Во второй части серии тестов, посвященной сетевым системам обнаружения вторжений, исследовались продукты от Network Associates, Internet Security Systems, Symantec и Netscreen. От Snort и ее разновидностей они отличаются прежде всего правилами.
В августовском номере «Журнала сетевых решений/LAN» ,sk представлен отчет о результатах тестирования свободно распространяемой системы Snort и ее коммерческих производных - Opensnort от Sourcefire и Packetalarm от Varysys. Теперь читателю предлагается возможность ознакомиться с особенностями имеющихся на рынке средств для обнаружения вторжения, ядра которых разрабатывались самими производителями: IntruShield от McAfee Security в корпусе IntruVert 1200, RealSecure SiteProtector от Internet Security Systems (ISS) в виде специализированного устройства Proventia A-201, а также Manhunt от Symantec и IDP 100 от NetScreen на платформе Dell Poweredge 1650.
Общее впечатление от проведенных испытаний таково: если системы обнаружения вторжения в сеть (Network Intrusion Detection System, NIDS) на базе Snort иногда сталкивались с проблемами при распознавании известных и неизвестных атак, то продукты из второй серии тестов лучше справлялись со своей задачей отчасти благодаря содержащимся в закрытых кодах правилам. Это особенно было заметно в случае McAfee при распознавании инжекций SQL и спуфинге ARP.
Тестовая среда и сценарии остались прежними. Несколько атакующих и атакуемых компьютеров взаимодействовали по разделяемой среде и находились в одной локальной сети, к которой подключались тестируемые системы обнаружения вторжений вместе с их управляющими станциями. Все четыре продукта должны были продемонстрировать, в какой мере они способны распознать два метода инжекции SQL, спуфинг ARP и атаки на классические уязвимые места, как описанные в идентификаторах Bugtraq DDI-1013, 1387, 5363 и 8205. При сравнении обращалось внимание на управление, графическое представление (см. Рисунок 1) и извещение о событиях.
Рисунок 1. Показания об атаках в реальном времени: системы (здесь - экран McAfee) представляют происходящее в сети в графической форме разными способами. |
INTRUSHIELD И INTRUVERT 1200
Компания Network Associates (NAI) была основана в 1986 г. в г. Санта-Клара в Калифорнии. В апреле 2003 г. она инвестировала 100 млн долларов в приобретение IDS IntruVert. Директор NAI Джин Ходжес тогда заявил: «Мы думаем, что это единственный производитель, чья технология в состоянии не только обнаружить атаку, но и надежно защитить атакуемую сеть». Тем самым NAI стала конкурентом своему бывшему партнеру - компании ISS, с которой у ней было заключено соглашение о сотрудничестве в области обнаружения вторжений. Подразделение NAI, работающее в том числе и в этом сегменте, называется McAfee Security.
Компания, получившая известность благодаря своему антивирусному программному обеспечению и приложениям для прослушивания сети, предоставила оборудование IntruVert 1200 вместе с предназначенным для него ПО IntruShield версии 1.9.
Устройство, которое - помимо тестируемого пассивного режима - может устанавливаться «в разрыв», продемонстрировало очень стабильную работу: после намеренного отключения электропитания во время загрузки программного обеспечения и повторного включения обновление ПО продолжалось без какого-либо ущерба для системы. Конфигурация сетевых настроек проводилась посредством командной строки через последовательный интерфейс. К сожалению, производитель не предоставил информации о том, какие аппаратные компоненты установлены в устройстве.
При потере датчиком связи с управляющей станцией система способна сохранять информацию об около 100 тыс. атак на базе сигнатур с последующей передачей ее менеджеру после восстановления соединения. Управляющее программное обеспечение, работающее также под управлением Solaris 9, во время тестирования устанавливалось на англоязычную версию Windows 2000 Server с Service Pack 4. В процессе 15-минутной инсталляции пользователю предлагалось отдать предпочтение одной из баз данных - Oracle 9i или MySQL. На этот раз выбор пал на MySQL по причине небольшого размера сети менеджеров и датчиков. Дополнительно были установлены Java версии 1.3 и Java WebStart, которые IntruShield использует в качестве базисного ПО и для графического представления.
