Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
ТЕХНОЛОГІЯ ВИЯВЛЕННЯ АТАК ТА АНАЛІЗУ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНОЇ СИСТЕМИ: ЗАСОБИ АНАЛІЗУ, СИСТЕМИ ВИЯВЛЕННЯ АТАК
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Інститут комп’ютерних технологій, автоматики та метрології
Факультет:
РТ
Кафедра:
Захист інформації
Інформація про роботу
Рік:
2015
Тип роботи:
Звіт з практики
Предмет:
Технічні засоби охорони об’єктів
Група:
УІ 31
Варіант:
13
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”
ІКТА
Кафедра захисту інформації
ЗВІТ З ТЕХНОЛОГІЧНОЇ ПРАКТИКИ
НА ТЕМУ:
“ ТЕХНОЛОГІЯ ВИЯВЛЕННЯ АТАК ТА АНАЛІЗУ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНОЇ СИСТЕМИ: ЗАСОБИ АНАЛІЗУ, СИСТЕМИ ВИЯВЛЕННЯ АТАК ”
Студент групи УІ-31:
_____________
/
Д.М. Пантелюк
/
Керівник роботи:
_____________
/
Г. В. Микитин
/
“ ” 2015 р.
2015
АНОТАЦІЯ
У даній роботі досліджені засоби протидії загрозам проникнення в інформаційно-телекомунікаційну систему. В даній роботі описано, як використати системи виявлення атак , щоб зробити мережу недоступною для реалізації загроз віддаленого доступу і захистити її від внутрішніх зловмисників. Описано переваги та недоліки існуючих методів захисту ІТКС: їхні можливості, проблеми та перспективи розвитку. Приведено приклад застосування цих методів на практиці.
ANNOTATION
This paper investigated the means to counter threats penetration of information and telecommunication system. This paper describes how to use intrusion detection system to make the network available to implement remote access threats and protect it from internal intruders. I describe the advantages and disadvantages of existing methods of protection ITKS: their opportunities, challenges and prospects. Shown the example of these methods in practice.
ЗМІСТ
ВСТУП ......................................................................................................................4
РОЗДІЛ 1. АНАЛІТИЧНИЙ ОГЛЯД ІТКС ЯК ОБ’ЄКТУ АТАК.................9
Поняття загрози інформаційній безпеки ІТКС.........................................9
Уразливості ІТКС щодо загроз безпосереднього доступу.....................10
Класифікація атак........................................................................................13
Етапи реалізації атак...................................................................................14
РОЗДІЛ 2. МЕТОДИ ТА ЗАСОБИ ВИЯВЛЕННЯ АТАК НА ІТКС ТА АНАЛІЗ СТАНУ ЇХ ЗАХИЩЕНОСТІ ........................................................16
Застосування систем виявлення атак........................................................16
Системи аналізу захищеності.....................................................................21
РОЗДІЛ 3. СУЧАСНІ ТЕХНОЛОГІЇ РЕАЛІЗАЦІЇ ЗАСОБІВ ВИЯВЛЕННЯ АТАК .............................................................................................24
Огляд програмних засобів управління безпекою мережі компанії IBM Internet Security Systems..............................................................................24
Огляд комплексу Cisco Secure IDS............................................................26
ВИСНОВОК ............................................................................................................28
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ...........................................................29
ВСТУП
Актуальність проблеми. Для сучасного етапу розвитку суспільства характерний безперервний процес інформатизації та вдосконалення інформаційних технологій. Сфера впровадження телекомунікаційних і обчислювальних систем постійно розширюється, зачіпаючи все нові сторони життя суспільства. У зв'язку з цим важливим завданням є забезпечення достатньою мірою захищеності цих систем для їх ефективного функціонування в умовах прояву інформаційних загроз, для чого в свою чергу необхідна наявність адекватної методології аналізу та управління інформаційними ризиками.
В березні 2000 року в звіті "2000 Computer Crime and Security Survey" [1] були опубліковані дані, отримані Інститутом Комп'ютерної Безпеки (CSI) і групою комп'ютерних нападів відділення ФБР у Сан-Франциско. Згідно з цими даними:
90% респондентів (великі корпорації і державні організації) зафіксували різні атаки на свої інформаційні ресурси;
70% респондентів зафіксували серйозні порушення політики безпеки, наприклад, пов'язані з вірусами, атаками типу "відмова в обслуговуванні", зловживаннями з боку співробітників і т. Д .;
74% респондентів понесли чималий фінансовий шкоди внаслідок цих порушень.
Оскільки число і частота атак весь час збільшуються, стає дуже важливим ідентифікувати атаки на ранньому етапі їх розвитку і своєчасно зреагувати на них. У критичних випадках втручання в атаку має бути реалізовано набагато швидше, ніж зможе зреагувати персонал. Інша причина для автоматизації процесу виявлення атак полягає в тому, що все частіше і частіше зловмисники використовують автоматизовані засоби реалізації атак. В одному з опублікованих прикладів був відзначений факт здійснення 2000 спроб проникнення на сервер Internet з 500 місць протягом 8 годин (тобто 4 атаки на хвилину). В тому випадку автоматизована система виявлення атак допомогла відстежити джерело атаки. У її відсутність завдання виявлення самої атаки і зловмисника, що її реалізує, стала б просто неможливою.
Інформаційні системи повинні бути захищені. З цією тезою ніхто не сперечається. Забезпечити ж безпеку можна двома способами.
Перший спосіб - запобігти всім спробам несанкціонованого доступу (НСД), створивши повністю безпечну систему. Однак на практиці це нездійсненно з ряду причин [2].
Створити абсолютно захищену систему неможливо через наявність у програмному забезпеченні різних помилок. Програмне забезпечення, вільне від помилок, все ще є мрією. Та й практика така, що виробники не завжди намагаються розробити таке ПЗ. Вони прагнуть випустити свій продукт якомога швидше і отримати при цьому максимальний прибуток. Найцікавіше, що наявністю різних помилок страждають і засоби захисту.
Навіть найбільш захищена система вразлива перед "привілейованими" користувачами. Привілейовані користувачі можуть порушити вимоги політики безпеки, що може призвести до зниження рівня захищеності.
Чим захищенішою є система, тим незручніше з нею працювати.
Таким чином, якщо не можна побудувати абсолютно захищену систему, то хоча б потрібно виявляти всі (або майже всі) порушення політики безпеки і відповідним чином реагувати на них. Саме це і роблять системи виявлення атак.
Об’єктом даного дослідження є інформаційно-телекомунікаційна система.
Під інформаційно-телекомунікаційною системою (ІТКС) розуміють інформаційну систему, в якій інформація може передаватися на відстані по лініях зв'язку із застосуванням цифрових технологій. Таким чином, елементами інформаційно-телекомунікаційної системи можна вважати інформаційні ресурси, збережені, оброблювані і передані в ній, а також технічні засоби обробки, зберігання та передачі інформації. Функціонування інформаційно-телекомунікаційної системи здійснюється в умовах впливу деякої сукупності інформаційних загроз, спрямованих на її елементи, тим самим негативно впливаючи на її ефективність.
Якщо розглянути ІТКС в узагальненому вигляді, то можна виокремити кілька елементів, присутність яких у будь-якій ІТКС обов'язкова. До таких елементів відносяться: комп'ютери з мережевими адаптерами, комунікаційні елементи самого різного призначення, засоби прийому та передачі даних, засоби відображення та зберігання інформації, технічні системи та засоби захисту інформації, приміщення, де розташовуються більшість вузлів ІТКС [3].
Незалежно від того, чи забезпечують вони з'єднання між комп'ютерами або між комп'ютерами і терміналами, ІТКС можуть бути розділені на три основні типи: з комутацією кана-лів, комутацією повідомлень і комутацією пакетів.
Предметом дослідження є забезпечення захисту ІКТС від НСД та аналіз стану її захищеності. Захищеність є одним з найважливіших показників ефективності функціонування ІС, поряд з такими показниками як надійність, відмовостійкість, продуктивність і т. П. Під захищеністю ІС зазвичай розуміється ступінь адекватності реалізованих в ній механізмів захисту інформації існуючим в даному середовищі функціонування ризикам, пов'язаним із здійсненням погроз безпеки , що порушують такі властивості інформації, як конфіденційність, цілісність і доступність.
Концепція "Захищені інформаційні системи" включає в себе ряд законодавчих ініціатив, наукових, технічних і технологічних рішень, готовність державних організацій і компаній використовувати їх для того, щоб люди, використовуючи пристрої на базі комп'ютерів і ПО, відчували себе так само комфортно і безпечно
Методи дослідження
Діяльність із забезпечення інформаційної безпеки здійснюється за допомогою різних способів, засобів і прийомів, які у сукупності й складають методи. Метод передбачає певну послідовність дій на підставі конкретного плану. Методи можуть значно змінюватися і варіюватися в залежності від типу діяльності, в якій вони використовуються, а також сфери застосування.
Важливими методами аналізу стану забезпечення інформаційної безпеки є методи описи і класифікації. Для здійснення ефективного захисту системи управління НБ слід, по-перше, описати, а лише потім класифікувати різні види загроз та небезпек, ризиків та викликів і відповідно сформулювати систему заходів по здійсненню управління ними.
У якості розповсюджених методів аналізу рівня забезпечення інформаційної безпеки використовуються методи дослідження при чинних зв'язків. За допомогою даних методів виявляються причинні зв'язки між загрозами та небезпеками; здійснюється пошук причин, які стали джерелом і спричинили актуалізацію тих чи інших чинників небезпеки, а також розробляються заходи по їх нейтралізації. У числі даних методів причинних зв'язків можна назвати наступні: метод схожості, метод розбіжності, метод сполучення схожості і розбіжності, метод супроводжувальних змін, метод залишків.
Постановка задачі
Завдання полягає в дослідженні та розробці методики управління захищеністю інформаційно-телекомунікаційної системи від впливів загроз безпосереднього та віддаленого доступу до її елементів.
У першому розділі розглядається ІТКС як об'єкт загроз безпосереднього та віддаленого доступу до її елементів. Формується досліджуване поле атак як процесів реалізації загроз, і наводяться їх алгоритми, що необхідно для подальшого моделювання.
У другому розділі описуються заходи і засоби протидії перерахованим атакам. Пояснюється необхідність використання систем виявлення атак та моніторингу діяльності ІТКС, а також наводиться класифікація методів їх реалізації.
У третьому розділі приведений огляд ринку засобів виявлення атак, наведена характеристика програмних комплексів захисту ІКТС. Також наведено аналітичний огляд цих комплексів.
РОЗДІЛ 1
АНАЛІТИЧНИЙ ОГЛЯД ІТКС ЯК ОБ’ЄКТУ АТАК
Поняття загрози інформаційній безпеки ІТКС
Забезпечення інформаційної безпеки спрямоване на попередження можливості виникнення, запобігання можливості реалізації або зниження ефективності деструктивних дій в результаті реалізації тієї чи іншої загрози інформаційної безпеки.
Під загрозою інформаційної безпеки (ІБ) розуміється сукупність умов і чинників, що створюють потенційну небезпеку, пов'язану з витоком інформації та / або несанкціонованими та / або ненавмисними діями по відношенню до неї [4].
У загальному випадку загроза ІБ може характеризуватися наступними параметрами:
джерело загрози;
використовувана вразливість;
спосіб реалізації загрози;
деструктивні дії, що виконуються при реалізації загрози [5].
Вразливість ІТКС - це якась її характеристика, яка уможливлює існування загрози. Іншими словами, саме через наявність вразливостей в системі можуть відбуватися небажані події.
Атака на ІТКС - це дії, що робляться зловмисником, які полягають в пошуку і використанні тієї або іншої уразливості для реалізації певної загрози ІБ ІТКС. Таким чином, під атакою будемо розуміти процес реалізації загрози. Зауважимо, що таке тлумачення атаки (за участю людини, що має злий намір), виключає присутній у визначенні загрози елемент випадковості, але, як показує досвід, часто буває неможливо розрізнити навмисні і випадкові дії, і система захисту повинна адекватно реагувати на будь-які з них [6].
Загрози, пов'язані з несанкціонованим доступом, виділяються із всього комплексу загроз за способом реалізації. При цьому під несанкціонованим доступом розуміється доступ до інформації зацікавленим суб'єктом з порушенням встановлених прав або правил доступу до інформації [5]. Сам несанкціонований доступ загрозою як такою не є. Загрози можуть з'явитися в зв'язку з НСД. При цьому може бути несанкціоноване ознайомлення з інформацією, несанкціоноване копіювання (розкрадання) інформації та / або несанкціонований вплив на інформацію (знищення, блокування і т.д.) [7].
За способом реалізації загрози ІБ ІТКС можна розділити на дві великі групи:
загрози безпосереднього доступу в ОС комп'ютера;
загрози віддаленого доступу до комп'ютерів та службам ІТКС.
Уразливості ІТКС
Уразливості ІТКС щодо загроз безпосереднього доступу
Можна виділити наступні найбільш вразливі елементи і дані системи захисту в домені сімейства ОС Microsoft Windows:
аутентифікаційні дані користувачів робочих станцій, що зберігаються в їх реєстрах ресурсів;
аутентифікаційні дані користувачів домену, які зберігаються в реєстрах ресурсів робочих станцій, з яких вони здійснювали вхід в домен;
системне програмне забезпечення робочих станцій [1].
На сьогоднішній день найбільш актуальним є розгляд безпосереднього доступу в ОС комп'ютера, за допомогою подолання парольного захисту на вхід в ОС, тобто проникнення через вплив на підсистему аутентифікації даних користувачів. Це пов'язано з тим, що проникнення в ОС, за допомогою незаконного захоплення привілеїв в даний час є вкрай складним, оскільки дана дія здійснима в тому випадку якщо зловмисник вже проник в ОС, але його права доступу не є системними.
Уразливості ІТКС щодо загроз віддаленого доступу
Під мережевою (віддаленою) атакою розуміються дія або сукупність дій, спрямованих на реалізацію загрози віддаленого (з використанням протоколів мережевого взаємодії) доступу до технологічної інформації або інформації користувача в комп'ютерній мережі [8].
Причини успіху віддалених атак криються в самій інфраструктурі ІТКС, тому створення таксономії причин їхнього успіху представляється досить важливим завданням, рішення якої дозволить видати принципи побудови захищеної взаємодії в ІТКС
Розглянемо можливі причини успіху віддалених атак на інфраструктуру і базові протоколи ІТКС [3,9].
Відсутність виділеного каналу зв'язку між об'єктами ІТКС. Віддалена атака «Аналіз мережевого трафіку» програмно можлива тільки у разі, якщо атакуючий знаходиться в мережі з фізично широкомовним середовищем передачі даних як, наприклад, всім відома і широко поширена технологія Ethernet.
Недостатня ідентифікація та аутентифікація об'єктів і суб'єктів ІТКС. Від успіху вирішення проблеми ідентифікації і аутентифікації об'єктів і повідомлень залежить безпека ІТКС в цілому.
Практика показує, що 99% взаємодії між об'єктами в мережі Internet проходить із встановленням віртуального каналу. Це відбувається через те, що взаємодія по віртуальному каналу є єдиним динамічним способом захисту мережевого з'єднання об'єктів ІТКС.
Створення віртуального каналу з використанням нестійкого алгоритму ідентифікації не дозволяє надійно убезпечити ІТКС від підміни об'єктів взаємодії та виступає однією з причин успіху віддалених атак на розподілені обчислювальні системи.
Відсутність контролю за віртуальними каналами зв'язку між об'єктами ІТКС. Об'єкти ІТКС, взаємодіючі по віртуальних каналах, можуть піддаватися атаці «Відмова в обслуговуванні». Особливість цієї атаки полягає в тому, що, діючи абсолютно легальними засобами системи, можна віддалено домогтися порушення її працездатності. Взаємодія об'єктів ІТКС по віртуальних каналах дозволяє єдиним способом забезпечити захист з'єднання в глобальній мережі.
Очевидно , що якщо один суб'єкт мережевої взаємодії буде мати можливість анонімно займати необмежене число каналів зв'язку з віддаленим об'єктом, то подібна система може бути повністю паралізована даним суб'єктом.
Відсутність в ІТКС можливості контролю за маршрутом повідомлень. У ІТКС в якості початкової ідентифікуючої об'єкт інформації зазвичай виступає його адреса. Якщо в ІТКС не передбачити можливостей контролю за маршрутом повідомлення, то адреса відправника повідомлення виявляється нічим не підтвердженою. Таким чином, у системі буде існувати можливість відправки повідомлення від імені будь-якого об'єкта системи, а саме шляхом зазначення в заголовку повідомлення чужої адреси відправника. Також в подібній ІТКС буде неможливо визначити, звідки насправді прийшло повідомлення, а, отже, обчислити координати атакуючого [10].
Відсутність в ІТКС повної інформації про її об'єктах.У розподіленої системи з розгалуженою структурою, що складається з великого числа об'єктів, може виникнути ситуація, коли для доступу до певного об'єкту системи у суб'єкта взаємодії може не виявитися необхідної інформації про необхідний об'єкт. Зазвичай такою відсутньою інформацією про об'єкт є його адреса. Така ситуація характерна і цілком з'ясовна для мереж з розгалуженою структурою.
Таким чином, якщо в ІТКС існують об'єкти, інформація про які не визначена, то для забезпечення її нормального функціонування необхідно використання алгоритмів віддаленого пошуку.
Очевидним є той факт, що в системі із закладеною в неї невизначеністю існують потенційні можливості внесення в систему помилкового об'єкта і видачі одного об'єкта системи за іншою. Внаслідок цього ІТКС із закладеною невизначеністю є потенційно небезпечною системою і може піддаватися віддаленим атакам [9].
Відсутність в ІТКС криптозахисту повідомлень.У ІТКС зв'язок між об'єктами системи здійснюється по каналах зв'язку. Тому завжди існує принципова можливість для атакуючого прослухати канал і отримати НСД до інформації, якою обмінюються по мережі її абоненти.
Класифікація атак
Існують різні типи класифікації атак. Наприклад, поділ на пасивні та активні, зовнішні і внутрішні атаки, навмисні і ненавмисні [11]. Компанія Internet Security Systems, Inc. Наводить наступну класифікацію [12]:
Віддалене проникнення (remote penetration). Атаки, які дозволяють реалізувати віддалене управління комп'ютером через мережу. Прикладом такої програми є NetBus або BackOrifice.
Локальне проникнення (local penetration). Атака, що призводить до отримання несанкціонованого доступу до вузла, на якому вона запущена. Прикладом такої програми є GetAdmin.
Віддалена відмова в обслуговуванні (remote denial of service). Атаки, які дозволяють порушити функціонування системи або перевантажити комп'ютер через Internet. Прикладом такої атаки є Teardrop або trin00.
Локальна відмова в обслуговуванні (local denial of service). Атаки, що дозволяють порушити функціонування системи або перевантажити комп'ютер, на якому вони реалізуються. Як приклад такої атаки можна навести ворожу програму, яка завантажує центральний процесор нескінченним циклом, що призводить до неможливості обробки запитів інших додатків.
Мережеві сканери (network scanners). Програми, які аналізують топологію мережі і виявляють сервіси, доступні для атаки. Прикладом такої програми можна назвати систему nmap.
Сканери вразливостей (vulnerability scanners). Програми, що здійснюють пошук вразливостей на вузлах мережі і які можуть бути використані для реалізації атак. Приклади: система SATAN або ShadowSecurityScanner.
Зломщики паролів (password crackers). Програми, які підбирають паролі користувачів. Прикладом зломщика паролів може служити L0phtCrack для Windows або Crack для Unix.
Аналізатори протоколів (sniffers). Програми, які "прослуховують" мережевий трафік. За допомогою цих програм можна автоматично шукати таку інформацію, як ідентифікатори та паролі користувачів, інформацію про кредитні картки і т. Д. Аналізатором протоколів можна назвати Microsoft Network Monitor, NetXRay компанії Network Associates або LanExplorer.
Етапи реалізації атак
Можна виділити наступні етапи реалізації атаки:
попередні дії перед атакою або "збір інформації" (information gathering),
"реалізація атаки" (exploitation)
завершення атаки ("замітання слідів"),.
Зазвичай, коли говорять про атаку, то мають на увазі саме другий етап, забуваючи про перший і останній. Збір інформації і завершення атаки ,у свою чергу, також можуть бути атакою і відповідно розбиватися на три етапи .
Основний етап - це збір інформації. Саме ефективність роботи зловмисника на даному етапі є запорукою успішної атаки. В першу чергу вибирається мета нападу і збирається інформація про неї (ОС, сервіси, конфігурація і т. Д.). Потім ідентифікуються найбільш уразливі місця атакується системи, вплив на які призводить до потрібного результату.
На першому етапі зловмисник намагається виявити всі канали взаємодії об'єкта атаки з іншими вузлами. Це дозволить не тільки вибрати тип реалізованої атаки, але й джерело її реалізації.
Традиційні засоби захисту вступають в дію на другому етапі, абсолютно "забуваючи" про перший і третій. Це тягне за собою те, що часто здійснювану атаку дуже важко зупинити навіть за наявності потужних і ефективних засобів захисту. Приклад тому - розподілені атаки. Логічно було б, щоб засоби захисту почали працювати ще на першому етапі, тобто запобігали можливості збору інформації про атаковану систему. Це дозволить якщо й не повністю зупинити атаку, то хоча б істотно ускладнити роботу зловмисника.
Також традиційні засоби не дозволяють виявити вже скоєні атаки і оцінити збиток після їх реалізації (третій етап) і, отже, не можна визначити заходи щодо запобігання таких атак надалі.
Залежно від досягнутого результату порушник концентрується на тому чи іншому етапі. Наприклад, для відмови в обслуговуванні він в першу чергу детально аналізує атаковану мережу і вишукує в ній лазівки і слабкі місця для атаки на них і виведенню вузлів мережі з ладу. Для розкрадання інформації зловмисник основну увагу приділяє непомітному проникненню на аналізовані вузли за допомогою виявлених раніше вразливостей.
РОЗДІЛ 2
МЕТОДИ ТА ЗАСОБИ ВИЯВЛЕННЯ АТАК НА ІТКС ТА АНАЛІЗ СТАНУ ЇХ ЗАХИЩЕНОСТІ
Застосування систем виявлення атак
Система виявлення атак (СВА) - програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанк ціонованого управління ними в основному через Internet. Відповідний англійський термін - Intrusion Detection System (IDS).
Системи виявлення атак надають такі можливості захисту мереж :
Реагування на атаку (якщо система зафіксувала такий факт і джерело атаки), що змушує атакуючого відповідати за свою діяльність.
Блокування джерела атаки з метою перешкоджання її здійсненню.
Виявлення підготовки атаки, яка полягає у здійсненні зондування мережі чи будь-якому іншому тестуванні задля пошуку вразливостей. За наявності СВА сканування буде виявлено і доступ зловмисника до системи може бути заблокований.
Документування наявних загроз мережі та системам.
Забезпечення контролю якості розроблення й адміністрування безпеки, передусім у великих і складних ІТКС. Функціонування СВА протягом тривалого часу надає інформацію про типові способи використання системи.
Отримання інформації щодо проникнень, які мали місце. Надана СВА інформація може бути корисною для відновлення й коригування факторів, що сприяли компрометації системи. Навіть коли СВА не має можливості блокувати атаку, вона може збирати про неї детальну і вірогідну інформацію.
Визначення джерела атак.
Методи аналізу СВА ділять на дві групи [13]: СВА, які порівнюють інформацію з попередньо встановленою базою сигнатур атак і СВА, які контролюють частоту подій або виявляють статистичні аномалії.
Аналіз сигнатур був першим методом, застосованим для виявлення вторгнень. Він базується на простому понятті збігу послідовності із зразком. Вони містять описи атак («сигнатури») і шукають відповідність цим описам в аналізованому потоці даних, з метою виявити прояв відомої атаки [5-7]. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) - характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено - оголошується тривога.
Основна перевага систем виявлення зловживань полягає в тому, що вони зазвичай породжують дуже мало помилкових тривог. Головний недолік систем виявлення зловживань пов'язаний з тим, що вони можуть визначати тільки відомі атаки, для яких існують певна сигнатура. У міру виявлення нових атак розробники повинні будувати відповідні їм моделі, додаючи їх до бази сигнатур.
Системи аналізу сигнатури мають кілька важливих сильних сторін. По-перше, вони дуже швидкі, так як повний аналіз пакету - дежчо важка задача. Правила легко написати, зрозуміти і налаштувати. Крім того, є просто фантастична підтримка комп'ютерного співтовариства у швидкому виробництві сигнатур для нових небезпек. Ці системи перевершують всі інші при вилові хакерів на первинному етапі: прості атаки мають звичку використовувати якісь попередні дії, які легко розпізнати. Нарешті, аналіз, заснований на сигнатурі, точно і швидко повідомляє, що в системі все нормально (якщо це дійсно так), оскільки повинні відбутися якісь особливі події для оголошення тривоги.
З іншого боку СВА, яка грунтується тільки на аналізі сигнатур, має певні слабкості. Будучи спочатку дуже швидкою, з часом швидкість її роботи буде сповільнюватися, оскільки зростає число сигнатур. Це суттєва проблема, оскільки число сигнатур може рости дуже швидко. Фактично, кожна нова атака або дія, придумана атакуючим, збільшує список сигнатур. Не допоможуть навіть ефективні методи роботи з даними і пакетами: величезна кількість злегка змінених атак можуть прослизнути через таку систему [14].
Є й інша сторона проблеми: оскільки система працює, порівнюючи список наявних сигнатур з даними пакету, така СВА може виявити тільки вже відомі атаки, сигнатури яких є. Але необхідно відзначити, що згідно зі статистикою 80% атак відбувається за давно відомим сценаріями. Наявність в системі виявлення сигнатур відомих атак дає високий відсоток виявлення вторгнень.
Другий метод аналізу полягає в розгляді строго форматованих даних трафіку мережі, відомих як протоколи. Кожен пакет супроводжується різними протоколами. Автори СВА, знаючи це, впровадили інструменти, які розгортають і оглядають ці протоколи, згідно стандартам. Кожен протокол має кілька полів з очікуваними або нормальними значеннями. Якщо що-небудь порушує ці стандарти, то ймовірна зловмисність. СВА переглядає кожне поле всіх протоколів вхідних пакетів: IР, ТСР і FTP. Якщо є порушення протоколу, наприклад, якщо він містить несподіване значення в одному з полів - оголошується тривога.
У випадку аналізу протоколів теж є свої переваги і недоліки. Через препроцеси, що вимагають ретельної експертизи протоколів, аналіз протоколу може бути досить повільним. Крім того, правила перевірки для системи протоколу важко написати і зрозуміти. Можна навіть сказати, що в цьому випадку доводиться сподіватися на сумлінність виробника програми, так як правила складні і важкі для самостійного налаштування.
На перший погляд, СВА на основі аналізу протоколу працюють повільніше, ніж системи на основі сигнатури, проте вони більш «грунтовні» в сенсі масштабності і результатів. Крім того, ці системи шукають «генетичні порушення» і часто можуть відловлювати найсвіжіші «експлоїти нульового дня», що в принципі не можуть робити системи на основі аналізу сигнатур. На жаль, подібні системи можуть іноді пропускати, очевидно, ненормативні події, типу root Telnet session, які не порушують ніякого протоколу. Системи на основі протоколу зводять помилкові тривоги до мінімуму, оскільки вони реєструють реальні порушення. На жаль, вони часто не забезпечують достатню кількість інформації. Замість цього, вони просто перекладають тягар відповідальності за виниклу аномалію на адміністратора.
Реакція СВА на прояв атаки досліджуваних класів
Після виявлення в ІТКС атаки система виявлення атак має можливість ужити певні дії у відповідь, спрямовані на її блокування. За реалізацію цих дій відповідає модуль реагування системи виявлення атак.
Базовим методом реагування системи виявлення атак є сповіщення адміністратора ІС про виявлену атаку. Система виявлення атак може повідомити адміністратора наступними способами:
виводом відповідного повідомлення на консоль управління адміністратора;
відправкою адміністратору повідомлення засобами електронної пошти;
шляхом формування SNMP-trap повідомлення та подальшої його відправкою в систему управління (наприклад, HP OpenView, IBM Tivoli, CA Unicenter та ін.).
Повідомлення про виявлену атаку, як правило, формується відповідно до проекту Міжнародного стандарту IDMEF (Intrusion Detection Message Exchange Format), який визначає модель представлення даних, що генеруються СВА, у форматі XML. Відповідно до цього стандарту повідомлення, що посилаються адміністратору безпеки, містять наступну інформацію[15]:
дату та час атаки;
загальний опис атаки, включаючи можливі посилання на додаткові джерела інформації про виявлену атаці;
символьний ідентифікатор атаки по класифікатору CVE (Common Vulnerabilities Exposures) або CERT (Computer Emergency Response Team);
рівень пріоритету виявленої атаки (низький, середній або високий);
інформацію про джерело атаки (IP-адреса, номер порту, доменне ім'я та ін.);
інформацію про об'єкт атаки (IP-адреса, номер порту, доменне ім'я та ін.);
рекомендації щодо усунення вразливості, в результаті якої був зафіксований факт реалізації атаки.
