Система предотвращения вторжений и сетевых атак
20 октября 2010
Рубрика: Связь и телекоммуникации. Тэги:
Автор: Андрей Усеинов.

security_20_10_2010

Целью данной статьи является ознакомление читателей с одним из устройств в арсенале специалиста информационной безопасности, предназначенным для борьбы с сетевыми атаками и прохождением несанкционированного трафика через сеть.

В современном мире информационные ресурсы и сама IT-инфраструктура являются для организаций и предприятий одним из важнейших, тщательно оберегаемых и защищаемых ресурсов. В то же время, если антивирусное программное обеспечение и аппаратные брандмауэры уже давно стали обязательным атрибутом защиты для многих предприятий, то системы предотвращения вторжений для большинства наших IT-специалистов и руководителей до сих пор в диковинку.

Система предотвращения вторжений (англ. Intrusion Prevention System — IPS) — устройство, позволяющее анализировать сетевой трафик на 2 — 7 уровнях модели OSI, выявлять нежелательную активность и предпринимать соответствующие меры: блокировать источник трафика, отсылать администраторам сообщения с информацией об атаках, журналировать проходящий трафик для ручного анализа и т.д. Системы предотвращения вторжения эволюционировали из систем обнаружения (англ. Intrusion Detection System — IDS), которые позволяли анализировать проходящий трафик без возможности влиять на него. На сегодняшний день все устройства лидирующих мировых производителей в этом направлении позволяют работать как в режиме IPS, так и в режиме IDS, при этом трафик, проходящий через устройство, может доходить до десятка гигабит в секунду.

Системы предотвращения вторжений принято подразделять на сетевые системы — NIPS (англ. Network-based Intrusion Prevention System) и персональные — HIPS (англ. Host-based Intrusion Prevention System). Сетевые системы используются непосредственно в сети организации или предприятия, позволяя анализировать трафик, проходящий в интересующем направлении. Персональные системы, по сути программное обеспечение, устанавливаемое на рабочие станции или сервера, позволяющее контролировать деятельность приложений, а также отслеживать сетевую активность на наличие возможных атак. Как правило, подобные приложения тесно интегрируются с персональными брандмауэрами и антивирусами, устанавливаемыми на те же компьютеры. Их отличие от антивирусного программного обеспечения заключается в отсутствии сигнатур конкретных вирусов: ими анализируется сама активность программ, и на основе заданных политик принимается решение о блокировании того или иного приложения. В данной статье мы сконцентрируем внимание на сетевых системах предотвращения вторжений, так как они позволяют централизованно и эффективно контролировать большие сегменты сети, а также имеют относительно небольшое время развертывания.
Главными вопросами, предваряющими развертывание и внедрение данной системы, наверняка станут эффект данного решения и круг решаемых им проблем. Базовые задачи, решаемые устройствами данного класса, можно разделить на три основных направления:
1. Защита от атак, направленных на уязвимости в приложениях, не закрытые на данный момент производителями программного обеспечения — так называемые атаки Day Zero.
2. Защита от сетевых вирусов-червей, распространяющихся через Интернет.
3. Блокирование нежелательных типов трафика, при перекрытии которых необходим глубокий анализ данных на сетевых уровнях L2-L7.

Рассмотрим каждое направление в отдельности, сопровождая рассказ конкретными примерами применения систем предотвращения вторжений (рис. 1).

security_20_10_2010_1

Представим себе, что в нашей сети установлено регулярно обновляемое программное обеспечение со всеми последними заплатками и исправлениями. Мы следим за вопросами информационной безопасности: везде, где это необходимо, установлены антивирусы, базы которых также регулярно обновляются. Однако, если открыть и просмотреть сайты по тематике информационной безопасности, можно увидеть массу новостей о ежедневном выявлении уязвимостей в большом количестве программного обеспечения. Как показывает практика, даже чрезвычайно опасные уязвимости в массово распространенном программном обеспечении закрываются производителями далеко не сразу. В промежуток времени между обнаружением уязвимости и появлением патча на нее, пользователи скомпрометированного программного обеспечения находятся под вполне реальной угрозой. Злоумышленник, желающий проникнуть в вашу информационную систему и обладающий хорошими профессиональными навыками, сможет успешно осуществить свой замысел в течение этого периода.

Каким же образом система предотвращения вторжений сможет нам помочь в данной ситуации? Установленная на пути прохождения трафика из внешних сетей в нашу, система будет анализировать его. После обнаружения опасной уязвимости производители IPS, как правило, в кратчайшие сроки выпускают обновления сигнатур для своих систем с «отпечатками» сетевой активности эксплойтов, использующих данную уязвимость. Злоумышленник, попытавшийся воспользоваться этой брешью, будет остановлен системой предотвращения вторжений, которая заблокирует его трафик заблаговременно, до достижения им атакуемого сервера или рабочей станции. Таким образом, даже в отсутствие необходимых обновлений программного обеспечения, наша инфраструктура будет защищена от внешних атак, направленных на самые последние выявленные уязвимости.

security_20_10_2010_2

Как уже упоминалось, системы предотвращения вторжений могут также помочь и в борьбе с сетевыми червями. Большая часть сетевых червей при попадании на компьютер начинает активно искать потенциальные жертвы для дальнейшего заражения. Делается это при помощи рассылки огромного количества запросов на случайно выбранные IP-адреса с помощью различных протоколов. Если от какого-либо IP-адреса приходит ответ, червь пытается проникнуть через него далее, используя уязвимости программного обеспечения. Однако, система предотвращения вторжений становится для червя непреодолимым барьером. Система ведет анализ проходящего через нее трафика и в случае обнаружении всплеска подозрительного трафика, вроде сканирования различных IP-диапазонов на предмет наличия рабочих станций или открытых портов, блокирует его источник. Таким образом, сетевой червь лишается возможности найти потенциальные жертвы для дальнейшего заражения и, соответственно, перестает распространяться.

Проблема блокирования некоторых нежелательных типов трафика стоит в том или ином виде перед многими компаниями и организациями. Если раньше считалось, что для решения проблемы достаточно закрыть определенный TCP- или UDP-порт, то ныне даже широко распространенное пользовательское программное обеспечение может использовать сложные алгоритмы обмена информацией, что делает задачу блокирования трафика определенных приложений неразрешимой с помощью одного только брандмауэра.

Приведем несколько примеров.
Сервис голосовых и мгновенных сообщений Skype использует для передачи данных закрытую шифрованную архитектуру с поиском свободных TCP- и UDP-портов, через которые и производится обмен информацией. Если администратор сети закроет на брандмауэре порт, используемый Skype, ПО найдет и начнет использовать другой, если же закрыть и его, то все повторяется сначала. Так или иначе, некоторые порты в любом случае остаются открытыми для обеспечения работы других приложений, и Skype может их задействовать.

Другое общеизвестное приложение, которое также непросто блокировать, — сервис пиринговых сетей BitTorrent. Клиенты такого сервиса при работе используют различные TCP-порты, которые могут хаотично меняться, да и IP-адреса пиринговых партнеров могут быть совершенно любыми, что делает невозможной фильтрацию трафика по IP-адресам. Справиться с этими приложениями, да и не только с ними, позволят нам системы предотвращения вторжений. Благодаря анализу проходящего трафика на всех уровнях, вплоть до уровня приложения, они позволяют выявлять определенный тип трафика и отфильтровать его от полезного трафика, использующего те же самые TCP- и UDP-порты, IP-адреса и прочие атрибуты уровней L3/L4.

security_20_10_2010_3

Кроме обычных приложений, которые могут быть нежелательны для использования по разным причинам, возможна также и преднамеренная передача данных, организуемая для осуществления кражи конфиденциальных данных. Представьте себе, что администраторы сети заблокировали все лишние протоколы, порты и способы передачи информации из вашей организации, оставив только те, которые реально необходимы для работы легитимных приложений и авторизованных пользователей. Допустим, что какой-либо протокол, к примеру ICMP, необходим для нормального функционирования инфраструктуры. Один из сотрудников компании организует туннель, используя пакеты ICMP echo request и ICMP echo reply, инкапсулируя полезную информацию в тело ICMP-пакета. Благодаря такому туннелю сотрудник может совершенно бесконтрольно получать и передавать различную информацию, в том числе и конфиденциальную, а также создает условия для проникновения в сеть вирусов. Имея в своих руках один только брандмауэр, мы оказываемся безоружными перед лицом подобной проблемы, а ведь аналогичных случаев происходит множество. Система предотвращения вторжений оказывается незаменимой для предотвращения подобных ситуаций.

Мы рассмотрели основные способы применения систем предотвращения вторжений и задачи, которые они призваны решать. Теперь разберем, как именно работают эти системы, каким образом они интегрируются в сетевую инфраструктуру, а также какие проблемы приходится решать при внедрении подобного рода решений.

Современные системы предотвращения вторжений анализируют трафик на основе:
• Имеющихся в системе сигнатур.
• Аномалий в потоках данных или используемых протоколах.

Базовым методом работы системы предотвращения вторжения является сигнатурный. Он позволяет с высокой степенью точности отслеживать нелегитимный трафик. Сигнатуры, используемые системой предотвращения вторжений, выпускаются производителем данного устройства и регулярно обновляются. Кроме того, многие системы предотвращения вторжений позволяют создавать и настраивать пользовательские сигнатуры для конкретной настройки системы под различные возможные угрозы. В случае анализа аномалий в трафике, система выявляет подозрительный трафик, характерный для сетевых червей и вирусов и не свойственный для данной сети, и блокирует его. Для этого система некоторое время проходит обучение, анализируя и запоминая типы и характеристики трафика в конкретной сети, после чего переводится в активный режим для выявления аномалий передачи данных.

Современные системы предотвращения вторжений имеют широкий спектр возможных ответных реакций на нелегальный трафик: посылка сигналов тревоги системным администраторам, журналирование подозрительного трафика, блокирование источника трафика, сброс TCP-сессии, ограничение полосы канала. Благодаря этому организация может гибко реагировать на различные сетевые угрозы, настраивая под каждый конкретный случай необходимые ответные действия.

Перейдем теперь к вопросам о месте данного типа устройств в сетевой инфраструктуре предприятия и о его стыковке с другим оборудованием. Существует два режима использования подобного оборудования — Inline и Promiscuous. В первом случае система пропускает через себя весь трафик и может напрямую блокировать его при необходимости. Во втором случае на систему заводится зеркальный поток реального трафика, который и подвергается аналитической обработке. Эти режимы схематично представлены на иллюстрациях.

Наконец, кратко затронем проблематику внедрения подобных решений на предприятиях. Для эффективного использования подобного рода устройств необходимы квалифицированные специалисты со специфичными знаниями в области информационной безопасности, которые далеко не всегда и не везде могут быть доступны. Необходимо учесть, что однократной настройки такому устройству будет недостаточно: необходимо постоянно следить за поддержанием системы в актуальном состоянии. Также важно пристальное внимание к вопросам информационной безопасности и понимания возможных угроз и методов борьбы с ними со стороны руководства предприятия.

Автор данной статьи Андрей Усеинов, системный инженер Mars Solutions, специализируется на проектировании комплексных решений в области информационной безопасности. Компания Mars Solutions – системный интегратор, разрабатывающий и внедряющий интеллектуальные решения в сфере телекоммуникаций и информационных технологий. Защита информации и информационных потоков – одно из приоритетных направлений деятельности компании.

Orphus system
В Telegram
В Одноклассники
ВКонтакте