Глава 9. Размещение систем обнаружения атак
Размещение сенсоров системы обнаружения атак
Между маршрутизатором и межсетевым экраном
В демилитаризованной зоне
За межсетевым экраном
В ключевых сегментах внутренней сети
У сервера удаленного доступа
На магистрали
Использование сенсоров системы обнаружения атак
в коммутируемых сетях
Использование span-порта
Подключение дополнительного концентратора
Использование разветвителя (сплиттера)
Интеграция в коммутатор
Размещение системы анализа защищенности
Размещение системы контроля целостности
Размещение обманной системы
Глава 10. Эксплуатация систем обнаружения атак
Выбор узла для системы обнаружения атак на уровне сети
Выбор платформы
Использование выделенного узла
Приобретение системы обнаружения атак
Приобретение программного и аппаратного обеспечения
Приобретение документации и услуг по технической поддержке
Инсталляция и развертывание
Задание правил для классических систем обнаружения атак
Задание правил для систем анализа защищенности
Стратегия сканирования
Тактика сканирования
Конфигурация механизма регистрации событий и оповещения об атаках
Журналы регистрации
Оповещение по электронной почте и через SNMP
Повышение защищенности системы обнаружения атак
Дублирование систем обнаружения атак
Защита от несанкционированного доступа
Пользователи системы обнаружения атак
Права доступа к системе обнаружения атак
Политика безопасности
Реализация Stealth-режима
Автоматизация
Заключение
Глава 11. Проблемы с системами обнаружения атак
Общие проблемы
Обновление базы данных сигнатур
Гетерогенные сети
Единое управление безопасностью
Незащищенность ОС
Отсутствие математических основ
Ложные срабатывания
Пропуски атак
Рост сложности средств реализации атак
Мобильный код
Низкая квалификация персонала
Трудности в обнаружении злоумышленников
Атаки на систему обнаружения атак
Разногласия между производителями
Постоянные слияния и приобретения
Активное реагирование
Восстановление после атаки
Руководства к действию в случае атаки
Тестирование систем обнаружения атак
Семантическое сжатие
Отсутствие механизма доказательств для судебных разбирательств
Системы обнаружения атак на уровне сети
Коммутируемые сети
Сети с канальным шифрованием
Модемы
Нехватка ресурсов
Выведение из строя системы обнаружения атак
Простое уклонение
Сложное уклонение
Системы обнаружения атак на уровне узла
Объем журналов регистрации
Длительность хранения
Снижение производительности
Защита журналов регистрации
Типы и детализация регистрируемых событий
Отсутствие универсального формата хранения данных
Заключение
Глава 12. Разработка своей собственной системы обнаружения атак
Этап 1. Приобретение необходимого программного и аппаратного
обеспечения
Этап 2. Построение сенсора
Этап 3. Создание базы сигнатур атак
Заключение
Глава 13. Стандартизация в области обнаружения атак
Альянс Adaptive Network Security Alliance
Проект Лаборатории Линкольна
Консорциум Intrusion Detection Systems Consortium
Платформа Open Platform for Secure Enterprise Connectivity
Стандарт Common Content Inspection
Проект Common Intrusion Detection Framework
Группа Intrusion Detection Working Group
База данных Common Vulnerabilities and Exposures
База данных ICAT
База данных Intrusion Data Library Enterprise
Проекты DARPA
Российские стандарты
Глава 14. Реагирование на инциденты
Заключение
Приложение 1. Список портов, используемых "троянскими конями"
Приложение 2. Список сокращений
Приложение 3. Список параметров протокола ICMP
Тип сообщения ICMP-3
Тип сообщения ICMP-5
Тип сообщения ICMP-11
Тип сообщения ICMP-12
Тип сообщения ICMP-40
Приложение 4. Список идентификаторов протоколов для IPv4
Приложение 5. Список портов, часто подвергающихся сканированию
Приложение 6. Список диапазонов адресов Internet
Приложение 7. Список доменов первого уровня
Список литературы
Предметный указатель
Предисловие
За последний год книги, посвященные вопросам обеспечения информационной безопасности, в России стали появляться как грибы после дождя. Абсолютное большинство российских публикаций описывают "традиционные" механизмы и средства защиты: разграничения доступа, межсетевые экраны, аутентификацию, криптографические системы и т. д. Я же буду рассматривать совершенно новые технологии, о которых в России до недавнего времени было практически ничего не известно. К таким технологиям можно отнести механизмы адаптивной безопасности сети, в частности, механизмы анализа защищенности и обнаружения атак, которые служат предметом рассмотрения в этой книге. Ее уникальность в том, что она полностью посвящена этому новому направлению в области защиты информации.