Сразу после входа в сетевую консоль посредством HTTPS пользователь получает централизованный вид всей системы. Если в области «состояние системы» (System Health) отображается информация о статусе управляющей станции, специализированного устройства и базы данных, то «сводка угроз» (Alert Summary) сообщает о распознанных атаках - как за определенный период, так и в реальном времени (при помощи технологии принудительного распространения Java Push).
Во время тестирования можно было видеть непосредственное перемещение последних атак сверху вниз. Однако в случае аналогичного повторного нападения система сообщала об атаке с задержкой до 2 мин по причине проведения корреляции с предыдущими событиями. Если атака с использованием одного из 86 протоколов успешно распознавалась на уровне со второго по седьмой, то NIDS показывала всю необходимую для оценки и реагирования информацию. Опция в программе просмотра угроз (Alert Viewer) позволяла проверять сигнатуры правила, на основании которого была идентифицирована атака. Это оказалось особенно полезным при распознавании инжекций SQL.
К сожалению, правила не удается посмотреть полностью, поскольку производитель объявил их «закрытыми». Система содержит более 2600 правил. Собственные правила пользователь должен создавать в формате Бэкуса-Наура (Backus-Naur Form, BNF). Правила Snort продуктом от McAfee напрямую не поддерживаются. Однако у производителя должна иметься возможность, вручную или при помощи самостоятельно написанного сценария на Perl, перевести правила из открытых кодов в формат, совместимый с IntruShield.
Рисунок 2. Полезная особенность IntruShield от NAI/McAfee: виртуальные IDS для заданных областей IP-адресов. |
Для более подробного исследования пакетов - к примеру потока пакетов какой-либо атаки - дополнительно можно установить инструмент Ethereal. Еще одна область сетевой консоли открывает - также с хорошим представлением - доступ к созданию отчетов и конфигурации. Система готовит отчеты обо всей необходимой информации в разных вариантах и сохраняет их в формате HTML или PDF.
Одно из главных преимуществ IntruShield состоит в конфигурации. Наряду с общими настройками имеется возможность определять так называемые «виртуальные IDS» для конкретных IP-адресов или их групп, которые представляются в качестве субинтерфейса с собственной политикой в пределах физического интерфейса прослушивания сети устройства IntruVert (см. Рисунок 2).
Хорошим подспорьем для пользователя являются печатная версия руководства и интегрированная оперативная подсказка. Правда, требования системы к аппаратному обеспечению очень высоки. Для инсталляции Windows 2000 с MySQL как минимум необходима машина с процессором Pentium 4 и оперативной памятью объемом 1 Гбайт. В момент написания статьи IntruShield с соответствующим аппаратным обеспечением проходил сертификацию на соответствие уровню EAL 3 «Общих критериев».
REALSECURE SITEPROTECTOR НА БАЗЕ PROVENTIA A201
Основанная в 1994 г. компания Internet Security Service (ISS) предоставила специализированное устройство Proventia A201 с управляющим программным обеспечением RealSecure SiteProtector 2.0 с Service Pack 3. Инсталляция программного обеспечения вместе со всеми настройками заняла 10 мин. На подготовку управляющего компьютера с установленным Windows 2000 Server (с Service Pack 4) и MS SQL 2000 (с Service Pack 3) ушло еще 20 мин. Загрузка новых правил и программного обеспечения для отдельных компонентов и оборудования выполнялась при помощи функции автоматического экспресс-обновления на сайте производителя. Этот процесс занял еще 30 мин. После активации соответствующей политики использующая все правила IDS контролировала сетевой трафик 106 протоколов и распознала почти все атаки. К сожалению, программное обеспечение для управления оказалось сложным для визуального восприятия и непростым в обслуживании.
