Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 553
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
быстрого обнаружения и реагирования на атаки RealSecure [24], которая позволяет обнаружить атаку на сетевой узел путем обнаружения статистических шаблонов сетевого трафика и сравнения их с масками, хранящимися в базе данных. RealSecure - это система мониторинга сетевого трафика в режиме реального времени. Основная задача, которую выполняет этот продукт, - своевременное обнаружение атак. Идея их идентификации проста: любая атака соответствует определенному сетевому трафику, поэтому ее анализ позволяет определить факт проведения атаки и зафиксировать
«следы» злоумышленника.
Поскольку анализ информационных потоков выполняется в реальном времени, время отклика
АИБ на атаку или неисправность может быть минимизировано. Система
RealSecure использует распределенную архитектуру и имеет два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение атак и реагирование на них и состоит из двух модулей - RealSecure Network Engine (RNE) и RealSecure System Agent (RSA).
Сетевой агент устанавливается в «открытом» сетевом сегменте и обнаруживает атаки,
«прослушивая» трафик.
Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированные действия, выполняемые на этом узле. Компонент
RealSecure Manager отвечает за конфигурирование и сбор информации с детектора RealSecure. Управлять компонентами системы RealSecure можно как с помощью централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системам сетевого управления
HP OpenView (RealSecure OpenView Manager).
Системы обнаружения вторжений (IDS) также отслеживают, регистрируют, анализируют и реагируют в режиме реального времени на попытки использования протоколов и служб, нарушающих политики безопасности. Эти системы делятся по методу анализа входной информации: на основе знания (сигнатуры) или на поведении субъекта (статистики).
Классификация
(таксономия) систем указанного класса может осуществляться по источникам информации, используемым для этих систем.
Входная информация может быть записями аудита, системными загрузками или сетевыми пакетами. Термин «аудит» относится к информации, предоставляемой системой относительно ее внутренних действий и поведения. Существуют IDS сетевого уровня (прослушивание сети и анализ сетевых пакетов для обнаружения атак), системного уровня (мониторинг операционных систем для обнаружения признаков вторжения) и прикладного уровня (мониторинг отдельных приложений). IDS может анализировать события двумя способами: сигнатурным или статистическим.
IDS сетевого уровня рассматриваются как эффективное средство сбора информации о событиях, происходящих в сети. Преимущества IDS сетевого уровня:
1. Он устанавливается только в наиболее важных точках сети для мониторинга всего входящего сетевого трафика и обычно состоит из нескольких однонаправленных пассивных хостов, которые перехватывают
«следы» злоумышленника.
Поскольку анализ информационных потоков выполняется в реальном времени, время отклика
АИБ на атаку или неисправность может быть минимизировано. Система
RealSecure использует распределенную архитектуру и имеет два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение атак и реагирование на них и состоит из двух модулей - RealSecure Network Engine (RNE) и RealSecure System Agent (RSA).
Сетевой агент устанавливается в «открытом» сетевом сегменте и обнаруживает атаки,
«прослушивая» трафик.
Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированные действия, выполняемые на этом узле. Компонент
RealSecure Manager отвечает за конфигурирование и сбор информации с детектора RealSecure. Управлять компонентами системы RealSecure можно как с помощью централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системам сетевого управления
HP OpenView (RealSecure OpenView Manager).
Системы обнаружения вторжений (IDS) также отслеживают, регистрируют, анализируют и реагируют в режиме реального времени на попытки использования протоколов и служб, нарушающих политики безопасности. Эти системы делятся по методу анализа входной информации: на основе знания (сигнатуры) или на поведении субъекта (статистики).
Классификация
(таксономия) систем указанного класса может осуществляться по источникам информации, используемым для этих систем.
Входная информация может быть записями аудита, системными загрузками или сетевыми пакетами. Термин «аудит» относится к информации, предоставляемой системой относительно ее внутренних действий и поведения. Существуют IDS сетевого уровня (прослушивание сети и анализ сетевых пакетов для обнаружения атак), системного уровня (мониторинг операционных систем для обнаружения признаков вторжения) и прикладного уровня (мониторинг отдельных приложений). IDS может анализировать события двумя способами: сигнатурным или статистическим.
IDS сетевого уровня рассматриваются как эффективное средство сбора информации о событиях, происходящих в сети. Преимущества IDS сетевого уровня:
1. Он устанавливается только в наиболее важных точках сети для мониторинга всего входящего сетевого трафика и обычно состоит из нескольких однонаправленных пассивных хостов, которые перехватывают
сетевой трафик в разных частях сети и сообщают об атаках на одну консоль управления. Работа хостов IDS практически не влияет на саму сеть.
2. Обнаружение сетевых атак типа «отказ в обслуживании» и
«фрагментация пакетов». Анализ содержимого пакета данных позволяет выполнять поиск команд или конкретного синтаксиса, используемого в атаках.
3. Возможность анализировать «on-line» трафик, что не позволяет хакеру удалить следы своего присутствия.
4. Обнаружение и реагирование в реальном времени для сбора информации об атаке и злоумышленнике до завершения атаки.
5. Регистрация отраженных нападений или попыток подозрительных намерений нарушителя, что важно при оценке и совершенствовании политики безопасности.
6. Независимоcть от операционных систем, установленных в корпоративной сети.
К недостаткам сетевых IDS можно отнести невозможность анализа зашифрованной информации противника (шифрование делает невозможным анализ интенсивности потока пакетов). Кроме того, большинство сетевых
IDS не сообщают, была ли атака успешной (они сообщают только, что она была начата). После обнаружения атаки администраторы должны вручную исследовать каждый атакованный узел, чтобы определить, имело ли место вторжение.
Сегодняшняя IDS на уровне приложений отслеживает события, происходящие в приложении, посредством очного аудита (securitylog или syslogd). Они обнаруживают атаки, анализируя файлы журнала приложения и сравнивая новые записи с известными сигнатурами атак. Имея прямой интерфейс с приложением и знание приложения, IDS прикладного уровня имеют гораздо больше возможностей найти подозрительную активность в приложении. При обнаружении атаки система посылает сигнал тревоги администратору или активизирует другие определенные механизмы ответа.
Преимущества IDS уровня приложения:
1. Возможность подтверждения успеха или неудачи атаки на основе отложенного анализа журналов, содержащих данные о событиях, которые действительно произошли, дополняя раннее предупреждение о начале атаки с помощью IDS сетевого уровня.
2. Возможность анализа расшифрованного входящего трафика, поскольку он имеет интерфейс с приложением и может дешифровать трафик.
Однако IDS прикладного уровня более уязвимы, чем IDS уровня хост- системы, и могут быть атакованы и отключены, поскольку они выполняются как приложения на хосте, что является их недостатком.
IDS системного уровня анализируют активность хоста, за которой они следят, и точно определяют, какой процесс или пользователь проявляет подозрительную активность в операционной системе. Система IDS системного уровня может централизованно управлять несколькими хостами и сообщать о атаках на одну консоль безопасности.
2. Обнаружение сетевых атак типа «отказ в обслуживании» и
«фрагментация пакетов». Анализ содержимого пакета данных позволяет выполнять поиск команд или конкретного синтаксиса, используемого в атаках.
3. Возможность анализировать «on-line» трафик, что не позволяет хакеру удалить следы своего присутствия.
4. Обнаружение и реагирование в реальном времени для сбора информации об атаке и злоумышленнике до завершения атаки.
5. Регистрация отраженных нападений или попыток подозрительных намерений нарушителя, что важно при оценке и совершенствовании политики безопасности.
6. Независимоcть от операционных систем, установленных в корпоративной сети.
К недостаткам сетевых IDS можно отнести невозможность анализа зашифрованной информации противника (шифрование делает невозможным анализ интенсивности потока пакетов). Кроме того, большинство сетевых
IDS не сообщают, была ли атака успешной (они сообщают только, что она была начата). После обнаружения атаки администраторы должны вручную исследовать каждый атакованный узел, чтобы определить, имело ли место вторжение.
Сегодняшняя IDS на уровне приложений отслеживает события, происходящие в приложении, посредством очного аудита (securitylog или syslogd). Они обнаруживают атаки, анализируя файлы журнала приложения и сравнивая новые записи с известными сигнатурами атак. Имея прямой интерфейс с приложением и знание приложения, IDS прикладного уровня имеют гораздо больше возможностей найти подозрительную активность в приложении. При обнаружении атаки система посылает сигнал тревоги администратору или активизирует другие определенные механизмы ответа.
Преимущества IDS уровня приложения:
1. Возможность подтверждения успеха или неудачи атаки на основе отложенного анализа журналов, содержащих данные о событиях, которые действительно произошли, дополняя раннее предупреждение о начале атаки с помощью IDS сетевого уровня.
2. Возможность анализа расшифрованного входящего трафика, поскольку он имеет интерфейс с приложением и может дешифровать трафик.
Однако IDS прикладного уровня более уязвимы, чем IDS уровня хост- системы, и могут быть атакованы и отключены, поскольку они выполняются как приложения на хосте, что является их недостатком.
IDS системного уровня анализируют активность хоста, за которой они следят, и точно определяют, какой процесс или пользователь проявляет подозрительную активность в операционной системе. Система IDS системного уровня может централизованно управлять несколькими хостами и сообщать о атаках на одну консоль безопасности.
Главные преимущества.
1. Строгий контроль работы пользователя на узле, который обычно осуществляется только администратором сети (доступ к файлам, изменение прав доступа к файлам, попытки установки новых программ и/или попытки доступа к привилегированным службам), а также контроль за изменениями в ключевых системных или исполняемых файлах и т.д., что часто позволяет отслеживать несанкционированную деятельность вплоть до отдельного пользователя.
2. Распределение событий аудита по классам для упрощения конфигурации системы аудита;
3. Параметризация информации, собранной в соответствии с пользователем, классом, событием аудита, успешным/неуспешным вызовом системы;
4. Обнаружение атак, пропускающих IDS сетевого уровня (например, атак с самого атакуемого сервера).
5. Обнаруживайте и реагируйте на атаку практически в реальном времени, так как они получают прерывание от ОС, как только появляется новая запись журнала.
6. Не требуется дополнительного оборудования (установка отдельного узла IDS в сети), поскольку программное обеспечение IDS системного уровня устанавливается на существующую сетевую инфраструктуру, включая файловые серверы, веб-серверы и другие используемые ресурсы.
7. Позволяет масштабировать систему путем установки дополнительных агентов при расширении списка контролируемых сетевых узлов.
Недостатки.
1. Программные агенты обычно должны устанавливаться и поддерживаться на каждом контролируемом хосте.
2. Возможность атаки «отказ в обслуживании» путем переполнения файловой системы аудита.
3. Не удается обнаружить распределенную атаку на все узлы сети, так как она отслеживает только входящий сетевой трафик на своем узле.
4. Трудности обнаружения и отражения атак типа «отказ в обслуживании».
5. Использование вычислительных ресурсов хостов, которым они управляют. Высокое потребление системных ресурсов при необходимости детального мониторинга (производительность процессора, потребление локального диска и архивной памяти).
4.2.4. Организационно-технические решения для защиты сетевого
оборудования
Для защиты сетевого оборудования необходимо выполнить следующие настройки и операции.
1. Конфигурировать активное оборудование ЛВС со встроенной защитой и обеспечить:
– авторизацию адресов системы оконечных устройств портами концентратора для доступа к этому порту только из конкретной системы оконечных устройств;
– автоматическое отключение порта при несанкционированном обнаружении адреса;
– режим работы портов концентратора, обеспечивающий прием пакетов, адресованных только конкретному подключенному АРМ;
2. В ЛВС на физическом и/или логическом уровнях обеспечить разделение контуров для разных функциональных целей (например, конфиденциальной информации, общего пользования и др.).
3. Выделить серверы ИС в отдельный сегмент ЛВС.
4. «демилитаризованные зоны» подключить непосредственно к компьютеру, который обеспечивает межсетевое экранирование и шифрование IP-пакетов при передаче трафика между «открытыми» контурами ИС;
5. Во внутренней «демилитаризованной зоне» разместить:
– сервер DNS, «заявляющий» внешним сетям некоторое, строго регламентируемое адресное пространство, используемое приложениями для взаимодействия внешних и внутренних абонентов сети;
– прочие сервера, доступ к которым должен быть обеспечен по незащищенным каналам удаленным пользователям.
6. Во внешней «демилитаризованной зоне» разместить серверы:
– доступа внешних абонентов;
– авторизации внешних абонентов.
7. Исключить возможность использования так называемых «опасных» сервисов (приложений) на серверах внешней «демилитаризованной зоны», что может дать потенциальному нарушителю возможность перенастроить систему, скомпрометировать ее и, опираясь на скомпрометированные ресурсы, атаковать корпоративную сеть.
8. Запретить внешний доступ к ресурсам, расположенным в «открытом» контуре ИС за пределами «демилитаризованных зон».
Размещение информационных ресурсов и услуг, доступных извне (из других сетей), кроме «демилитаризованных зон» в «открытом» контуре ИС должно быть запрещено.
9. Запретить доступ из «открытого» контура ИС в обход внешнего брандмауэра уровня приложений. Контролируемый доступ от одного
«открытого» контура к другому должен осуществляться с фильтрацией трафика через VPN.
10. Организовать доступ к сегменту серверов «открытого» контура ИС только через брандмауэр прикладного уровня, чтобы защитить их от атак типа «отказ в обслуживании».
11. Настраивать фильтры на брандмауэрах с учетом принципа «все, что не разрешено, запрещено». Правила фильтрации должны блокировать внешние пакеты с исходными IP-адресами компьютеров «открытого» контура, а также пакеты с установленным битом маршрутизации.
12. Минимизировать количество служб, выполняемых на хостах, оставляя только необходимые службы.
13. Брандмауэры (межсетевые экраны) прикладного уровня должны скрывать от внешних сетевых пользователей структуру корпоративной сети
(IP-адреса, доменные имена и т.д.). Эти брандмауэры должны определять, какие пользователи, от каких хостов, в направлении каких хостов, в какое время, какие сервисы можно использовать. Брандмауэры должны определять способ аутентификации каждого пользователя при доступе к службе и должны фильтровать Telnet, Rlogin, FTP, SMTP, POP3, HTTP, LP, Rsh, Finger,
NNTP, Sql * Net и другие, а также поддерживать внешнюю авторизацию и учет на основе протоколов RADIUS/TACACS и интегрироваться в систему обнаружения вторжений.
14. Минимизировать количество портов маршрутизатора и межсетевого экрана, открытых для TCP-соединений, предотвращать прохождение через маршрутизаторы брандмауэры пакетов с маршрутизацией по источнику, а также пакетов с направленной широковещательной передачей.
15. Организовать оперативное распространение АИБ статистических данных об использовании услуг, попытках НДД и т.д.
16. Для администрирования оборудования использовать локальную консоль или протокол SMNP v.3 для шифрования управляющего трафика.
Управление другим активным сетевым оборудованием ЛВС должно осуществляться с использованием аналогичных мер информационной безопасности, описанных выше.
17. Параметры аудита внешнего маршрутизатора должны включать аудит нарушений, правила фильтрации и другие ограничения, а также все команды пользователя на уровнях привилегий. Вся информация аудита должна автоматически отправляться на сервер аудита безопасности для дальнейшего анализа. Данные системного журнала также должны быть отправлены на сервер аудита безопасности.
4.2.5. Организационно-технические решения для организации защиты
межсетевого взаимодействия
Одной из базовых задач построения защищенных корпоративных сетей является проблема защиты информации в процессе ее передачи по
открытым каналам связи. Использование технологии защищенных виртуальных сетей VPN позволяет обеспечить криптозащиту информации при организации защищенных каналов связи или защищенных туннелей между «открытыми» контурами ЛВС взаимодействующих систем [18, 25 -
29]. VPN-агенты могут осуществлять функции шифрования/расшифрования, аутентификации, а также контроль целостности сообщения посредством электронной цифровой подписи (ЭЦП) или имитовставки (ИВ).
Как правило, VPN-агенты поддерживают несколько стандартных протоколов организации защищённых туннелей, которые могут применяться на разных уровнях логической структуры эталонной модели архитектуры
BOC. Хотя эти протоколы могут находиться на всех уровнях эталонной
модели, средства VPN являются только теми, которые полностью прозрачны для сетевых служб и приложений пользователя. Это протоколы защищенных туннелей канального, сетевого и транспортного уровней. Эти три уровня, которые в терминах модели BOC образуют логическую структуру транспортной системы зоны взаимодействия открытых систем, также называются уровнями VPN. Чем ниже уровень эталонной модели, на которой реализована защита, тем она прозрачнее для приложений и невидима для пользователей. Однако снижение этого уровня снижает количество реализуемых услуг по обеспечению безопасности и усложняет управление.
Чем выше уровень безопасности по модели OSI, тем шире спектр услуг безопасности, тем надежнее контроль доступа и проще настроить систему безопасности. Однако в этом случае увеличивается зависимость от используемых протоколов обмена и приложений.
Существует два способа создания безопасных туннелей данных на уровне LAN и оконечных устройств [18].
Туннели уровня LAN обычно прозрачны для рабочих станций. В этом случае рабочие станции отправляют все сообщения в виде обычного текста.
Кодер отбирает и кодирует пакеты, а декодер на противоположном конце канала декодирует сообщения и передает их сетевому серверу.
Шифрование на уровне целевой системы выполняется на рабочей станции или сервере. В незашифрованном виде пакеты вообще не передаются по сети. Существует два типа такой связи: «клиент-клиент»
(кодер и декодер установлены на конечных системах, а незашифрованных пакетов вообще нет) и «клиент-сеть» (клиент взаимодействует с системой шифрования сетевого уровня).
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:
– аутентификация взаимодействующих сторон;
– криптографическое закрытие передаваемых данных;
– подтверждение подлинности и целостности доставленной информации;
– защита от повтора, задержки и удаления сообщений;
– защита от отрицания фактов отправления и приема сообщений.
Примечание 4.1. Выбор методов и средств защиты технологии виртуализации следует проводить с учетом требований [30].
4.2.5.1. Протоколы VPN канального уровня OSI
Протокол туннелирования точка-точка (PPTP) был разработан Microsoft при поддержке Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics для обеспечения стандартного протокола туннелирования точка-точка. PPTP не указывает конкретные методы аутентификации и шифрования.
Протокол L2F туннелирования (Layer-2 Forwarding), разработанный
Cisco Systems при поддержке компаний Shiva и Northern Telecom, также соответствует канальному уровню модели OSI. В этом протоколе также не
Чем выше уровень безопасности по модели OSI, тем шире спектр услуг безопасности, тем надежнее контроль доступа и проще настроить систему безопасности. Однако в этом случае увеличивается зависимость от используемых протоколов обмена и приложений.
Существует два способа создания безопасных туннелей данных на уровне LAN и оконечных устройств [18].
Туннели уровня LAN обычно прозрачны для рабочих станций. В этом случае рабочие станции отправляют все сообщения в виде обычного текста.
Кодер отбирает и кодирует пакеты, а декодер на противоположном конце канала декодирует сообщения и передает их сетевому серверу.
Шифрование на уровне целевой системы выполняется на рабочей станции или сервере. В незашифрованном виде пакеты вообще не передаются по сети. Существует два типа такой связи: «клиент-клиент»
(кодер и декодер установлены на конечных системах, а незашифрованных пакетов вообще нет) и «клиент-сеть» (клиент взаимодействует с системой шифрования сетевого уровня).
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:
– аутентификация взаимодействующих сторон;
– криптографическое закрытие передаваемых данных;
– подтверждение подлинности и целостности доставленной информации;
– защита от повтора, задержки и удаления сообщений;
– защита от отрицания фактов отправления и приема сообщений.
Примечание 4.1. Выбор методов и средств защиты технологии виртуализации следует проводить с учетом требований [30].
4.2.5.1. Протоколы VPN канального уровня OSI
Протокол туннелирования точка-точка (PPTP) был разработан Microsoft при поддержке Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics для обеспечения стандартного протокола туннелирования точка-точка. PPTP не указывает конкретные методы аутентификации и шифрования.
Протокол L2F туннелирования (Layer-2 Forwarding), разработанный
Cisco Systems при поддержке компаний Shiva и Northern Telecom, также соответствует канальному уровню модели OSI. В этом протоколе также не