Вероятно, большинство IDS в настоящее время развертываются не как системы обнаружения вторжения (Intrusion Detection Systems), а как системы обнаружения атак (Attack Detection Systems, ADS). Обнаружение атак представляет парадокс: если администратор знает, что конкретная атака существует, и блокируете ее, зачем ему заботиться о том, что кто-то пытается использовать ее против него?
Фактор, заставляющий сетевых администраторов использовать MD-IDS в ADS режиме - обычное любопытство. Интересно в короткий промежуток времени успеть задокументировать частоту и уровень атак, которым подверглась сеть. Но $10000 и больше - это куча денег, которую придется потратить на это сомнительное удовольствие. Инструменты аудита также управляют рынком MD-IDS - если аудит сети проводится экспертами в области защиты, вы будете раскритикованы, если их операции по тестированию и проникновению не будут обнаружены. Поскольку многие аудиторы используют широкий спектр автоматизированных средств анализа защищенности типа "Internet Scanner" от компании Internet Security Systems. Inc. или "CyberCop Scanner" от компании "Network Associates", то существует возможность немедленной, эмоциональной расплаты, если у администратора есть ADS, которая обнаруживает сканирование.
Теоретически, ADS вас будет предупреждать и повышать бдительность администратора в течение определенного периода времени, повышая его шансы в обнаружении и противодействии реальной атаке. Это является выгодным, поскольку хакер является достаточно "вежливым", чтобы предупредить администратора запуском программы SATAN против сети, прежде чем он запустит реальную атаку.
Маркус Ранум (MarcusRanum) - CEO из NetworkFlightRecorder, Inc., работает в фирме, специализирующейся на ПО для анализа сетевого трафика. В 1991 году он создал первый коммерческий Internet-продукт - межсетевой экран, и впоследствии разработал и внедрил несколько других значительных систем защиты, включая комплект инструментов TIS Firewall, TIS Gauntlet и Whitehouse.gov. Маркус часто выступает с лекциями на конференциях и дает консультации как аналитик по сетевой защите промышленного применения.
Маркус Ранум построил свою первую защищенную и важную Internet-систему в 1991 году, как часть Internet-шлюза крупной корпорации. Программное обеспечение на межсетевом шлюзе имело большое количество довольно элементарных систем уведомления о взломе, но даже в 1991 году тревоги раздавались приблизительно два раза в неделю. Уведомления были коварными и появлялись только после того, как система уже была взломана до определенной степени. Он обычно прослеживал атаки и часто вылавливал хакеров. Процесс отслеживания атаки и документирование инцидента занимал примерно 4 часа на каждую атаку. Конечно, его усилия не сыграли особой роли, потому что по мере увеличения количества пользователей сети Интернет, увеличилось и количество атак. В конце концов, Маркус Ранум понял, что если работать "по старинке", то это займет приблизительно 16 часов в неделю. Поскольку он создавал эту систему, то знал, что она может противостоять атакам, которые были обнаружены. По сути, Маркус ничего не достиг в том, что касается его времени, потому что ему приходилось выполнять функции суррогатного родителя для кучи плохо подготовленных выпускников высших учебных заведений. Следующее поколение его систем уведомления о взломе было настроено на автоматическое выполнение определенных процедур, когда возникали ситуации, которые, как он считал, никогда не должны были происходить.
Многие организации, которые в настоящее время не обнаруживают и не учитывают атаки, не осознают, что их ждет неприятный сюрприз, когда они проинсталлируют IDS или ADS. Они обнаружат, что даже когда они знают, что атака запущена, не существует эффективных способов противодействия, которые они могли бы применить против нее. Сегодня нельзя полагаться на адрес, из которого, как видно, происходит атака. Он может принадлежать безвредному "парню, чей компьютер уже скомпрометировали". Даже если знать, откуда происходит атака, то почти всегда оказывается, что она идет от пользователя, чей пароль был украден, или с адреса, который был зарегистрирован по украденной кредитной карточке. Полное отслеживание такой атаки - это отвратительно долгая по времени и сложности задача, которая связана с публичным доступом.
По-прежнему, наиболее эффективным по стоимости методом будет просто перестать гоняться за хакерами и вернуться к работе. Но зачем тогда нужно обнаруживать атаку, если администратор знает, что ничего не сможет сделать против нее?
