Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

IDS-конструктор: постройте свою собственную систему обнаружения вторжений!

Джордан Вьенс

Два с лишним года тому назад компания Gartner вынесла свой приговор технологии IDS, заявив, что к 2005 г. она безнадежно устареет. Но рынок ИТ остался при своем особом мнении, и системы обнаружения вторжений (Intrusion Detection System —IDS) по-прежнему широко представлены на нем.

Но вердикт Gartner не остался без внимания и послужил поводом к дискуссии: некоторые поставщики были склонны рассматривать системы IDS (а впоследствии и системы предотвращения вторжений, Intrusion-Prevention System — IPS) как своего рода “волшебную палочку безопасности” — подобно тому, как чуть раньше в качестве панацеи преподносились межсетевые экраны. Такая концепция в отношении обнаружения вторжений, безусловно, не имеет права на жизнь — и это к лучшему! Проблемы безопасности обширны и глубоки, и их решение требует комплексного подхода с использованием защитных систем, методов и правил. И при таком подходе система IDS должна занять далеко не последнее место на вашем предприятии.

По своей сути система IDS подобна беззубой сторожевой собаке — она может предупредить вас об опасности, но неспособна самостоятельно защитить. Основываясь на статистическом анализе и мониторинге файлов и журналов регистрации событий хостов, эта система, будучи пассивным детектором, попросту ищет и находит в потоке сетевого трафика известные ей “плохие” паттерны. Поэтому сама по себе IDS хороша как генератор сигналов тревоги. Она не в состоянии противостоять выявленным ею программным компонентам взлома, заблаговременно сообщить об уязвимости системы до совершения атаки на нее или заставить администратора системы предпринять шаги по устранению имеющихся упущений в ее безопасности, которые могут обернуться реальной угрозой для вашей компании. Лучше всего развертывать IDS в качестве одного из опорных рубежей вашей системы обороны.

Полную версию данной статьи смотрите в 7-ом номере журнала за 2006 год.

Свинка-свинка, сюда!

Хотя с переводом по-прежнему бесплатного пакета Nessus 3 на закрытую модель разработки чистота происхождения “господствующего триумвирата” ПО безопасности с открытым исходным кодом — Nmap, Nessus и Snort — слегка потускнела, Snort все еще имеет успех и как свободно распространяемый, и как коммерческий продукт, — даже после приобретения компанией Check Point Software Technologies его создателя, компании Sourcefire. Будущее ПО Nmap как свободно распространяемого продукта тоже выглядит вполне безоблачно, пока его разработчик — некто Fyodor — остается у руля. Nessus не нашел столь широкой поддержки у сообщества программистов, поэтому компания Tenable не продлила его распространение по лицензии Open Source, зато исходный код Snort продолжают совершенствовать многочисленные программисты-волонтеры. Они образуют сообщество экспертов, к которым всегда можно обратиться за консультацией и которые написанием обновлений и сигнатур для этого продукта вносят свой вклад в его развитие.

Это делает Snort своего рода “племенным хряком” для осуществления нашего проекта по выведению своей собственной “породы” IDS (на эмблеме разработчиков Snort красуется свинья с эдаким симпатичным пятачком). Модель лицензирования ПО с открытым исходным кодом предполагала, что при создании нашей системы IDS единственным источником затрат станет лишь стоимость “железа”. Точная спецификация аппаратного обеспечения может варьироваться в зависимости от конфигурации и требуемого уровня мониторинга вашей сети, и недавно списанной рабочей станции, как правило, оказывается вполне достаточно. Сколько именно мощности будет доступно вам, зависит не только от процессора, но и от материнской платы, сетевого адаптера, числа и типа используемых сигнатур, полосы пропускания сети, характеристик сетевого трафика и тому подобных показателей. Полезно иметь два сетевых интерфейса: один — для мониторинга сети, посредством которого Snort будет “слушать” ее, другой — для управления и общения с внешним миром.

Наша инсталляция базировалась на дистрибутиве Fedora Core 4 и RPM-пакетах (Red Hat Package Manager), скачанных с Web-узла Snort.com. Установив, запустив и обновив базовую ОС, мы инсталлировали исходные RPM-пакеты — на этом этапе вам потребуются средства разработки, поэтому не забудьте инсталлировать вспомогательные пакеты pcre-devel и mysql-devel.

Пока Snort нуждается в минимальном конфигурировании; достаточно убедиться в том, что в файле /etc/sysconfig/Snort для прослушивания указан правильный сетевой интерфейс и закомментирована строка, начинающаяся со слова “ALERT” (см. “Как настроить Snort”).

Лицо продукта

Для запуска IDS-сенсора вполне достаточно какого-нибудь старенького ПК, а вот в качестве управляющей консоли людям, не привыкшим к строгой красоте интерфейса командной строки Linux, мы рекомендуем инсталлировать на рабочей станции Windows пакеты IDSPM (IDS Policy Manager) и HSC (Honeynet Security Console) от компании Activeworx. Данное ПО послужит вам платформой управления, администрирования и анализа полученных результатов. Компанией Activeworx разработаны соответствующие требования к аппаратному обеспечению (см. www.activeworx.org/programs/idspm/ и www.activeworx.org/programs/hsc/).

Кроме того, мы скачали с сайта Mysql.com и инсталлировали пакет Windows Essentials, а также сконфигурировали БД Mysql согласно описанию в онлайновой документации ПО HSC и IDSPM. Конфигурирование IDSPM чревато разными ловушками. Наш коронный прием в устранении неполадок — непрерывный контроль регистрационных файлов сенсора с целью видеть возникающие при запуске Snort ошибки, чтобы на основании их определить, какие параметры требуют дополнительной настройки.

Теперь самое время начать “дрессировку” нашей “свиньи”. Мы хотим, чтобы наша IDS-платформа работала как портал отработки инцидентов, служила инструментом судебного расследования и являлась частью системы автоматического реагирования на возникающие угрозы.

Всевидящее око

Применение IDS для анализа инцидентов и для судебного расследования на первый взгляд имеет много общего. В конце концов, в обоих случаях с целью обнаружения проблем изучаются данные безопасности. Тем не менее между ними есть и важное различие, заключающееся в интерпретации ложных срабатываний. При анализе инцидентов на консоли IDS, как правило, фиксируются успешные атаки — например, случаи проникновения “червей” в корпоративную сеть. Для аналитика ложное срабатывание означает проведение дополнительной работы по сортировке данных безопасности, чтобы всего-навсего убедиться в факте ложной тревоги.

При судебном разбирательстве учитывается каждый бит информации. Так, мы обнаружили факт компрометации, зафиксированный системой IDS как ложное срабатывание. Соответствующая запись совершенно не отражала то, что произошло в действительности, и, разумеется, поначалу она как бы потерялась на фоне общего “шума” схожих сообщений. Но по прошествии нескольких дней, когда отмеченный в журнале IDS хост был изолирован для более пристального обследования, вызванного совсем другими причинами, эти дополнительные данные оказались очень полезными и помогли-таки обнаружить взлом. Поэтому решите наперед, как вы будете использовать систему IDS и ее сигнатуры, имея в виду вышеупомянутые сферы применения.

Чтобы выяснить, что же именно заслуживает расследования, перво-наперво проигнорируйте то, что соответствует норме. Это легче сказать, чем сделать. И хотя некоторые коммерческие IDS-продукты поддерживают разнообразные интеллектуальные механизмы статистического анализа, до сих пор не существует лучшего, чем человеческий мозг, инструмента, для понимания что к чему.

Прежде чем вы начнете использовать систему IDS, задайте ей надлежащую базовую линию. На это может уйти много времени, и это же, к сожалению, может означать невозможность применения IDS в качестве инструментария для анализа инцидентов в некоторых средах. Мы не способны предсказать, сколько времени у вас займет выстраивание адекватной вашей среде базовой линии, но, чем больше это время и чем с большей пользой вы его потратите, тем лучше будет работать ваша система IDS. Короче говоря, приготовьтесь в течение недели потратить час-другой в день на то, чтобы вашу систему обнаружения вторжений отладить так, чтобы ее работе не мешал основной “шум”. Для полной уверенности в правильности настройки вам потребуется больше времени, но за неделю вы так или иначе познакомитесь с типичной картиной поведения вашей сети.

Улучшить соотношение сигнал/шум вам поможет обширная документация Snort по написанию правил и заданию переменных параметров сигнатур для хостов, наиболее часто генерирующих ложные сигналы тревоги. Перепишите сигнатуры так, чтобы все остальные хосты игнорировали эти переменные. Кроме того, можно задать пороги для сигнатур, время от времени вызывающих ложные срабатывания, например, когда Web-страница с вложенными элементами, расположенными на других серверах, заставляет браузер в течение короткого промежутка времени подключиться к множеству Web-серверов. Указав допустимое число одновременно устанавливаемых соединений, вы сможете отличить обычную Web-сессию от попытки просканировать вашу сеть извне.

Подпишите меня!

Аналитик хорошо работает при условии, что использует правильные данные, поэтому убедитесь в новизне и полноте вашего набора сигнатур. К счастью, пакет IDSPM способен самостоятельно загружать сигнатуры с великолепного Web-сайта bleedingSnort.org, предоставляя вам доступ к вышеупомянутой богатой библиотеке экспертных знаний, накопленных сообществом разработчиков сигнатур. При редактировании правил, выберите опцию Use Bleeding Snort Rules для автоматической загрузки этих правил и их интеграции сенсором IDS. Оборотная сторона этого преимущества заключается в том, что, как вы вскоре поймете, не все сигнатуры одинаково полезны, — вы быстро достигните “точки насыщения” как в отношении объема контролируемого сенсором трафика, так и в отношении числа сообщений, которое способен изучить аналитик. И все же в набор Bleeding Snort Rules включено множество часто обновляемых и полезных сигнатур. Некоторые сигнатуры, например относящиеся к IRC (Internet Relay Chat), в этом наборе могут вам показаться лишними, но учтите, что процент bot-сетей и процент заражений “троянами”, удаленно управляемыми по каналам IRC, чрезвычайно высок.

Подумайте о том, чтобы написать собственные сигнатуры для своевременного реагирования на сиюминутные инциденты. Если новый вирус проник в вашу сеть и распространился по ней, не будучи обнаруженным ПО антивирусной защиты, попытайтесь взять его образец, чтобы послать для дальнейшего анализа на Web-сайт virustotal.com, а сами пока изучите описания его поведения, приведенные на Web-сайтах поставщиков антивирусов, чтобы разработать собственную сигнатуру. Способность к написанию собственных сигнатур значительно повышает эффективность использования вашей системы IDS.

Для создания новой сигнатуры откройте страницу правил, кликните правой кнопкой мыши на категории локальных сигнатур, выберите опцию “Add new signature name to group”, введите имя сигнатуры и опишите ее, как показано на рисунке справа. Не забудьте активизировать сигнатуру и соответствующую ей категорию с помощью флажков.

А теперь протестируйте новую сигнатуру, введя в строке адреса “зараженного” браузера что-то вроде http://somesite.com/path/to/file/malwareupdater.exe, т. е. адрес “враждебного” узла, чей трафик вы в состоянии захватить и проанализировать. Если ваша сигнатура не сработала, сравните захваченный трафик с сигнатурой, чтобы выяснить, что же вы упустили.

Лучший способ научиться писать эффективные сигнатуры — это изучить те, которые, написаны другими. Приведенный на рисунке пример можно использовать для создания сигнатуры, “отлавливающей”, например, нового “червя” службы мгновенных сообщений, распространяемого рассылкой URL-указателей с целью “заражения” ваших пользователей. Для получения дополнительной информации по написанию собственных сигнатур подпишитесь на соответствующую рассылку.

“Силиконовое” расследование

Судебное расследование инцидентов на уровне систем и сетей всегда вызывало интерес, а с увеличением числа атак враждебного ПО root-kit этот процесс становится еще более захватывающим. Сигнатуры, используемые дознавателем, далеко не всегда являются самыми новыми и полными. Иногда они бывают самыми что ни на есть простейшими и базовыми. Взгляните, например, на нижеприведенные сигнатуры. Все они будут бесполезными, если проводить анализ длинного списка событий при выявлении попытки вторжения, но становятся критически важными для получения дополнительной информации об уже выявленном скомпрометированном хосте:

• All .exe files downloaded from the Internet over HTTP or FTP

• All IRC channels or servers joined

• All NetBIOS connections

• All remote desktop logins

Для вашего журнала IDS эти сигнатуры по большей части сгенерируют лишний шум, который, как правило, будет заблокирован вами с помощью правил и фильтров, так как сгенерированные ими сообщения сами по себе не содержат полезной информации. Но в сочетании с другими, релевантными сигнатурами приведенные выше сигнатуры становятся источниками весьма ценной дополнительной информации о выявленном инциденте.

Быстрое реагирование

У тех, кто критикует технологию IPS, часто возникает вопрос: если системы IDS столь подвержены ошибкам, то как можно доверить ей блокирование или пропуск трафика, основываясь на тех же методах обнаружения вторжений? По прошествии времени мы видим, что в чистом виде системы IPS понемногу сходят со сцены, уступая место межсетевым экранам (МЭ) со встроенными функциями IPS.

На ближайшую перспективу, пока совершенствуется технология, имеется несколько методов детектирования, которые просто реализовать трудно. Многие протоколы приходится полностью дизассемблировать и уровень за уровнем анализировать разное поведение кода, что замедляет процесс детектирования. Кроме того, нужно, чтобы при всем при этом уровень ложных срабатываний оставался по возможности на нуле или был близок к тому, а задержка была минимальной — ничего себе задача! Мы посоветуем вам все то же: помните, не все сигнатуры одинаково полезны — задействуйте только те из них, а также методы детектирования, точность которых уже проверена вами. Лучшим кандидатом на включение в систему автоматического реагирования может стать какая-нибудь узкоспециализированная сигнатура. Например, вышеупомянутая IRC-сигнатура сработает при появлении трафика по конкретному IP-адресу на порте 6667 с текстом “join #b0tz”. Этому типу сигнатур присуща точность, и едва ли они “выдадут” вам что-нибудь за исключением случаев, когда bot-компьютер (или пользователь) попытается соединиться с неким IRC-каналом управления bot-сетью. Поэтому такие сигнатуры лучше всего годятся для автоматизации ответных действий. В Университете штата Флорида регулярно используются сигнатуры bot-сетей для автоматического отключения зараженных машин пользователей от сети.

Наша скромная система IDS позволяет анализировать точность сигнатур. Многие корпоративные сети содержат пограничные маршрутизаторы, МЭ и другие средства блокирования трафика. “Погоняв” свою систему IDS некоторое время, вы наверняка узнаете, какие сигнатуры наиболее полезны и точны. Так что вам мешает автоматизировать некоторые связи между IDS и вашим МЭ? Вы можете написать сценарии для добавления правил к вашему МЭ с целью фильтрации трафика некоторых хостов или отправки уведомлений пользователям и т. п.

Мы продемонстрируем вам один из возможных вариантов автоматизации ответных действий на примере организованного нами автоматического отключения зараженных вирусом пользовательских машин, связав нашу систему IDS с устройствами аутентификации Bluesocket. Шлюзы Bluesocket WG 1100 служат для аутентификации пользователей проводных и беспроводных сетей перед предоставлением им доступа к этим сетям. Соответственно их можно использовать для де-аутентификации пользователей с целью отказа в сетевом доступе. Аналогично автоматическое реагирование может быть реализовано на МЭ, в сетях 802.1x и т. д., если блокировать номер порта или MAC-адрес. Хотя шлюз предоставляет разнообразные функциональные возможности, для нашей системы IDS больше всего пригодился интерфейс XML RPC, поддерживаемый посредством встроенного Web-сервера и позволяющий отсылать разные команды. Мы разработали простенький сценарий на языке Perl для деаутентификации пользователей на сети при срабатывании определенной сигнатуры (см. infosec.ufl.edu/tools/bs-killer.pl/).

Разумеется, существуют более надежные способы достижения поставленной перед нами цели, но упомянутый сценарий лучше всего демонстрирует суть концепции автоматического реагирования. Полнофункциональная система автоматического реагирования, помимо всего прочего, должна быть более гибкой в отношении поддержки различных типов сигналов и действий, а также устойчивой к перезапускам (в приведенном ниже примере перезапуск сенсора прерывает функционирование системы). Одной из таких высоконадежных систем является SnortSam (www.snortsam.net). С учетом всего вышесказанного, кратчайший путь к автоматизации ответных действий будет включать следующие шаги: откройте окно политики и щелкните на закладке Settings; затем добавьте действие по своему выбору, направив его вывод в файл alert_csv и назвав его bskill.csv, и замените действие в нашей сигнатуре на “bskill”; сохраните сделанные изменения и загрузите сигнатуру и политику на сенсор.

И, — вот теперь держись, SkyNet! — наша система автоматического реагирования теперь в действии! Любая сигнатура с опцией типа сообщения со значением bskill сгенерирует строку в файле bskill.csv, который контролирует простейший сценарий оболочки, запускающий другой сценарий — bs-killer.pl с IP-адресом целевой машины в качестве аргумента. Последствия очевидны и неизбежны...

А вот, как говорится, сухой остаток: существует множество случаев, когда развертывание IDS не приносит пользы. Вполне безобидные события способны вызывать ложные срабатывания, сигнатуры могут расплодиться, а угрозы, возникающие на прикладном уровне, оказаться трудно обнаруживаемыми.

И разумеется, атакующий может взять и подключить свой лаптоп непосредственно к корпоративной сети, “обойдя” тем самым самую что ни на есть “продвинутую” систему IDS.

И все-таки, имея в своем распоряжении хорошо “натасканную” и регулярно обновляемую систему IDS, легче решать задачи по обнаружению заражений, компрометаций и прочих инцидентов, а также оперативно реагировать на них. Поразмыслив творчески над тем, какие еще средства и данные можно использовать в комбинации с системой IDS, вы увидите, что, помимо экономии денег, бесплатное ПО Snort способно во многих случаях помочь вам. Это не волшебная палочка, а весьма полезный инструментарий..





  
7 '2006
СОДЕРЖАНИЕ

бизнес

• Дополнительные услуги, или Что будет товаром в новых телекоммуникациях?

• Маленький, но очень глобальный игрок

• Напряжение сети

инфраструктура

• Тестируем анализаторы БЛВС

• Климат для оборудования

информационные системы

• Как обеспечить соблюдение рабочего графика операторами call-центра

• Call-центры отечественных производителей (часть I)

• Получите преимущество в сетевом администрировании

сети связи

• Обсуждение нового законодательства в сфере телекоммуникаций

кабельные системы

• PoE Plus: больше мощности

• Развертываем городскую беспроводную сеть

защита данных

• IDS-конструктор: постройте свою собственную систему обнаружения вторжений!

новые продукты

• Новые серверы компании «Аквариус»; Учет пользования сетью; WDM-медиаконвертеры и SFP-модули компании «Вимком»;


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх