Смекни!
smekni.com

Способ и устройство обнаружения аномалий в сетях (стр. 3 из 4)

Ответные действия: после вторжения

Ответные действия системы вторжений — это ее реакция на обнаруженную проблему. Ответные шаги могут осуществляться в разной форме; самая распространенная среди них — генерация предупреждения, которая описывает обнаруженное вторжение. Существуют также более активные ответные действия, такие как отправка сообщения на пейджер системного администратора, включение сирены или даже организация контратаки.

Контратака может включать в себя изменение конфигурации маршрутизатора с тем, чтобы блокировать адрес атакующего или даже организовать ответное нападение на подозреваемого. Активные ответные действия — весьма рискованная мера, поскольку они могут обрушиться на совершенно неповинных людей. Скажем, хакер может атаковать сеть с помощью фальсифицированного трафика, как будто бы направляемого с определенного адреса, но на самом деле генерируемого в некотором другом месте. Если система обнаружения вторжений выявит атаку и изменит конфигурацию сетевых маршрутизаторов, для того чтобы блокировать трафик, получаемый с данного адреса, по существу, это будет означать организацию атаки типа «отказ в обслуживании» (denial of service — DoS) против того сайта, за который выдает себя хакер.

Открытые вопросы

Хотя за последние годы технология обнаружения вторжений развивалась очень быстро, многие важные вопросы до сих пор остаются открытыми. Во-первых, системы обнаружения должны стать более эффективными, научившись выявлять широкий диапазон атак с минимальным количеством ложных тревог. Во-вторых, методы обнаружения вторжений должны развиваться с учетом роста размера, скорости и динамизма современных сетей. Наконец, необходимы методы анализа, которые поддерживают идентификацию атак, направленных против сетей в целом.


Эффективность системы

Основная задача увеличения эффективности состоит в разработке системы, которая способна определять почти 100% атак с минимальным количеством ложных тревог. Пока мы далеки от достижения этой цели.

Современные системы обнаружения вторжений, в основном, базируются на методах выявления злоупотреблений. Свободно распространяемая система Snort и коммерческое решение ISS RealSecure — вот два продукта, которые используют сигнатуры для анализа сетевого трафика. Поскольку они моделируют только известные атаки, разработчикам приходится регулярно обновлять свой набор сигнатур. Такой подход недостаточно эффективен. Необходимо научиться с помощью инструментария обнаружения аномалий выявлять новые виды атак, но при этом избежать свойственного этому подходу большого числа ложных тревог. Многие исследователи высказываются за использование смешанного подхода, сочетающего в себе возможности обнаружения аномалий и обнаружения злоупотреблений, но для этого необходимы дальнейшие исследования.

Производительность

Просто определять атаки недостаточно. Системы обнаружения вторжений должны иметь возможность анализировать поток входных событий, генерируемых высокоскоростными сетями и высокопроизводительными компьютерами, которые стоят в узлах сети.

Сети Gigabit Ethernet используются повсеместно, растет популярность быстрых оптических каналов. Связанные сетями компьютеры также становятся быстрее, обрабатывают все больше данных и генерируют все более объемные журналы регистрации. Это возвращает нас к проблеме, которую когда-то вынуждены были решать системные администраторы, сталкивавшиеся с огромными объемами информации. Существует два способа анализа такого количества информации в реальном времени: разделение потока событий или использование периферийных сетевых датчиков.

При первом подходе модуль-«секатор» (slicer) расщепляет поток событий на более управляемые потоки меньшего размера, которые датчики обнаружения вторжений могут анализировать в реальном времени. Для этого доступ ко всему потоку событий должен осуществляться в одном месте. В силу этого исследователи обычно рекомендуют использовать разделение событий в централизованных системах или на сетевых шлюзах.

Недостаток такого подхода состоит в том, что «секатор» должен делить поток событий таким образом, чтобы гарантировать выявление всех соответствующих сценариев атак. Если поток событий делится произвольным образом, датчики могут не получить необходимые данные для обнаружения вторжения, поскольку различные части проявления атаки могут оказаться в разных фрагментах потока событий.

Второй подход состоит в развертывании множества датчиков на периферии сети, близко к хостам, которые должна защищать система. Этот подход предполагает, что при переносе анализа на периферию сети возникает естественное разделение трафика.

Недостаток такого подхода состоит в том, что развертывать широко распределенный набор датчиков, а затем управлять им достаточно трудно. Во-первых, корректное размещение датчиков может оказаться довольно сложным делом. Атаки, которые зависят от сетевой топологии (например, атаки, основанные на маршрутизации и фальсификации соединений), требуют, чтобы датчики устанавливались в определенных позициях сети. Во-вторых, существуют серьезные вопросы управления и координации. Сети — это весьма динамичные конструкции, которые развиваются во времени, как и их потенциальные угрозы. Новые виды атак появляются чуть ли не ежедневно; инфраструктура датчиков должна развиваться соответствующим образом.

Анализ в масштабе всей сети

Установка датчиков в критических для работы сети местах позволяет администраторам выявлять атаки против сети в целом. Другими словами, сеть, оснащенная датчиками, может дать интегрированную, полную картину состояния сетевой защиты. Атаки, которые представляются невинными действиями в рамках одного хоста, могут оказаться крайне опасными в масштабах всей сети.

Рассмотрим, к примеру, атаку, которая ведется в несколько этапов. Пусть каждый этап осуществляется на своем хосте, но, поскольку атакуемая система поддерживает разделяемую файловую систему, эффект проявится во всей сети. Система может оказаться не в состоянии выявить каждый этап злонамеренных действий при анализе информации с одного датчика, однако более развернутый анализ сетевой активности должен позволить выявить признаки атаки. Эта корреляция или объединение предупреждений — идентификация шаблонов вторжения на основе группы сигналов датчиков — является одной из самых сложных проблем в современных системах обнаружения вторжений.

Уведомления о взломе

Благодаря использованию метода, который называется "уведомления о взломе" ("burglar alarms"), IDS может предоставить полезное и надежное уведомление об определенных классах инцидентов безопасности. Для того чтобы понять, как работают уведомления о взломе, рассмотрим, как они применяются в "реальном мире". Рассмотрим простой пример. В доме есть сигнализация, которая проводит в жизнь простую политику безопасности: когда хозяина нет дома, никто не должен проникнуть через двери или окна, и никто не должен разбить стекла. Более того, в доме есть несколько скрытых датчиков, размещенных в наиболее важных местах. Когда хозяина нет дома, никто не должен пройти через дверь невредимым. Опираясь на эту образную политику, можно спроектировать систему уведомления о взломе на основе датчиков на окнах и дверях, детекторов разбитого стекла и некоторых поддельных датчиках. Можно ещё добавить требование, что никто не должен передвигаться внутри дома, когда хозяина там нет. Другой дом может иметь отличающуюся политику безопасности. В этом и заключается секрет: система уведомления о взломе - это IDS, которая опирается на понимание сети и того, что не должно происходить внутри нее.

Удивительно, но одним из самых лучших инструментов для построения системы обнаружения атак с уведомлением о взломе (burglar alarm intrusion detection system) является MD-IDS. Сетевому администратору надо сесть и описать, опираясь на свои знания сети, какого типа события он хочет отслеживать. Затем настроить MD-IDS на обнаружение и уведомление о них. Например, предположим, что сеть находится за межсетевым экраном (МСЭ), который блокирует IP трафик из Internet: надо проанализировать его и отправьте уведомление, если диапазон внешних IP-адресов из Internet виден в локальной сети. Предположим, что МСЭ не позволяет проходить какому-либо трафику, за исключением E-mail (SMTP), новостей USENET (NNTP) и запросов к DNS-серверу: установите MD-IDS, чтобы она начинала выдавать уведомления, если через МСЭ все же устанавливаются какие-либо соединения с внутренними системами для других, отличных от разрешенных, сервисов.

Вероятно наиболее мощная способность IDS с уведомлением о взломе состоит в том, что они действуют неожиданно для хакера. Администратор знаете свою сеть, а они нет. Если они проникли внутрь, им необходимо изучить сеть для того, чтобы эффективно реализовать свои атаки. Также как и взломщик, который может открыть несколько чуланов и шкафов в поисках денег или ювелирных изделий, сразу же после того, как он проник за охраняемый периметр, хакер будет сканировать сеть в поисках систем, которые стоит атаковать, или шлюзов к другим сетям. Поиск попыток внутреннего сканирования - эффективный способ обнаружения хакера. Большинство хакеров не ожидают встретить достойной обороны, - они проникают внутрь и полагают, что как только они прошли МСЭ, то их уже никто не видит. IDS с уведомлением о взломе разрушает это предположение и, что также является многообещающим, хакер будет ступать по виртуальному минному полю, как только он проникнет за периметр защиты.