К сожалению, "серебряной пули" не существует. Понимая ограничения и возможности IDS, можно эффективно использовать их. Для того, чтобы IDS работали наилучшим образом, необходимо сесть и составить перечень всех типов событий, которые администратор знает и которые могут вызвать серьезные проблемы в сети, затем настроить систему, чтобы она могла видеть их. Количество атак во внутренней сети должно быть очень небольшим, и будет исходить либо от аудиторов, либо от хакеров, которые каким-то образом пробрались через защиту периметра. В самом худшем, хотя и вполне возможном случае, можно обнаружить сотрудников, которые запускают атаки против внешних серверов в сети Интернет.
Что касается сети Internet, то средства защиты улучшается с большой скоростью. Современное поколение IDS - это только начало. В будущем мы увидим, что IDS комбинирует обнаружение аномалий и обнаружение злоупотреблений, и, будем надеяться, что они будут гладко интегрироваться с МСЭ и другими системами защиты.
Даже по мере того, как защита сетей становится все надежнее, обнаружение аномалий всегда останется неотъемлемой частью любой серьезной системы безопасности. Сложившаяся сейчас тенденция к установке распределенных и специализированных датчиков приведет к появлению систем, состоящих из сотен, возможно даже тысяч датчиков, подключенных к сети с помощью инфраструктуры, которая поддерживает связь, контроль или изменение конфигурации. Хотя тип и характеристики данной инфраструктуры могут варьироваться, все они должны иметь возможность масштабироваться в очень больших пределах. Кроме того, процедура анализа, в конечном итоге, будет перенесена с низкоуровневых датчиков на высокоуровневые анализаторы, которые предоставят администраторам более полную и точную картину событий, важных для безопасности сети в целом.
В ближайшем будущем технология датчиков будет интегрирована в повседневную вычислительную среду. Нечто похожее произошло с межсетевыми экранами, которые теперь являются неотъемлемой частью операционных систем: и Unix, и Windows снабжены функциональностью, характерной для межсетевых экранов на базе хостов. Теперь настало время, когда операционные системы и сетевое программное обеспечение должны интегрировать датчики обнаружения вторжений. Обнаружение вторжений, без сомнения, станет обязательной функцией.
Повсеместная, распределенная сеть может быть развернута, если только есть возможность интегрировать различные виды датчиков, работающих на разных платформах, в разных средах и операционных системах. В силу этого необходимы стандарты, которые обеспечат интероперабельность. Первый шаг в этом направлении — стандарт Intrusion Detection Message Exchange Format, предложенный рабочей группой Intrusion Detection Working Group в составе Internet Engineering Task Force. IDMEF определяет формат предупреждений и протокол обмена предупреждениями. Необходимо предпринять дополнительные усилия, чтобы сформировать так называемую онтологию, которая позволит датчикам достигнуть соглашения по интерпретации воспринимаемой ими информации. Без такого общего способа описания используемых объектов датчики по-прежнему будут по-разному трактовать данные при обнаружении одного и того же вторжения.
По мере развития программных технологий обнаружения вторжений они могут трансформироваться в технологию датчиков, реализуемых аппаратно. Новые виды распределенных датчиков могут одновременно открыть новые направления в области обнаружения вторжений. Возможно, когда-нибудь наша оснащенная датчиками одежда будет способна выявлять вора-карманника. Перспективы эти исключительно заманчивы, если не безграничны.
1. Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В. Безопасность компьютерных сетей на основе Windows NT. — Москва, Русская редакция. — 1998.
2. C. Ko, M. Ruschitzka, K. Levitt, «Execution Monitoring of Security-Critical Programs in Distributed Systems: A Specification-Based Approach», Proc. 1997
3. Хуотаринен А.В., Щеглов А.Ю. Технология физической защиты сетевых устройству/Экономика и производство. — №4. — 2002.
4. Щеглов А.Ю.Дарасюк М.В., Оголюк А.А. Технология защиты рабочих станций в сетевых архитектурах клиент-сервер//ВУТЕ. Россия — №1 — 2000.
http://www.uran.donetsk.ua/~masters/2004/fvti/zlatokrilets/library/source1.htmhttp://zerokool.vistcom.ru/ids.html