Крім простого сповіщення адміністратора про факт виявлення атаки існуючі СВА можуть реалізувати і ряд інших типів реагування, таких як:
блокування TCP-з'єднання, за яким була реалізована атака. Таке закриття реалізується шляхом посилки суб'єктам з'єднання спеціального TCP-сегмента з встановленим прапором RST;
запуск заданої зовнішньої програми з певними параметрами. Наявність такої функції модуля реагування дозволяє адміністратору системи виявлення атак доповнювати існуючі методи реагування своїми власними, реалізованими у вигляді зовнішніх підпрограм;
реконфігурація брандмауера з метою блокування трафіку, що надходить від хоста порушника. В даний час велика частина існуючих міжмережевих екранів має відповідні зовнішні інтерфейси, що забезпечують взаємодію МЕ з СВА. Прикладом такого інтерфейсу є інтерфейс OPSEC для брандмауера CheckPoint FW-1;
блокування облікового запису внутрішнього користувача ІТКС, який є потенційним джерелом атаки. Облікові записи повинні блокуватися на заданий період часу за допомогою хостових датчиків СВА.
Системи аналізу захищеності
Всі розглянуті вище методи реагування СВА реалізуються вже після того, як була виявлена атака. Тому це може призвести до нанесення істотного збитку ІС.
Системи аналізу захищеності (security assessment systems), також відомі як сканери безпеки (security scanners) або системи пошуку вразливостей, проводять всебічні дослідження контрольованих ресурсів з метою виявлення вразливостей, які можуть призвести до порушень політики безпеки. Результати, отримані від засобів аналізу захищеності, являють собою "миттєвий знімок" (snapshot) стану системи в даний момент часу. Незважаючи на те, що ці системи не можуть виявляти атаку в процесі її розвитку, вони в змозі визначити потенційну можливість реалізації атак.
Системи аналізу захищеності можуть бути класифіковані за типом виявлених ними вразливостей (рис. 2.1).
/
Рис 2.1. Класифікація систем аналізу захищеності
Системи пошуку вразливостей проектування
Даний тип уразливостей найбільш серйозний тому виявляються і усуваються вони з великими труднощами. У цьому випадку вразливість властива проекту інформаційної системи або алгоритму програми і, отже, навіть досконала їх реалізація (що в принципі неможливо) не врятує від закладеної в ньому слабкості. Для виявлення вразливостей проектування можна застосовувати різні засоби залежно від того, що потрібно аналізувати. Як правило, при пошуку вад в інформаційній системі стоять дві мети:
аналіз алгоритму програмно-апаратного забезпечення;
аналіз проекту корпоративної системи.
Перша мета досягається відносно легко, тому при пошуку вразливостей алгоритму ПЗ можуть використовуватися вже існуючі напрацювання в області верифікації програмного забезпечення. Друга мета реалізується набагато складніше, але і в цьому випадку існують засоби, що дозволяють здійснювати аналіз вразливостей проектування.
Необхідно відзначити, що системи даного класу не набули широкого поширення в Україні. Пов'язано це, з високою вартістю таких рішень і нерозумінням їх значущості. Єдині клієнт організації, де ці системи зустріли активну підтримку, - це лабораторії, що здійснюють сертифікацію програмного і апаратного забезпечення та атестацію інформаційних систем за вимогами безпеки.
Системи пошуку вразливостей реалізації
На помилках в реалізації програмно-апаратних засобів побудовані дуже багато атак, наприклад, переповнення буфера. Тому пошук таких вразливостей є дуже важливим завданням. Спочатку аналіз захищеності, а точніше, пошук помилок у програмному забезпеченні проводився традиційними методами, які полягали в його верифікації (доказі правильності). За допомогою спеціальних методик і при ускладненні завдань передумовою та післяумовою, виконання ПО доводилася його правильність [16]. Однак, незважаючи на вміння знаходити деякі помилки, ці методи не могли бути використані для виявлення різного роду вразливостей, особливо - навмисне внесених в текст програм (так званих руйнівних програмних дій).
Для вирішення цього завдання було запропоновано декілька різних методів, які можна розділити на два основні класи: логіко-аналітичні та контрольно-випробувальні. Перші системи використовують для доказу наявності в ПО вразливостей математичний апарат і аналітичні дослідження. Даний метод дуже надійний і ефективний, тому дозволяє гарантовано відповісти на питання, є чи немає уразливість в даній системі. Недоліком цих коштів є складність їх реалізації. Контрольно-випробувальні методи дозволяють виявити факт наявності уразливості в процесі тестування, яке може виконуватися у віртуальному тестовому середовищі за допомогою генерації текстів синтаксичного і семантичного аналізу тощо.
Системи пошуку вразливостей експлуатації
При проведенні аналізу захищеності системи пошуку вразливостей експлуатації реалізують дві стратегії. Перша - пасивна, - задіяних на рівні операційної системи, СУБД і додатків, передбачає аналіз конфігураційних файлів і системного реєстру на наявність неправильних параметрів; перегляд файлів паролів на предмет легко вгадуваних паролів, а також інших системних об'єктів з метою виявлення порушень політики безпеки. Друга стратегія - активна, - здійснювана в більшості випадків на мережевому рівні, дозволяє відтворювати поширені сценарії атак і аналізувати відповідну реакцію системи.
РОЗДІЛ3
СУЧАСНІ ТЕХНОЛОГІЇ РЕАЛІЗАЦІЇ ЗАСОБІВ ВИЯВЛЕННЯ АТАК
Огляд програмних засобів управління безпекою мережі компанії IBM Internet Security Systems
Компанія IBM Internet Security Systems [17] є світовим постачальником програмного забезпечення у галузі безпеки. Компанія розробила сімейство SAFEsuite – комплексо систем, який включає в себе всі компоненти моделі адаптивного управління безпекою мережі [18]. У цей комплекс входять системи:
аналізу захищеності на рівні мережі Internet Scanner;
аналізу захищеності на рівні операційної системи та прикладної ПО System Scanner, Online Scanner і Desktop Scanner;
аналізу захищеності на рівні СУБД Database Scanner;
виявлення атак RealSecure (Network Sensor, Appliance, OS Sensor, Server Sensor);
підтримки прийняття рішень і прогнозування в області безпеки SAFEsuite Decisions.
Internet Scanner
Система аналізу захищеності Internet Scanner призначена для проведення регулярних, всебічних або вибіркових тестів будь-яких систем, заснованих на стеку протоколів TCP / IP (мережевих сервісів, операційних систем, поширеного прикладного програмного забезпечення, маршрутизаторів, міжмережевих екранів, Web-серверів тощо). На основі проведених тестів Internet Scanner виробляє звіти, містять докладний, опис кожної виявленої уразливості, її розташування на вузлах корпоративної мережі та рекомендацій ПО їх корекції або усунення.
Механізм генерації звітів, наявний у Internet Scanner, унікальний. По-перше, система поставляється з 30-ма готовими шаблонами для генерації різних форм. По-друге, цей механізм дозволяє швидко переходити від узагальнених даних, що містять інформацію про рівень захищеності організації, до докладних звітів з детальною технічною інформацією про те, де і яка вразливість виявлена. Крім того, дані, звіти містять докладні інструкції щодо усунення знайдених проблем. До таких інструкцій можна віднести покрокові рекомендації щодо зміни системного реєстру Windows, або ж рядки, які треба внести в конфігураційні файли Unix. У разі наявності у виробника оновлення або патча, що усуває відповідну уразливість, у звіті міститься гіперпосилання на заданий FTP- або Web-сервер, на який можна перейти з системи Internet Scanner, не запускаючи браузера. Якщо все ж наявних 30-и шаблонів недостатньо, то адміністратор може створити і підключити до Internet Scanner свої власні форми, що враховують специфіку його організації (наприклад, вимоги до оформлення документів).
System Scanner
Internet Scanner є чудовим інструментом для аналізу мережевих вразливостей ОС Windows і Unix. Але додатковий погляд на аналізовані системи, здійснюваний системою System Scanner, робить рівень проведення аналізу захищеності за допомогою продуктів ISS набагато вищим, ніж, можливо, можуть надати інші аналогічні продукти. Виробники, як правило, реалізують тільки аналіз захищеності на рівні мережі, нехтуючи локальним скануванням на рівні операційної системи, і зовсім забуваючи про існування додатків. Система System Scanner виявляє велику кількість вразливостей , які не помічаються при дистанційному скануванні через мережу, але становлять велику небезпеку для Unix і Windows-систем.
Database Scanner
Система Database Scanner, що входить в сімейство SAFEsuite, виявляє різні проблеми (їх число перевищує 400), пов'язані з безпекою баз даних за трьома основними напрямками: аутентифікації, авторизації та цілісності БД. Додатково перевіряється операційна система, під управлінням якої функціонує СУБД. Вбудована база знань (Knowledge Base), доступна безпосередньо зі створюваних звітів, рекомендує коригувальні дії, які дозволяють усунути виявлені вразливості. Система Database Scanner може бути використана для СУБД Microsoft SQL Server, Oracle і Sybase Adaptive Server.
Online Scanner і Desktop Scanner
Дані системи призначені для аналізу захищеності домашніх користувачів, що підключаються до internet-банку або internet-порталу. Системи Online Scanner або Desktop Scanner виконані у вигляді ActiveX- або Java-коду, який завантажується на комп'ютер користувача і здійснює всі необхідні перевірки. При цьому від користувача не вимагається виконання будь-яких дій, крім натискання однієї кнопки на HTML-сторінці Web-сервера internet-банку. Відмінність Online Scanner від Desktop Scanner в способі генерації вихідної інформації про всі виявлені вразливості. Online Scanner створює такий звіт тільки на тому комп'ютері, на якому він запускається, і отримані в результаті звіти не доступні нікому, крім власника комп'ютера. Тим самим забезпечується захист від недобросовісних співробітників internet-банку. Desktop Scanner володіє можливістю централізованої генерації звітів і автоматичного усунення виявлених вразливостей.
Огляд комплексу Cisco Secure IDS
Cisco Systems, Inc. — американська транснаціональна корпорація, яка є найбільшим у світі виробником мережевого обладнання, призначеного для обслуговування мереж віддаленого доступу, сервісів безпеки, мереж зберігання даних, маршрутизації і комутації, а також для потреб комерційного ринку IP-комунікацій і корпоративного ринку.
Сімейство Cisco Secure IDS, складається з кількох компонентів:
16.06.2015 14:06-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора