Категории атак атаки как следствие сетевых ошибок

Лекция 33 Виды и типы сетевых
атак

Лекция 33

Тема: Виды и типы сетевых атак

Удалённая сетевая атака — информационное
разрушающее воздействие на распределённую
вычислительную систему, осуществляемое
программно по каналам связи.

Введение

Для организации коммуникаций в
неоднородной сетевой среде применяются
набор протоколов TCP/IP, обеспечивая
совместимость между компьютерами разных
типов. Данный набор протоколов завоевал
популярность благодаря совместимости
и предоставлению доступа к ресурсам
глобальной сети Интернет и стал стандартом
для межсетевого взаимодействия. Однако
повсеместное распространение стека
протоколов TCP/IP обнажило и его слабые
стороны. В особенности из-за этого
удалённым атакам подвержены распределённые
системы, поскольку их компоненты обычно
используют открытые каналы передачи
данных, и нарушитель может не только
проводить пассивное прослушивание
передаваемой информации, но и модифицировать
передаваемый трафик.

Трудность выявления проведения удалённой
атаки и относительная простота проведения
(из-за избыточной функциональности
современных систем) выводит этот вид
неправомерных действий на первое место
по степени опасности и препятствует
своевременному реагированию на
осуществлённую угрозу, в результате
чего у нарушителя увеличиваются шансы
успешной реализации атаки.

Классификация атак

По характеру воздействия

• Пассивное

• Активное

Пассивное воздействие на распределённую
вычислительную систему (РВС) представляет
собой некоторое воздействие, не
оказывающее прямого влияния на работу
системы, но в то же время способное
нарушить её политику безопасности.
Отсутствие прямого влияния на работу
РВС приводит именно к тому, что пассивное
удалённое воздействие (ПУВ) трудно
обнаружить. Возможным примером типового
ПУВ в РВС служит прослушивание канала
связи в сети.

Активное воздействие на РВС — воздействие,
оказывающее прямое влияние на работу
самой системы (нарушение работоспособности,
изменение конфигурации РВС и т. д.),
которое нарушает политику безопасности,
принятую в ней. Активными воздействиями
являются почти все типы удалённых атак.
Связано это с тем, что в саму природу
наносящего ущерб воздействия включается
активное начало. Явное отличие активного
воздействия от пассивного — принципиальная
возможность его обнаружения, так как в
результате его осуществления в системе
происходят некоторые изменения. При
пассивном же воздействии, не остается
совершенно никаких следов (из-за того,
что атакующий просмотрит чужое сообщение
в системе, в тот же момент не изменится
собственно ничего).

По цели воздействия

• нарушение функционирования системы
(доступа к системе)

• нарушение целостности информационных
ресурсов (ИР)

• нарушение конфиденциальности ИР

Этот признак, по которому производится
классификация, по сути есть прямая
проекция трех базовых разновидностей
угроз — отказа в обслуживании, раскрытия
и нарушения целостности.

Главная цель, которую преследуют
практически при любой атаке — получение
несанкционированного доступа к
информации. Существуют два принципиальных
варианта получения информации: искажение
и перехват. Вариант перехвата информации
означает получение к ней доступа без
возможности ее изменения. Перехват
информации приводит, следовательно, к
нарушению ее конфиденциальности.
Прослушивание канала в сети — пример
перехвата информации. В этом случае
имеется нелегитимный доступ к информации
без возможных вариантов ее подмены.
Очевидно также, что нарушение
конфиденциальности информации относится
к пассивным воздействиям.

Возможность подмены информации следует
понимать либо как полный контроль над
потоком информации между объектами
системы, либо возможность передачи
различных сообщений от чужого имени.
Следовательно, понятно, что подмена
информации приводит к нарушению её
целостности. Такое информационное
разрушающее воздействие есть характерный
пример активного воздействия. Примером
же удалённой атаки, предназначенной
для нарушения целостности информации,
может послужить удалённая атака (УА)
«Ложный объект РВС».

По наличию обратной связи с атакуемым
объектом

• с обратной связью

• без обратной связи (однонаправленная
атака)

Атакующий отправляет некоторые запросы
на атакуемый объект, на которые ожидает
получить ответ. Следовательно между
атакующим и атакуемым появляется
обратная связь, позволяющая первому
адекватно реагировать на всяческие
изменения на атакуемом объекте. В этом
суть удалённой атаки, осуществляемой
при наличии обратной связи с атакующим
объектом. Подобные атаки наиболее
характерны для РВС.

Атаки без обратной связи характерны
тем, что им не требуется реагировать на
изменения на атакуемом объекте. Такие
атаки обычно осуществляются при помощи
передачи на атакуемый объект одиночных
запросов. Ответы на эти запросы атакующему
не нужны. Подобную УА можно назвать
также однонаправленной УА. Примером
однонаправленных атак является типовая
УА «DoS-атака».

По условию начала осуществления
воздействия

Удалённое воздействие, также как и любое
другое, может начать осуществляться
только при определённых условиях. В РВС
существуют три вида таких условных
атак:

• атака по запросу от атакуемого объекта

• атака по наступлению ожидаемого
события на атакуемом объекте

• безусловная атака

Воздействие со стороны атакующего
начнётся при условии, что потенциальная
цель атаки передаст запрос определённого
типа. Такую атаку можно назвать атакой
по запросу от атакуемого объекта. Данный
тип УА наиболее характерен для РВС.
Примером подобных запросов в сети
Интернет может служить DNS- и ARP-запросы,
а в Novell NetWare — SAP-запрос.

Атака по наступлению ожидаемого события
на атакуемом объекте. Атакующий непрерывно
наблюдает за состоянием ОС удалённой
цели атаки и начинает воздействие при
возникновении конкретного события в
этой системе. Атакуемый объект сам
является инициатором начала атаки.
Примером такого события может быть
прерывание сеанса работы пользователя
с сервером без выдачи команды LOGOUT в
Novell NetWare.

Безусловная атака осуществляется
немедленно и безотносительно к состоянию
операционной системы и атакуемого
объекта. Следовательно, атакующий
является инициатором начала атаки в
данном случае.

При нарушении нормальной работоспособности
системы преследуются другие цели и
получение атакующим незаконного доступа
к данным не предполагается. Его целью
является вывод из строя ОС на атакуемом
объекте и невозможность доступа для
остальных объектов системы к ресурсам
этого объекта. Примером атаки такого
вида может служить УА «DoS-атака».

По расположению субъекта атаки
относительно атакуемого объекта

• внутрисегментное

• межсегментное

В данной статье рассмотрены основные виды сетевых
атак. Проведено детальное рассмотрение каждой из атак и описаны
способы защиты. Статья должна послужить руководством по максимальной
защите персонального компьютера подключенного к сети и личных данных
пользователя этого компьютера.

Современное общество уже не может обойтись без информационных
технологий. Информационные технологии проникли во все сферы жизни
человека. Их неотъемлемой частью является глобальная сеть Internet.
Конечно же, одной из главных задач является обеспечение безопасности
обращения информации внутри сети. Одной из опасностей для
безопасности являются сетевые атаки. Возникает два очевидных вопроса:
«Какие виды сетевых атак бывают? Как им противостоять?»

Сетевые атаки. Виды. Способы борьбы.

Для начала установим, что такое сетевая атака. Сетевая атака —
действие, целью которого является захват контроля (повышение прав)
над удалённой/локальной вычислительной системой, либо её
дестабилизация, либо отказ в обслуживании, а также получение данных
пользователей пользующихся этой удалённой/локальной вычислительной
системой.

На данный момент выделяют следующие атаки:
mailbombing, переполнение буфера,
использование специализированных программ (вирусов, снифферов,
троянских коней, почтовых червей, rootkit-ов
и т.д.), сетевая разведка, IP-спуфинг,
man—in—the—middle,
инъекция (SQL-инъекция, PHP-инъекция,
межсайтовый скриптинг или XSS-атака,
XPath-инъекция), отказ в обслуживании (DoS—
и DDoS— атаки), phishing-атаки.
Рассмотрим каждую из них.

Mailbombing.

Суть данной атаки заключается в том, что на почтовый ящик посылается
огромное количество писем на почтовый ящик пользователя. Эта атака
может вызвать отказ работы почтового ящика или даже целого почтового
сервера. Данная атака может проводиться любым хотя бы немного
подготовленным противником. Простым примером программы, с помощью
которой можно осуществить подобную атаку- The Unabomber. Достаточно
знать адрес сервера, позволяющего анонимно отправлять почтовые
сообщения, и адрес пользователя, которому эти сообщения
предназначены. Количество писем, которое можно отослать для этой
программы равно 12 разрядному числу. Рассмотрим способы защиты от
данной атаки.

1. Давать адрес электронной почты только
   проверенным источникам.

2. В качестве преграды для mailbombing-а
   может выступать и Web-сайт провайдера, иногда настраиваемый таким
   образом, чтобы он автоматически определял почтовые атаки. В
   большинстве случаев они распознаются сервером посредством сравнения
   исходных IP-адресов входящих сообщений. Если количество сообщений из
   одного источника превышает некие разумные пределы, то все они
   автоматически поступают в Recycle Bin на сервере. Конечно же, ничто
   не мешает злоумышленнику фальсифицировать собственный IP-адрес.

Обычно к таким атакам опытные злоумышленники
прибегают крайне редко.

Переполнение буфера(buffer overflows).

Атака на переполнение буфера основывается на поиске программных или
системных уязвимостей, способных вызвать нарушение границ памяти и
аварийно завершить приложение или выполнить произвольный бинарный код
от имени пользователя, под которым работала уязвимая программа. Если
программа работает под учетной записью администратора, то данная
атака может позволить получить полный контроль над компьютером, на
котором исполняется данная программа. [3]

Реализации атаки требует решения двух подзадач:

1. Подготовка кода, который будет выполняться в контексте
   привилегированной программы.

2. Изменение последовательности выполнения программы с передачей
   управления подготовленному коду.

Классификация атак по переполнению буфера
представлена в таблице.

Подготовка кода Цель переполнения	Внедрение кода	Внедрение параметров	Не требуется
Искажение адреса возврата из функции	Атака “срыв стека”	Атака “срыв стека” с параметризацией	Атака “срыв стека” с передачей управления
Искажение указателей функций	Атака на указатели функций	Атака на указатели функций с параметризацией	Атака на указатели функций с передачей управления
Искажение таблиц переходов	Атака на таблицы переходов	Атака на таблицы переходов с параметризацией	Атака на таблицы переходов с передачей управления
Искажение указателей данных	Атака с искажением указателей данных	Атака с искажением указателей данных с параметризацией	Атака с искажением указателей данных с оригинальным кодом

Рис. 1 Классификация атак по
переполнению буфера.

Исходя из подзадач, реализацию которых требует атака, выделяют
следующие способы борьбы с атаками подобного типа:

1. Корректировка исходных кодов
   программы для устранения уязвимостей. Переполнение
   буфера происходит, прежде всего, из-за неправильного алгоритма
   работы программы, который не предусматривает проверок выхода за
   границы буферов. Также возможно применение специальных утилит
   автоматического поиска уязвимостей в исходном коде программы.
   Указанные методы и средства позволяют создавать более защищенные
   программы, но не решают проблему в принципе, а лишь минимизируют
   число уязвимостей по переполнению буфера. Данный подход ориентирован
   непосредственно на разработчиков программного обеспечения и не
   является инструментом конечного пользователя или системного
   администратора.

2. Использование неисполнимых буферов.
   Суть метода заключается в запрещении исполнения кода в сегментах
   данных и стека, т.е. параметры сегментов данных и стека содержат
   только атрибуты записи и чтения, но не исполнения. Однако
   ограничение на исполнение данных приводит к проблеме
   несовместимости. Исполняемый стек необходим для работы многим
   программам, так как на его основе генерируется код компиляторами,
   реализуются системные функции операционных систем, реализуется
   автоматическая генерация кода. Защита с использованием неисполнимых
   буферов предотвратит только атаки с внедрением кода, но не поможет
   при других видах атак.

3. Применение проверок выхода за
   границы. В основе данного метода лежит выполнение
   проверок выхода за границы переменной при каждом обращении к ней.
   Это предотвращает все возможные атаки по переполнению буфера, так
   как полностью исключает само переполнение. Однако, у этого решения
   есть существенный недостаток — значительное (до 30 раз) снижение
   производительности программы.

4. Применение
   проверок целостности. Решение, основанное на данном
   методе, получено благодаря проекту Synthetix. Цель Synthetix —
   специализация кода для увеличения производительности операционных
   систем. При этом вводится понятие так называемого квази-постоянства
   (Quasi-invariant), т.е. состояния среды, которое неизменно в
   определенных рамках. Такое квази-постоянство позволяет устранить ряд
   избыточного кода проверки выполнения различных условий. В рамках
   проекта реализован набор утилит, в том числе обеспечивающих контроль
   и защиту квази-постоянных состояний среды. К их числу относятся
   StackGuard и PointGuard.

Использование
специализированных программ.

Рабочие станции конечных пользователей очень уязвимы для вирусов и
троянских коней. Вирусами называются вредоносные программы, которые
внедряются в другие программы для выполнения определенной
нежелательной функции на рабочей станции конечного пользователя. В
качестве примера можно привести вирус, который прописывается в файле
command.com (главном интерпретаторе систем Windows) и стирает другие
файлы, а также заражает все другие найденные им версии command.com.

«Троянский конь» — это не программная
вставка, а настоящая программа, которая выглядит как полезное
приложение, а на деле выполняет вредную роль. Примером типичного
«троянского коня» является программа, которая выглядит, как
простая игра для рабочей станции пользователя. Однако пока
пользователь играет в игру, программа отправляет свою копию по
электронной почте каждому абоненту, занесенному в адресную книгу
этого пользователя. Все абоненты получают по почте игру, вызывая ее
дальнейшее распространение.

Сниффер пакетов представляет собой прикладную
программу, которая использует сетевую карту, работающую в режиме
promiscuous mode (в этом режиме все пакеты, полученные по физическим
каналам, сетевой адаптер отправляет приложению для обработки). При
этом сниффер перехватывает все сетевые пакеты, которые передаются
через определенный домен. В настоящее время снифферы работают в сетях
на вполне законном основании. Они используются для диагностики
неисправностей и анализа трафика. Однако ввиду того, что некоторые
сетевые приложения передают данные в текстовом формате (telnet, FTP,
SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а
иногда и конфиденциальную информацию (например, имена пользователей и
пароли).

Перехват имен и паролей создает большую опасность, так как
пользователи часто применяют один и тот же логин и пароль для
множества приложений и систем. Многие пользователи вообще имеют один
пароль для доступа ко всем ресурсам и приложениям. Если приложение
работает в режиме клиент/сервер, а аутентификационные данные
передаются по сети в читаемом текстовом формате, эту информацию с
большой вероятностью можно использовать для доступа к другим
корпоративным или внешним ресурсам. [2]

Rootkit — программа или набор программ для
скрытия следов присутствия злоумышленника или вредоносной программы в
системе. Большинство из реализаций современных rootkit могут прятать
от пользователя файлы, папки и ключи реестра, скрывать запущенные
программы, системные службы, драйверы и сетевые соединения. Т.е.
злоумышленник имеет возможность создавать файлы и ключи реестра,
запускать программы, работать с сетью и эта активность не будет
обнаружена администратором. Кроме того, rootkits могут скрывать
сетевую активность путем модификации стека протоколов TCP/IP. Так,
например rootkit Hacker Defender перехватывает вызовы Winsock и может
обрабатывать сетевой трафик до того как он будет передан приложению.
Т.е. если в системе установлен Web сервер, и соответственно открыт
80й порт, rootkit может использовать его для взаимодействия с
взломщиком, в то время как другие пользователи будут без проблем
работать по протоколу HTTP. [1]

Выделяют следующие способы борьбы с этими видами атак:

1. Использование антивирусных средств и регулярное обновление их
   сигнатур. Может решить проблему с троянскими программами, вирусами,
   почтовыми червями, но не решит проблему снифферов и rootkit-ов.

2. Шифрование передаваемых данных. Проблема не решает полностью
   проблему снифферов, однако, противник перехватывает данные, которые
   нельзя свободно прочитать. Для их расшифровки требуется время.

3. Использование антиснифферов (Например, AntiSniff или PromiScan).

4. Использование межсетевых экранов.

5. Использование антируткитов.

Сетевая разведка.

Сетевой разведкой называется сбор информации о сети с помощью
общедоступных данных и приложений. При подготовке атаки против
какой-либо сети злоумышленник, как правило, пытается получить о ней
как можно больше информации. Сетевая разведка проводится в форме
запросов DNS, эхо-тестирования (ping sweep) и сканирования портов.
Запросы DNS помогают понять, кто владеет тем или иным доменом и какие
адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов,
раскрытых с помощью DNS, позволяет увидеть, какие хосты реально
работают в данной среде. Получив список хостов, злоумышленник
использует средства сканирования портов, чтобы составить полный
список услуг, поддерживаемых этими хостами. И, наконец, злоумышленник
анализирует характеристики приложений, работающих на хостах. В
результате добывается информация, которую можно использовать для
взлома. [2]

Способы борьбы с данной атакой:

1. Отключение эхо ICMP и эхо-ответ на периферийных маршрутизаторах.
   Это, однако, приведет к потере данных необходимых для диагностики
   сетевых сбоев.

2. Использование систем обнаружения вторжений (IDS).

IP-спуфинг.

IP-спуфинг происходит, когда злоумышленник, находящийся внутри
корпорации или вне ее выдает себя за санкционированного пользователя.
Это можно сделать двумя способами. Во-первых, злоумышленник может
воспользоваться IP-адресом, находящимся в пределах диапазона
санкционированных IP-адресов, или авторизованным внешним адресом,
которому разрешается доступ к определенным сетевым ресурсам. Атаки
IP-спуфинга часто являются отправной точкой для прочих атак.
Классический пример — атака DoS, которая начинается с чужого адреса,
скрывающего истинную личность злоумышленника.

Обычно IP-спуфинг ограничивается вставкой ложной информации или
вредоносных команд в обычный поток данных, передаваемых между
клиентским и серверным приложением или по каналу связи между
одноранговыми устройствами. Для двусторонней связи злоумышленник
должен изменить все таблицы маршрутизации, чтобы направить трафик на
ложный IP-адрес. Некоторые злоумышленники, однако, даже не пытаются
получить ответ от приложений. Если главная задача состоит в получении
от системы важного файла, ответы приложений не имеют значения.

Если же злоумышленнику удается поменять таблицы маршрутизации и
направить трафик на ложный IP-адрес, злоумышленник получит все пакеты
и сможет отвечать на них так, будто он является санкционированным
пользователем. [2]

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих
мер:

1. Контроль доступа.
   Самый простой способ предотвращения IP-спуфинга состоит в правильной
   настройке управления доступом. Чтобы снизить эффективность
   IP-спуфигна, настройте контроль доступа на отсечение любого трафика,
   поступающего из внешней сети с исходным адресом, который должен
   располагаться внутри вашей сети. Если санкционированными являются и
   некоторые адреса внешней сети, данный метод становится
   неэффективным.

2. Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей
   пользователями вашей сети (и стать добропорядочным «сетевым
   гражданином»). Для этого необходимо отбраковывать любой
   исходящий трафик, исходный адрес которого не является одним из
   IP-адресов вашей организации. Этот тип фильтрации, известный под
   названием «RFC 2827», может выполнять и провайдер. В
   результате отбраковывается весь трафик, который не имеет исходного
   адреса, ожидаемого на определенном интерфейсе.

3. Использование криптографической аутентификации.

Атака
типа
man-in-the-middle.

Для атаки типа Man-in-the-Middle злоумышленнику нужен доступ к
пакетам, передаваемым по сети. Такой доступ ко всем пакетам,
передаваемым от провайдера в любую другую сеть, может, к примеру,
получить сотрудник этого провайдера. Для атак этого типа часто
используются снифферы пакетов, транспортные протоколы и протоколы
маршрутизации. Атаки проводятся с целью кражи информации, перехвата
текущей сессии и получения доступа к частным сетевым ресурсам, для
анализа трафика и получения информации о сети и ее пользователях, для
проведения атак типа DoS, искажения передаваемых данных и ввода
несанкционированной информации в сетевые сессии. [2]

Способы борьбы с данной атакой:

1. Использование шифрования данных

Инъекция.

SQL-инъекция.

SQL-инъекция – это атака, в ходе
которой изменяются параметры SQL-запросов к базе данных. В результате
запрос приобретает совершенно иной смысл, и в случае недостаточной
фильтрации входных данных способен не только произвести вывод
конфиденциальной информации, но и изменить/удалить данные. [4]

Способы защиты от данной атаки (используются исключительно
администраторами ресурсов):

1. Для целых и дробных величин, перед их использованием в запросе
   достаточно привести величину к нужному типу.

$id=(int)$id;
$total=(float)$total;

Вместо этого можно вставить систему слежения
за тестированием на SQL инъекцию.

if((string)$id<>(string)(int)$id) {

die(‘ops’);

}

1. Для строковых параметров, которые не используются в like, regexp и
   тд, экранируем кавычки.

$str=addslashes($str);

или, лучше,

mysql_escape_string($str)

1. В строках, которые предполагается использовать внутри like, regexp и
   тд, необходимо так же заэкранировать специальные символы,
   применяющиеся в этих операторах, если это необходимо. В противном
   случае, можно задокументировать использование этих символов.

PHP-инъекция.

PHP-инъекция — один из способов взлома
веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить
специально сформированный злонамеренный сценарий в код веб-приложения
на серверной стороне сайта, что приводит к выполнению произвольных
команд. [5]

Способы борьбы с данной атакой (используются исключительно
администраторами ресурсов):

1. Проверять, не содержит ли переменная $name
   посторонние символы:

<?

…

$name = $_GET[‘name’];

if (strpbrk($name, ‘.?/:’)) die(‘Blocked’);

include $name. ‘.php’;

…

?>

1. Проверять, что $name присвоено одно из
   допустимых значений:

<?

…

$name = $_GET[‘name’];

$arr = array(‘main’, ‘about’, ‘links’, ‘forum’);

if (!in_array($name,$arr)) $name = $arr[0];

include $name .
‘.php’;

…

?>

Межсайтовый скриптинг или XSS-атака.

XSS атака – это атака на уязвимость, которая существует на
сервере, позволяющая внедрить в генерируемую сервером HTML-страницу
некий произвольный код, в котором может быть вообще все что угодно и
передавать этот код в качестве значения переменной, фильтрация по
которой не работает, то есть сервер не проверяет данную переменную на
наличие в ней запрещенных знаков –, <, >, ’, ”.
Значение данной переменной передается от генерируемой HTML-страницы
на сервер в скрипт, ее вызвавший путем отправки запроса.

А далее начинается самое интересное для Злоумышленника. РНР-скрипт в
ответ на данный запрос генерирует HTML-страницу, в которой
отображаются значения требующихся злоумышленнику переменных, и
отправляет данную страницу на браузер злоумышленника.

То есть, говоря проще, XSS атака – это атака с помощью
уязвимостей на сервере на компьютеры клиентов.

XSS атака чаще всего используется для кражи Cookies (или куки, как их
произносят по-русски). В них хранится информация о сессии пребывания
пользователя на сайтах, что и бывает нужным злоумышленникам для
перехвата управления личными данными пользователя на сайте в
пределах, пока сессия не будет закрыта сервером, на котором размещен
сайт. Помимо этого в Cookies хранится зашифрованный пароль, под
которым пользователь входит на данный сайт, и при наличии необходимых
утилит и желания злоумышленникам не доставляет особого труда
расшифровать данный пароль.

Теперь опишем другие возможности XSS атак (конечно при условии их
успешного проведения).

1. Возможно при открытии страницы вызвать открытие большого количества
   ненужных пользователю окон.

2. Возможна вообще переадресация на другой сайт (например, на сайт
   конкурента).

3. Существует возможность загрузки на компьютер пользователя скрипта с
   произвольным кодом (даже вредоносного) путем внедрения ссылки на
   исполняемый скрипт со стороннего сервера.

4. Зачастую происходит кража личной информации с компьютера
   пользователя, помимо Cookies в качестве объекта кражи выступает
   информация о посещенных сайтах, о версии браузера и операционной
   системе, установленной на компьютере пользователя, да к тому же еще
   и плюсуется IP-адрес компьютера пользователя.

5. XSS атака может быть проведена не только через сайт, но и через
   уязвимости в используемом программном обеспечении (в частности,
   через браузеры). Поэтому рекомендуется обновлять используемое
   программное обеспечение.

6. Также возможно проведение XSS атак через использование SQL-кода.

Как мы видим из всего вышесказанного, возможностей у
XSS атак достаточно много. Злоумышленник может овладеть вашей личной
информацией вплоть до получения паролей доступа к сайтам, а это очень
неприятно. К тому же XSS атака наносит вред исключительно клиентским
машинам, оставляя сервер в полностью рабочем состоянии, и у
администрации различных серверов порой мало стимулов устанавливать
защиту от этого вида атак.

Различают XSS атаки двух видов: активные и пассивные. При первом виде
атаки вредоносный скрипт хранится на сервере и начинает свою
деятельность при загрузке страницы сайта в браузере клиента. При
втором виде атак скрипт не хранится на сервере и вредоносное действие
начинает выполняться только в случае какого-либо действия
пользователя, например, при нажатии на сформированную ссылку.

Способы борьбы с данным видом атак (используются исключительно
администраторами ресурсов):

1. Запретить включение напрямую параметров $_GET, $_POST, $_COOKIE в
   генерируемую HTML-страницу.

2. Запретить загрузку произвольных файлов на
   сервер во избежание загрузки вредоносных скриптов.

3. Все загруженные файлы хранить в базе данных, а
   не в файловой системе.

XPath-инъекция.

XPath-инъекция — вид уязвимостей, который заключается во внедрении
XPath-выражений в оригинальный запрос к базе данных XML. XPath (XML
Path Language) – это язык, который предназначен для
произвольного обращения к частям XML документа. XML (eXtensible
Markup Language) – это всем известный язык разметки, с помощью
которого создаются XML документы, имеющие древовидную структуру. [6]

Способы борьбы с этой атакой (используются
исключительно администраторами ресурсов):

1. Проверка корректности. Независимо от приложения, среды или языка
   необходимо следовать следующим практическим правилам:

• Предполагайте, что все вводимые данные
  сомнительны.

• Проверяйте не только тип вводимых данных, но также их формат, длину,
  диапазон и содержимое (например, такое простое регулярное выражение
  как if (/^»*^’;&<>()/)
  должно находить большинство подозрительных специальных символов).

• Проверяйте данные как на стороне клиента, так и на стороне сервера,
  поскольку проверку на стороне клиента чрезвычайно легко перехитрить.

• Следуйте последовательной [missing word] стратегии защищенности
  приложения, основываясь на передовом опыте разработки защищенных
  приложений

• Тестируйте приложение на
  известные угрозы перед его выпуском.

1. Проверка данных на Web-сервере. Для защиты
   против XPath-внедрения и других форм внедрения кода необходимо
   проверять все данные, передаваемые от Web-сервера к службам системы
   хранения данных. Этот подход может быть очень хорош для некоторых
   приложений, которые, возможно, используют основанные на REST или
   SOAP XML-сервисы, но в других случаях он может быть не возможен. Как
   всегда наилучшим подходом является разумное проектирование, начиная
   с первоначального дизайна и до реализации приложения.

Отказ в обслуживании (DoS—
и DDoS—
атаки).

DoS, без всякого сомнения, является наиболее известной формой атак.
Кроме того, против атак такого типа труднее всего создать
стопроцентную защиту. Даже среди злоумышленников атаки DoS считаются
тривиальными, а их применение вызывает презрительные усмешки, потому
что для организации DoS требуется минимум знаний и умений. Тем не
менее, именно простота реализации и огромный причиняемый вред
привлекают к DoS пристальное внимание администраторов, отвечающих за
сетевую безопасность.