К примеру, все события сводились в одну таблицу (см. Рисунок 3), однако если требовалась более подробная информация о содержании полезной нагрузки, то система показывала не привычный шестнадцатеричный дамп памяти, что облегчило бы анализ, а представляла данные в виде обычного текста в таблице событий.
Рисунок 3. Детали анализа событий системы от ISS. |
Информация об отдельных атаках подробна и дополняется справками. Хотя функция создания отчетов и выдавала все необходимые сведения в текстовом и графическом виде, точная настройка слабо детализируема и оставляет желать лучшего. Очень удобной, напротив, оказалась модернизация IDS при помощи экспресс-обновления. Так, система самостоятельно проверяет наличие нового программного обеспечения или новых версий сигнатур для используемых компонентов. Многие функции, входящие в пакет поставки прочих IDS, в случае ISS предлагается приобретать отдельно (в частности, это придется сделать, чтобы обеспечить корреляцию атак с действительно имеющимися в сети системами).
Представленная документация была очень подробной, однако оказалась не самой новой, поэтому множество нужной информации приходилось добывать в общедоступной базе знаний, впрочем, вполне исчерпывающей, благодаря полноте изложенного в ней материала.
MANHUNT НА БАЗЕ DELL POWEREDGE 1650
Symantec (год основания - 1982 г.) в 2000 г. после обмена акциями стоимостью 975 млн долларов приобрела компанию Axent вместе с ее продуктом NetProwler; а летом 2002 г. за 135 млн долларов была куплена компания Recourse, так что Manhunt стала второй системой обнаружения вторжений в арсенале известного производителя ПО.
Для тестирования Symantec предоставила приложение Manhunt версии 3.01. Продукт инсталлировался на Red Hat Linux 8.0 с ядром 2.4.20-24.8.i686, а в качестве аппаратной платформы послужила система Dell PowerEdge 1650.
Благодаря инсталляционному сценарию установка оказалась очень простой и отняла всего несколько минут. Так же быстро был установлен на компьютер под управлением Windows XP Professional с Service Pack 1 и интерфейс управления на базе Java. Во время выполнения конфигурации выяснилось, что и руководство пользователя, и оперативная подсказка содержат множество посвященных установке разделов, которые частично дублируют друг друга или содержат перекрестные ссылки.
Как выяснилось из разговора с техническим сотрудником производителя, для активации датчика и пользовательского интерфейса со всеми сигнатурами достаточно пяти операций. Так, после включения лицензии и обновления сигнатур вручную необходимо лишь указать подконтрольное устройство и интерфейс прослушивания сети для датчика, к которому привязываются подходящие сигнатуры. Кроме того, датчик Symantec распознал почти все проводимые атаки на сеть.
При отображении событий система объединяет атаки одного типа в группы (см. Рисунок 4), после чего распознанные атаки можно изучить внимательнее. Для этого IDS среди прочего предлагает описание полезной нагрузки.
Рисунок 4. Наглядность системы от Symantec: важнейшие события в виде круговой диаграммы. |
Manhunt исследует на злонамеренную функциональность 27 протоколов, применяя для этого 500 сигнатур, которые могут быть дополнены собственными или разработанными на базе Snort правилами.
Отчеты позволяли получать содержательную картину происходящего в сети (см. Рисунок 5). К сожалению, производитель не предусмотрел возможность прямой передачи данных в продукты Office или Open Office посредством файлов со значениями, разделяемыми запятой (Comma-Separated Value, CSV). Однако обеспечивается экспорт в MySQL и Oracle из собственной базы данных.
Удалить собранные события из программы просмотра происшествий мы не могли, поскольку информация сохранялась для дальнейших расследований. Однако во время тестирования функция удаления данных о событиях из окна просмотра была бы полезна.
Рисунок 5. Для более обстоятельного отчета можно проверить пакеты и полезную нагрузку: подробности событий от Symantec. |
Еще один открытый вопрос: не лучше ли использовать для инсталляции специально адаптированную Symantec версию Linux? Многие производители пошли по этому пути. В этом году Symantec собирается выпустить собственное специализированное устройство. Кроме того, как выяснилось, начиная с версии Manhunt 3.02 в качестве операционной системы поддерживается только Red Hat Enterprise Linux, потому что, по словам сотрудника компании, «больше не хочется гоняться за ядром». Система Manhunt уже сертифицирована в соответствии с EAL 3 «Общих критериев».
IDP-100 НА БАЗЕ DELL POWEREDGE
Продукт IDP-100 от NetScreen, созданной в 1997 г. и ставшей частью Juniper Networks уже после приобретения специализирующейся в области обнаружения вторжений компании OneSecure, также был установлен на Dell PowerEdge 1650 в качестве датчика. Для тестирования было предоставлено новейшее программное обеспечение версии 3.0 Release Candidate 2.
Обновление версии 2.4 прошло без проблем. Из-за небольших размеров тестовой сети сервер управления установили на датчик. Однако в крупных сетях рекомендуется выделять отдельную аппаратную систему под управлением Linux.
Последующая установка системы при помощи ассистента и доступа через Web не заняла много времени. Всю базовую инсталляцию можно успешно выполнить с помощью гида по быстрому старту. Установка пользовательского интерфейса с множеством наглядных, хорошо структурированных и зрелых возможностей настройки также прошла очень легко - эта функциональная область заслуживает того, чтобы отнести ее к преимущественным особенностям IDS от NetScreen.
Пользовательский интерфейс размещается на отдельном компьютере, в нашем случае - под управлением Windows XP Professional с Service Pack 1. Интерфейс управления, напротив, работает также под управлением Linux. Пользовательский интерфейс взаимодействует с датчиком по шифруемому соединению, которое инициируется при запуске программы, базируется на шифровании Blowfish и применяется, если сервер управления и датчик инсталлированы на двух разных системах. Кроме того, для подключения датчика используется одноразовый пароль.
В пользовательском интерфейсе особо стоит отметить представление опасностей. Система делит их на четыре категории - критическую, высокую, среднюю и низкую, - причем они просматриваются как по отдельности, так и вместе. При наведении указателя мышки на отображаемую запись системного журнала после распознавания события программное обеспечение показывало окно с предварительной информацией об этой атаке. Если дополнительно требуется более подробные данные о потоке пакетов и содержимом трафика, то, как и в случае с McAfee, в качестве внешней программы подойдет инструмент для просмотра пакетов Ethereal. Коммуникация с брандмауэрами отсутствует.
Наряду с опасностями, по желанию администратора, показываются записи о потайных ходах, сканировании, процессах конфигурации - по отдельности или все сразу. Разделение сигнатур и правил очень наглядно. Показания могут быть классифицированы по протоколу или по важности. Около 60 протоколов исследуются на протокольные аномалии и «с учетом состояния» по образцам нападений. Дополнительно система следит за тем, чтобы стандартные протоколы не использовались на нестандартных портах (к примеру, HTTP на порту 8080).
Определение правил в редакторе правил напоминает интерфейс управления брандмауэра Check Point (см. Рисунок 6). Неплохо поработала NetScreen и над созданием отчетов. Наряду с различными заранее определенными вариантами можно было изменять исходные или определять абсолютно новые схемы отчетов.
Рисунок 6. Продут NetScreen отличается хорошим обзором: окно правил содержит обширную информацию. |
Сигнатуры обновлялись еженедельно - каждый четверг. В случае критичных происшествий запускались специальные обновления. Оба процесса не требовали ни малейших усилий.
Все перечисленное относится также к очень наглядной и информативной оперативной подсказки. Наряду с двумя гидами быстрого старта в пакет поставки продукта входят два руководства: по аппаратному и программному обеспечению.
РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ
Продукты из второй серии тестов заметно отличаются от систем обнаружения вторжений на базе Snort. Все NIDS можно было использовать в пассивном «режиме прослушивания сети», даже когда некоторые из них могли работать и в активном режиме «на линии». Кроме того, все правила, сигнатуры или шаблоны предлагались и активировались в их последней версии (см. результаты в Таблице 1).
Единственной протестированной системой, распознавшей все реальные атаки, стала IntruShield с IntruVert 1200 от McAfee. Так, в случае спуфинга ARP сразу же было выдано соответствующее сообщение ARP-Flip-Flop, в то время как система от ISS заявила о «дублировании IP-адреса». Это указывает на то, что в сети, по всей видимости, присутствует устройство с таким же IP-адресом. Symantec Manhunt и NetScreen IDP оказались не способны распознать эту атаку, причем продукт от NetScreen только сообщил об изменении адреса оборудования.
Что касается двух выбранных шаблонов инжекций SQL, то McAfee и здесь обогнала своих конкурентов, поскольку IntruShield однозначно указал на этот запрос к базе данных как на атаку SQL на основании имеющейся сигнатуры (см. Рисунок 7). Обе атаки - инжекция SQL и спуфинг ARP - продукт от McAfee смог распознать только после загрузки программного обеспечения версии 1.9.
Рисунок 7. Инжекция SQL в деталях: McAfee сообщает об атаке. |
Атаки, использующие уязвимые места DCOM RPC в Windows 2000 Server (идентификатор Bugtraq 8205), все системы распознали с первого раза. То же самое случилось и с атаками форматной строки WuFTPd (идентификатор Bugtraq 1387), оригинальной и модифицированной атакой переполнения буфера против сервера Samba (идентификатор Bugtraq 5363) и «дырой» в системе безопасности SSL сервера Apache (идентификатор Bugtraq 5363). Особенно сильное впечатление наряду с продуктом McAfee произвел IDP 100 от NetScreen, поскольку обе системы не только успешно распознали атаку DCOM, но и указали на то, что имя сервера DCOM длиннее 32-х октет. Ни одному другому устройству подобное оказалось не по силам.
ЗАКЛЮЧЕНИЕ
Те, кто говорят об обнаружении вторжений, в большинстве случаев ассоциируют с этим понятием продукты из серии Proventia от компании Internet Security Systems, которая долгие годы была единственной в отрасли. Однако тестирование показало, что производитель лишь пожинает плоды, оставшиеся от прежних времен. Особенно это касается пользовательского интерфейса, весьма отстающего от конкурентов.
Symantec Manhunt оказался действительно простым в обращении и пригодным для применения в качестве NIDS. Сигнатуры могут быть дополнены правилами Snort и поэтому обладают обширным набором средств для распознавания атак. К сожалению, будущие версии будут работать только под управлением Red Hat Linux.
McAfee показала, что IntruShield вместе с разработанным той же компанией аппаратным обеспечением IntruVert является действительно мощным средством, к тому же единственным из протестированных продуктов распознавшим все атаки. Интерфейс выполнен хорошо и отличается информативностью.
Положительной оценки заслуживает также система от NetScreen. Графический пользовательский интерфейс оставляет хорошее впечатление и интуитивно понятен. Возникавшие проблемы легко решались благодаря оперативной подсказке. Таким образом, обе не слишком известные системы распознавания атак показали себя с лучшей стороны.
Все системы удовлетворительно распознают атаки (за исключением некоторых недостатков) и в техническом отношении вполне убедительны.
В третьей и последней части серии тестов мы ознакомимся с работой других IDS и представим обобщающую таблицу с обзором всех предложенных на испытание систем.
Роджер Клозе - эксперт в области информационной безопасности. С ним можно связаться по адресу: wj@lanline.awi.de.