Профилактика несанкционированного доступа

Для администратора безопасности слова NIPS и HIPS звучат как воплощение мечты: это комплекс превентивных мер для отражения целого ряда сетевых атак. NIPS и HIPS — два типа систем предотвращения вторжений Intrusion Prevention Systems (IPS). Некоторые администраторы безопасности считают, что IPS — просто маркетинговый термин, который используется поставщиками для продвижения на рынок систем обнаружения вторжений Intrusion Detection Systems (IDS) новыми способами. Другие настроены менее скептически и рассматривают IPS как очередной этап эволюции устройств сетевой защиты. Обычно эти мнения основаны на различных определениях IPS. Даже поставщики IPS не могут прийти к соглашению о едином определении или технологической модели. И только время покажет, приживется ли новая технология на рынке.

Наиболее широко признанное определение IPS — встраиваемое устройство, в котором объединены IDS и брандмауэр прикладного уровня. Большинство организаций не используют брандмауэры, которые работают на прикладном уровне сетевого стека из-за потерь в производительности, связанных с затратой значительных вычислительных ресурсов на анализ компонентов каждого пакета в попытке обнаружить признаки угрозы. В современных брандмауэрах решение о доступе в основном принимается на сетевом и транспортном уровнях пакета, но при этом не удается обнаружить многих важных фрагментов, несущих опасную нагрузку.

Как показано на рисунке, в брандмауэрах используются критерии доступа в основном на базе IP-адресов, номеров портов и ограниченного объема информации о протоколах пересылки пакетов. Системы IDS анализируют трафик, но не могут предотвратить его поступление в сеть. Прежде чем пропустить трафик через порт, IPS исследует его на более глубоком уровне, чем большинство брандмауэров, — в этих системах сочетаются достоинства обоих подходов. Однако у современных продуктов IPS есть фундаментальное ограничение: они могут блокировать только тот трафик, который идет через них. В настоящее время все более широкое распространение получают коммутируемые среды, и, чтобы контролировать все индивидуальные каналы связи в коммутируемой инфраструктуре, требуется много устройств IPS, цена которых слишком высока. Это означает, что встроенная IPS не охватит всю сеть до тех пор, пока поставщики сетевой инфраструктуры не смогут экономично заменить обыкновенные коммутаторы комбинированными продуктами коммутатор-IPS. Некоторые поставщики инфраструктурных решений начинают дополнять сетевые устройства и протоколы встроенными интеллектуальными функциями, обеспечивающими более целостный и интегрированный подход к безопасности, но им потребуется несколько лет, чтобы достигнуть цели. Итак, рассмотрим возможности различных современных продуктов IPS.

Подобно сетевым IDS (network IDS, NIDS) и IDS на хосте (host IDS, HIDS), существуют сетевые IPS (NIPS) и IPS на хосте (HIPS). Решения NIPS анализируют трафик, прежде чем пропустить его в сеть или подсеть. Решения HIPS анализируют пакеты перед тем, как они поступают в компьютер.

Помимо разделения на NIPS и HIPS, системы IPS могут различаться по типу продукта. Функциональность IPS может быть:

  • реализована в виде специализированного устройства. Специализированные устройства IPS представляют собой автономные продукты. Обычно это отдельные устройства NIPS, и весь трафик должен пройти через них, прежде чем он поступит в сеть;
  • встроена в другие продукты. Некоторые поставщики начали встраивать функции IPS в существующие продукты безопасности. Например, поставщики брандмауэров Check Point Software Technologies и Juniper Networks дополнили функциями IPS свои брандмауэры FireWall-1 и NetScreen-5GT соответственно.

Большинство организаций уже располагают брандмауэрами и хотят дополнить, а не заменить их, поэтому в данной статье будут рассмотрены специализированные устройства NIPS и решения HIPS.

Специализированные устройства NIPS

Специализированные устройства NIPS не располагают MAC- или IP-адресами, поэтому взломщики не могут атаковать их напрямую. Функциональность этих устройств может основываться на анализе порогов (rate-based) или контента (content-based).

Пороговые устройства. Пороговые устройства IPS определяют ситуации, когда устанавливается слишком много соединений, происходит много ошибок или в сеть поступает большое количество пакетов. Способы пороговой защиты в устройствах NIPS различаются от продукта к продукту. Однако администраторы любых устройств NIPS могут определять компьютеры, порты и приложения, которые нуждаются в защите. IP-адреса источника и приемника, номера портов используются таким образом, что для каждого компьютера и каждой предоставляемой компьютером службы может быть установлен базовый уровень трафика. Обычно администраторы используют универсальные символы подстановки вместо IP-адресов и номеров портов, так как невозможно заранее знать обо всех системах, которые могут инициировать связь.

Некоторые устройства NIPS позволяют администраторам установить базовые уровни с учетом количественных оценок загрузки полосы пропускания канала связи. В других устройствах используются качественные оценки, такие как «высокий», «средний» и «низкий». Серия Captus IPS 4000 компании Captus Networks позволяет определить ситуацию, когда конкретная служба перегружена и начинает замедлять трафик. Если объем трафика не снижается, продукт может запретить доступ данного клиента к службе.

Помимо назначения порога для трафика, разрешенного в конкретной системе, Attack Mitigator IPS 5500 компании Top Layer Networks располагает интересной функцией, именуемой «посредничество при соединениях» (connection proxying), которой, кажется, нет в других продуктах NIPS. С помощью этой функции можно ограничить число незавершенных TCP-соединений. Незавершенное TCP-соединение обычно указывает на враждебную деятельность, например атаку типа SYN flood. После того как достигнут порог для числа незавершенных TCP-соединений, Attack Mitigator начинает играть роль посредника между отправителем и приемником. Пакеты соединений по-прежнему поступают в Attack Mitigator, но трафик будет передаваться на целевой компьютер только при завершенном TCP-соединении (последовательность пакетов SYN, SYN/ACK, ACK).

В зависимости от настройки специализированного устройства NIPS, после превышения порогового значения трафика можно сократить трафик, полностью отбрасывать пакеты или послать администратору предупреждение. Таким образом удается эффективно противодействовать атакам с отказом в обслуживании (Denial of Service, DoS). Трудность заключается в том, чтобы правильно настроить пороги IPS, обеспечив должный уровень защиты без блокировки или перенаправления полезного трафика. Например, как определить приемлемое число пакетов, поступающих на DNS-сервер, Web-серверы и почтовые серверы? Администратору необходимо научиться корректировать пороги в процессе работы и постоянно настраивать IPS-устройство до тех пор, пока не будет найден оптимальный объем трафика, поступающего в различные пункты назначения.

Потребители, работающие с устройствами NIPS, часто жалуются на трудность определения порогов трафика между узлами сети и даже между портами. Некоторые поставщики предоставляют методики и инструменты мониторинга трафика для определения корректных порогов, но это редкая удача. Чаще поставщики предоставляют излишне сложное поэтапное руководство или присылают инженера для назначения порогов, которые впоследствии приходится менять при изменении параметров среды и интенсивности трафика.

Системы NIPS на базе контента. Устройства NIPS на базе контента обнаруживают аномалии в поведении и протоколах и определяют по ним деятельность хакеров. Традиционные системы IDS работают так же, поэтому устройства NIPS на базе контента нельзя назвать смелой новацией. Устройства NIPS на базе контента обнаруживают аномальное поведение, в частности FTP-трафик, поступающий на порт 53, двоичный код внутри пароля пользователя или чрезмерное число байтов, исходящее из браузера. Кроме того, в них используются сигнатуры для поиска аномалий в протоколах для идентификации пакетов, не соответствующих документации RFC для данного протокола. Этот метод приводит к большому числу ложных положительных срабатываний, так как многие поставщики не строго следуют требованиям RFC для данного протокола. Устройства NIPS на базе контента также обнаруживают специфические аномалии протокола. Например, ниже приводится несколько потенциально опасных изменений в заголовках сетевых и транспортных пакетов:

  • неправильная длина заголовка или поля;
  • неверные контрольные суммы;
  • неверные перекрытия сегментов TCP;
  • некорректное использование флагов в полях заголовка.

Некоторые устройства IPS на базе контента более глубоко анализируют пакеты в поисках потенциальных опасностей внутри заголовков прикладного уровня. В частности, можно обнаружить следующие аномалии протокола прикладного уровня:

  • незаконное использование команд протокола;
  • необычно длинные или короткие поля, которые могут указывать на переполнение буфера;
  • использование протокола для нестандартных целей;
  • привязка протокола к необычному номеру порта;
  • неверные значения и комбинации полей.

Многие устройства NIPS на базе контента поставляются с базой сигнатур того же типа, что и в системах IDS. Один из самых существенных недостатков IDS — ложные положительные срабатывания, поэтому некоторые поставщики IPS активизируют лишь около четверти правил для сигнатур в конфигурации по умолчанию. При необходимости можно активизировать и другие сигнатуры. Как и пороговые устройства NIPS, устройства на базе контента могут быть настроены на удаление пакетов, сброс соединений и даже создание краткосрочного «черного списка» IP-адресов, из которых исходит вредный трафик.

В некоторых IPS-продуктах предпринимаются попытки объединить пороговые функции с анализом контента. Однако из-за большого объема ресурсов, необходимых для реализации различных типов анализа пакетов, трудно успешно комбинировать их в одном устройстве.

HIPS

В отличие от решений HIDS, которые сообщают только, что произошло подозрительное событие, в решениях HIPS предпринимаются попытки предупредить потенциально опасную деятельность. Как и в устройствах NIPS, в решениях HIPS могут применяться подходы на основе сигнатур и анализа поведения. Например, взломщик может попытаться вызвать переполнение буфера, чтобы его собственная программа выполнялась в пространстве памяти ядра. Для блокировки таких действий решение HIPS просматривает системный вызов и сравнивает его со списком сигнатур или списком известных моделей поведения. Если вызов идентифицирован как опасный, то доступ не разрешается. Поставщики могут использовать в своих продуктах один или оба подхода. Например, в McAfee Entercept используется как сигнатурный, так и поведенческий метод, а в Cisco Security Agent (в прошлом известном как технология Okena StormWatch) компании Cisco System применяется только анализ поведения.

В разных решениях HIPS используются различные подходы, но большинство из них развертывают на защищаемых системах централизованно управляемых агентов. Агенты исследуют систему и вызовы API, чтобы обнаружить попытки нападения. Агент должен понимать контекст безопасности, в котором выполняется процесс, командные запросы, посылаемые в интерфейс, и ресурсы, к которым пытается обратиться процесс. При поступлении вызова сигнатурные решения HIPS просматривают обычно длинный список незаконных вызовов, ассоциированных с определенными типами атак. Если во входящем вызове обнаружена одна из подозрительных закономерностей, доступ не предоставляется. Поведенческие решения HIPS обычно располагают специальными модулями для отдельных API системных служб. Например, один модуль может рассматривать запросы между процессами и файловой системой, другой — запросы сетевого набора протоколов, третий — отслеживать запросы к реестру и т. д. Существуют также модули для широко используемых служб и приложений, таких как DNS, DHCP и Microsoft SQL Server.

Решения HIPS обеспечивают защиту от многих типов атак. Например, они могут:

  • блокировать доступ к списку контактов почтового клиента, чтобы вирусы и "черви" не могли распространяться таким способом;
  • предотвратить атаки с превышением полномочий, в ходе которых учетная запись пользователя пытается получить административные права доступа;
  • блокировать загрузку компонентов наборов сокрытия следов (root kit), программ для скрытого вызова (backdoor) и "троянских коней";
  • предотвратить изменение системных файлов, параметров реестра и учетных записей пользователей;
  • предотвратить атаки с переполнением буфера.

Это необходимо знать

Познакомившись с различными типами IPS, можно выбрать оптимальный вариант для своей сети. Во-первых, следует определить тип защиты, в котором нуждается организация. Достаточно ли периметрической защиты для обнаружения опасного трафика, прошедшего через брандмауэр? Если так, то следует приобрести специализированное устройство NIPS и разместить его за брандмауэром, скорее всего, в демилитаризованной зоне (DMZ). Если организации требуется выявлять враждебные действия внутри сети, то нужно развернуть несколько устройств NIPS или купить сетевые продукты со встроенной соответствующей функциональностью. Чтобы защитить отдельные системы, необходимо изучить характеристики решений HIPS, которые имеются в продаже в настоящее время. Нужно ли защититься в первую очередь от атак DoS (в этом случае необходима пороговая IPS), других типов атак (требуется IPS на базе контента) или нападений обоих типов?

Перед тем как вступить в переговоры с поставщиком о продукте IPS, следует ответить на вопросы.

  • Если продукт проверяет весь трафик, будет ли он открывать или закрывать доступ в случае отказа? Если в результате отказа продукт закрывает доступ, то возникает опасность блокировки всего сетевого трафика в данной точке, поэтому необходим резервный компонент, чтобы исключить подобную ситуацию. Если в результате отказа продукт открывает доступ, то весь трафик будет поступать в сеть без проверки.
  • Какого рода избыточность реализована в продукте, проверяющем весь трафик?
  • В каком месте сети должен размещаться продукт?
  • Каковы характеристики производительности продукта (в частности, пропускная способность, время задержки)?
  • Насколько сложно устанавливать и регулировать пороги в продукте с анализом порогов?
  • Какие типы атак обнаруживает продукт на базе анализа контента?
  • Какова величина базы сигнатур и сколько сигнатур активизировано в продукте на базе контента? Чем больше сигнатур активизировано, тем выше вероятность ложных положительных срабатываний.
  • Какова глубина настройки продукта для конкретной среды?
  • Трафик какого типа блокируется продуктом (например, аномалии протоколов, атаки с фрагментацией, переполнением буфера, атаки с фальшивыми URL-указателями)?
  • Обеспечивает ли продукт мониторинг входящего и исходящего трафика сети?
  • Совместим ли продукт с имеющимся на предприятии брандмауэром и каковы оптимальные настройки продукта и брандмауэра?
  • Можно ли централизованно настраивать и управлять брандмауэром?
  • Какие функции протоколирования и предупреждения реализованы в продукте?

С этих вопросов можно начать, но администратору понадобится более глубокое исследование, чтобы выбрать продукт IPS, отвечающий потребностям компании. Перед покупкой продукта IPS полезно прочитать обзоры и изучить результаты сравнительного тестирования. Кроме того, стоит познакомиться с опытом компаний, применивших продукт.

Незавершенная, но перспективная технология

Несомненно, IPS еще нельзя назвать зрелой технологией. Однако базовая концепция — блокировать все типы атак, прежде чем взломщики проникнут в сеть, — похоже, удачна. Столь же важно, что развитие отрасли информационной безопасности идет в правильном направлении: разработчики приступили к созданию продуктов IPS, в которых реализован более целостный и интегрированный подход к безопасности.

Шон Харрис - Президент компании Logical Security, консультант по безопасности, автор публикаций, инструктор, имеет сертификаты MCSE и CISSP. shonharris@LogicalSecurity.com

Поделитесь материалом с коллегами и друзьями