Атаки DoS отличаются от атак других типов. Они не нацелены на
получение доступа к вашей сети или на получение из этой сети
какой-либо информации. Атака DoS делает вашу сеть недоступной для
обычного использования за счет превышения допустимых пределов
функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как
Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы
занять все соединения, доступные для этих приложений и держать их в
занятом состоянии, не допуская обслуживания обычных пользователей. В
ходе атак DoS могут использоваться обычные Интернет-протоколы, такие
как TCP и ICMP (Internet Control Message Protocol). Большинство атак
DoS опирается не на программные ошибки или бреши в системе
безопасности, а на общие слабости системной архитектуры. Некоторые
атаки сводят к нулю производительность сети, переполняя ее
нежелательными и ненужными пакетами или сообщая ложную информацию о
текущем состоянии сетевых ресурсов. Этот тип атак трудно
предотвратить, так как для этого требуется координация действий с
провайдером. Если трафик, предназначенный для переполнения вашей
сети, не остановить у провайдера, то на входе в сеть вы это сделать
уже не сможете, потому что вся полоса пропускания будет занята. Когда
атака этого типа проводится одновременно через множество устройств,
мы говорим о распределенной атаке DoS (DDoS — distributed DoS). [2]

Угроза атак типа DoS может снижаться тремя способами:

1. Функции анти-спуфинга.
   Правильная конфигурация функций анти-спуфинга на маршрутизаторах и
   межсетевых экранах поможет снизить риск DoS. Эти функции, как
   минимум, должны включать фильтрацию RFC 2827.

2. Функции анти-DoS.
   Правильная конфигурация функций анти-DoS на маршрутизаторах и
   межсетевых экранах может ограничить эффективность атак. Эти функции
   часто ограничивают число полуоткрытых каналов в любой момент
   времени.

3. Ограничение объема трафика (traffic
   rate limiting). Организация может попросить провайдера
   ограничить объем трафика. Этот тип фильтрации позволяет ограничить
   объем некритического трафика, проходящего по вашей сети.

Phishing-атаки.

Phishing (фишинг) — процесс обмана или социальная разработка клиентов
организаций для последующего воровства их идентификационных данных и
передачи их конфиденциальной информации для преступного
использования. Преступники для своего нападения используют spam или
компьютеры-боты. При этом размер компании-жертвы не имеет значения;
качество личной информации полученной преступниками в результате
нападения, имеет значение само по себе.

Приведем пример фишинг-атаки:

Пользователь получает электронную почту от support@mybank.com
<mailto:support@mybank.com> (адрес — подменен) со строкой
сообщения «модификация защиты», в котором ее просят перейти
по адресу www.mybank-validate.info <http://www.mybank-validate.info>
(имя домена принадлежит нападавшему, а не банку) и ввести его
банковский PIN-код. [7]

Способы защиты от данной атаки:

1. Использовать только проверенные ресурсы и пути доступа к ним.

2. Использовать антивирусные средства и регулярно обновлять их
   сигнатуры.

Выводы.

Таким образом, были рассмотрены основные сетевые атаки и способы
борьбы с ними. Данная область является наиболее развивающейся, так
как идет постоянное соперничество между злоумышленниками и
организациями, обеспечивающими безопасность данных. Несмотря на
возможное применение комплексных мер по защите компьютера, наиболее
надежным способом защиты компьютера является использование
проверенных электронных ресурсов, чтение писем из проверенных
источников. Т.е. наибольшую защиту от атак может обеспечить сам
пользователь, соблюдая меры предосторожности.

Литература:

1. Windows под прицелом// Security
   Lab, декабрь 2004.

2. Кадер М. Типы сетевых атак, их описания, средства борьбы// Cisco.

3. Колищак А. Атаки на переполнение буфера// ноябрь 1999.

4. SQL-инъекция в MySQL
   сервере // Security Lab,
   декабрь 2004.

5. http://docs.php.net

6. http://www.ibm.com

7. http://os.zone.net

Основные термины (генерируются автоматически): атака, XSS, XML, способ борьбы, переполнение буфера, DNS, GET, RFC, ваша сеть, злоумышленник.

Сетевые атаки способны вывести из строя ресурсы организации, что ведет к финансовым и репутационным потерям, практические способы их подавления и раннего выявления позволяют обеспечить комплексную защиту.

Содержание:

• Виды сетевых атак

• Обнаружение сетевых атак

• Наносимый ущерб

• Способы защиты 

• Комплексное решение от сетевых атак

Введение

Сетевые атаки с каждым годом становятся изощреннее и приносят серьезный финансовый и репутационный ущерб. Атака поражает все коммуникации и блокирует работу организации на продолжительный период времени. Наиболее значимые из них были через вирусов шифровальщиков в 2017 году — Petya и Wanna Cry. Они повлекли за собой миллионные потери разных сфер бизнеса по всему миру и показали уязвимость и незащищенность сетевой инфраструктуры даже крупных компаний. Защиты от сетевых атак просто не было предусмотрено, в большинстве организаций информационная безопасность сводилась в лучшем случае к установке антивируса. При этом с каждым днем их видов становится на сотни больше и мощность от последствий только растет. Как же защитить бизнес от таких киберинцидентов, какие программы для этого существуют, рассмотрим в этой статье.

Виды сетевых атак

Разновидностей сетевых атак появляется все больше, вот только наиболее распространенные, с которыми может столкнуться как малый бизнес, так и крупная корпорация, разница будет только в последствиях и возможностях их остановить при первых попытках внедрения в сетевую инфраструктуру:

• Сетевая разведка — сведения из сети организации собирают с помощью приложений, находящихся в свободном доступе. В частности, сканирование портов — злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет уязвимость атакуемого компьютера перед более опасными видами вторжений;

• IP-спуфинг — хакер выдает себя за легитимного пользователя;

• Mail Bombing — отказ работы почтового ящика или всего почтового сервера;

• DDоS-атака — отказ от обслуживания, когда обычные пользователи сайта или портала не могут им воспользоваться;

• Man-in-the-Middle — внедрение в корпоративную сеть с целью получения пакетов, передаваемых внутри системы);

• XSS-атака — проникновение на ПК пользователей через уязвимости на сервере;

• Фишинг — обман путем отправки сообщений с якобы знакомого адреса или подмена знакомого сайта на фальшивую копию.

• Применение специализированных приложений — вирусов, троянов, руткитов, снифферов;

• Переполнение буфера — поиск программных или системных уязвимостей и дальнейшая провокация нарушение границ оперативной памяти, завершение работы приложения в аварийном режиме и выполнение любого двоичного кода.

• Атаки-вторжения — сетевые атаки по «захвату» операционной системы атакуемого компьютера. Это самый опасный вид, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

Защита от сетевых атак строится на непрерывном мониторинге всего, что происходит в сети компании и мгновенном реагировании уже на первые признаки появления нелегитимных пользователей, открытых уязвимостей или заражений.

Обнаружение сетевых атак

Один из наиболее актуальных и сложных вопросов со стороны службы безопасности всегда будет — как обнаружить сетевую атаку еще до того, как нанесен существенный ущерб.

Обнаружение атак на сеть организации — прямая задача службы безопасности. Но зачастую атаки настолько продуманные и изощренные, что внешне могут не отличаться от обычной пользовательской активности или проходить незаметно для пользователей с использованием их ресурсов. Обнаружить аномалии трафика — первые признаки инцидента— вручную можно лишь тогда, когда он уже хотя бы частично совершен.

Чтобы обнаружить аномалии в трафике с момента их появления в сети, необходимы специализированные решения для непрерывного мониторинга всех потоков трафика — почтовых адресов, серверов, подключений, портов и пр. на уровне сетевых пакетов.

С помощью специализированных решений выявление сетевых атак происходит автоматически, о чем специалист службы безопасности получает мгновенное оповещение на почту или в SIEM. Сразу формируется отчет, откуда взялась вредоносная активность, кто явился ее инициатором. У службы безопасности есть возможность оперативных действий по предотвращению инцидентов. По результату нивелирования угрозы можно также прописать политику безопасности по блокировке подобных вторжений в дальнейшем.

Наносимый ущерб

Эксперты в сфере ИБ сходятся во мнении, что реально оценить ущерб от кибератак практически невозможно. Во-первых, не все организации точно знают о своих потерях, в связи с тем, что не занимаются информационной безопасностью в своих компаниях. Во-вторых, многие организации, столкнувшиеся с кибератаками, не спешат обнародовать свои убытки, чтобы избежать санкций со стороны регуляторов.

Портал Tadviser  еще в 2018 году посчитал, что убытки российских компаний от сетевых атак превысили 116 млн руб. И эта цифра ежегодно только растет.

Если говорить о мировых масштабах ущерба для мировой экономики, компания Allianz Global Corporate & Specialty оценила его в более чем 575 млрд долларов — порядка 1% мирового ВВП.

Атаки на сеть в большинстве своем имеют цели наживы или нанесения умышленного вреда, к примеру, со стороны конкурентов или уволенных сотрудников, к примеру. Поэтому результат атаки, если ее не предотвратить, всегда плачевный. Масштаб также зависит от целей и профессионализма ее инициатора — просто приостановить работу компании, выкрасть те или иные данные, заблокировать сеть с целью выкупа или нецелевое использование ресурсов компании.

Отсутствие специализированных систем для выявления, подавления и расследования делает организацию уязвимой в каждый момент.

Способы защиты

Каждую сетевую атаку можно рассматривать как отдельный и серьезный инцидент безопасности. И, по сути, есть множество программ, способных обеспечить защиту от отдельных видов сетевых вторжений:

1. Шифрование данных — возможность скрыть информацию, в случае утечки злоумышленник не прочитает ее.

2. Установка антивирусов и их своевременное обновление — поможет выявить и обезвредить вредонос и отправить зараженные файлы на карантин.

3. Блокировщики снифферов и руткитов.

4. Межсетевой экран — фильтрация всего проходящего через него трафика.

5. Anti-DDoS — решения или возможности ими пользоваться через подключение защиты у оператора связи.

6. IDS-решения, позволяющие обнаружить сетевые вторжения.

Другой вопрос, готовы ли организации закупать и внедрять средства защиты от каждой атаки, которых с каждым днем становится все больше и больше. И способны ли сотрудники безопасности «жонглировать» этими средствами защиты, проверяя каждую уязвимость. 

Стоит учитывать и тот факт, что атаки не остаются на том же уровне, растет их сложность. И программы защиты, даже если внедрены, имеют свойства устаревать — им постоянно нужно обновление, по факту опережающее или хотя бы не отстающее от киберугроз.

У стандартных способов защиты от угроз получается сразу две проблемы — во-первых, они по большей части не автоматизированы и требуют ручных действий от сотрудников безопасности, а во-вторых, не всегда могут обнаружить новые типы угроз.

Поэтому организациям, которые ценят свою репутацию, и не готовы терпеть репутационные и финансовые потери вследствие кибератак, нужно задуматься и выделить бюджеты на внедрение комплексного автоматизированного решения по защите от инцидентов.

Какие преимущества это дает? У службы безопасности есть предустановленные политики безопасности со сценарием реагирования на большинство известных типов атак. То есть, многие сетевые инциденты будут подавлены по первым признакам.

Новые типы вторжений также не останутся незамеченными, так как система выявит нетипичное поведение пользователя или программы и сигнализирует об этом службе безопасности. Останется посмотреть уязвимости, закрыть их и провести расследование, чтобы устранить подобную угрозу в дальнейшем.

Еще один существенный плюс комплексного решения безопасности — это постоянное обновление. Центр компетенций разработчика постоянно мониторит появление новых угроз и формирует базу защиты от них и предоставляет эту информацию пользователям системы, что в разы сокращает риски атак и заражений в сети. Более того, решения часто дополняются новыми возможностями защиты под потребности клиентов. То есть, приобретая комплексное решение по защите от сетевых инцидентов, организация получает настраиваемый эффективный инструмент для безопасности своих активов от всех типов сетевых угроз.

Комплексное решение от сетевых атак от «Гарда Технологии»

«Гарда Технологии» как производитель решений по информационной безопасности охватывает все уровни защиты корпоративной сети. Решение «Гарда Монитор» — это аппаратно-программный комплекс класса NTA (система анализа трафика network traffic analysis, NTA) для обнаружения и расследования сетевых инцидентов. Эта система не пропускает ни одной аномалии и уязвимости даже там, где не сработали другие системы безопасности, за что получила название «система последнего шанса». 

Система работает на уровне сетевых пакетов и позволяет мгновенно детектировать любые нарушения в сети. Пользователь программы в интерфейсе видит все, что происходит в сети, в каких узлах и на каких рабочих местах и может оперативно закрыть уязвимости и заблокировать распространение атаки или заражения по сети.

АПК «Гарда Монитор» обладает следующими возможностями:

• непрерывный мониторинг сетевой активности;

• анализ событий безопасности;

• обнаружение вторжений;

• карта сети;

• запись потоков трафика;

• фильтр трафика;

• профилирование пользователей и систем;

• расследование сетевых инцидентов.

«Гарда Монитор» — это эффективное решение для контроля внутренних и внешних сетей организации и предупреждения сетевых атак любого типа. Когда служба безопасности в режиме реального времени видит все, что происходит в сети, автоматически выявляет нарушения и может мгновенно предотвратить инцидент. Внедрение такого решения в сеть компании — это выгодное вложение в безопасность и репутацию организации как надежно защищенную от вторжений.

Основные выводы по результатам анализа:

1. Физические атаки незамедлительно сопровождаются ростом числа сетевых атак;

2. Количество, сложность и скоординированность сетевых атак неизменно возрастают;

3. Сетевые атаки направлены против особо критичных сетевых ресурсов, к числу которых относятся серверы и активное сетевое оборудование, подключенные к сети Интернет.

Проведенное исследование позволило рекомендовать в качестве первоочередных мер обеспечения безопасности во время войны с терроризмом следующие меры:

1. Повышение уровня журналирования (logging) и оповещения (alert) в системах выявления сетевых атак;

2. Незамедлительное сообщение о подозрительной активности в правоохранительные органы, с целью проведения расследования и принятия предупредительных мер;

3. Следование стандартам и использование передового опыта в области обеспечения информационной и физической безопасности; регулярное обновление ПО, защита от вирусов, использование систем выявления атак и МЭ;

4. Использование рекомендованных мер защиты против известных программных средств осуществления атак (exploites) и резервное копирование критичных информационных ресурсов;

5. Использование методов фильтрации IP-пакетов (ingress and egress filtering) на маршрутизаторах и МЭ для защиты от DoS атак.

Как видно из представленных рекомендаций, наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование АС (таких как МЭ, системы резервного копирования и антивирусные средства), существует необходимость использования IDS (систем выявления атак), которые являются основным средством борьбы с сетевыми атаками.

В настоящее время IDS начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако существует ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Вот некоторые из них:

• высокая стоимость коммерческих IDS;
• невысокая эффективность современных IDS, характеризующаяся большим числом ложных срабатываний и несрабатываний (false positives and false negatives);
• требовательность к ресурсам и порой неудовлетворительная производительность IDS уже на 100 Мбит/с сетях;
• недооценка рисков, связанных с осуществлением сетевых атак;
• отсутствие в организации методики анализа и управления рисками, позволяющей адекватно оценивать величину риска и обосновывать стоимость реализации контрмер для руководства;
• высокая квалификация экспертов по выявлению атак, требующаяся для внедрения и развертывания IDS.

Специфичной для России также является относительно невысокая зависимость информационной инфраструктуры предприятий от Интернет и финансирование мероприятий по обеспечению информационной безопасности по остаточному принципу, что не способствует приобретению дорогостоящих средств защиты для противодействия сетевым атакам.

Тем не менее, процесс внедрения IDS в практику обеспечения информационной безопасности продолжается, в том числе и в России.

Американский институт SANS учредил программу профессиональной сертификации специалистов по выявлению атак – GIAC Certified Intrusion Analyst (GCIA). Сертификат GCIA, являясь свидетельством продвинутых практических навыков специалиста, ценится в США даже выше, чем скажем CISSP (Certified Information Systems Security Professional), учрежденный ISC (International Security Consortium) и являющиеся эталоном профессиональной зрелости в области информационной безопасности.

В настоящей статье делается попытка охватить ряд существенных вопросов, связанных с выявлением атак и использованием для этих целей современных коммерческих продуктов. Базовую информацию по предметной области можно получить, изучив список часто задаваемых вопросов по выявлению атак (Intrusion Detection FAQ), который можно найти по адресу http://www.sans.org/newlook/resources/IDFAQ/ ID_FAQ.htm.

В основе большинства ошибок при принятии решений, в том числе и по защите от сетевых атак, лежит неправильная оценка рисков. Точность оценки рисков, связанных с осуществлением любого вида деятельности, по мнению автора, является основной характеристикой профессиональной зрелости специалиста в предметной области. При отсутствии адекватной оценки рисков сложно ответить на вопросы о том, с чего следует начинать построение системы защиты информации, какие ресурсы и от каких угроз надо защищать и какие контрмеры являются наиболее приоритетными. Сложно также решать вопрос о необходимости и достаточности того или иного набора контрмер и их адекватности существующим рискам.

Таким образом, вопрос оценки рисков, связанных с осуществлением сетевых атак, является первоочередным и рассматривается в первую очередь.

2. Анализ и управление рисками, связанными с осуществлением сетевых атак

2.1. Выявление атак как один из методов управления рисками

Понятие риска является фундаментальным для любой области человеческой деятельности. Чем бы мы не занимались, всегда существует вероятность того, что цели нашей деятельности по тем или иным причинам не будут достигнуты. Само наше существование сопряжено с серьезными рисками, в результате осуществления которых мы можем понести более или менее серьезный ущерб. Таким образом, под риском понимается возможность понести ущерб. На протяжении всей нашей жизни мы постоянно вполне осознано, либо машинально занимаемся оценкой различных рисков: переходя через дорогу, обменивая рубли на доллары или вставляя дискету в дисковод.

В области информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе государство, организации и отдельные личности несут весьма существенный ущерб, подсчитать который вряд ли кому-либо удастся.

Величина риска определяется вероятностью успешного осуществления угрозы и величиной ущерба, который в результате будет нанесен. Величина возможного ущерба далеко не всегда может быть выражена в денежных единицах, а вероятность успешного осуществления угрозы вообще не поддается точной оценке. Поэтому наши оценки рисков весьма приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, представляем себе природу и способы осуществления угроз, а также от нашей способности анализировать и оценивать их последствия.

Оценив риски необходимо принять решение о том, что с ними делать. Этот процесс называется управлением рисками.

Задача управления рисками включает вы-бор и обоснование выбора контрмер, позволяющих снизить величины рисков до приемлемой ве-личины.

Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

• уменьшая вероятность осуществления угроз безопасности;
• ликвидируя уязвимости или уменьшая их величину;
• уменьшая величину возможного ущерба;
• способствуя восстановлению ресурсов АС, которым был нанесен ущерб.
• выявляя атаки и другие нарушения безопасности;

Таким образом, выявление атак является одним из методов управления рисками, в то время как МЭ являются средством ликвидации уязвимос-тей и уменьшения их величины.

Деятельность по выявлению сетевых атак при помощи сетевых IDS заключается в мониторинге сетевого трафика между атакующими и атакуемыми системами, выявлении и анализе подозрительного трафика, оценке уровня серьезности атаки и величины риска, связанного с ее осуществлением, а также принятии решения по реагированию на атаку. Выявление подозрительного трафика, а также, зачастую и определение уровня серьезности атаки, осуществляется IDS автоматически. Наиболее распространенным методом выявления атак является сигнатурный анализ, используемый во всех коммерческих IDS и рассматриваемый ниже.

Оценка величины риска, связанного с осуществлением сетевой атаки, требует участия эксперта. На основании оценки риска принимается решение о реагировании на атаку. Если риск незначителен, то атака может вообще не заслуживать внимания. В то же время, в отдельных случаях, может потребоваться принятие незамедлительных мер по реагированию.

Рассмотрим методику оценки рисков, связанных с осуществлением сетевых атак, используемую в SANS/GIAC.

2.2. Оценка серьезности сетевой атаки

Атаки разной степени критичности требуют разного уровня реагирования. Критичность атаки (Severity) определяется величиной риска, связанного с ее осуществлением. Величина риска, в свою очередь, определяется вероятностью успешного осуществления атаки и величиной возможного ущерба. Величина возможного ущерба определяется критичностью ресурсов (Criticality), против которых направлена атака.

Вероятность успешного осуществления атаки (Lethality) определяется эффективностью методов и величиной уязвимости системы защиты, используемых для ее осуществления. Величина уязвимости определяется эффективностью контрмер системного (System countermeasures) и сетевого уровня (Network countermeasures), используемых для противодействия данному виду угроз.

Формула для определения уровня серьезности атаки выглядит следующим образом:

SEVERITY = (CRITICALITY + LETHALITY) – (SYSTEM COUNTERMEASURES + NETWORK COUNTERMEASURES)

Данная формула может использоваться для определения величины рисков, связанных с атаками, выявленнными при помощи IDS, при анализе результатов мониторинга сетевого трафика. Обычно интерес представляют только те атаки, для которых величина риска превышает некоторое установленное значение.

Для определения уровня серьезности атаки (SEVERITY) используется числовая шкала от –10 до +10.

SEVERITY {-10, 10} Величина риска, связанного с осуществлением сетевой атаки.

Критичность сетевого ресурса (CRITICALITY) определяется по 5-бальной шкале исходя из назначения данного сетевого ресурса и выполняемых им функций. На практике обычно ориентируются на следующую шкалу:

5: МЭ, DNS сервер, маршрутизатор

4: почтовый шлюз

2: UNIX рабочая станция

1: персональные компьютеры MS-DOS, Windows 3.11

Вероятность успешного осуществления атаки и вид ущерба (LETHALITY) определяется по следующей шкале:

5: атакующий может получить права суперпользователя на удаленной системе

4: отказ в обслуживании в результате осуществления сетевой атаки

3: получение прав непривилегированного пользователя на удаленной системе, например, путем перехвата пароля, передаваемого по сети в открытом виде

2: раскрытие конфиденциальной информации в результате осуществления несанкционированного сетевого доступа, например, атака «null session» на Windows системы

1: вероятность успешного осуществления атаки очень мала

Эффективность реализованных контрмер системного уровня (SYSTEM COUNTERMEASURES) можно оценить по следующей шкале:

5: современная ОС, установлены все программные коррекции (пакеты обновления), используются дополнительные (наложенные) сетевые средства защиты (например, «tcp wrappers» или «secure shell»)

3: Устаревшая версия ОС, неустановлены некоторые программные коррекции

1: Отсутствуют специализированные средства защиты, отсутствует политика управления паролями, пароли передаются по сети в открытом виде

Эффективность реализованных контрмер сетевого уровня (NETWORK COUNTERMEASURES) можно оценить по следующей шкале:

5: МЭ, реализующий принцип минимизации привилегий, является единственной точкой входа в сеть

4: МЭ и наличие дополнительных точек входа в сеть

2: МЭ разрешающий все, что явным образом не запрещено (разрешительная политика управления доступом).

Как уже было отмечено, данная методика оценки рисков, связанных с осуществлением сетевых атак, используется в SANS/GIAC при анализе подозрительных фрагментов сетевого трафика (detects), обнаруженных при помощи сетевых IDS.

3. Недостаточность МЭ для защиты сети от внешних угроз

В настоящее время становится очевидным недостаточность использования для защиты сетей от угроз со стороны Интернет традиционных МЭ, которые не позволяют обеспечить защиту от целого класса угроз безопасности (включая угрозы, направленные против самих МЭ). Традиционные средства защиты информации, включая МЭ, эффективны только против известных уязвимостей. Они вряд ли способны помешать хакерам в поиске новых способов реализации атак. Для этого используются специализированные средства выявления атак (IDS). Мало того, нередко приходится наблюдать ситуации, при которых установка МЭ только снижает общую защищенность корпоративной сети от угроз со стороны Интернет. Неправильно настроенный МЭ создает «дырку» в системе защиты порой большую, чем его отсутствие.

Напрашивается аналогия с американским экспериментом по оснащению всех такси антиблокировочными системами тормозов (ABS), предназначенными для увеличения активной безопасности автомобиля. В результате этого эксперимента, по статистике, количество ДТП с участием таксистов увеличилось, так как водители такси стали вести себя на дорогах более рискованно, больше доверяя тормозам. Таким образом, оказалось, что ABS увеличивает безопасность только в случае сохранения водителем прежнего стиля вождения.

Тот же самый принцип справедлив по отношению к МЭ и любым другим средствам защиты.

Добавление в систему нового средства защиты увеличивает общую защищенность системы только при условии, что существующая практика обеспечения безопасности не изменилась в сторону ослабления механизмов защиты.

При установке МЭ зачастую создается такая ситуация, когда, полагаясь на реализуемые МЭ механизмы защиты, сетевые администраторы перестают предпринимать какие-либо дополнительные меры по обеспечению защиты от угроз со стороны внешней сети, которые обязательно должны быть реализованы в случае его отсутствия. В результате общая защищенность сети от внешних атак может увеличиться, может остаться неизменной, а, вполне вероятно, может и снизиться. Происходит это потому, что администраторы и пользователи сети склонны переоценивать роль МЭ в обеспечении защиты сети от внешних угроз со стороны сети Интернет, всецело на него полагаясь. Они представляют себе МЭ как некий щит, закрывающий их от дождя, града, снега, штормов и прочей непогоды. При этом забывается, что в щите имеется немало дырок, а иногда он даже может напоминать решето. «Дырки» в щите необходимы для общения с внешним враждебным миром. По ошибке, и это весьма вероятно, могут быть открыты не те «дырки» или «дырки» могут оказаться слишком большими, а еще «дырки» в щите иногда можно пробить снаружи.

Таким образом, для обеспечения адекватного уровня защиты, МЭ должны обязательно дополняться специализированными средствами выявления атак. На эту тему было уже достаточное количество публикаций, поэтому нет необходимости еще раз отстаивать этот тезис, иллюстрируя его большим количеством примеров, взятых из печального опыта российских и зарубежных компаний. Однако, приобретя МЭ, руководство российских компаний пока не торопится выделять средства на приобретение и эксплуатацию систем выявления атак.

4. Выявление и анализ подозрительного трафика

4.1. Сигнатуры как основной механизм выявления атак

Системы выявления атак (IDS) решают задачу мониторинга информационной системы на сетевом, системном и прикладном уровне с целью выявления нарушений безопасности и оперативного реагирования на них. Сетевые IDS используют в качестве источника данных для анализа сетевые пакеты, IDS системного уровня (хостовые – host based) анализируют записи журналов аудита безопасности ОС и приложений. При этом методы анализа (выявления атак) остаются общими для всех классов IDS.

Было предложено немало различных подходов к решению задачи выявления атак (в общем случае речь идет о злоумышленной активности, включающей в себя помимо атак, также действия, выполняемые в рамках предоставленных полномочий, но нарушающие установленные правила политики безопасности). Однако все существующие IDS можно разделить на два основных класса: системы, использующие статистический анализ и системы, использующие сигнатурный анализ.

Статистические методы основаны на предположении о том, что злоумышленная активность всегда сопровождается какими-то аномалиями, изменением профиля поведения пользователей, программ и аппаратуры.

Основным методом выявления атак, используемом в большинстве современных коммерческих продуктов, является сигнатурный анализ. Относительная простота данного метода позволяет с успехом использовать его на практике. IDS, применяющие сигнатурный анализ, обычно ничего не знают о правилах политики безопасности, реализуемых МЭ, (поэтому в данном случае речь идет не о злоумышленной активности, а только об атаках). Основной принцип их функционирования – сравнение происходящих в системе/сети событий с сигнатурами известных атак – тот же принцип, который используется и в антивирусном ПО.

Общие критерии оценки безопасности ИТ (ISO 15408) содержат набор требований FAU_SAA под названием «Анализ данных аудита безопасности» (Security audit analysis). Эти требования определяют функциональность IDS, использующих для выявления злоумышленной активности, как статистические методы, так и сигнатурный анализ.

Компонент FAU_SAA.2 «Выявление аномальной активности, основанное на применении профилей» (Profile based anomaly detection) предполагает использование для выявления аномальной активности профилей использования системы, определяющих опасные с точки зрения безопасности действия пользователей системы, и выявления этих действий. С целью определения степени опасности действий того или иного пользователя вычисляются соответствующие «рейтинги недоверия» к пользователям. Чем выше опасность действий пользователя, тем выше его «рейтинг недоверия». Когда «рейтинг недоверия» достигает установленного критического значения, предпринимаются предусмотренные политикой безопасности действия по реагированию на злоумышленную активность.

Компоненты FAU_SAA.3 «Простая эвристика атаки» (Simple attack heuristics) и FAU_SAA.4 «Сложная эвристика атаки» (Complex attack heuristics) предполагают использование сигнатурного анализа для выявления злоумышленной активности. В случае использования сложной эвристики атаки (FAU_SAA.4), сигнатура определяет последовательность событий, являющуюся признаком нарушения установленных в системе правил политики безопасности.

4.2. Анализ сетевого трафика и анализ контента

Существует два не исключающих друг друга подхода к выявлению сетевых атак: анализ сетевого трафика и анализ контента. В первом случае анализируются только заголовки сетевых пакетов, во втором – их содержимое.

Конечно, наиболее полный контроль информационных взаимодействий может быть обеспечен только путем анализа всего содержимого сетевых пакетов, включая их заголовки и области данных. Однако с практической точки зрения эта задача является трудновыполнимой из-за огромного объема данных, которые приходилось бы анализировать. Современные IDS начинают испытывать серьезные проблемы с производительностью уже в 100 Мб/с сетях. Поэтому в большинстве случаев целесообразно использовать для выявления атак методы анализа сетевого трафика, в некоторых случаях сочетая их с анализом контента.

Сигнатура сетевой атаки концептуально практически не отличается от сигнатуры вируса. Она представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Например, перечисленные ниже признаки могут рассматриваться в качестве сигнатур атак:

Примеры сигнатур атак, используемых при анализе трафика (заголовков сетевых пакетов):

• В заголовке TCP пакета установлен порт назначения 139 и флаг OOB (Out of Band). Это является признаком атаки аля WinNuke.
• Установлены одновременно противоречащие друг другу флаги TCP пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих программах для обхода фильтров и мониторов, проверяющих только установку одиночного SYN флага.

Пример сигнатуры атаки, используемой при анализе контента:

• «GET . cgi-bin ./etc/passwd». Наличие данной

строки в области данных HTTP-пакета свидетельствует об использовании эксплойтов типа phf, php или aglimpse.

Методы анализа контента имеют еще один существенный недостаток. Они не работают, когда атакующие программы (DDoS, trojans) используют методы шифрования трафика. Например, Back Orifice trojan или Barbwire DDoS осуществляют шифрование команд, передаваемых между клиентом и сервером, (менеджером и агентом), с использованием алгоритма blowfish. Методы выявления такого рода атак ограничиваются анализом заголовков сетевых пакетов.

4.3. Пример анализа подозрительного трафика

Покажем как управление рисками, связанными с сетевыми атаками реализуется на практике. Прежде всего, необходимо установить и настроить какую-нибудь «достойную» систему мониторинга сетевого трафика, например NFR, NetProwler, Tcpdump+Shadow и т.п. (автор предпочитает Snort). После этого можно приступать к анализу подозрительного трафика, событий и разного рода сетевых атак, оценивать риски и управлять ими.

В качестве примера подозрительного трафика, заслуживающего внимания эксперта, рассмотрим следующий фрагмент журнала регистрации событий программы Tcpdump – Листинг 1.

По результатам многолетней практики, была сформирована методика анализа фрагментов подозрительного трафика и определен формат представления данных. Данный формат используется при выполнении практических работ при сдаче экзамена на степень GCIA (GIAC Intrusion Analyst) в SANS/GIAC.

Источник данных:

Тестовая ЛВС

IDS, сгенерировавшая сообщение об атаке:

Tcpdump v. 3.6.2

Формат данных сообщения:

Tcpdump использует следующий формат для отображения TCP пакетов:

time (hh:mm:ss.microseconds)

network interface name [eth0 in our case]

source IP address . source port > destination IP

address . destination port :

TCP flags [ «.» – indicates that all the flag bits

set to 0, «P» – PUSH flag, «F» – FIN flag, «S»

– SYN flag , «R» – RESET flag]

beginning sequence number:ending sequence

number(data bytes transfered)

ack the sequence number of the next block of data expected from the other end of the TCP connection

win the number of bytes free in the receive buffer for receipt of data from the other end of the TCP connection

<nop,nop,timestamp 6007121 17250647> – tcp options:

nop – no operation [pad options to 4-byte boundaries]

timestamp – carries a timestamp for each segment

(DF) don’t fragment flag set

(ttl time to live value , id IP identifier )

Вероятность подделки IP-адреса отправителя атакующей стороной:

В данном случае между сторонами был установлен сеанс связи, поэтому вероятность подделки IP-адреса невелика. Однако, нельзя исключать возможность внедрения атакующего в сеанс связи (session hijacking) (в случае взаимодействия между Windows системами, предсказание номера TCP-пакета является тривиальной задачей). Для осуществления данного вида атаки атакующий хост должен быть подключен к линии связи между взаимодействующими сторонами («man-in-the-middle» position).

Описание атаки:

Данный фрагмет трафика является примером осуществления атаки на отказ в облуживании против Windows 95/NT out of band (OOB) data denial of service через порт NetBIOS, известной под названием WinNuke (CVE-1999-0153).

Атака осуществляется путем отправки out-ofband data на 139 порт атакуемого хоста, что может привести к «зависанию» Windows системы. Другие ОС также могут оказаться уязвимыми по отношению к данному виду атаки, например, SCO OpenServer 5.0 также подвержен этой атаке.

Ожидаемый результат осуществления данного вида DoS-атаки – «зависание» атакуемой системы.

Механизм осуществления атаки:

Программу, реализующую данный вид атаки, можно найти в Интернет. Когда Windows система получает пакет с установленным флагом «URGENT», она ожидает, что за этим флагом последуют данные. Отсутствие данных после флага URG приводит ее в замешательство. Эта особенность Windows систем (на которых неустановлены соответствующие программные коррекции) используется для осуществления DoS-атаки Winnuke. Сервис Netbios (TCP порт 139) известен в качестве наиболее подверженного данной уязвимости и чаще всего атакуемого. Однако потенциально существует возможность успешного осуществления данного вида атаки с использованием и других портов.

Данная атака может применяться как удаленно, так и локально (т. е. с той же машины, на которой запускается программа Winnuke).

Windows NT: Успешное осуществление данной атаки против Windows NT системы приводит к ее зависанию и появлению «синиго экрана смерти». Последствия атаки обычно заключаются в потере пользователем несохраненных документов (изменений).

Windows 95, Windows for Workgroups 3.11: В случае успешного осуществления данной атаки против Windows for Workgroups или Windows 95 систем на экране появляется сообщение о программной ошибке – «синий экран», сообщающий пользователю о том, что приложение не отвечает. Последствия атаки обычно заключаются в потере пользователем несохраненных документов (изменений).

Ссылки на источники информации об атаке/уязвимости:

Описание атаки Winnuke можно найти по следующим ссылкам:

http://support.microsoft.com/support/kb/articles/q179/1/29.asp

http://ciac.llnl.gov/ciac/bulletins/h-57.shtml ftp://ftp.sco.com/SSE/security_bulletins/SB.98:01a

Цели атаки и мотивация атакующей стороны (Адресность и целенаправленность атаки):

На вопрос о целях и мотивации атакующей стороны существует два возможных ответа:

1) Эта атака является адресной и направлена против конкретной системы, содержащей соответствующую уязвимость.

2) Это сканирование сети в поисках систем, содержащих данную уязвимость.

Для ответа на этот вопрос необходимо дополнительное изучение журналов регистрации событий на МЭ и IDS, для выяснения предистории данного события.

Величина риска:

Величина риска (Severity), ассоциированного с этим событием, рассчитывается по формуле:

(CRITICALITY + LETHALITY) – (SYSTEM COUNTERMEASURES + NETWORK COUNTERMEASURES) = SEVERITY

Оцениваем критичность атакуемого хоста:

Criticality: 2 (Windows 2000 хост)

Оцениваем возможные последствия:

Lethality: 0 (Win2000 хосты не подвержены данной уязвимости, следовательно последствия отсутствуют)

Оцениваем эффективность контрмер системного уровня:

Sys Counters: 5 (Установлены последние программные коррекции)

Оцениваем эффективность контрмер сетевого уровня:

Net Counters: 5 (Атакуемый хост расположен за фильтрующим маршрутизатором и МЭ во внутренней сети)

Severity: (2 + 1) – (5 + 5) = -7

Таким образом, уровень риска в данном случае существенно меньше 0 (событие, не заслуживающее серьезного внимания эксперта).

Рекомендации по защите:

Поскольку величина риска очень мала, в данном случае, о защите вообще можно не беспокоиться. Однако, в общем случае, можно дать следующие рекомендации по защите:

1) Лучшим способом защиты от подобного рода атак со стороны внешней сети традиционно является использование МЭ. Блокирование сервиса Netbios на МЭ и маршрутизаторе, выполняющих функции внешнего шлюза корпоративной сети является обычной практикой.

2) Периодическое сканирование сети при помощи сканера, является хорошей профилактической мерой против подобного рода атак (конечно, если базы данных уязвимостей сканера регулярно обновляются).

3) Если результаты сканирования сети выявили Windows системы, уязвимые по отношению к данному виду атаки, то на них необходимо установить пакет программных коррекций от Microsoft (SP4 или более старшая версия), который можно загрузить по следующему адресу:

http://support.microsoft.com/support/ntserver/content/servicepacks/

5. IDS как средство управления рисками

5.1. Типовая архитектура системы выявления атак

Типовая архитектура системы выявления атак, как правило, включает в себя следующие компоненты:

1. Сенсор (средство сбора информации);

2. Анализатор (средство анализа информации);

3. Средства реагирования;

4. Средства управления.

Конечно, все эти компоненты могут функционировать и на одном компьютере и даже в рамках одного приложения, однако чаще всего они территориально и функционально распределены. Такие компоненты IDS, как анализаторы и средства управления, опасно размещать за МЭ во внешней сети, т. к. если они будут скомпрометированы, то злоумышленник может получить доступ к информации о структуре внутренней защищаемой сети на основе анализа базы правил, используемой IDS.

Типовая архитектура системы выявления атак изображена на рисунке 1. Сетевые сенсоры осуществляют перехват сетевого трафика, хостовые сенсоры используют в качестве источников информации журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения.

Анализатор, размещаемый на сервере безопасности, осуществляет централизованный сбор и анализ информации, полученной от сенсоров.

Средства реагирования могут размещаться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает в себя оповещение администратора безопасности (средствами электронной почты, вывода сообщения на консоль или отправки на пэйджер), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны.

Средства управления предназначены для администрирования всех компонентов системы выявления атак, разработки алгоритмов выявления и реагирования на нарушения безопасности (политик безопасности), а также для просмотра информации о нарушениях и генерации отчетов.

5.2. Стандарты, определяющие правила взаимодействия между компонентами системы выявления атак

Необходимость стандартизации форматов данных и протоколов обмена данными, используемых в IDS, обусловлена ниже перечисленными причинами.

1. Для защиты ЛВС, подключенных к сети Интернет, от распределенных скоординированных атак необходимо обеспечить определенную степень взаимодействия между IDS, используемыми для защиты различных точек входа в различные ЛВС. Например, в случае осуществления атаки против одной ЛВС, правила реагирования, на которую предусматривают изменение конфигурации МЭ путем блокирования IP-адреса источника атаки, соответствующие изменения должны быть произведены на всех МЭ, используемых для защиты всех остальных ЛВС. Для этого между различными IDS должен осуществляться обмен информацией об источнике атаки и способе реагирования.

2. Центральным компонентом IDS является специализированное программное ядро (analysis engine) – анализатор, предназначенное для анализа данных, поступающих от сенсоров, и принятия решений о способах реагирования на подозрительные события. Стандартизация протоколов и форматов обмена данными между анализатором с одной стороны и сенсорами и средствами реагирования с другой, позволяет применять общее программное ядро анализатора с различными типами сенсоров и средств реагирования.

Процесс стандартизации протоколов и форматов обмена данными, используемых в IDS, начался уже довольно давно. Рассмотрим несколько популярных форматов данных, используемых в Интернет «Центрами реагирования» для обмена информацией о нарушениях безопасности.

Форматы обмена данными

AusCERT (portmap probe)

Source: 210.177.64.1

Ports: tcp 111

Incident type: network scan

re-distribute: yes

timezone: GMT + 1300

reply: no

Date: 30th Jan 2000 at 22:01 (UTC)

Система AusCERT используется для сбора и анализа статистической информации об атаках. Данный формат записи применяется для автоматического добавления данных об атаках в базу данных AusCERT.

Списки Грифина (Griffin list)

«Списки Грифина» используются в казино для идентификации карточных шулеров. Файлы с фотографиями известных шулеров сравниваются с изображением, полученным и с видеокамеры. В качестве идентифицирующих признаков используются черты лица, не подверженные изменению с течением времени.

«Списки Грифина», используемые в системах выявления атак содержат сетевые адреса компьютеров, с которых наиболее часто осуществляются подозрительные действия. Интернетцентры по реагированию на компьютерные инциденты, такие как CERT или GIAC, занимаются формированием таких списков и предоставленим доступа к ним для широкой общественности (www.incidents.org). Эти данные могут использоваться в IDS. При анализе подозрительного трафика особое внимание должно, прежде всего, уделяться скомпроментировавшим себя IP-адресам.

CVE – тезаурус уязвимостей

CVE (Common Vulnerabilities and Exposures) – это единый тезаурус всех известных уязвимостей, определяющий единые правила их именования, доступ к которому через сеть Интернет открыт для всех заинтересованных лиц (cve.mitre.org). CVE не является классификацией уязвимостей и не претендует на их систематизацию. Вот краткая история его возникновения.

Дэвид Манн (David Mann) и Стивен Кристи (Steven Christey) из американской корпорации MITRE работали над созданием базы данных уязвимостей. Необходимо было установить соответствие между уязвимостями, обнаруживаемыми при помощи различных видов сканеров защищенности, предупреждающими сообщениями и рекомендациями по устранению этих уязвимостей. Здесь они столкнулись с проблемой именования уязвимостей. Например, известная уязвимость CGI phf позволяет осуществлять удаленное выполнение команд с использованием метасимволов командного интерпретарова SHELL. Классический пример использования этой уязвимости для получения файла с паролями путем выполнения команды ‘cat /etc/passwd’. В сообщениях CERIAS эта уязвимость называется httpd_escshellcmd, а в сообщениях CERT она обозначается как CA-9606.CGI_Example_code и т. п. В различных сетевых сканерах, например в Internet Scanner и CyberCop Scanner также используются разные способы именования уязвимостей.

Изучение проблемы классификации уязвимостей информационных ресурсов вывело Девида Манна и Стивена Кристи на работы, проводимые в CERIAS, в рамках которых была разработана концепция единообразного именования уязвимостей. Эта концепция была сформулированна в отчете «Towards a Shareable Vulnerability Database», представленном на конференции, проводимой CERIAS в 1999 г. «CERIAS Workshop for Vulnerability Databases».

CVE существенно упрощает задачу сравнения между собой возможностей различных сетевых сканеров. Для CVE-совместимых ска-

неров достаточно сопоставить между собой списки обнаруживаемых уязвимостей. Если же сканеры используют для именования уязвимостей разные системы обозначений, то задача их сравнения становится сильно нетривиальной.

В настоящее время большинство разработчиков сетевых сканеров и других средств контроля защищенности, включая Symantec, NAI, ISS, Cisco и др., заявили о поддержке CVE, в качестве стандартного способа именования уязвимостей в своих продуктах.

CIDF (Common Intrusion Detection Framework)

Единая архитектура систем выявления атак CIDF является инициативой, в рамках которой осуществляется разработка сетевых протоколов и интерфейсов прикладного программирования, предназначенных для взаимодействия между собой компонентов IDS.

CIDF определяет следующее:

• модель данных для представления информации об атаках, уязвимостях, событиях и способах реагирования на события;
• модель взаимодействия компонентов IDS;
• протоколы и интерфейсы взаимодействия компонентов IDS.

В модели CIDF атаки и уязвимости описываются при помощи S-выражений. Для того чтобы понять, что это такое, не углубляясь в

теорию, приведем пример S-выражения, описывающего событие, связанное с удалением файла:

(Delete (Context

(HostName ’first.example.com’)

(Time ’16:40:32 Jun 14 1998’) )

) )

(Initiator (UserName

) (Source

(FileName

’lp’)

’/etc/passwd’)

Данное S-выражение описывает событие, заключающееся в том, что пользователь lp в 16:40:32 14 июня 1998 г. удалил файл /etc/passwd на компьютере first.example.com.

В настоящее время статус CIDF не определен, однако он остается концептуальной основой для разработки стандартов в области ID и возможно будет взят за основу при разработке стандартов IDWG.

IDWG (Intrusion Detection Working Group)

IDWG является рабочей группой IETF, созданной для разработки Интернет стандартов, в области выявления атак. IDWG решает задачу определения общих форматов данных и протоколов для взаимодействия и обмена информацией между различными компонентами IDS.

При создании рабочей группы IDWG перед ее участниками были поставлены следующие задачи:

1. Обоснованый выбор функциональных требований высокого уровня, определяющих правила взаимодействия между системами выявления атак, а также между IDS и средствами сетевого управления.

2. Спецификация единого языка взаимодействия IDS, отвечающего этим требованиям и определяющего форматы обмена данными между IDS.

3. Разработка документа, описывающего существующие протоколы взаимодействия между IDS, и возможность использования в этих протоколах единого формата обмена данными.

К настоящему времени силами рабочей группы IETF IDWG уже закончена разработка основных стандартов Интернет на форматы и протоколы обмена данными между IDS.

Существующие проекты стандартов сети Интернет, разработанные IDWG:

1. Intrusion Detection Message Exchange Format Extensible Markup Language (XML) Document Type Definition

2. The TUNNEL Profile

3. The Intrusion Detection Exchange Protocol (IDXP)

IDMEF (Intrusion Detection Message Exchange Format) – формат обмена данными между компонентами IDS. Он используется для передачи предупреждающих сообщений о подозрительных событиях между системами выявления атак. Данный формат должен обеспечить совместимость между коммерческими и свободно распространяемыми IDS и возможность их совместного использования для обеспечения наивысшего уровня защищенности.

Модель данных IDMEF описывается в виде XML DTD.

Сообщение сетевого сенсора/анализатора об атаке «ping of death» приведено на листинге. Имеется несколько объектов атаки. IP-адрес атакующего подделан (Листинг 2).

Сообщение сетевого сенсора/анализатора о сканировании портов, представленное в формате IDMEF, (элемент языка разметки <portlist> обозначает номера сканируемых портов) (Листинг 3).

IAP (Intrusion Alert Protocol) – протокол прикладного уровня, предназначенный для обмена сообщениями от атаках (alerts) между компонентами системы выявления атак: сенсорами/анализаторами (S) и менеджерами (M), между которыми могут также находится проксисервисы (P) и шлюзы (G). Протокол не зависит от формата представления данных.

6. Примеры коммерческих IDS

6.1. Средства защиты информации компании Symantec

Компания Symantec является в настоящее время крупнейшим разработчиком программных средств защиты информации и наряду с NAI, Cisco и CheckPoint занимает лидирующее положение на рынке. Разрабатываемые компанией Symantec программные продукты позволяют строить систему защиты корпоративной сети на базе интегрированных между собой инструментальных средств одного разработчика. Программные средства защиты информации от Symantec, ориентированные на корпоративных клиентов, включают в себя, следующие классы программных продуктов:

• средства контроля защищенности (ESM, NetRecon);
• системы выявления атак (Intruder Alert, NetProwler);
• межсетевые экраны (Desktop Firewall, Enterprise Firewall);
• средства шифрования и аутентификации (Defender, WebDefender, Security Briefcase),
• средства VPN (PowerVPN),
• средства управления доступом и корпоративными ресурсами (Enterprise Resource Manager, Privilege Manager for UNIX, Resource Manager for UNIX),
• средства анализа контекста (I-Gear, MailGear);
• антивирусные средства (NAV Enterprise Edition, NAV for Firewall, NAV for Gateways).

Продукты компании Symantec позволяют создавать комплексные системы выявления атак для защиты корпоративных сетей любого уровня сложности. Не претендуя на исчерпывающее описание функциональных возможностей, рассмотрим программные продукты Symantec Intruder Alert и Symantec NetProwler в качестве примера современных коммерческих IDS.

6.2. Хостовая система выявления атак Intruder Alert

Назначение и основные возможности

Программный продукт Symantec Intruder Alert (ITA) является достойным представителем класса IDS системного уровня (host-based), построенных на технологии интеллектуальных программных агентов. Выявление локальных и удаленных атак осуществляется путем анализа журналов регистрации событий системного и прикладного ПО. Отличительными чертами этой системы являются гибкость, масштабируемость и простота администрирования. ITA может быть легко интегрирован практически с любыми типами приложений.

Выявление атак и реагирование на них осуществляется в реальном времени, при этом предусмотрено 14 вариантов действий по автоматическому реагированию на атаки.

Значительное количество предопределенных политик безопасности сочетается с возможностью создания собственных политик без программирования.

В составе ITA имеются программные агенты для 35 различных программно-аппаратных платформ, включая различные версии ОС UNIX, Windows и NetWare. По широте охвата платформ продукт не имеет себе равных.

Архитектура Intruder Alert и описание основных компонентов

ITA построен на распределенной трехкомпонентной архитектуре Агент/Менеджер/Консоль. Все компоненты ITA взаимодействуют между собой по защищенному клиент-серверному протоколу. Аутентификация между компонентами и выработка сеансовых ключей осуществляется по алгоритму Диффи-Хелмана. Защита сеанса связи осуществляется путем использования алгоритма шифрования с 400-битными ключами.

Средства управления ITA представлены двумя графическими приложениями: ITA Admin и ITA View.

Приложение ITA Admin предназначено для управления компонентами системы, создания и настройки политик безопасности, определяющих правила выявления и реагирования на подозрительную активность. При помощи приложения ITA Admin администратор безопасности может осуществлять следующий набор действий по администрированию системы выявления атак:

• объединять агентов в домены;
• создавать политики безопасности и применять их на контролируемых доменах;
• загружать новые политики безопасности с Web-сервера компании Symantec;
• экспортировать политики безопасности в файлы экспорта;
• настраивать параметры программных агентов;
• подключать дополнительные источники данных для анализа программными агентами;
• определять привилегии пользователей ITA и осуществлять распределение административных ролей по управлению системой выявления атак.

ITA View является средством просмотра регистрационной информации об атаках и других подозрительных событиях, зарегистрированных агентами ITA согласно установленным правилам политики безопасности. Данное средство позволяет выполнять запросы к базе данных ITA, содержащей консолидированные данные обо всех контролируемых системах, а также, на основании результатов запроса, формировать отчеты, представленные в различных графических форматах.

Центральным компонентом системы выявления атак является ITA Manager. Он осуществляет управление, подключаемыми к нему агентами, получая от них информацию о состоянии контролируемых объектов, поддерживает список доменов и активизированных на них политик безопасности и управляет базой данных безопасности. База данных безопасности содержит консолидированные данные о нарушениях безопасности, происходящих на контролируемых объектах.

В ОС UNIX ITA Manager реализован в виде демона. Он представляет собой службу в ОС Windows NT и NLM-модуль в ОС NetWare.

ITA Agent является «рабочей лошадкой» системы выявления атак, выполняющей одновременно функции сенсора, анализатора и средства реагирования на атаки. Он осуществляет сбор и анализ данных аудита безопасности из различных источников с использованием сигнатур атак, задаваемых правилами политик безопасности ITA. В случае выявления в составе исходных данных сигнатуры атаки предпринимается набор действий, предписываемый соответствующим правилом.

Выявление и реагирование на атаки осуществляется в реальном масштабе времени по специальным алгоритмам (в терминологии ITA – политики безопасности). В среде ОС UNIX агенты реализованы в виде демонов, в OC Windows NT – в виде служб, а в NetWare представляют собой NLM-модули. Для каждой поддерживаемой ОС используются собственные источники информации аудита. В системах UNIX и Windows NT регистрация событий, связанных с безопасностью, осуществляется при помощи стандартных средств регистрации системных событий и средств аудита безопасности (syslog, wtmp, process accounting, btmp, подсистема C2 и т. п. в ОС UNIX и системный журнал, журнал приложений и журнал безопасности в ОС Windows NT). Сенсорные модули ITA Agent с определенной периодичностью сканируют файлы системных журналов и журналов аудита, осуществляют чтение данных аудита и их преобразование в свой внутренний формат. В NetWare сенсорные модули ITA Agent самостоятельно регистрируют и обрабатывают данные о событиях, получая эту информацию непосредственно от ядра ОС.

Процесс сбора информации о состоянии системы в среде UNIX проиллюстрирован на рис. 2. Intruder Alert автоматически осуществляет мониторинг следующих источников информации:

• файла syslog, содержащего данные от ядра ОС и приложений, регистрация которых осуществляется через систему syslog;
• файла wtmp, содержащего информацию о пользователях, зарегистрировавшихся в системе и запущенных ими процессах;
• файла btmp, содержащего информацию обо всех неудачных попытках входа в систему;
• системы учета пользовательских процессов pacct, регистрирующей различную информацию, связанную с их функционированием и использованием системных ресурсов;
• журналов аудита безопасности С2 (использование этого источника возможно после специальной настройки ITA, т. к. подсистема аудита безопасности в различных реализациях UNIX устроена по-разному).

Помимо перечисленных источников информации, представляющих из себя файлы, данные в которых хранятся в двоичном формате, возможно подключение дополнительных источников информации, использующих текстовый формат хранения данных, например файла /var/adm/messages и любых других текстовых файлов журналов регистрации событий ОС и приложений.

Сбор информации из журналов регистрации событий осуществляется демоном collogd, который передает эти данные агенту ITA по программному каналу. Сбор данных от подсистемы аудита безопасности С2 осуществляется демоном C2atd, который преобразует эти данные во внутренний формат ITA и передает их агенту. По-умолчанию сканирование источников информации осуществляется с интервалом в одну секунду.

Использование программного модуля FileWatch для контроля целостности системных файлов

Сценарий осуществления многих атак предполагает подмену важных системных файлов «троянскими программами», заражение программ вирусами, либо модификацию системных конфигурационных файлов с целью создания «черного входа» в систему. Для контроля целостности программной и информационной частей на контролируемых системах, в составе ITA имеется специальный модуль под названием FileWatch, способный обнаруживать нарушения целостности, связанные с добавлением, удалением и модификацией файлов и каталогов. Выявление нарушений целостности производиться путем сравнения атрибутов этих файлов и каталогов с эталонными значениями. Контроль изменения содержимого файлов производится по контрольным суммам. Вычисление контрольных сумм файлов может осуществляться по различным алгоритмам, включая использование хэш-функции MD5.

Принцип функционирования модуля FileWatch проиллюстрирован на рис. 3. Создаваемый пользователем «FileWatch List» определяет список контролируемых файлов, виды используемых проверок и их периодичность. База данных атрибутов файлов (File Attribute Database), создается модулем FileWatch и содержит эталонные значения атрибутов файлов и контрольные суммы, используемые для контроля целостности. Сообщения о результатах проверок, выполняемых модулем FileWatch, передаются агенту ITA, который обрабатывает их в соответствии с заданной политикой безопасности. Для того, чтобы агент ITA мог воспринимать, обрабатывать и осуществлять реагирование на сообщения FileWatch, на нем должна быть активизирована специальная политика безопасности (UNX Critical Files – для UNIX и NT Critical Files – для Windows NT).

Политики безопасности Intruder Alert

Политика безопасности Intruder Alert выражается набором правил. Правила представляют собой логические выражения, построенные на предикатах первого порядка. Предикаты используются для определения условий возникновения отслеживаемых ситуаций, а логические выражения определяют способы реагирования в зависимости от истинности или ложности предикатов.

Правила политики безопасности

Правило политики безопасности представляет собой импликацию трех логических высказываний: Предиката SELECT, предиката IGNOR и ло-

гического высказывания ACTION. Предикат SELECT определяет условия возникновения отслеживаемой ситуации, предикат IGNOR определяет исключения из этих условий, а логическое высказывание AСTION предписывает выполнение одного из 14 действий по реагированию на возникшую ситуацию.

На языке алгебры логики правило политики безопасности определяется тождеством:

Таблица истинности данной логической фукнции выглядит следующим образом:

Истинность высказывания ACTION означает необходимость выполнения действий, предписываемых этим высказыванием. Высказывание ACTION может быть простым или составным, во втором случае оно может состоять из нескольких высказываний, разделенных операцией / (логическое «И»).

ACTION = Действие1 / Действие2 / … Действие N, N ={ 1,14.}

В Табл. 2 описаны способы реагирования на попытки НСД, поддерживаемые ITA.

Ранжирование попыток НСД

С целью определения степени критичности тех или иных событий, происходящих в системе, производится ранжирование правил политики безопасности. Каждому правилу присваивается приоритет в диапазоне от 0 до 100. Все события, отслеживаемые правилами политики безопасности, в зависимости от значения их приоритета делятся на три уровня критичности, обозначаемых на диаграммах ITA различными цветами, в соответствии со следующей таблицей:

Предопределенные политики безопасности

ITA содержит базовый набор предопределенных политик безопасности для каждой из поддерживаемых операционных систем, который устанавливается вместе с продуктом. Часть предопределенных политик безопасности активизируется сразу же после установки ITA. Остальные, прежде чем быть активизированными, требуют дополнительной настройки.

Например, политика ITA Reports генерирует отчеты о работе программного агента при получении им команды report от ITA View (ITA View может использоваться также для управления ITA агентами путем посылки им команд по сети). Политика UNX Failed telnet служит для выявления неудачных попыток удаленной регистрации в системе Solaris 2.5 с использованием сервиса telnet, а политика UNX System Problems выявляет проблемы, возникающие при выполнении системных задач, таких как неудачная операция монтирования тома, истечение времени ожидания ответа на запрос, неверный IP-адрес или MAC-адрес. Для ОС Windows NT политика NT SYN Flood обнаруживает атаки на отказ в обслуживании SYN Flood, а политика NT Guest User Logon регистрирует случаи локального или удаленного входа пользователя с именем «Гость» в систему.

Часть предопределенных политик, прежде чем они могут быть активизированы, требует дополнительной настройки. Среди них, политика APACHE HTTP Start/Stop, обнаруживающая запуск и останов Web-сервера Apache 1.1.1 и политика Cisco Config Change, выявляющая изменение конфигурации маршрутизатора Cisco v11.1.

6.3. Сетевая система выявления атак NetProwler

Принципы функционирования и основные возможности

Программный продукт Symantec NetProwler по результатам многочисленных сравнительных испытаний признается одной из лучших на сегодняшний день коммерческих систем выявления сетевых атак. NetProwler является развитием известного в прошлом программного продукта IDTrak компании Internet Tools. Для выявления сетевых атак NetProwler анализирует заголовки и области данных сетевых пакетов с использованием сигнатур атак. Принцип функционирования системы NetProwler проиллюстрирован на рис. 4.

Анализ пакетов осуществляется в соответствии с запатентованным алгоритмом контекстно-зависимого динамического анализа сигнатур атак (SDSI – Statefull Dynamic Signature Inspection). Название алгоритма отражает его основные свойства. Зависимость от контекста означает, что NetProwler запоминает содержание активных пользовательских сессий, с целью выявления более сложных комплексных видов атак, осуществление которых приводит к генерации определенных последовательностей сетевых пакетов. Создание и активация сигнатур атак производится динамически – без прирывания работы системы, в соответствии с принципом непрерывности защиты во времени. Метод анализа сигнатур атак заключается в сравнении сигнатур атак с содержимым сетевых пакетов. Сигнатура представляет собой последовательность действий злоумышленника по реализации конкретного вида сетевой атаки. Она задается в виде набора шаблонов, накладываемых на содержимое сетевых пакетов, и правил, описывающих порядок и последовательность применения этих шаблонов.

В состав продукта входят средства для автоматического составления профиля локальной сети и активизации подходящих сигнатур для контролируемых сетевых ресурсов. Благодаря наличию средств профилирования, процесс администрирования IDS существенно упрощается. Для первоначальной настройки NetProwler не требуется высокой квалификации пользователя. В отличие от большинства конкурирующих продуктов, NetProwler оказывается готовым к работе практически сразу после его установки.

NetProwler рассчитан на работу в постоянно изменяющемся сетевом окружении. В процессе работы системы, средства автоматического профилирования периодически корректируют настройки NetProwler с целью взятия под наблюдение вновь подключаемых к сети ресурсов.

NetProwler также ключает в себя специализированное инструментальное средство – Wizard, позволяющее определять новые сигнатуры атак в интерактивном режиме без программирования.

Стандартные действия NetProwler по реагированию на атаки

В случае обнаружения в анализируемом трафике сигнатуры атаки NetProwler может предпринимать действия по реагированию из следующего набора:

• принудительное завершение пользовательской сессии;
• протоколирование пользовательской сессии;
• отправка сообщения администратору по электронной почте;
• отправка сообщения администратору на пэйджер;
• выполнение команды ОС или командного файла;
• посылка управляющего SNMP-сообщения программному агенту ITA;
• корректировка параметров МЭ или маршрутизатора.

Наиболее распространенные способы реализации сетевых атак, обнаруживаемые программой NetProwler

База данных NetProwler содержит несколько сотен сигнатур атак, для различных типов ОС и сетевых приложений. Особая группа сигнатур предназначена для выявления наиболее общих и часто встречающихся типов сетевых атак, обычно не связанных с конкретными приложениями. Эти атаки ввиду своей общности заслуживают отдельного рассмотрения. Их описание приводится в табл. 4.

Одной из важнейших характеристик IDS является количество сигнатур атак, содержащихся в ее базе данных, и регулярность их обновления. Обновления базы данных сигнатур атак выполняются из управляющей консоли NetProwler с использованием функции синхронизации сигнатур (Signature Sync). Обновления устанавливаются на NetProwler Manager без прерывания процесса мониторинга сетевого трафика.

Дополнительные возможности

В дополнение к реализованной в нем базовой функциональности сетевой IDS, NetProwler может использоваться в качестве средства разграничения сетевого доступа. Специальный модуль NetProwler позволяет ограничивать доступ пользователей к сетевым серверам и приложениям в зависимости от дня недели и времени суток.

Реализуемая NetProwler возможность перехвата сетевых сессий с последующим их воспроизведением позволяет производить анализ и расследование инцидента, а также собирать улики для привлечения нарушителей безопасности к ответственности. Данная функция NetProwler позволяет также анализировать характер сетевых информационных взаимодействий.

С целью защиты самого NetProwler от сетевых атак, существует возможность отключения TCP/IP стека на машине с установленным агентом NetProwler. За счет этого агент NetProwler становится невидимым для потенциальных злоумышленников, т. к. он не имеет IPадреса. Данный режим функционирования IDS (называемый стелс-режимом) является предпочтительным с точки зрения обеспечения собственной безопасности. При функционировании в стелс-режиме, управления агентом NetProwler осуществляется через дополнительных сетевой интерфейс, подключаемый к NetProwler Manager. Однако, в этом случае, отключаются средства профилирования и автоматическое переконфигурирование алгоритмов выявления атак при изменении состава и конфигурации сетевых ресурсов становится невозможным.

По результатам мониторинга сетевого трафика NetProwler создает различные виды отчетов, которые могут быть представлены в форматах HTML, DOC, Excel, ASCII и Crystal Reports. Отчеты могут генерироваться с заданной периодичностью и отправляться администратору по электронной почте. «Executive summary» содержит обзор количества и типов атак за определенный период времени. «Cost analysis» содержит оценку величины ущерба, причиняемого в случае успешного осуществления атаки, а «Attack details» содержит детальную информацию по каждой атаке.

Интеграция NetProwler и Intruder Alert

Наиболее эффективный подход к выявлению атак заключается в интеграции средств сетевого (network-based) и системного (host-based) уровней. Такая интеграция между продуктами ITA и NetProwler реализована на базе протокола SNMP. В то время, как NetProwler осуществляет контроль сетевых информационных взаимодействий и выявление сетевых атак, Intruder Alert следит за событиями, происходящими на контролируемых системах «изнутри». Интеграция этих продуктов дает возможность осуществлять централизованный контроль всех происходящих в сети событий, связанных с безопасностью, как на уроне сетевых взаимодействий, так и на уровне отдельных хостов.

Стандартный клиент-серверный протокол прикладного уровня SNMP, предназначенный для управления сетевыми ресурсами в TCP/IP сетях, также используется для управления компонентами подсистемы безопасности распределенных систем. В соответствии с этим протоколом для управления сетевыми устройствами, называемыми SNMP-агентами, такими как коммутаторы и маршрутизаторы, межсетевые экраны, серверы и рабочие станции, X-Терминалы и терминальные серверы, используются станции управления сетью – SNMP-менеджеры. Агенты ITA включают поддержку протокола SNMP и могут выступать одновременно и в роли SNMPменеджера и в роли SNMP-агента. Функционируя в качестве SNMP-менеджеров они способны посылать управляющие сообщения сетевым устройствам, оперативно изменяя их параметры. В качестве SNMP-агентов они способны принимать управляющие сообщения от других компонентов системы защиты, в частности от агентов NetProwler, выдавая на них определенную реакцию в соответствии с настройками политики безопасности.

6.4. Применение средств выявления атак компании Symantec для защиты корпоративной сети

Типовая схема размещения средств выявления атак компании Symantec для защиты корпоративной сети, подключенной к Интернет, приведена на рис. 5. Состав, конфигурация и размещение отдельных компонентов IDS определяется по результатам обследования безопасности и анализа рисков.

Агенты NetProwler размещаются в особо критичных сегментах сети, контролируя внешние информационные взаимодействия и выявляя сетевые атаки против особо уязвимых серверов (Web и SMTP), расположенных в DMZ.

Ангенты ITA размещаются на всех контролируемых системах корпоративной сети, включая серверы и рабочие станции, и осуществляют мониторинг системных журналов и журналов приложений, выявляя различные виды аномальной активности. Пользовательские рабочие станции, как правило, являются менее критичными элементами информационной инфраструктуры, поэтому на них устанавливаются облегченные версии агентов, обозначенных на рисунке как ITA Workstation Agents. Для осуществления контроля за событиями, происходящими при функционировании прикладных подсистем, на серверных агентах ITA активизированы специализированные политики безопасности для МЭ, почтового и Web-серверов, а также для SQL-сервера.

Ядром системы выявления атак является сервер безопасности, на котором функционируют ITA Manager и NetProwler Manager. На сервере безопасности накапливается вся информация о событиях, происходящих в сети, поступающая от агентов. Здесь размещается вся конфигурационная информация IDS, включая сигнатуры атак и политики безопасности. С сервера безопасности осуществляется управление всеми агентами IDS путем отправки им управляющих сообщений.

Конфигурирование системы выявления атак, создание собственных сигнатур атак и политик безопасности, просмотр и анализ данных аудита, а также генерация отчетов осуществляется с управляющей консоли администратора безопасности, на которой устанавливаются графические средства администрирования ITA Admin, ITA View и NetProwler Console. Данные приложения реализуют интерфейс для взаимодействия администратора с сервером безопасности.

7. Заключение

Для решения задачи защиты от сетевых атак необходима концепция, определяющая объекты защиты, цели, задачи и основные принципы защиты, а также состав и последовательность работ по предупреждению, выявлению и реагированию на атаки.

Достаточно простым и эффективным подходом к обеспечению защиты внешнего периметра, который хотелось бы порекомендовать, является использование списка десяти наиболее часто используемых для осуществления атак уязвимостей (Top Ten List), публикуемых институтом SANS http://www.sans.org/topten.htm. (Данный список содержит описание десяти уязвимостей, наиболее часто используемых хакерами для осуществления сетевых атак, и способов их ликвидации.) Фактически эти уязвимости используются более чем в 80% случаев всех предпринимаемых атак. Большинство хакеров не утруждают себя поиском уникальных уязвимостей конкретных хостов. Вместо этого, располагая небольшим арсеналом средств для осуществления атак, они просто сканируют сети в поисках одной из известных им уязвимостей. Современные сетевые сканеры способны обнаруживать эти уязвимости. Поиск и ликвидация данных уязвимостей может существенно затруднить жизнь современным взломщикам сетей. Им придется искать новые более изощренные способы взлома, пополнять свой арсенал атакующих средств, разрабатывая новые методы и средства. Это существенно сузит круг возможных взломщиков и уменьшит общее количество предпринимаемых ими атак.

В настоящее время список наиболее часто используемых уязвимостей расширен и включает в себя уже 20 уязвимостей (http://www.sans.org/top20.htm).

Конечно, предложенный подход не отличается полнотой и не в состоянии обеспечить защиту от многих видов сетевых атак. Более комплексная концепция защиты сети от внешних атак предполагает проведение как минимум следующих мероприятий:

1. Разработка политики безопасности по осуществлению контроля сетевого доступа

2. Анализ рисков и уязвимостей, использование положительного опыта и существующих решений по обеспечению безопасности

3. Создание инфраструктуры (назначение ответственных, распределение ролей и т.п.)

4. Проектирование системы защиты, определение требований, предъявляемых к используемым средствам и механизмам защиты

5. Выделение ресурсов, ранжирование выбранных контрмер по степени важности и реализация наиболее приоритетных

6. Проведение аудита и периодического тестирования эффективности реализованных контрмер

7. Реализация и сопровождение системы выявления атак и реагирования на атаки

8. Библиографический список

1. AXENT Intruder Alert User Manual, Version 3.0

2. AXENT NetProwler User Manual, Version 3.0

3. Common Criteria for Information Technology Security Evaluation, 96/01/31

4. Stephen Northcutt, IDS Signatures and Analysis, Parts 1 & 2, SANS 2001 Baltimore, Maryland, May 2001

Основные понятия

Далее будут часто встречаться такие термины, как угрозы, уязвимости и атаки. Поэтому необходимо дать определения этим понятиям.

Угроза — это потенциально возможное событие, явление или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба

Уязвимость — это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

Атака — это любое действие нарушителя, которое приводит к реализации угрозы путём использования уязвимостей информационной системы.

Классификация уязвимостей

Из определений видно, что, производя атаку, нарушитель использует уязвимости информационной системы. Иначе говоря, если нет уязвимости, то невозможна и атака, её использующая. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Рассмотрим различные варианты классификации уязвимостей. Такая классификация нужна, например, для создания базы данных уязвимостей, которая может пополняться по мере обнаружения новых уязвимостей.

Источники возникновения уязвимостей

Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис TELNET , в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet — общая среда . передачи.

Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера.

И, наконец, уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы. Сюда относятся неверное конфигурирование операционных систем, протоколов и служб, нестойкие пароли пользователей и др.

Классификация уязвимостей по уровню в инфраструктуре АС

Следующий вариант классификации — по уровню информационной структуры организации. Это наиболее наглядный вариант классификации, т. к. он показывает, что конкретно уязвимо.

К уровню сети относятся уязвимости сетевых протоколов — стека TCP/IP, протоколов NetBEUI , IPX / SPX .

Уровень операционной системы охватывает уязвимости Windows , UNIX , Novell и т. д., т.е. конкретной ОС.

На уровне баз данных находятся уязвимости конкретных СУБД — Oracle , MSSQL , Sybase . Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью любой компании.

К уровню приложений относятся уязвимости программного обеспечения WEB , SMTP серверов и т. п.

Классификация уязвимостей по степени риска

Этот вариант классификации достаточно условный, однако, если придерживаться взгляда компании Internet Security Systems , можно выделить три уровня риска:

Высокий уровень риска

Уязвимости, позволяющие атакующему получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов, или иных средств защиты.

Средний уровень риска

Уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу.

Низкий уровень риска

Уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

Информацию об известных обнаруженных уязвимостях можно найти на сайтах, таких как:

www.iss.net — компания Internet Security Systems (ISS); www.cert.org — координационный центр CERT;

www . sans . org — институт системного администрирования, сетевых технологий и защиты;

www . ciac . org — группа реагирования на инциденты в области компьютерной безопасности;

www . securityfocus . com — информация об обнаруженных уязвимостях с подробными пояснениями и группой новостей.

Примеры уязвимостей (база данных компании ISS ) Название: nt — getadmin — present

Описание: проблема одной из функций ядра ОС Windows NT , позволяющая злоумышленнику получить привилегии администратора

Уровень: ОС

Степень риска: высокая

Источник возникновения: ошибки реализации

Название : ip-fragment-reassembly-dos

Описание: посылка большого числа одинаковых фрагментов IP -датаграммы приводит к недоступности узла на время атаки

Уровень: сеть

Степень риска: средняя

Источник возникновения: ошибки реализации

Что такое CVE ?

Common Vulnerabilities and Exposures ( CVE ) — это список стандартных названий для общеизвестных уязвимостей. Основное назначение CVE — это согласование различных баз данных уязвимостей и инструментов, использующих такие базы данных. Например, одна и та же уязвимость может иметь различные названия в базе данных Internet Scanner и CyberCop Scanner . Появление CVE — это результат совместных усилий известных мировых лидеров в области информационной безопасности: институтов, производителей ПО и т.д. Поддержку CVE осуществляет MITRE Corporation ( www . mitre . org ).

Процесс получения индекса CVE ( CVE entry ) начинается с обнаружения уязвимости. Затем уязвимости присваивается статус кандидата CVE и соответствующий номер ( CVE candidate number ). После этого происходит обсуждение кандидатуры при помощи CVE Editorial Board и вынесение решения о получении или неполучении индекса CVE .

CVE кандидат

С кандидатом CVE ассоциируются номер, краткое описание и ссылки. Номер, также называемый именем, состоит из года и уникального индекса, например, CAN -1999-0067. После утверждения кандидатуры аббревиатура « CAN » заменяется на « CVE ».

CVE entry

После получения статуса CVE entry уязвимости присваиваются номер, краткое описание и ссылки, например, CVE -1999-0067. И затем она публикуется на сайте. Зная индекс CVE , можно быстро найти описание уязвимости и способы её устранения.

Примеры

CVE-1999-0005

Arbitrary command execution via IMAP buffer overflow in authenticate command.

Reference: CERT:CA-98.09.imapd Reference: SUN:00177. Reference: BID: 130 Reference: XF:imap-authenticate-bo

CVE-2000-0482

Check Point Firewall-1 allows remote attackers to cause a denial of service by sending a large number of malformed fragmented IP packets.

Reference: BUGTRAQ:20000605 FW-1 IP Fragmentation Vulnerability

Reference:CONFIRM:

http://www.checkpoint.com/techsupport/alerts/list_vun#IP_Fragmentation

Reference: BID: 1312

Reference: XF:fw1-packet-fragment-dos

Подробнее узнать о CVE и получить список CVE entry можно по адресу: http ://cve .mitre .org /cve .

Классификация атак

Также как и уязвимости, атаки можно классифицировать по различным признакам. Далее приведено несколько вариантов такой классификации.

Классификация атак по целям

Производя атаку, злоумышленник преследует определённые цели. В общем случае это могут быть:

• нарушение нормального функционирования объекта атаки (отказ в обслуживании)

• получение контроля над объектом атаки

• получение конфиденциальной и критичной информации

• модификация и фальсификация данных

Классификация атак по мотивации действий

Этот перечень является классическим и относится не только к IP -сетям, но и к другим областям деятельности:

• Случайность

• Безответственность

• Самоутверждение

• Идейные соображения

• Вандализм

• Принуждение

• Месть

• Корыстный интерес

Местонахождение нарушителя

Следующий возможный вариант классификации атак — по местонахождению атакующего:

• в одном сегменте с объектом атаки; .• в разных сегментах с объектом атаки.

От взаимного расположения атакующего и жертвы зависит механизм реализации атаки. Как правило, осуществить межсегментную атаку бывает сложнее.

Механизмы реализации атак

Наиболее важный для понимания сути происходящего — это вариант классификации атак по механизмам их реализации:

• пассивное прослушивание

Пример: перехват трафика сетевого сегмента

• подозрительная активность

Пример: сканирование портов (служб) объекта атаки, попытки подбора пароля

• бесполезное расходование вычислительного ресурса

Пример: исчерпание ресурсов атакуемого узла или группы узлов, приводящее к снижению производительности (переполнение очереди запросов на соединение и т.п.)

• Нарушение навигации (создание ложных объектов и маршрутов)

Пример: Изменение маршрута сетевых пакетов, таким образом, чтобы они проходили через хосты и маршрутизаторы нарушителя, изменение таблиц соответствия условных Internet -имен и IP -адресов (атаки на DNS ) и т.п.

• Выведение из строя

Пример: посыпка пакетов определённого типа на атакуемый узел, приводящая к отказу узла или работающей на нём службы ( WinNuke и др.)

• Запуск приложений на объекте атаки

Пример: выполнение враждебной программы в оперативной памяти объекта атаки (троянские кони, передача управления враждебной программе путём переполнения буфера, исполнение вредоносного мобильного кода на Java или ActiveX и др.)

и др.

Статистика по уязвимостям и атакам за 2000 год

Согласно данным компании Internet Security Systems за 2000 год, наиболее часто при проведении атак использовались следующие уязвимости:

1. Уязвимости, приводящие к отказу в обслуживании ( Denial of Service )

2. Уязвимости системной политики (пользовательские бюджеты, пароли) •

3. Уязвимости Microsoft Internet Information Server

4. Уязвимости СУБД

5. Уязвимости Web -приложений

6. Уязвимости электронной почты

7. Уязвимости сетевых файловых систем

8. Уязвимости протокола RPC

9. Уязвимости BIND

10. Уязвимости, связанные с переполнением буфера в Linux -приложениях

Примеры атак

Как было сказано выше, наиболее полный вариант классификации атак — по механизмам их реализации. Далее приведены примеры использования некоторых перечисленных механизмов.

Прослушивание трафика

Описание; Перехват и анализ трафика сетевого сегмента, основанный на возможности перевода сетевого адаптера в неселективный режим работы.

Цель: Получение конфиденциальной и критичной информации

Механизм реализации; Пассивное прослушивание

Используемые уязвимости; Основанная на общей среде передачи технология ( Ethernet )

— недостаток проектирования. Передача конфиденциальной информации в открытом виде

— недостаток проектирования.

Уровень информационной инфраструктуры: Сеть. Степень риска;Высокая

Термин «сниффер» («нюхач») впервые был использован компанией Network Associates в названии известного продукта » Sniffer (г) Network Analyzer «. В самом общем смысле, слово «сниффер» обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным «жучкам», записывающим телефонные разговоры. Однако чаще всего «сниффером» называют программу, запущенную на подключенном к сети узле и просматривающую весь трафик сетевого сегмента. Работа «сниффера» использует основной принцип технологии Ethernet — общую среду передачи. Это означает, что любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах: селективном ( non — promiscuous ) и неселективном ( promiscuous ). В первом случае, принимаются только сообщения, предназначенные данному узлу. Фильтрация осуществляется на основе МАС-адреса фрейма. Во втором случае фильтрация не осуществляется и узел принимает все фреймы, передаваемые по сегменту 1.

Сканирование портов

Описание; Подключение к узлу и перебор портов из известного диапазона с целью выявления работающих на узле служб

Цель; Получение конфиденциальной и критичной информации Механизм реализации;Подозрительная активность

Используемые уязвимости; Ошибки обслуживания. Службы, неиспользуемые, но установленные и работающие.

Уровень информационной инфраструктуры: Сеть. Степень риска:Низкая

Атака SynFlood

Описание; Посылка большого числа запросов на установление TCP -соединения. Цель;Нарушение нормального функционирования объекта атаки Механизм реализации;Бесполезное расходование вычислительного ресурса

Используемые уязвимости: Особенности схемы установления соединения по протоколу TCP .

Уровень информационной инфраструктуры: Сеть. Степень риска;Высокая

В случае получения запроса на соединение система отвечает на пришедший SYN -пакет SYN / ACK -пакетом, переводит сессию в состояние SYN _ RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет АСК, соединение

1 Более подробно сетевые анализаторы и способы их обнаружения рассматриваются в курсе БТОЗ.

удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED (установлено).

Если очередь входных соединений заполнена, а система получает SYN -пакет. приглашающий к установке соединения, он будет проигнорирован.

Затопление SYN -пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. После истечение некоторого времени (время тайм-аута зависит от реализации) система удаляет запросы из очереди. Однако ничто не мешает злоумышленнику послать новую порцию запросов. Обычно используются случайные (фиктивные) обратные IP -адреса при формировании пакетов, что затрудняет обнаружение злоумышленника.

Атака ARP — Spoofing

Описание: Добавление ложных записей в таблицу, использующуюся при работе протокола ARP

Цель: Нарушение нормального функционирования объекта атаки

Механизм реализации; Нарушение навигации

Используемые уязвимости; Недостаток проектирования протокола ARP

Уровень информационной инфраструктуры: Сеть

Степень риска; Высокая

Большинство ОС добавляют в таблицу новую запись на основе полученного ответа даже без проверки того, был ли послан запрос (исключением, например, является Solaris ).

Таким образом, нарушитель может отправить ответ, в котором указан MAC — адрес несуществующего или неработающего в данный момент узла, что приведёт к невозможности взаимодействия узла- «жертвы» с каким-либо узлом. Например, на следующем рисунке узел 223.1.2.1 не будет доступен с узла — объекта атаки после посылки нарушителем ложного ARP -ответа.

Атака IISDOS

Описание: Посылка некорректно построенного HTTP -запроса приводит к перерасходу ресурсов атакуемого WWW -с ep в epa

Цель: Нарушение нормального функционирования объекта атаки Механизм реализации: Бесполезное расходование вычислительного ресурса Используемые уязвимости: Ошибка реализации Microsoft Internet Information Server Уровень информационной инфраструктуры: Приложения Степень риска: Средняя

Выводы

Итак, для защиты от атак необходимо использовать комплекс средств безопасности, реализующий основные защитные механизмы и состоящий из следующих компонентов:

• Межсетевые экраны, являющиеся первой линией обороны и реализующие комплекс защитных механизмов, называемый защитой периметра.

• Средства анализа защищённости, позволяющие оценить эффективность работы средств защиты и обнаружить уязвимости узлов, протоколов, служб.

• Средства обнаружения атак, осуществляющие мониторинг в реальном режиме времени.

Далее рассматриваются примеры средств, относящихся к каждой из упомянутых категорий.

&nbsp