Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Решения HIP предотвратят вторжения на хосты

Майк Фратто

"Жди неприятностей" - фраза, может, и заезженная, но тем не менее она выражает самую разумную стратегию защиты. Поставщики решений по сетевой безопасности и соответствующие специалисты несмотря на все свои уверения не лучше нас с вами могут предвидеть, откуда следует ожидать очередную угрозу нашему виртуальному существованию. Разумеется, риск можно снизить с помощью защитных устройств, таких, как межсетевые экраны (МЭ), виртуальные частные сети (Virtual Private Network - VPN), антивирусные сканеры и системы обнаружения вторжений (Intrusion-Detection System - IDS), и неких процедур, например усиления ОС (OS hardening), строгой аутентификации и управления доступом. Но реальность такова, что вам в любом случае придется обеспечивать доступ ваших сотрудников и других пользователей к корпоративным серверам, а как только вы "откроете двери" в Интернет, степень угрозы нападения резко повысится.

Вот вам несколько горьких истин. У всех продуктов есть уязвимые с точки зрения безопасности места. И кто-то их периодически находит. И невзирая на то, что сделает этот "кто-то" со своим открытием - сообщит ли поставщику, опубликует или придержит для себя, - вашей сети будет угрожать опасность, пока поставщик не выпустит "заплату", а ваш администратор не установит ее.

Что касается последнего, повторяйте, пожалуйста, вместе с нами, как заклинание: "Я должен постоянно следить за выпуском новых "заплат"". При этом необходимо тщательно тестировать их, прежде чем применять на корпоративных серверах, дабы убедиться, что "заплаты" не нарушат их функционирования. В результате ваши серверы могут еще несколько дней или недель подвергаться риску нападения уже после того, как вы получили соответствующую "заплату".

Хотя "заплаты", безусловно, важны, все же они реализуют реактивную модель защиты. Проблема в том, что лишь очень малое число программ создаются с осознанием их производителями требований, предъявляемых к безопасности. ОС общего назначения предназначены главным образом для управления многочисленными учетными записями пользователей и обеспечения последним прозрачного доступа к системным ресурсам. В зависимости от установленных для файлов, пользователей и групп полномочий, кто-то всегда имеет больше прав, а кто-то меньше. Например, пользователь root в Unix или Администратор в Windows NT/2000 обладает практически неограниченным доступом к ресурсам. И что еще важнее, многие системные службы работают в привилегированном режиме. Для нормального функционирования любому сервису вполне достаточно доступа к конечному набору ресурсов, но способа ограничить доступ служб только этими, нужными им ресурсами, не существует. Поскольку они обеспечивают прямой доступ к вашим серверам, а через них и к другим хостам в вашей организации, то ОС последних должны быть защищены от "небезопасных" программ.

Полную версию данной статьи смотрите в 1-ом номере журнала за 2003 год.

Упреждающая защита

Вам необходим действенный метод защиты ваших серверов от нападения. Решения, предотвращающие вторжения на хосты (Host Intrusion Prevention - HIP), предоставляют вам его. Продукты HIP самыми разными способами ограничивают доступ программ и пользователей к системным ресурсам, тем самым предохраняя ОС от нападений, для осуществления которых используются лазейки, возникающие в результатае неквалифицированного программирования.

Например, при большинстве атак в режиме удаленного доступа сервер заставляют подчиняться командам извне. Тип атаки (переполнение буфера или неправильная URL-строка) не играет роли - главное, что команды запускаются удаленно. Рассмотрим, в частности, сервер Internet Information Server (IIS) корпорации Microsoft, на котором не установлено ни одного пакета обновления. В этом случае имеется масса способов вызвать командную оболочку (command shell) с помощью inetinfo.exe - процесса IIS (см. статью "Обзор решений HIP" в этом номере журнала). При этом нет никаких законных причин, по которым inetinfo.exe понадобилось бы вызывать командную оболочку. Зная, однако, что злоумышленники часто вызывают ее и что inetinfo.exe ее вызывать не должен, мы теперь можем сформулировать политику безопасности, а продукты HIP, в свою очередь, воплотят ее в жизнь.

Продукты HIP относительно новое слово в защите, и, хотя мы пока не выполнили доскональную проверку протестированных нами продуктов на предмет их собственной безопасности, серию атак на серверы с удаленной машины мы все же провели так, как это сделал бы злоумышленник. Нам не удалось проникнуть в системы, на которых были инсталлированы и должным образом сконфигурированы приложения HIP. Но поскольку мы не можем представить себе действий взломщиков в будущем, то и не беремся утверждать, что эти продукты защитят вас от любой атаки.

Как функционируют HIP

Большинство продуктов HIP инсталлируются как модули ядра ОС или заменяют ее разделяемые библиотеки. Они перехватывают системные вызовы, поступающие к ОС от приложений. Перехватив вызов до того, как он достигнет ядра, приложение HIP проверяет его на соответствие политике безопасности, а затем пропускает либо отвергает. Ни один из протестированных нами продуктов не потребовал от нас инсталляции "усиленной" ОС. Продукт Pitbull компании Argus не перехватывает системные вызовы, вместо этого он модифицирует соответствующий им код таким образом, чтобы выполнялась политика безопасности. Но в любом случае сначала системный вызов обрабатывается продуктом HIP, который проверяет его на соответствие установленным правилам. Если вызов является допустимым, ему дается "зеленый свет". В противном случае он отвергается, и приложение уведомляется об этом. Можно задействовать индивидуальные правила, что позволит администратору отслеживать работу приложений и деятельность пользователей. В политике безопасности должно быть четко определено, к каким ресурсам (например, файлам или сетевым портам) приложение или пользователь могут иметь доступ и какие полномочия - чтение, запись или запуск на исполнение - им предоставлены в каждом конкретном случае. Управляющие доступом пользователей продукты HIP способны даже ограничивать "власть" системного администратора.

Три способа сказать "нет"

Поставщики решений HIP реализуют в них три базовые модели: политика, основанная на норме поведения (behavior-based); политика на основе сигнатур (signature-based) и политика, основанная на концепции пользователя (user-based). Важно понимать, что в каждом из трех перечисленных случаев продукты HIP защищают ОС от тех нападений, при которых злоумышленники используют для своих целей приложения. Но они не смогут остановить атаку, целью которой является само приложение (таковы, например, попытки манипулировать вашей БД посредством "хитрых" SQL-запросов или путем "обмана" вашего Web-приложения), так же как они не смогут "запретить" службам доступ к необходимым им файлам.

Если в продукте реализована модель "нормы поведения", то вам нужно дать определение "нормального поведения" приложения на протяжении его работы. Так, серверу Apache под управлением ОС Linux требуется доступ на чтение и запись файлов в его корневом каталоге, на чтение своего конфигурационного файла, на чтение и выполнение собственного исполняемого модуля, на чтение разделяемых библиотек, файлов webroot, исполнение файлов cgi-bin и на "привязку" к портам 80 и 443. Функционирующий должным образом сервер не требует доступа ни к чему, помимо вышесказанного, - следовательно, ограничивающая политика должна блокировать все проявления его "ненормального поведения". Разумеется, то, что нормально для одного сервера, для другого таковым может и не быть, поэтому каждому серверу необходимо иметь собственное описание профиля работы, которая должна быть досконально изучена, прежде чем вы сможете сформулировать для него ограничивающую политику.

Чья это подпись?

Продукты HIP на базе сигнатур используют последние для обнаружения и блокирования злонамеренной деятельности. И разумеется, такого рода продуктам присущи те же проблемы, что и системам обнаружения вторжений и антивирусным сканерам: они обречены запаздывать настолько, насколько быстро "устаревают" их обновления. Впрочем, используемые вместе с решениями HIP на базе "нормы поведения" сигнатуры обеспечат вам дополнительный уровень защиты, так как смогут выборочно блокировать атаки на прикладном уровне, а также помогут в их идентификации, ведь предупреждение об атаке может содержать ее название, а не только тип, вроде buffer overflow.

И наконец, "пользовательская" модель HIP аналогична модели управления, в которой имя пользователя или его принадлежность к той или иной группе совместно со списками ACL на системных объектах служат для распознавания, разрешен к ним доступ или нет. Эта модель хорошо работает в среде Unix, где сервисы запускаются под уникальными пользовательскими идентификаторами (ID). Однако в Windows NT есть критически важные сервисы, такие, как все тот же inetinfo.exe, которые могут работать с правами System\Local, а это уже совсем другая история - здесь у вас не получится эффективно ограничить их деятельность, поскольку другим сервисам, работающим под данной учетной записью, эти ограничения могут помешать в работе. Отсутствие индивидуальных пользовательских идентификаторов тоже инициирует серьезные проблемы.

В отношении политики безопасности продукты HIP делятся на две категории: те, в которых она ограничивается заранее заданными правилами (predefined polices), и те, в которых правила можно настраивать (модифицировать). В целом продукты HIP с заранее заданными правилами проще в инсталляции и управлении - при условии, что они поддерживают ваши приложения. В этих пакетах сбор информации осуществляется либо автоматически (autodiscovery), либо администратор сам конфигурирует пакеты при каждой инсталляции. Например, если вы поместите файлы webroot куда-нибудь в необычное место, то приложение HIP должно об этом "знать". Однако такой продукт не сможет обезопасить ничего, кроме поддерживаемых им приложений.

Вторая категория продуктов позволяет обезопасить любое приложение, если вы сможете определить необходимые ему ресурсы и доступ к каждому из них. Возможность настройки обеспечивает гибкость в поддержке любого сервиса, который понадобится вашему бизнесу, и при этом вы не будете связаны по рукам и ногам заложенным в продукт его поставщиком набором поддерживаемых приложений. Недостаток данного подхода состоит в том, что создавать профили приложений и разрабатывать наборы правил довольно сложно и занимает много времени. Ведь вам придется рассматривать все ресурсы и права доступа к ним, разрабатывать наборы правил, тестировать их и все это повторять до тех пор, пока ваша ограничивающая политика не начнет на деле разрешать доступ к системным ресурсам лишь в необходимой приложениям мере, а последние при этом станут работать без проблем.

Естественно, что компромисс между простотой управления и гибкостью существует. Если вы остановитесь на продукте HIP общего назначения, то запланируйте расходы на обучение вашего администратора или по крайней мере предоставьте ему достаточно времени на самостоятельное изучение системы. У нас на каждый продукт уходило от 25 до 40 ч, притом что мы считаем себя более или менее квалифицированными специалистами по большинству ОС. Вдобавок мы воспользовались весьма полезными источниками информации (см. "Список рекомендуемой литературы"). Хотя для создания профилей приложений и разработки ограничивающей политики не требуется знание программирования, но, чем больше вы будете знать об ОС и работе приложений, тем лучше справитесь с задачей.

А что я с этого буду иметь?

Можно легко подсчитать практическую выгоду от использования продуктов HIP. Атаки на ОС и приложения вам больше не грозят, так что вам больше не нужно беспокоиться об уязвимости ваших хостов. К тому же налицо и прямая денежная выгода от инвестиций в эту технологию. Сообщения об огромных финансовых потерях, приписываемых атакам "червей" Code Red и Nimda, по-видимому, вполне адекватно отражают положений вещей в этой сфере, если принять во внимание время простоя систем и производственные потери тех компаний, которых это коснулось. Много раз упоминались простои, длящиеся днями и даже в некоторых случаях неделями. Прибавьте к этому потери, связанные с остановкой работы над текущими проектами, которые теперь будут завершены с запозданием, что, в свою очередь, затронет, как цепная реакция, и другие бизнес-процессы. В организациях, где были выведены из строя онлайновые информационные системы, убытки были еще выше.

Чтобы точно оценить потери от вторжения и потенциальную экономию от его предотвращения, вам нужно формально охарактеризовать расходы, связанные с критически важными информационными системами. К сожалению, согласно данным компании Forrester Research, 60% фирм заявляют, что они не могут даже оценить потери в результате инцидентов, связанных с нарушением безопасности, а 52% не представляют, как подсчитать стоимость мер по устранению последствий таких инцидентов.

Чтобы сдвинуть дело с мертвой точки, вам, вероятно, придется побегать, чтобы собрать нужные данные. При этом не забудьте принять в расчет, во что обойдется установление причин возможных вторжений, оценка нанесенного ущерба и ликвидация последствий.

Чтобы рассчитать производственные потери, вызванные атакой, определите число сотрудников, на работу которых повлиял инцидент, как долго это продолжалось, размер средней заработной платы, а затем перемножьте все это. Если ваш сервер используется для получения дохода, например для поддержки работы системы обслуживания заказов, то нужно оценить потери бизнеса как во время инцидента, так и после.

Мы разработали таблицу для иллюстрации этих принципов и сделали следующие предположения: атака на Web-сервер удалась, и нападавший получил контроль над этим сервером; брешь была обнаружена, и сервер отключили от сети. В компании имелся резервный сервер, но так как он был полностью идентичен работающему, то подключать его к сети было слишком рискованно. На то, чтобы обнаружить "дыру" и оценить ущерб, понадобилось 34 ч (см. http://project.honeynet.org/challenge), плюс еще 15 ч ушло на восстановление сервера (исходя из нашего опыта). Из общего числа пользователей 1000 человек примерно 500 проводят значительную часть своего рабочего времени (30%), "общаясь" именно с этим сервером. Пока сервер не функционировал, прекратилась работа и с бизнес-приложением. Мы выделили три группы пользователей - от операторов ввода данных до менеджеров - и примерно подсчитали их численность. После суммирования времени простоя сервера и потерянного рабочего времени пользователей с учетом почасовых ставок в каждой группе мы пришли к выводу, что ущерб от такого вторжения составил ошеломляющую сумму - 98 306 долл.!

Конечно, если вашей организации никогда не приходилось подвергаться атакам, то попытка оценить потери от них станет для вас эдаким схоластическим упражнением. Главное заключается в том, чтобы понять простую вещь: сетевой взлом приносит реальные убытки, а экономия от одной заблокированной попытки вторжения столь велика, что ее не стоит игнорировать.

Установка продукта HIP - дело не из легких. В зависимости от фирмы-поставщика только на изучение продукта и проработку решения может потребоваться до нескольких дней. Из протестированных нами продуктов те, что обладали наиболее богатой функциональностью, мы изучали часов по 40, плюс еще по 20 ч ушло на их развертывание и тестирование. Умножим эту цифру на почасовую ставку администратора (из расчета в среднем 70 тыс. долл. в год, или около 35 долл. в час), получаем 2100 долл. за 60 ч, прибавим стоимость самого ПО (в среднем 1800 долл.), и цена такой защиты составит всего 3900 долл. С учетом цифры, приведенной двумя абзацами выше, - выгодная покупка.





  
1 '2003
СОДЕРЖАНИЕ

бизнес

• С чего начинается адаптивное управление?

• Ошибки, которые вы уже не сделаете, прочитав эту статью

• "Интерпроком ЛАН" - "неправильный" дистрибутор

инфраструктура

• Тестируем средства создания и распространения образов дисков

информационные системы

• Опыт внедрения ERP-системы в крупном медицинском учреждении. Часть I

• Опыт внедрения ERP-системы в крупном медицинском учреждении. Часть II

• ПО мониторинга работы операторов в call-центрах

• Web-сервисы и спецификация SOAP

кабельные системы

• Проектирование и построение защищенных беспроводных ЛВС

• Интероперабельность компонентов категории 6

• Скалыватели оптоволокна

сети связи

• Quo vadis, VoIP?

• Сеть MPLS на Урале

защита данных

• Решения HIP предотвратят вторжения на хосты

новые продукты

• Новая версия NIC Express; Alcatel 5020 Softswitch; SI2000 COCOS — контакт-центр Iskratel и «Искрауралтел»; OptiSwitch-F — фиксированная конфигурация, SFP-трансиверы


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх