Приобретение программного и аппаратного обеспечения

Перед развертыванием системы обнаружения атак в корпоративной сети необходимо приобрести все необходимое программное и аппаратное обеспечение. При этом подразумевается, что программное обеспечение — это только сама система обнаружения атак. Это и операционная система, под управлением которой должны функционировать средства обнаружения, дополнительное ПО (например, браузер Internet Explorer или СУБД Огасle). В случае покупки программно-аппаратного комплекса (security appliance) – эти вопросы практически снимаются с повестки, т.к. в этом устройстве уже установлено все необходимое ПО, и остается только приобрести дополнительное программное обеспечение для консоли управления.

Что касается аппаратного обеспечения, то необходимо выбирать надежную и хорошо зарекомендовавшую себя аппаратуру. Не стоит экономить, особенно если учесть, что выход из строя системы обнаружения атак из-за некачественной сборки компьютера или ненадежных комплектующих может привести к очень печальным последствиям. В своей практике мне довелось столкнуться с такой ситуацией, когда поставщик техники установил у заказчика некачественные компьютеры. Через две недели после установки на них системы обнаружения атак один из этих компьютеров вышел из строя. Еще через неделю пришлось заменять второй компьютер. И только эшелонированной защитой, состоящей из последовательного применения списков контроля доступа маршрутизаторов Cisco, межсетевых экранов Check Роint Firewall-1 и Cisco Secure Fix Firewall, объединенных в кластеры, а также систем обнаружения атак Cisco Secure IDS и RealSecure Network Sensor удалось блокировать атаки злоумышленников, послужившие причиной сложившей­ся ситуации.

Поскольку система обнаружения атак достаточно интенсивно использует имеющиеся в ее распоряжении ресурсы (особенно оперативную память, же­сткий диск и сетевую карту), а также, учитывая то, что защищаемый с ее помощью сегмент сети может расширяться, то желательно приобретать ап­паратное и программное обеспечение с некоторым запасом, для масштабирования системы обнаружения атак. При том условии, что выбор делается в пользу надежного аппаратного обеспечения, желательно иметь некоторый запас "прочности", чтобы своевременно восстановить от­казавший узел или компонент. Несмотря на избыточность такого решения, это — необходимый шаг для поддержания системы обеспечения информационной безопасности на должном уровне. В случае отсутствия резервных комплектующих и оборудования необходимо перед приобретением системы обнаружения атак не забыть узнать у поставщика время замены вышедшего из строя компонента. Обычно все "брэнды" (Cisco, Compaq, IBM, Hewlett Packard и т. д.) имеют в России склады запасных частей, позволяющие им в кратчайшие сроки осуществить замену. Например, компания Cisco Systems гарантирует поставку новых запасных деталей в любую точку России в тече­ние одного дня с момента размещения заказа.

Сетевые адаптеры в устанавливаемом компьютере должны функционировать именно на тех скоростях, которые приняты в вашей сети. Иначе может ока­заться, что сетевой сенсор системы обнаружения атак с 10-мегабитовой се­тевой картой подключается к 100-мегабитному порту коммутатора. В этом случае сетевой сенсор работать будет, но его эффективность оставит желать лучшего, т.к. многие атаки будут пропущены.

Невозможно в полном объеме развернуть и задействовать систему обнаружения атак, если закуплены не все компоненты программного или аппаратного обеспечения. Например, отсутствие необходимого количества модулей памяти хоть и позволит запустить систему обнаружения атак, но в случае контроля высокоскоростных сетей или анализа защищенности большого числа удаленных сетевых узлов некоторые атаки и уязвимости могут быть не замечены или, что еще хуже, система обнаружения атак может быть выведена из строя несоответствующим ее возможностям объемом обрабатываемых данных. Кроме того, "некомплект" оборудования или ПО приведет к тому, что после докупки недостающих элементов придется повторно конфигурировать всю систему обнаружения атак.

Аппаратное обеспечение системы обнаружения атак может включать компоненты, описанные ниже.

q Центральный процессор.Как показывает анализ существующих систем обнаружения атак, чем больше процессоров установлено на узле с системой обнаружения атак, тем эффективнее проходит анализ сетевого тра­фика или удаленных узлов. И если в небольших сетях можно ограничится одним процессором, делая основной упор на объеме оперативное памяти, то в крупных сетях и на магистралях желательно использовать 2- или 4-процессорные системы (так, например, поступает компания Compaq, поставляя систему обнаружения атак RealSecure Network Sensor на своем оборудовании). Исходя из практики, замечу, что системы обнаружения атак в обычных условиях загружают процессор на 2-10 процентов его мощности.

q Оперативная память.Как и в случае с процессорами, чем больше oпeративной памяти, тем эффективнее работает система обнаружения атак. Особенно это относится к сетевым сенсорам системы обнаружения атак. Что касается систем, функционирующих на уровне узла, то для поддержки их работоспособности достаточно ОЗУ, необходимого для функциональности самой операционной системы. В действительности, такие системы занимают в памяти от 1 до 5 Мбайт. Для других типов систем обнаружения атак этот элемент не столь существенен, т.к. системы анализа защищенности, системы контроля целостности и тому подобные, проявляют высокую активность не постоянно, а только при наступлении определенных событий, момента времени или по требованию администратора безопасности.

q Периферийные устройства,требуемые для инсталляции и функционирования системы обнаружения атак (привод CD-ROM, НГМД, клавиатура, монитор и т. п.). Для сенсоров системы обнаружения атак на уровне сети, как правило, не нужны клавиатура и монитор, поскольку управляются они дистанционно с центральной консоли. Аналогичное требование может, быть предъявлено и к серверам управления системами обнаружения атак, анализа защищенности, имеющим трехуровневую архитектуру.

q Жесткий диск.Объем дискового пространства зависит от установленной операционной системы, используемой системы обнаружения атак и дополнительного программного обеспечения, а также от размера журнале регистрации контролируемых действий. Но, как правило, размер жестких дисков не должен быть меньше 4—6 Гбайт. При этом по возможности эти диски должны быть объединены в RAID-массивы (или другие системы распределенной внешней памяти) для обеспечения повышения отказоустойчивости и производительности.

q Сетевые адаптеры.Для консоли системы обнаружения атак или системы анализа защищенности, а также для сервера управления (в трехзвенной схеме) достаточно одной сетевой карты, в то время, как для сетевого сенсора желательно иметь два таких интерфейса (для реализации stealth-режима), хотя, в крайнем случае, можно обойтись и одним адаптером. Предпочтительно, чтобы эти сетевые карты были совместимы с PCI-шиной и функционировали в "смешанном" (promiscuous) режиме. Выбор в пользу архитектуры PCI обусловлен тем, что скорость обмена между шиной и оперативной памятью является критическим фактором, влияю­щим на быстродействие сетевой системы обнаружения атак, и PCI-устройства характеризуются лучшими показателями по сравнению с другими архитектурами (например, Sbus). От производительности сетевой карты зависит производительность системы обнаружения атак, поэтому для сетевого сенсора желательно выбирать серверный вариант, который существенно повышает эффективность обработки сетевого трафика (на 30—40%) за счет наличия собственного процессора, значимо разгружаю­щего процессор компьютера от забот по передаче кадров из оперативной памяти в сеть. Примерами таких адаптеров являются Intel PRO/100 (1000, 100+) Server Adapter или 3Com Fast EtherLink Server, использующие технологии Intel Adaptive Technology и Parallel Tasking II соответственно.

q Средства архивного резервирования.На таких устройствах (например, стриммере или CD-RW) могут храниться журналы регистрации контро­лируемых событий за прошедшее время или дистрибутивы системы об­наружения атак, включая все конфигурационные файлы и правила обработки и анализа трафика.

q Источники питания.К этой категории относятся не только блоки пита­ния, размещенные под крышкой корпуса компьютера, но и источники бесперебойного питания (UPS), резервные источники питания и т.п., не позволяющие зависеть системе обнаружения атак от системы электро­снабжения организации. Особенно это актуально для критичных "орга­нов" систем, для которых на первое место выходит обеспечение их высо­кой доступности.

На системные требования, выдвигаемые к компьютеру, на котором будет установлен сетевой сенсор системы обнаружения атак, влияют следующие условия:

q объемы передаваемого трафика в защищаемом сегменте;

q средний размер пакета в защищаемом сегменте;

q типы трафика (электронная почта, файлы, видео/аудио и т. д.);

q число и тип обнаруживаемых сигнатур (зависит от используемых в защищаемом сегменте сети протоколов, сервисов и операционных систем);

q задействованные варианты реагирования;

q используемые в защищаемом сегменте сетевые топологии (Ethernet, Fast Ethernet, FDDI, Token Ring и т.д.);

q число узлов в защищаемом сегменте;

q среднее и пиковое значения сетевой загрузки.

Основываясь на среднестатистических значениях указанных выше параметров, компания Compaq, например, рекомендует представленную ниже конфигурацию для установки сетевого сенсора системы обнаружения атак (в частности, компания Compaq предлагает ее для системы RealSecure Network Sensor).

q Стандартная конфигурация (для низкоскоростных сетей):

• сервер Proliant 1600;

• 1 процессор Pentium II 450;

• 128 Мбайт оперативной памяти;

• 1 жесткий диск 9,1 Гбайт.

q Расширенная конфигурация (для высокоскоростных сетей):

• сервер Proliant 1600;

• 2 процессора Pentium Ц 450;

• 256 Мбайт оперативной памяти;

• SmartArray2 Controller;

• 3 жестких диска по 9,1 Гбайт для реализации RAID-5.

Программное обеспечение системы обнаружения атак может включать (помимо компонентов самой системы) составляющие, описанные ниже.

q Операционная система.Если для систем обнаружения атак, функционирующих на уровне узла, решение однозначно, то для систем обнаружения атак уровня сети (за исключением security appliance) этот выбор достаточно точно важен. Как показывает практика, при всем богатстве выбора (табл. 10.2) выбирать обычно "приходится" между тремя операционными системами: Windows NT (и в последнее время Windows 2000), Solaris или какой-либо из условно бесплатных ОС Unix (Linux или FreeBSD). Однако, если Linux и FreeBSD предпочтителен в случае нехватки денежных средств, то первые две альтернативы обычно находят применение в «твердо стоящих на ногах» организациях. Однозначный выбор в пользу той или иной ОС сделать нельзя, т.к. он зависит от большого числа параметров (уже используемых в организации ОС, поставщика, финансовых возможностей, квалификации IТ-персонала и т. д.). Но при всех прочих равных условиях в высоконагруженных сетях обычно рекомендуется остановиться на ОС Solaris. Например, она наиболее пригодна для защиты внутреннего Web-сервера или сервера баз данных, к которым обращаются сотни пользователей. А в стандартных условиях, как правило, используется ОС Windows NT или Windows 2000.

Таблица 10.2. Операционные системы, используемые

системами обнаружения атак

Система обнаружения атак Операционная система
Система анализа защищенности
Internet Scanner Windows NT, Windows 2000
System Scanner Консоль управления — Windows NT, Windows 2000 Агенты - Windows NT, Windows 2000, NetWare, Linux, HP UX, AIX, Solaris, SCO OpenServer, SCO UnixWare, Sequent DINIX/PTX, NCR Unix, Digital Unix
Cisco Secure Scanner Windows NT, Solaris
NetRecon Windows NT
Enterprise Security Manager Консоль — Windows NT, Windows 2000, Windows 95/98 Сервер управления - Windows NT, Windows 2000, OSF/I, IRIX, HP UX, AIX, Solaris, NetWare, OpenVMS Агенты — NetWare, OpenVMS, Windows NT, Windows 2000, HP UX, AIX, Solaris, NCR Unix, OSF/1, IRIX, Sequent DINIX/PTX, Digital Unix, Compaq Tru64
Nessus Консоль — FreeBSD, Linux, Solaris, Windows NT Сервер управления — FreeBSD, Linux, Solaris
CyberCop Scanner Windows NT, Windows 2000, Linux
Kane Security Analyst Windows NT, NetWare
Expert Windows 95/98, Windows NT
STAT Windows NT
BindView HackerShield Windows NT, Windows 2000, NetWare, OS/400
Система обнаружения атак
RealSecure   Консоль — Windows NT, Windows 2000 Network Sensor - Windows NT, Windows 2000, Solaris. RealSecure for Nokia — ОС на базе FreeBSD OS Sensor - Windows NT, Windows 2000, Solaris, HP UX, AD Server Sensor — Windows NT, Windows 2000, Solaris
Cisco Secure IDS   Консоль - HP UX (HP OpenView NNM), Solaris (HP Open-View NNM), Windows NT (Cisco Secure Policy Manager) Sensor — своя ОС
NetProwler Консоль - Windows NT Windows 2000 Сервер управления - Windows NT Сенсор — Windows NT
Dragon Консоль - Web-интерфейс Сетевой сенсор (Sensor) - Linux, FreeBSD, OpenBSD So­laris, HP UX Системный сенсор (Squire) - Linux, FreeBSD, OpenBSD Solaris, HP UX, Windows NT
NFR Консоль (Administrative Station) - Windows NT, Windows 2000, Windows 95/98 Сервер управления (Central Station) - Solaris Сенсор - ОС на базе BSD
BlackICE Консоль — Windows NT Сетевой сенсор (BlackICE Sentry) - Windows NT Системный сенсор (BlackICE Pro) — Windows NT Win-dows95/98
Intruder Alert Консоль - Windows NT, Windows 2000, Windows 95/98 Сервер управления - Windows NT, NetWare HP UX AIX Solaris, NCR Unix, OSF/1, IRIX Агент- Windows NT, NetWare, HP UX, AIX, Solaris NCR Unix, OSF/1, IRIX, Sequent DINIX/PTX
eTrust IDS Консоль - Windows 95/98, Windows NT Сенсор — Windows 95/98, Windows NT
CyberCop Monitor Консоль — Windows NT Сенсор - Windows NT? Solaris, HP UX, AIX
SecureNet PRO Сенсор - Red Hat Linux
Kane Security Monitor Сенсор — Windows NT
Centrax Консоль - Windows NT Сенсор — Windows NT, Solaris
Snort Linux, *BSD, Solaris, SunOS, HP UX, AIX, IRIX, Compaq, Tru64, Windows NT
LIDS Linux
Tripwire Windows NT, Solaris, AIX, HP UX, IRIX, Compaq Tru64, Linux
Обманная система
CyberCop Sting Windows NT
DTK Различные версии Unix
ManTrap Консоль — Windows NT, Windows 2000, Windows 95/98, Solaris Сенсор — Solaris
RealSecure OS Sensor Windows NT, Windows 2000, Solaris, HP UX, AIX
RealSecure Server Sensor Windows NT, Windows 2000, Solaris

q Обновления ОС и ПО.Данный элемент программного обеспечения (Patch'и, Hotfix'ы и Service Раск'и) устраняет известные уязвимости и ошибки реализации операционной системы и программного обеспечения, тем самым повышая защищенность и надежность последних.

q Обновления системы обнаружения атак.Как уже не раз упоминалось, эффективность системы обнаружения атак определяется своевременностью обновления ее базы данных сигнатур атак и уязвимостей. При приобретении системы обнаружения атак необходимо, чтобы она поставлялась самыми последними обновлениями, которые выпущены производителем к моменту приобретения.

q Драйверы для всех необходимых устройств(сетевых адаптеров, стриммеpa, CD-ROM и т.д.). Желательно устанавливать "родные" драйверы, выпущенные производителем обновляемого программного обеспечения оборудования. В ином случае может возникнуть несовместимость с aппаратным обеспечением, что приведет к нарушению функционирования системы обнаружения атак.

q Программные средства, требуемые для настройки программного и аппаратного обеспечения.Любое, более или менее сложное программно-аппа­ратное обеспечение требует своей настройки. Такая настройка может осуществляться как из самого ПО, так и при помощи дополнительных средств. Как правило, такие дополнительные средства могут входить в комплект поставки приобретаемой системы (как, например, утилита настройки сетевых адаптеров 3Com). Иногда, особенно для сложной программно-аппаратной системы такие дополнительные средства поставля­ются за дополнительную плату.

q Анализаторы протоколов и средства моделирования атак,позволяют проверить правильность функционирования системы обнаружения. К таким средствам могут быть отнесены Dragon Sensor Workbench компании Enterasys Networks или nidsbench компании Anzen. Последняя программа, точнее — комплект программ, функционирующих под управлением ОС BSD, Linux и Solaris, представляет определенный интерес, комплект состоит из трех утилит:

• TCPreplay — утилита предназначена для анализа производительно сетевых систем обнаружения атак путем посылки на нее реального тезого трафика, включающего и атаки. Данная утилита позволяет : тролировать передачу трафика с заданной скоростью, уменьшая ее увеличивая. Помимо этого, TCPreplay совместима с уже не раз увд наемой утилитой TCPdump;

• FragRouter — программа анализирует эффективность функционирования сетевой системы обнаружения атак путем посылки на нее фрагментированных пакетов, содержащих атаки, а также других атак, описанных в известных публикациях Птачека и Ньюшема [Ptacek 1-98 ], а также Верна Паксона [Paxson 1-98];

• IDStest — утилита служит для оценки эффективности функционирования сетевой системы обнаружения атак путем посылки на нее различных атак. Тем самым данная утилита практически не отличается от сканеров, моделирующих различные атаки.

Наши рекомендации