Как обезопасить сеть от внутренних атак при минимальных затратах?

Для многих компаний внутренние сетевые атаки являются запретной темой. На этом фоне высказывания об их количестве и величине ущерба выглядят спекулятивными. Однако факт остается фактом: предприятию может быть нанесен серьезный ущерб.

Как правило, внутренние сетевые атаки предполагают манипулирование трафиком на базе IP в локальных или корпоративных сетях. В зависимости от их типа и методов они нацелены на коммутирующие компоненты, к примеру коммутаторы или маршрутизаторы, либо непосредственно на ко-нечные устройства. Для их проведения изменяются адреса сетевых компонентов, проводятся манипуляции с адресными записями, парализуются функции коммутирующих систем или имитируются дополнительные коммутирующие системы для перехвата потоков.

ОТ СПУФИНГА ARP...

Значительная опасность для внутрикорпоративной сети исходит от спуфинговых атак. Их цель заключается в том, чтобы перехватить трафик между двумя хостами. В случае спуфинга протокола разрешения адресов (Address Resolution Protocol, ARP) злоумышленником отправляются поддельные пакеты данных для манипуляций адресными записями участников коммуникационного процесса. Такие атаки с нелегальным посредником очень опасны, поскольку пакеты данных, которые один заслуживающий доверие компьютер отправляет другому, без ведома отправителя и получателя проходят через третий компьютер (см. Рисунок 1), где они могут быть скопированы или изменены (атака Мan-in-the-Middle). Вероятность идентификации жертвы и агрессора в результате подобных дейст-вий после переписывания кэша прак-тически равна нулю.

Рисунок 1. В случае атаки с нелегальным посредником злоумышленник внедряется в процесс обмена между сервером и «жертвой».
...ЧЕРЕЗ ПЕРЕПОЛНЕНИЕ МАС...

Флудинг МАС — еще одна возможность неавторизованного просмотра трафика в сети. Для отправки пакета данных определенному получателю коммутирующие системы сохраняют все МАС-адреса всех подключенных к ним конечных устройств. Если сеть наводняется большим количеством поддельных МАС-адресов, то память коммутатора переполняется (flooding), и тогда коммутатор ведет себя как концентратор. Он передает требующие отправки пакеты всем подключенным пользователям — в том числе и злоумышленнику, который теперь в состоянии получить доступ к сетевому трафику в полном объеме.

...ДО АТАК DOS

Атаки с целью вызвать отказ в обслуживании (Denial of Service, DoS) призваны блокировать работу компьютеров, серверов или служб и доступ к ним со стороны законных пользователей. С одной стороны, атаку DoS можно провести при помощи уже упомянутой атаки с нелегальным посредником путем простого разрыва маршрута передачи трафика; с другой — посредством свободно доступных инструментов DoS отправить большое количество пакетов с запросом на определенный сервер Web, FTP или электронной почты, после чего у последнего обычно не хватает ресурсов (Syn-Flood). Из-за этого система переходит в нестабильное состояние и уже не справляется с возложенными на нее задачами.

ТРАДИЦИОННЫЕ ПОДХОДЫ К РЕШЕНИЮ

Как правило, предприятия защищаются от внешних атак при помощи различных решений безопасности, к примеру брандмауэров, унифицированного управления угрозами (Unified Threat Management, UTM) или систем обнаружения вторжений (Intrusion Detection System, IDS). Каждое из них фильтрует сетевой трафик в поисках вредоносного, бесполезного или нежелательного содержимого и пропускает в сеть лишь пакеты, соответствующие определенным правилам. Для таких устройств, установленных по периметру сети, внутренний трафик находится в «мертвой» зоне, поскольку обнаружить и обезвредить они могут лишь то, что проходит по их каналам.

Функции систем обеспечения безопасности в транзитных узлах между Internet и корпоративной сетью практически ничем не отличаются от тех, что системы обнаружения вторжений выполняют внутри сети. Из всех событий IDS должны выделить те, которые указывают на попытки несанкционированного проникновения, злонамеренное поведение или нарушение правил. Таким образом, решения IDS, как и брандмауэры, обеспечивают защиту от атак, фильтруя трафик на всех уровнях — с учетом внутренней ситуации в сети — в поиске конкретных схем нападения и аномалий. При этом они пользуются хостовыми или сетевыми датчиками, установленными в наиболее важных точках сети. В большинстве случаев выявление атаки происходит путем сравнения с заранее определенными сценариями неправомерных действий. Такой подход требует наличия схем практически всех атак со всевозможными модификациями.

БЕЗОПАСНОСТЬ ПРОТИВ ПРОИЗВОДИТЕЛЬНОСТИ СЕТИ

Администраторы безопасности в случае IDS оказываются перед дилеммой. Если корпоративную сеть надо защитить изнутри целиком, то в наиболее важных точках сети потребуется установить датчики и предоставить им достаточное количество вычислительных ресурсов, чтобы можно было принимать и фильтровать все поступающие пакеты данных. Современные корпоративные сети, обладающие высокой пропускной способностью, слишком быстры для многих выпускаемых сегодня датчиков IDS, так что действительно всеобъемлющую надежную защиту обеспечить нельзя. К тому же при тотальном мониторинге посредством датчиков увеличивается нагрузка на сеть. Помимо прочего, взаимодействие между компонентами IDS порождает дополнительный трафик в корпоративной сети, и тогда при высоких требованиях к безопасности не обойтись без частичной перепланировки сети.

БЕЗОПАСНОСТЬ ПРОТИВ РЕНТАБЕЛЬНОСТИ

Одни только издержки на приобретение всех необходимых компонентов IDS могут вызвать сомнение в рентабельности такого подхода к безопасности.

С учетом стоимости перепланировки сети и последующих затрат на администрирование и обслуживание финансовый болевой порог будет достигнут незамедлительно. Причем даже при максимальных затратах системы IDS, как правило, не предлагают никакой защиты от неизвестных типов атак.

ЖДАТЬ ПОМОЩИ ОТ ПРОИЗВОДИТЕЛЕЙ?

Распознать и сообщить о манипуляциях с массивами адресов способны интеллектуальные механизмы защиты в сетевых компонентах. В принципе они позволяют реализовать соответствующие функции на каждом доступном порту. Однако международные стандарты для таких механизмов пока отсутствуют, чтобы ведущие производители могли разрабатывать совместимые между собой решения.

НУЖЕН НОВЫЙ ПОДХОД

Потребители ждут оригинальных решений, где защита от атак и издержки сбалансированы наилучшим образом. Максимальная защита за минимальные деньги — как могло бы выглядеть подобное решение в области внутренней сетевой безопасности?

Относительно новый подход представляет собой использование простого протокола управления сетью (Simple Network Management Protocol, SNMP) и Syslog. Оба уже широко распространены в решениях системного и сетевого управления, соответствующая технология реализована почти во всех инфраструктурных компонентах (коммутаторах, маршрутизаторах). Итак, она может применяться повсеместно, причем с ее помощью можно проводить мониторинг любого порта в сети. Кроме того, возможен дополнительный мониторинг любых параметров SNMP и сообщений Syslog для брандмауэров, IDS, IPS, серверов и даже персональных компьютеров. Таким образом, для мониторинга атак предлагается привлекать все задействованные компоненты.

При инвентаризации местонахождение устройств определяется на основе адресных параметров и соответствующего порта коммутатора. Манипуляции с адресами, к примеру путем отравления ARP (ARP Poisoning) или IP-спуфинга, немедленно распознаются, и агрессор изолируется от сети до того, как причинит какой-то ущерб. Мониторинг параметров маршрутизаторов и коммутаторов позволяет выявить атаки посредством других протоколов (STR, RSTP, HSRP, OSPF и проч.).

Новые технологии, в частности беспроводные сети и передача голоса по IP, порождают и пока неизвестные возможности для атаки. Такие компоненты рекомендуется идентифицировать по их функции и подвергнуть особому контролю, причем он может проводиться одним-единственным компонентом во всей сети. Это снижает издержки, а сотрудникам не приходится управлять новыми сложными системами.

ОБНАРУЖЕНИЕ АТАКИ ОТРАВЛЕНИЯ ARP

С технической точки зрения новый подход использует стандартные протоколы SNMP и Syslog и предполагает чтение периодически изменяющихся данных временного кэша коммутирующих систем (коммутаторы/маршрутизаторы). На основании этой информации удается выявить взаимодействующие друг с другом сетевые компоненты и определить, какие МАС-адреса соответствуют конкретным IP-адресам, сетевым портам или серийным номерам конечных устройств.

Если теперь пользователь внутри корпоративной сети запустит, к примеру, атаку «отравление ARP», иначе говоря, злоумышленник перепишет при помощи своего инструмента для реализации атаки память промежуточных коммутаторов и попытается установить связь с «жертвой» с новым МАС-адресом, чтобы назначить каждому содержащемуся в кэше ARP IP-адресу собственный МАС-адрес, то при цикличном опросе кэша ARP с помощью SNMP решение распознает типичные для отравления ARP изменения распределения адресных массивов и подаст сигнал тревоги.

ПРОТИВ АТАК «ЧЕЛОВЕК ПОСЕРЕДИНЕ»

Все вышесказанное справедливо и в отношении атак с незаконным посредником. К примеру, с внутреннего рабочего места имитируется работа маршрутизатора, что ведет к появлению на других маршрутизаторах и конечных устройствах дополнительных записей о том, что каждый переданный по сети пакет должен проходить через компьютер злоумышленника (см. Рисунок 2). Решение регистрирует измененные записи, документирует и идентифицирует их — еще до нанесения какого-либо ущерба — как атаку, которая в соответствии с заранее определенными правилами влечет за собой требуемую реакцию вплоть до автоматического отключения порта.

Рисунок 2. В результате перенаправления маршрутизации агрессор получает доступ ко всем пакетам данных в сети.

Поскольку перед вводом решения в действие производится сканирование всех устройств в сети, а информация о них сохраняется в базе данных, то несанкционированно подсоединенные через неиспользуемый порт устройства — компьютер, точка доступа, IP-телефон, видеокамера и т. д. — также обнаруживаются и отключаются.

КАКОЙ ЦИКЛ ОПРОСА НЕОБХОДИМ?

Для защиты портов и конечных устройств решение подключается к сети в любом месте, причем надежность защиты зависит от длительности цикла опроса. Пяти минут должно быть достаточно для эффективной защиты и обнаружения атак. Злоумышленникам, как правило, нужно гораздо больше времени, чтобы добиться желаемого результата.

РАЗДЕЛЕНИЕ ПО СЕГМЕНТАМ ИЛИ МАНДАТАМ

Для сканирования очень крупных корпоративных сетей, когда паузы между процессом поиска изменений в адресах коротки, а снижение производительности не допустимо, решение должно использоваться в четко определенных сетевых сегментах и объединять все важные данные в общую сводку событий. Эта функциональность позволила бы провайдерам Internet или телекоммуникационным операторам предлагать внутреннюю безопасность в качестве дополнительной услуги и вычислять их стоимость по мандатам.

ЦЕНА ПОДХОДА

Ввиду отсутствия потребности в дополнительном программном или аппаратном обеспечении в виде датчиков, издержки на внедрение не очень высоки, а стоимостью обслуживания можно пренебречь, поэтому запланированные затраты на реализацию нового решения будут заметно меньше традиционной стратегии обеспечения внутренней безопасности сети.

ЗАКЛЮЧЕНИЕ

Чтобы эффективно и за разумные деньги защитить гетерогенные корпоративные сети от внутренних сетевых атак, вместо дополнительного приобретения программного и аппаратного обеспечения следует сделать ставку на интеллект имеющейся инфраструктуры. С таким подходом можно построить всеобъемлющую систему защиты без перепроектирования уже работающих структур при выгодном соотношении цена/польза.

Фридгельм Завацки-Штромберг — технический директор компании Comco Business Security Software.


? AWi Verlag


Средство от прослушивания

Подход на основе мониторинга различных сетевых устройств с использованием протокола SNMP имеет ряд серьезных ограничений. Во-первых, в локальных сетях до сих пор встречаются концентраторы, при наличии которых защититься от перехвата пакетов другими участниками сети непросто; во-вторых, далеко не все существующие сетевые устройства поддерживают протокол SNMP; в-третьих, отнюдь не все типы атак обнаруживаются с помощью SNMP. Кроме того, в случае применения беспроводных методов связи, например Wi-Fi, отследить процесс перехвата трафика не представляется возможным. Даже сам факт использования SNMP для управления сетью чреват угрозой безопасности. В частности, в первой и второй версиях SNMP отсутствует защита пакетов протокола от модификации злоумышленником.

Мониторинг позволяет обнаружить уже проведенную атаку или процесс вторжения с целью перехвата данных. Между тем имеющиеся подходы способны предотвратить подобные неприятности, в результате чего атаки с перехватом данных, подмены их данными злоумышленника и многократного повтора данных, а также атаки Man-in-the-Middle («человек в середине») могут быть полностью исключены. Этот метод заключается в шифровании трафика между участниками сетевого взаимодействия. Данные передаются по защищенным каналам, при организации которых предусматривается обязательная авторизация участников соединения. Созданные сеансовые ключи шифрования применяются для последующего шифрования и подписи всех передаваемых данных. Для реализации такого подхода наиболее часто используется IPsec — программное средство, включенное в состав стандартных компонентов Windows.

Подобные решения исключают возможность перехвата или модификации данных злоумышленником, даже если он непосредственно участвует в процессе сетевого взаимодействия, либо ему удается каким-то образом изменить настройки коммутаторов с целью осуществления незаконного доступа к передаваемой информации. Именно метод шифрования трафика способствует полному предотвращению внутренних атак.

Дмитрий Зноско — Генеральный директор компании «Фаматек».