передачи данных в продукты Office или Open Office посредством файлов со значениями, разделяемыми запятой (Comma-Separated Value, CSV). Однако обеспечивается экспорт в MySQL и Oracle из собственной базы данных.

Удалить собранные события из программы просмотра происшествий мы не могли, поскольку информация сохранялась для дальнейших расследований. Однако во время тестирования функция удаления данных о событиях из окна просмотра была бы полезна.

Рисунок 5. Для более обстоятельного отчета можно проверить пакеты и полезную нагрузку: подробности событий от Symantec.

Еще один открытый вопрос: не лучше ли использовать для инсталляции специально адаптированную Symantec версию Linux? Многие производители пошли по этому пути. В этом году Symantec собирается выпустить собственное специализированное устройство. Кроме того, как выяснилось, начиная с версии Manhunt 3.02 в качестве операционной системы поддерживается только Red Hat Enterprise Linux, потому что, по словам сотрудника компании, «больше не хочется гоняться за ядром». Система Manhunt уже сертифицирована в соответствии с EAL 3 «Общих критериев».

IDP-100 НА БАЗЕ DELL POWEREDGE

Продукт IDP-100 от NetScreen, созданной в 1997 г. и ставшей частью Juniper Networks уже после приобретения специализирующейся в области обнаружения вторжений компании OneSecure, также был установлен на Dell PowerEdge 1650 в качестве датчика. Для тестирования было предоставлено новейшее программное обеспечение версии 3.0 Release Candidate 2.

Обновление версии 2.4 прошло без проблем. Из-за небольших размеров тестовой сети сервер управления установили на датчик. Однако в крупных сетях рекомендуется выделять отдельную аппаратную систему под управлением Linux.

Последующая установка системы при помощи ассистента и доступа через Web не заняла много времени. Всю базовую инсталляцию можно успешно выполнить с помощью гида по быстрому старту. Установка пользовательского интерфейса с множеством наглядных, хорошо структурированных и зрелых возможностей настройки также прошла очень легко - эта функциональная область заслуживает того, чтобы отнести ее к преимущественным особенностям IDS от NetScreen.

Пользовательский интерфейс размещается на отдельном компьютере, в нашем случае - под управлением Windows XP Professional с Service Pack 1. Интерфейс управления, напротив, работает также под управлением Linux. Пользовательский интерфейс взаимодействует с датчиком по шифруемому соединению, которое инициируется при запуске программы, базируется на шифровании Blowfish и применяется, если сервер управления и датчик инсталлированы на двух разных системах. Кроме того, для подключения датчика используется одноразовый пароль.

В пользовательском интерфейсе особо стоит отметить представление опасностей. Система делит их на четыре категории - критическую, высокую, среднюю и низкую, - причем они просматриваются как по отдельности, так и вместе. При наведении указателя мышки на отображаемую запись системного журнала после распознавания события программное обеспечение показывало окно с предварительной информацией об этой атаке. Если дополнительно требуется более подробные данные о потоке пакетов и содержимом трафика, то, как и в случае с McAfee, в качестве внешней программы подойдет инструмент для просмотра пакетов Ethereal. Коммуникация с брандмауэрами отсутствует.

Наряду с опасностями, по желанию администратора, показываются записи о потайных ходах, сканировании, процессах конфигурации - по отдельности или все сразу. Разделение сигнатур и правил очень наглядно. Показания могут быть классифицированы по протоколу или по важности. Около 60 протоколов исследуются на протокольные аномалии и «с учетом состояния» по образцам нападений. Дополнительно система следит за тем, чтобы стандартные протоколы не использовались на нестандартных портах (к примеру, HTTP на порту 8080).

Определение правил в редакторе правил напоминает интерфейс управления брандмауэра Check Point (см. Рисунок 6). Неплохо поработала NetScreen и над созданием отчетов. Наряду с различными заранее определенными вариантами можно было изменять исходные или определять абсолютно новые схемы отчетов.

Рисунок 6. Продут NetScreen отличается хорошим обзором: окно правил содержит обширную информацию.

Сигнатуры обновлялись еженедельно - каждый четверг. В случае критичных происшествий запускались специальные обновления. Оба процесса не требовали ни малейших усилий.

Все перечисленное относится также к очень наглядной и информативной оперативной подсказки. Наряду с двумя гидами быстрого старта в пакет поставки продукта входят два руководства: по аппаратному и программному обеспечению.

РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ

Продукты из второй серии тестов заметно отличаются от систем обнаружения вторжений на базе Snort. Все NIDS можно было использовать в пассивном «режиме прослушивания сети», даже когда некоторые из них могли работать и в активном режиме «на линии». Кроме того, все правила, сигнатуры или шаблоны предлагались и активировались в их последней версии (см. результаты в Таблице 1).

Единственной протестированной системой, распознавшей все реальные атаки, стала IntruShield с IntruVert 1200 от McAfee. Так, в случае спуфинга ARP сразу же было выдано соответствующее сообщение ARP-Flip-Flop, в то время как система от ISS заявила о «дублировании IP-адреса». Это указывает на то, что в сети, по всей видимости, присутствует устройство с таким же IP-адресом. Symantec Manhunt и NetScreen IDP оказались не способны распознать эту атаку, причем продукт от NetScreen только сообщил об изменении адреса оборудования.

Что касается двух выбранных шаблонов инжекций SQL, то McAfee и здесь обогнала своих конкурентов, поскольку IntruShield однозначно указал на этот запрос к базе данных как на атаку SQL на основании имеющейся сигнатуры (см. Рисунок 7). Обе атаки - инжекция SQL и спуфинг ARP - продукт от McAfee смог распознать только после загрузки программного обеспечения версии 1.9.

Рисунок 7. Инжекция SQL в деталях: McAfee сообщает об атаке.

Атаки, использующие уязвимые места DCOM RPC в Windows 2000 Server (идентификатор Bugtraq 8205), все системы распознали с первого раза. То же самое случилось и с атаками форматной строки WuFTPd (идентификатор Bugtraq 1387), оригинальной и модифицированной атакой переполнения буфера против сервера Samba (идентификатор Bugtraq 5363) и «дырой» в системе безопасности SSL сервера Apache (идентификатор Bugtraq 5363). Особенно сильное впечатление наряду с продуктом McAfee произвел IDP 100 от NetScreen, поскольку обе системы не только успешно распознали атаку DCOM, но и указали на то, что имя сервера DCOM длиннее 32-х октет. Ни одному другому устройству подобное оказалось не по силам.

ЗАКЛЮЧЕНИЕ

Те, кто говорят об обнаружении вторжений, в большинстве случаев ассоциируют с этим понятием продукты из серии Proventia от компании Internet Security Systems, которая долгие годы была единственной в отрасли. Однако тестирование показало, что производитель лишь пожинает плоды, оставшиеся от прежних времен. Особенно это касается пользовательского интерфейса, весьма отстающего от конкурентов.

Symantec Manhunt оказался действительно простым в обращении и пригодным для применения в качестве NIDS. Сигнатуры могут быть дополнены правилами Snort и поэтому обладают обширным набором средств для распознавания атак. К сожалению, будущие версии будут работать только под управлением Red Hat Linux.

McAfee показала, что IntruShield вместе с разработанным той же компанией аппаратным обеспечением IntruVert является действительно мощным средством, к тому же единственным из протестированных продуктов распознавшим все атаки. Интерфейс выполнен хорошо и отличается информативностью.

Положительной оценки заслуживает также система от NetScreen. Графический пользовательский интерфейс оставляет хорошее впечатление и интуитивно понятен. Возникавшие проблемы легко решались благодаря оперативной подсказке. Таким образом, обе не слишком известные системы распознавания атак показали себя с лучшей стороны.

Все системы удовлетворительно распознают атаки (за исключением некоторых недостатков) и в техническом отношении вполне убедительны.

В третьей и последней части серии тестов мы ознакомимся с работой других IDS и представим обобщающую таблицу с обзором всех предложенных на испытание систем.

Роджер Клозе - эксперт в области информационной безопасности. С ним можно связаться по адресу: wj@lanline.awi.de.