Отечественных публикаций на названную тему не так уж и много. Большинство из них вкратце представляют тот или иной механизм или продукт, их реализующий, не охватывая целиком взаимосвязь компонентов адаптивной безопасности. В настоящий момент в России данная область представлена несколькими публикациями в популярных компьютерных журналах и еженедельниках (например, "Мир Internet", "BYTE", "Компьютер-Пресс", PCWeek/RE и др.), а также в специализированных изданиях (например, "Системы безопасности, связи и телекоммуникаций", "Безопасность информационных технологий", "Банковские технологии" и т. д.) и материалами различных конференций. И все. Книг, посвященных этой теме, в России нет, за исключением отдельных глав в учебных пособиях и брошюрах. Справедливости ради необходимо отметить, что в начале 2001 года вышла книга с названием, практически совпадающим с названием данной книги. Но указанная книга является учебным пособием и не затрагивает большинства тем, включенных в мою книгу, — можно сказать, что они практически не пересекаются. Более подробный анализ книги показал, что около 60 страниц в ней заимствовано из моих публикаций и переводов ("разумеется", без указания ссылки на меня, как на автора). Поэтому можно смело говорить, что книга, которую вы держите в руках, является первым практическим пособием для специалистов, интересующихся технологией обнаружения атак.
Одна из трудностей, которая предстает перед пользователем, выбирающим систему обнаружения атак или анализа защищенности, заключается в том, чтобы отделить зерна истины от плевел рекламы. Ведь не секрет, что цель абсолютного большинства поставщиков средств защиты — это продать как можно больше предлагаемых ими средств. Именно поэтому очень сильно раздувается мыльный пузырь рекламных обещаний, которые далеко не всегда соответствуют действительности. А поскольку технология обнаружения атак пока еще незрела, то перед ее потребителем становится задача не запутаться в разнообразии средств и предложений и выбрать то, что является предпочтительным именно для заказчика.
В этой книге не рассматриваются все механизмы реализации атак — их слишком много. Да и необходимости в этом нет, — ведь есть такие книги, как [Макклуре1-01] и [Медведовский1-99]. Основное внимание будет сосредоточено на концепциях и принципах, заложенных в технологии обнаружения атак. В процессе повествования я старался не прибегать к строгому языку математики, пытаясь описать принципы, заложенные в описываемые технологии, доступным языком. Основной упор я постарался сделать на практическом применении технологий обнаружения атак и анализа защищенности. Насколько мне это удалось — судить читателю. Многие примеры, приведенные для иллюстрации описываемых технологий, взяты из реальной жизни или получены в процессе практического опыта работы с технологиями защиты. Учитывая специфику читателей, эта книга построена так, чтобы и начинающий, и специалист в области информационной безопасности нашел для себя в ней что-то интересное и полезное.
Эта книга показывает, как использовать и развертывать системы обнаружения атак, чтобы сделать ваш периметр непроницаемым снаружи и защитить сеть изнутри от посягательств внешних и, что важно, внутренних злоумышленников. Книга описывает достоинства и недостатки существующих систем: что они могут, а чего не в состоянии делать; перспективы развития описываемых технологий и т. д.
Эта книга является результатом четырехлетнего опыта работы автора в области обнаружения атак и анализа защищенности. Основу книги составили как материалы курсов по безопасности Internet, читаемых автором в Учебном Центре "Информзащита", НТЦ АРБ, АДЭ и других, так и практический опыт, накопленный в процессе работы с описываемыми технологиями. Немалую помощь в наполнении книги принесла преподавательская деятельность автора, как сертифицированного инструктора по безопасности компании Internet Security Systems, лидера в области средств обнаружения атак и анализа защищенности.
Необходимо отметить, что хотя книга и ориентирована на технологию обнаружения атак, многие ее положения также применимы и для других областей. Например, для обнаружения телефонных или финансовых мошенничеств, а также для технологии межсетевых экранов.
Для кого эта книга?
Эта книга нацелена на специалистов-практиков, которым по долгу службы приходится обеспечивать информационную безопасность своих организаций. В первую очередь, — это администраторы средств защиты, а также системные и сетевые администраторы. Именно они сталкиваются с различными нарушениями информационной безопасности и именно они занимаются конфигурацией указанных средств.
Эта книга поможет и руководителям отделов защиты информации, перед которыми стоит непростая задача выбора средств обеспечения безопасности, учитывающих специфику обработки информации в их организациях. В книге рассматриваются критерии такого выбора.
И, наконец, хотя книга и не утверждена в качестве учебного пособия Министерством Образования России, она может использоваться в качестве такового студентами и слушателями, обучающимися по программе защиты информации, а также на курсах повышения квалификации.
Обзор содержания
Книга состоит из 14 глав, каждая из которых рассматривает ту или иную область обнаружения атак. Первая глава является вводной и описывает недостатки различных традиционных средств защиты информации, таких как межсетевые экраны. Приводятся ссылки на реальные случаи взломов информационных систем различных компаний и организаций (в том числе и российских). В первой главе описываются и способы обхода межсетевых экранов, которые могут применяться для проникновения в корпоративные сети.
Вторая глава вводит читателя в такие понятия, как "уязвимость", "атака" и "инцидент безопасности". Указанное в главе деление поможет понять, почему современные системы обнаружения атак не всегда могут идентифицировать реального злоумышленника. В этой же главе описаны этапы реализации атак и методы, используемые злоумышленниками для скрытия следов своей несанкционированной деятельности.
Третья глава объясняет необходимость применения технологии обнаружения атак. Все технологии обнаружения атак основаны на трех "китах":
· признаках, описывающих нарушения политики безопасности;
· источниках информации, в которых ищутся признаки нарушений политики безопасности;
· методах анализа информации, получаемой из соответствующих источников.
Именно этим трем китам посвящена четвертая глава. В ней приводится большой фактографический материал, иллюстрирующий различные критерии, которые позволяют сделать вывод о наличии атак в контролируемом пространстве. После изучения данной главы мы сможем ответить на три вопроса: "ЧТО", "ГДЕ" и "КАК" обнаруживать. Использовать полученные знания можно двумя путями. Первый способ – вручную применять самые простые из описанных методов анализа источников информации в поиске известных признаков атак. Этому посвящена пятая глава. Второй способ — выполнять те же самые задачи, но в автоматизированном режиме при помощи специализированных средств обнаружения атак. О таких средствах повествует шестая глава, в которой дается их классификация и приводятся наиболее типичные примеры, в том числе и российские разработки.
В седьмой главе рассказывается о действиях, без которых внедрение любой, даже самой эффективной, системы обнаружения атак будет пустой тратой времени. К таким действиям можно отнести:
· подготовку и обучение персонала;
· создание политики безопасности;
· выбор и использование механизмов системной и сетевой регистрации;
· создание карты сети и т. д.
Восьмая глава является ключевой в книге, т. к. в ней приводится большое число различных критериев оценки систем обнаружения атак. Эти критерии позволят специалистам сделать правильный выбор в пользу той или иной системы, предлагаемой на российском рынке. В этой же главе приведен и краткий анализ этих систем.
Девятая глава посвящена такому немаловажному вопросу, как размещение систем обнаружения атак, в том числе и в современных коммутируемых сетях. В десятой главе разбираются некоторые практические аспекты эксплуатации систем обнаружения атак, такие как:
· выбор программного и аппаратного обеспечения для системы обнаружения атак;
· инсталляция и развертывание системы обнаружения атак;
· задание правил для обнаружения атак;
· конфигурация вариантов реагирования;
· повышение защищенности системы обнаружения атак.
Одиннадцатая глава является первым фундаментальным исследованием на русском языке проблем, связанных с технологией обнаружения атак. Характеризуются различные причины, затрудняющие ее использование и пути их преодоления.
В двенадцатой главе пойдет речь об отдельных аспектах создания своей собственной системы обнаружения атак. Это позволит в условиях недостаточного финансирования создать простую защитную систему, повышающую общий уровень безопасности корпоративной сети. Предпоследняя глава посвящена вопросам стандартизации. В ней приводится список организаций и стандартов в области обнаружения атак. Заключительная глава пытается ответить на вопрос "что делать, когда атака обнаружена", т. е. описывает процесс реагирования на инциденты.
Приложения содержат полезный материал, который может понадобиться в процессе практической работы с системами обнаружения атак. Они включают:
· список портов, используемых троянскими конями;
· список портов, часто подвергающихся сканированию;
· список диапазонов адресов, пакеты с которых могут попасть на внешний интерфейс периметрового маршрутизатора или межсетевого экрана;
· список доменов первого уровня;
· список идентификаторов протоколов IPv4.
В тексте содержится большое количество ссылок на ресурсы Internet. Некоторая информация о технологии обнаружения атак доступна только там. Эта область постоянно и часто изменяется и поэтому иные приведенные факты и сведения к моменту выхода книги могут потерять свою актуальность. В этом случае я рекомендую обратиться по указанным в ссылках адресам за более новой или подробной информацией.
Об авторе
Алексей Викторович Лукацкий — заместитель технического директора ЗАО "НИП Информзащита". Закончил Московский институт радиотехники, электроники и автоматики (МИРЭА) по специальности "Прикладная математика" (специализация — "Защита информации"). В области информационной безопасности "вращается" с 1992 года. Работал специалистом по защите информации в различных государственных и коммерческих организациях. В деятельности НИП "Информзащита" принимает участие с 1997 года и с этого же времени начал заниматься технологией обнаружения атак. Является сертифицированным инженером по безопасности (CCSE) компании Check Point Software Technologies и сертифицированным инструктором по безопасности компании Internet Security Systems (ICT). Имеет более 70 опубликованных работ в различных изданиях ("Системы безопасности, связи и телекоммуникаций", "PCWeek/RE", "Мир Internet", "Банковские технологии", "BYTE", "Компьютер-Пресс", "Открытые системы", "Сети", "Документальная электросвязь", "Электроника: Наука, Технология, Бизнес", "Мобильные системы", "Аналитический банковский журнал", "Business Online", "КомпьюЛог" и т. д.), а также различные переводы. Автор читает лекции по информационной безопасности в различных учебных заведениях и организациях (НТЦ АРБ, АДЭ и т. д.).
Автор с благодарностью примет все замечания и предложения по книге. Направлять их следует по адресу: [email protected].
Благодарности
Автор выражает признательность следующим людям, без помощи которых книга была бы неполной и которые предоставили различные описываемые в книге средства обнаружения атак: Михаилу Кадеру из компании Cisco Systems, Татьяне Фирсовой, Михаилу Забулонову и Александру Брюзгину из компании Symantec, Наталье Базаренко из корпорации Uni, Игорю Камолову из компании Rainbow Technologies, Сергею Кузнецову из компании Computer Associates.
Особая благодарность всем сотрудникам компании Internet Security Systems, которые предоставили в распоряжение автора все свои продукты, а также информационные материалы по текущим и перспективным направлениям исследований в области обнаружения атак: Оксане Тихоновой, Барбаре Ван Белле, Андреа Андернах, Энн Рассел, Марку Буду, Теду Доти, Йогану Бекерсу, Шейле Дроски, Нику Коннору и другим.
Также большое спасибо Андрею Барановскому, директору проекта www.inroad.kiev.ua, в рамках которого публикуются "примеры из жизни", многие из которых приведены в книге, Юрию Цаплеву, переводившему вместе с автором многие из зарубежных материалов, положенных в основу этой книги, а также Михаилу Оршанскому, который помогал мне в поиске литературы по обнаружению атак и доставке ее из США. Особая признательность Шахноз Салмановой из НИП "Информзащита" за содействие и помощь в издании этой книги.
Спасибо всем сотрудникам издательства "БХВ-Петербург", выпускавшим эту книгу: главному редактору Екатерине Кондуковой, техническому редактору Евгению Васильеву, а также Наталье Тарковой и Михаилу Перошкиеру.
Глава 1
Введение
"У того, кто умеет обороняться,
противник не знает, где ему нападать."
Сунь-цзы, ”Трактат о военном искусстве”