Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Обнаружение сетевых вторжений. Дубль второй

Грег Шипли

Как показывает наш очередной обзор систем обнаружения сетевых вторжений, сочетание технологий, работающих как на сетевом уровне, так и на уровне хоста, — стратегия многообещающая. Но обеспечат ли эти технологии полную безопасность вашей сети?

Представьте себе, что вы являетесь главным сетевым администратором и должны осуществлять надзор за установкой и эксплуатацией корпоративных серверов под управлением ОС Unix, Windows NT и NetWare, межсетевых экранов, маршрутизаторов и всего остального сетевого оборудования. Квалификация вашего персонала выше среднего уровня, а руководство компании твердо убеждено в необходимости обеспечения полной безопасности. Вы заботитесь о том, чтобы во вверенной вам сети были установлены все самые последние версии операционных систем, и делаете все возможное, чтобы быть в курсе относительно всех выявленных изъянов в системах защиты ОС. И тем не менее порой вы ощущаете, что находитесь под прицелом хитроумного и агрессивного злоумышленника.

Одни владельцы и пользователи корпоративных сетей полагаются на межсетевые экраны, которые в решающий момент могут подвести их. Другие — рассчитывают на способность системного администратора “изолировать” основные серверы от внешнего мира. Третьи — разрабатывают и внедряют у себя собственные стратегии и организационные процедуры безопасности, но не замечают “дыр”, которые возникают при ускоренном развитии технологии. Мало тех, кто обладает достаточной проницательностью, чтобы сочетать организационные меры с технологическими решениями в области безопасности.

Для большинства организаций сочетание этих подходов гарантирует защиту довольно большого числа уязвимых мест. Однако за их рамки все еще выходят такие аспекты сетевой безопасности, как своевременная идентификация и корреляция событий, сбор данных контроля безопасности для анализа и автоматического принятия мер защиты. Вот где системы обнаружения вторжений (Intrusion-Detection Systems — IDS) могут быть полезными.

Какая замечательная перспектива — иметь набор распределенных систем, которые в реальном масштабе времени обнаруживают, идентифицируют и докладывают администратору, ответственному за безопасность корпоративной сети, о предпринимаемых взломщиками атаках. К сожалению, об этом можно только мечтать, осуществить на деле это сложно. Современные продукты IDS — это полезные инструменты, однако возможности, присущие им, не вполне соответствуют сопровождающей их рекламной шумихе. В прошлом году мы впервые провели испытания систем IDS сетевого уровня (см.: Системы обнаружения вторжений//Сети и системы связи. 1999. № 11. C. 108), оставив в стороне системы уровня хоста. В этот раз мы рассмотрели и те и другие системы — Intruder Alert и NetProwler фирмы Axent Technologies, Cisco Secure Intrusion Detection System/NetRanger фирмы Cisco Systems, Centrax 2.2 фирмы CyberSafe, RealSecure 3.2 фирмы Internet Security Systems, NFR Intrusion Detection Appliance 4.0 фирмы Network Flight Recorder, BlackIce Defender and Enterprise Icepac 1.0 фирмы Network Ice и Dragon IDS фирмы Network Security Wizards.

Сеть или хост?

Споры о сравнительных преимуществах технологий защиты, основанных на контроле сетевого трафика и на контроле отдельных хостов, тянутся давно. В настоящее время большинство специалистов склоняются к использованию универсального подхода, сочетающего в себе обе технологии. Но до сих пор лишь компания Internet Security Systems (ISS) добилась реальных успехов в этой интеграции.

В продуктах IDS, основанных на контроле сетевого трафика, используется концепция “прослушивания” линий связи. Их сенсорные устройства пытаются проверять каждый проходящий пакет. Для обнаружения представляющего опасность трафика применяются заранее определенные наборы правил или сигнатур атак, на соответствие которым проверяются захваченные пакеты. По существу сенсоры таких IDS-систем — это не что иное, как интеллектуальные анализаторы пакетов.

Данному подходу присущи свои проблемы. Самая главная из них связана с плохой масштабируемостью решений. Подобные системы IDS с трудом выдерживают скорость 100 Мбит/с, а ведь сейчас на предприятиях гигабитовые технологии вытесняют все остальные. Кроме того, такие системы базируются на заранее определенных наборах сигнатур атак, которые всегда будут отставать на шаг от самых последних результатов “подпольных” исследований компонентов уязвимости (exploits). Что еще хуже, поставщики IDS часто оказываются не осведомленными обо всех известных разновидностях нападения, поэтому базы данных (БД) сигнатур атак обновляются далеко не так своевременно, как, скажем, БД антивирусных программ.

И тем не менее системы IDS сетевого уровня обладают некоторыми преимуществами. Пожалуй, их главным достоинством является способность оставаться “в тени” — они могут работать ненавязчиво, не оказывая влияния на работу существующих систем и сетевую инфраструктуру. Кроме того, большинство их не зависит от ОС. Установленные сенсоры таких систем будут улавливать все атаки, независимо от типа ОС, на которую они нацелены.

И наоборот, системы уровня хоста работают в основном с системными журналами, журналами учета и регистрации событий. Этот подход нацелен не на обнаружение подозрительных пакетов, курсирующих в сети, а на обнаружение характерных моделей поведения локальных или удаленных пользователей, которые делают то, чего им делать не следует.

Поставщики систем IDS уровня хоста тоже сталкиваются с некоторыми проблемами. Важным препятствием на пути применения их, как, впрочем, и вообще всех решений на основе агентов, является переносимость. Система BlackIce и другие подобные ей продукты работают только на платформе Windows, и хотя есть системы этого класса, которые поддерживают более широкий диапазон платформ, вашей ОС может не оказаться в этом списке.

Находя многие из этих систем чрезвычайно полезными, мы, однако, считаем несбыточной надежду на то, что им можно будет “доверить” полный контроль за работой сети. Обнаружат ли эти продукты большинство известных атак? Нет. Могут ли служить в качестве первой или второй линии обороны? Нет. Можно ли сделать их не поддающимися обнаружению? Во многих случаях — да. Эта технология находится где-то посередине между в меру полезной технологией и настоятельно рекомендуемой. Справедливо также и то, что в своем развитии системы IDS прошли довольно длинный путь и уже поэтому заслуживают того, чтобы их рассматривали серьезно.

В конце концов, “наилучшего” решения просто не существует. Мы присудили первое место продукту RealSecure за то, что в целом он показал себя в наших испытаниях лучше остальных, но у него нет некоторых возможностей, которые есть у Dragon и NFR IDA. Продукт Centrax, может быть, и проще других в развертывании, но BlackIce проделывает с трафиком такое, на что Centrax не способен. NetRanger устойчиво работает в среде, где терпит крах NetProwler, но у последнего имеются некоторые функции, отсутствующие во всех других продуктах.

Исследуйте потребности и возможности вашей сети. Если вы не можете положиться на опыт ваших специалистов в области Unix, то не стоит и пытаться использовать Dragon. Но если вам требуются особые возможности индивидуальной настройки, то, возможно, вас заинтересует продукт NFR IDA. Определите ваши цели, оцените свой опыт и возможности, тогда принять необходимое решение для вас станет намного легче.

***

Полную версию данной статьи смотрите во 2-м номере журнала за 2000 год.

• RealSecure 3.2 фирмы Internet Security Systems
• Dragon IDS фирмы Network Security Wizards
• Cisco Secure Intrusion Detection System/NetRanger фирмы Cisco Systems
• Intruder Alert и NetProwler фирмы Axent Technologies
• NFR Intrusion Detection Appliance 4.0 фирмы Network Flight Recorder
• Centrax 2.2 фирмы CyberSafe
• BlackIce Defender и Enterprise Icepac 1.0 фирмы Network Ice

***

RealSecure 3.2
Цена: 8995 долл.
Фирма: Internet Security Systems
www.iss.net

Dragon IDS
Цена: 4500 долл.
Фирма: Network
Security Wizards
www.securitywizards.com

Cisco Secure Intrusion
Detection System/NetRanger
Цена: 12 500 долл. за сенсор,
9 500 долл. за директор
Фирма: Cisco Systems
www.cisco.com/netranger

Intruder Alert
Цена: 1995 долл. за менеджер, 995 долл. за агент
(консоль предоставляется бесплатно)
NetProwler
Цена: 7995 долл.
Фирма: Axent Technologies
www.axent.com

NFR Intrusion Detection Appliance 4.0
Цена: 3100 долл.
Фирма: Network Flight Recorder
www.nfr.net

Centrax 2.2
Цена: от 2500 долл. и выше
Фирма: CyberSafe
www.cybersafe.com

BlackIce Defender and Enterprise Icepac 1.0
Defender
Цена: 39,95 долл.
Enterprise Icepac
Цена: 37 долл. за узел (для 1000 узлов)
Фирма: Network Ice
www.networkice.com





  
2 '2000
СОДЕРЖАНИЕ

колонка редактора

• Эпидемиология слияний

локальные сети

• Серверы печати выходят на старт

• Осторожно: оптоволокно!

• Химикаты в волоконной оптике

• Novell Netware 5.1 ставка на Web

услуги сетей связи

• Как подключить телефонную станцию к маршрутизатору

• Доступ к АТМ - ключ к конвергенции

новые продукты

• С Accelar 8600 - снова в лидеры, Новые ПК-серверы компании Hewlett-Packard, Компактные серверы Unix

корпоративные сети

• Linux берет курс на информационные центры

• Сервер HP 9000 L-класса - выгодная покупка

• Распространение ПО через территориально распределенные сети

бизнес

• Столпы сетевой индустрии проповедуют

• Услуги связи в гостиничном бизнесе. Гостиница "Москва"

электронная коммерция

• Иметь или арендовать?

защита данных

• Обнаружение сетевых вторжений. Дубль второй

• Интеграция SSO-решений со службой справочника Novell


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх