Структура и функционирование СОВ Snort

Общие сведения о системах обнаружения вторжений и их назначение. Ключевые принципы функционирования и архитектура СОВ Snort. Моделирование и конфигурирование корпоративной сети и вторжений для проверки работоспособности системы обнаружения вторжений.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 20.10.2011
Размер файла 4,1 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

  • Введение
  • Глава 1 Общие сведения о системах обнаружения вторжений и их назначение
    • 1.1 Информационные угрозы
    • 1.2 Классификация сетевых атак
    • 1.3 Понятие о системах обнаружения вторжений
    • 1.4 История разработок систем обнаружения вторжений
    • 1.5 Классификация систем обнаружения вторжений
      • 1.5.1 Способы мониторинга системы
      • 1.5.2 Способы анализа системы
      • 1.5.3 Ответные действия системы
    • 1.6 Существующие на рынке системы обнаружения вторжений
  • Глава 2 Структура и функционирование СОВ Snort
    • 2.1 Общий принцип функционирования СОВ
    • 2.2 Архитектура СОВ Snort
  • Глава 3 Практическое применение системы обнаружения вторжений Snort
    • 3.1 Подготовка среды для проведения экспериментов
    • 3.2 Режимы запуска Snort
    • 3.3 Конфигурирование системы обнаружения вторжений Snort
    • 3.4 Сигнатурные правила
    • 3.5 Аномальные правила
  • Заключение
  • Список используемой литературы
  • Приложение 1
  • Приложение 2

Введение

В настоящее время получили распространение как глобаные, так и локальные сети. Большинство организаций в той или иной степени ими пользуется. Представим, что компания состоит из большого числа подразделений, которые разбросаны на значительные расстояния друг от друга. Разброс отдельных частей компании может быть в пределах города вплоть до масштабов всего мира. Для того чтобы организация работала как единое целое, все ее удаленные офисы должны взаимодействовать между собой. На помощь как раз и приходят компьютерные сети. В пределах одного офиса компьютеры связываются посредством локальной сети. Все локальные сети организации связываются через глобальную сеть интернет. С одной стороны это удобно и практично, но с другой порождает проблемы, связанные с защитой информации. Важная информация для компании может быть потеряна, украдена злоумышленниками, если её руководство спустя рукава относится к безопасности своей корпоративной сети. Данные в трёх случаях могут быть модифицированы, уничтожены и т.п.:

1. внутри локальной сети сотрудниками намеренно или непреднамеренно;

2. стороннее лицо проникнет в локальную сеть извне;

3. стороннее лицо перехватит информацию в глобальной сети по пути ее от одного подразделения к другому.

Все вышеперечисленные случаи могут нанести значительный ущерб компании. Поэтому продуманная и хорошо организованная система безопасности позволяет избежать или свести к минимуму потерю важных данных организации, тем самым исключив дополнительные затраты.

Данная дипломная работа является актуальной, так как:

1. Происходит постоянное увеличение информационных, поэтому необходимо использовать средства защиты для выявления этих угроз;

2. Рассматриваемая система обнаружения вторжения является популярной и её применение должно быть исследовано;

3. На рынке информационных технологий существует потребность в обнаружении ранее неизвестных атак, так как они появляются с большой скоростью.

Целью данного дипломного проекта является исследование возможностей современных систем обнаружения вторжений по выявлению атак, как ранее известных, так и ранее неизвестных (аномалий).

Для достижения поставленной цели, необходимо выполнить следующие задачи:

1. Рассмотреть современные системы обнаружения вторжений и проанализировать их параметры

2. Смоделировать корпоративную сеть

3. Настроить и подготовить к работе систему обнаружения вторжений

4. Выполнить натурные эксперименты, т.е. моделирование вторжений для проверки работоспособности системы обнаружения вторжений

Глава 1 Общие сведения о системах обнаружения вторжений и их назначение

1.1 Информационные угрозы

Под угрозами конфиденциальной информации принято принимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются (см. рис. 1.1.1.):

1. Ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

2. Модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

3. Разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

Рис. 1.1.1. Информационная безопасность

В конечном итоге противоправные действия с информацией приводят к нарушению ее (рис. 1.1.2.):

1. Конфиденциальности;

2. Полноты;

3. Достоверности;

4. Доступности, что, в свою очередь, приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.

Рис. 1.1.2. Угрозы информации

Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть квалифицированы по следующим кластерам (рис. 1.1.3.):

По величине принесенного ущерба;

По вероятности возникновения;

По причинам появления;

По характеру нанесенного ущерба;

По характеру воздействия;

По отношению к объекту.

Рис. 1.1.3. Классификация угроз

Источниками внешних угроз являются:

1. Недобросовестные конкуренты;

2. Преступные группировки и формирования;

3. Отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

1. Администрация предприятия;

2. Персонал;

3. Технические средства обеспечения производственной и трудовой деятельности [1].

Информационные угрозы реализуются в виде сетевых атак, поэтому перейдём к их рассмотрению.

1.2 Классификация сетевых атак

1. Перехват пакетов.

Сниффер пакетов (от англ. sniff - нюхать) представляет собой прикладную программу, которая использует сетевой интерфейс, работающий в «неразборчивом» режиме (от англ. promiscuous mode). В этом режиме сетевой адаптер позволяет принимать все пакеты, полученные по физическим каналам, независимо от того кому они адресованы и отправляет приложению для обработки. В настоящее время снифферы используются в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако из-за того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват логинов и паролей создает большую опасность. Если приложение работает в режиме «клиент-сервер», а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой долей вероятности можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае злоумышленник получит доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.

2. IP-спуфинг.

IP-спуфинг (от англ. spoof - мистификация) происходит в том случае, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Этого можно достичь двумя способами:

а) использование IP-адреса, находящегося в пределах диапазона санкционированных IP-адресов;

б) использование авторизованного внешнего IP-адреса, которому разрешается доступ к определенным сетевым ресурсам.

Атаки IP-спуфинга часто являются начальным этапом для прочих атак. Классический пример -- атака DoS, которая начинается с чужого адреса, скрывающего истинную личность злоумышленника.

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес.

Если же злоумышленник сумел поменять таблицы маршрутизации и направить сетевой трафик на ложный IP-адрес, то он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.

3. Отказ в обслуживании.

Отказ в обслуживании (от англ. Denial of Service, сокращенно DoS), без сомнения, является наиболее известной формой сетевых атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Для организации DoS требуется минимум знаний и умений. Тем не менее именно простота реализации и огромные масштабы причиняемого вреда привлекают злоумышленников к DoS-атакам.

Данная атака существенно отличается от других видов атак. Злоумышленники не имеют своей целью получение доступа к сети, а также получение из этой сети какой-либо информации, но атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания рядовых пользователей. В ходе атак DoS могут использоваться обычные интернет-протоколы, такие как TCP и ICMP.

Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (от англ. distributed DoS, сокращенно DDoS).

4. Парольные атаки.

Злоумышленники могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Не смотря на то, что логин и пароль зачастую можно получить при помощи IP-спуфинга и сниффинга пакетов, злоумышленники нередко пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора.

Для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику предоставляется доступ к ресурсам, то он получает его на правах пользователя, пароль которого был подобран. Если данный пользователь имеет значительные привилегии доступа, злоумышленник может создать себе «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль.

5. Атаки типа «человек посередине».

Для атаки типа человек посередине (от англ. Man-in-the-Middle) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

6. Атаки на уровне приложений.

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них -- использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, злоумышленники могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.

Главная проблема при атаках на уровне приложений заключается в том, что злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран (firewall). К примеру, злоумышленник, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.

7. Сетевая разведка.

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети злоумышленник, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, злоумышленник использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, он анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.

8. Злоупотребление доверием.

Собственно говоря, этот тип действий не является в полном смысле слова атакой или штурмом. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом любого из них приводит к взлому всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является установленная с внешней стороны межсетевого экрана система, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы злоумышленник может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

9. Переадресация портов.

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если злоумышленник захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat.

10. Несанкционированный доступ.

Несанкционированный доступ не может быть выделен в отдельный тип атаки, поскольку большинство сетевых атак проводятся именно ради получения несанкционированного доступа. Чтобы подобрать логин Тelnet, злоумышленник должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляется сообщение «authorization required to use this resource» («Для пользования этим ресурсом нужна авторизация»). Если после этого злоумышленник продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.

11. Вирусы и приложения типа «троянский конь»

Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com.

Троянский конь -- это не программная вставка, а настоящая программа, которая на первый взгляд кажется полезным приложением, а на деле исполняет вредную роль. Примером типичного троянского коня является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение [2].

Из класса сетевых атак можно выделить атаки, которые вызывают подозрительное, аномальное поведение сетевого трафика в корпоративной сети. Это так называемые сетевые аномалии. Сетевые аномалии можно также проклассифицировать. Их можно разделить на две основные группы: программно-аппаратные отклонения и проблемы безопасности (Рис. 1.2.1.)

Рис. 1.2.1.

1. Программно-аппаратные отклонения.

Ошибки программного обеспечения компонентов информационной системы могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления сервисов.

Ошибки конфигурирования переводят функциональные возможности компонентов информационной системы в несоответствие штатным проектным параметрам, что нарушает общую работоспособность.

Нарушения производительности влекут за собой выход параметров информационной сисетмы за пределы расчетных значений, что сопровождается нарушением обеспечения предоставления сервисов.

Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов информационной системы, так и деградирующее влияние отдельной подсистемы на весь комплекс.

2. Нарушения безопасности.

Сетевое сканирование (network scan) производится с целью анализа топологии сети и обнаружения доступных для атаки сервисов. В процессе сканирования производится попытка соединения с сетевыми сервисами методом обращения по определенному порту. В случае открытого сканирования сканер выполняет трехстороннюю процедуру квитирования, а в случае закрытого (stealth) - не завершает соединение. Так как при сканировании отдельного хоста происходит перебор сервисов (портов), то данная аномалия характеризуется попытками обращения с одного IP адреса сканера на определенный IP адрес по множеству портов. Однако, чаще всего сканированию подвергаются целые подсети, что выражается в наличии в атакованной сети множества пакетов с одного IP адреса сканера по множеству IP адресов исследуемой подсети, иногда даже методом последовательного перебора. Наиболее известными сетевыми сканерами являются: nmap, ISS, satan, strobe, xscan и другие.

Анализаторы трафика или снифферы предназначены для перехвата и анализа сетевого трафика. В простейшем случае для этого производится перевод сетевого адаптера аппаратного комплекса в прослушивающий режим и потоки данных в сегменте, к которому он подключен, становятся доступны для дальнейшего изучения. Так как многие прикладные программы используют протоколы, передающие информацию в открытом, незашифрованном виде, работа снифферов резко снижает уровень безопасности. Отметим, что выраженных аномалий в работе сети снифферы не вызывают. Наиболее известными снифферами являются: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

В компьютерной безопасности термин уязвимость (vulnerability) используется для обозначения слабозащищенного от несанкционированного воздействия компонента информационной системы. Уязвимость может являться результатом ошибок проектирования, программирования или конфигурирования. Уязвимость может существовать только теоретически или иметь эксплуатирующую программную реализацию - эксплоит. В сетевом аспекте уязвимостям могут быть подвержены информационные ресурсы, такие как операционные системы и ПО сервисов.

Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису.

1.3 Понятие о системах обнаружения вторжений

Система обнаружения вторжений является программной или аппаратной системой, которая автоматизирует процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Соответствующий английский термин -- Intrusion Detection System (IDS). В дальнейшем для краткости изложения систему обнаружения вторжений будем называть СОВ.

Обнаружение вторжений является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Вторжения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. СОВ являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения вторжений.

СОВ состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы - от простейших отчетов до активного вмешательства при определении проникновений [3].

1.4 История разработок систем обнаружения вторжений

Первая концепция СОВ появилась благодаря Джеймсу Андерсону. В 1984 Фред Коэн сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе со степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. Ее модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system - экспертная система обнаружения вторжений). Система работала на рабочих станциях Sun и проверяла как сетевой трафик, так и данные пользовательских приложений.

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP, была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP. Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer's Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой. Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказало большое влияние работа Деннинга и Люнт. NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная лаборатория им. Лоуренса в Беркли представила Bro, использующий собственный язык правил для анализа данных libcap. NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. В ноябре 1998 был разработан APE, сниффер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort.

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил [3].

1.5 Классификация систем обнаружения вторжений

Существует несколько способов классификации СОВ, каждый из которых основан на различных характеристиках СОВ. Тип СОВ следует определять, исходя из следующих характеристик:

1. Способ мониторинга системы. По способам мониторинга системы делятся на:

1.1. Сетевые (Network-Based IDS);

1.2. Узловые (Host-Based IDS);

1.3. Прикладные (Application-Based IDS).

2. Способ анализа. Это часть системы определения вторжений, которая анализирует события, полученные из источника информации, и принимает решения, что происходит вторжение. Способами анализа являются:

2.1. Обнаружение сигнатур (Signature Detection), также называемый обнаружением злоупотреблений (Misuse Detection);

2.2. Обнаружение аномалий (Anomaly Detection).

3. Ответные действия системы. В зависимости от ответных действий СОВ делятся на:

3.1. Активные (Active IDS);

3.2. Пассивные (Passive IDS).

Рассмотрим каждый тип СОВ более подробно.

1.5.1 Способы мониторинга системы

Наиболее общий способ классификации СОВ состоит в группировании их по источникам информации. Некоторые СОВ для нахождения атакующих анализируют сетевые пакеты, захватываемые ими из сети. Другие СОВ для обнаружения признаков проникновения анализируют источники информации, созданные ОС или приложением.

1. Сетевые СОВ.

Основными коммерческими СОВ являются сетевыми. Эти СОВ определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, сетевая СОВ может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты.

Сетевые СОВ часто состоят из множества сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя локальный анализ данного трафика и создавая отчеты об атаках для центральной управляющей консоли. Многие из этих сенсоров разработаны для выполнения в "невидимом (stealth)" режиме, чтобы сделать более трудным для атакующего обнаружение их присутствия и расположения.

2. Узловые СОВ.

Узловые СОВ имеют дело с информацией, собранной внутри единственного компьютера. (Заметим, что прикладные СОВ на самом деле являются подмножеством узловых СОВ.) Такое выгодное расположение позволяет узловой СОВ анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в операционной системе. Более того, в отличии от сетевых СОВ, узловые СОВ могут "видеть" последствия предпринятой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системным процессам, являющимся целью атаки.

Узловая СОВ обычно используют информационные источники двух типов: результаты аудита операционной системы и системные логи. Результаты аудита операционной системы обычно создаются на уровне ядра операционной системы и, следовательно, являются более детальными и лучше защищенными, чем системные логи. Однако системные логи намного меньше и не столь многочисленны, как результаты аудита, и, следовательно, легче для понимания. Некоторые узловые СОВ разработаны для поддержки централизованной инфраструктуры управления и получения отчетов СОВ, что может допускать единственную консоль управления для отслеживания многих хостов. Другие создают сообщения в формате, который совместим с системами сетевого управления.

3. Прикладные СОВ.

Прикладная СОВ является специальным подмножеством узловых СОВ, которые анализируют события, поступившие в программное обеспечение приложения. Наиболее общими источниками информации, используемыми прикладными СОВ, являются лог-файлы транзакций приложения.

Способность взаимодействовать непосредственно с приложением, с конкретным доменом или использовать знания, специфичные для приложения, позволяет прикладной СОВ определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа. Такие проблемы могут проявиться только при взаимодействии пользователя с приложением.

1.5.2 Способы анализа системы

Существует два основных подхода к анализу событий для определения атак: определение сигнатур (signature detection) и определение аномалий (anomaly detection).

В технологии определения сигнатур известно, какая последовательность данных является признаком атаки. Анализ событий состоит в определении таких "плохих" последовательностей данных. Технология определения злоупотреблений используется в большинстве коммерческих систем.

В технологии определения аномалий известно, что представляет собой "нормальная" деятельность и "нормальная" сетевая активность. Анализ событий состоит в попытке определить аномальное поведение пользователя или аномальную сетевую активность. Данная технология на сегодняшний день является предметом исследований и используется в ограниченной форме небольшим числом СОВ. Существуют сильные и слабые стороны, связанные с каждым подходом; считается, что наиболее эффективные СОВ применяют в основном определение сигнатур с небольшими компонентами определения аномалий.

1. Обнаружение сигнатур.

Детекторы сигнатур анализируют деятельность системы, анализируя событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой. Наиболее общая форма определения сигнатур, используемая в коммерческих продуктах, специфицирует каждый образец событий, соответствующий атаке, как отдельную сигнатуру. Тем не менее существует несколько более сложных подходов для выполнения определения сигнатур (называемых state-based технологиями анализа), которые могут использовать единственную сигнатуру для определения группы атак.

2. Обнаружение аномалий.

Детекторы аномалий определяют ненормальное (необычное) поведение на хосте или в сети. Они предполагают, что атаки отличаются от "нормальной" (законной) деятельности и могут, следовательно, быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.

Метрики и технологии, используемые при определении аномалий, включают:

2.1. определение допустимого порога. В этом случае основные атрибуты поведения пользователя и системы выражаются в количественных терминах. Для каждого атрибута определяется некоторый уровень, который устанавливается как допустимый. Такие атрибуты поведения могут определять число файлов, доступных пользователю в данный период времени, число неудачных попыток входа в систему, количество времени ЦП, используемое процессом и т.п. Данный уровень может быть статическим или эвристическим -- например, может определяться изменением анализируемых значений.

2.2. статистические метрики: параметрические, при которых предполагается, что распределение атрибутов профиля соответствует конкретному образцу, и непараметрические, при которых распределение атрибутов профиля является "обучаемым" исходя из набора значений истории, которые наблюдались за определенный период времени.

2.3. метрики, основанные на правилах, которые аналогичны непараметрическим статистическим метрикам в том, что наблюдаемые данные определяют допустимые используемые образцы, но отличаются от них в том, что эти образцы специфицированы как правила, а не как численные характеристики.

2.4. другие метрики, включая нейросети, генетические алгоритмы и модели иммунных систем.

Только первые две технологии используются в современных коммерческих СОВ.

К сожалению, детекторы аномалий и СОВ, основанные на них, часто создают большое количество ложных сообщений, так как образцы нормального поведения пользователя или системы могут быть очень неопределенными. Несмотря на этот недостаток, исследователи предполагают, что СОВ, основанные на аномалиях, имеют возможность определять новые формы атак, в отличии от СОВ, основанных на сигнатурах, которые полагаются на соответствие образцу прошлых атак.

Более того, некоторые формы определения аномалий создают выходные данные, которые могут быть далее использованы в качестве источников информации для детекторов злоупотреблений. Например, детектор аномалий, основанный на пороге, может создавать диаграмму, представляющую собой "нормальное" количество файлов, доступных конкретному пользователю; детектор злоупотреблений может использовать данную диаграмму как часть сигнатуры обнаружения, которая говорит: "если количество файлов, доступных данному пользователю, превышает данную "нормальную" диаграмму более чем на 10%, следует инициировать предупреждающий сигнал".

Хотя некоторые коммерческие СОВ включают ограниченные формы определения аномалий, мало кто полагается исключительно на данную технологию. Определение аномалий, которое существует в коммерческих системах, обычно используется для определения зондирования сети или сканирования портов. Тем не менее определение аномалий остается предметом исследований в области активного определения проникновений, и скорее всего будет играть возрастающую роль в СОВ следующих поколений.

1.5.3 Ответные действия системы

После того как СОВ получила информацию о событии и проанализировала ее для поиска симптомов атаки, она создает ответы. Некоторые ответы могут представлять собой отчеты, созданные в некоем стандартном формате. Другие ответы могут являться более автоматизированными, производящими определенные действия. Часто недооценивают важность наличия хороших ответов в СОВ, но на самом деле наличие разнообразных возможностей в ответах очень важно. Коммерческие СОВ поддерживают широкий диапазон опций ответов, часто разбивая их на активные ответы, пассивные ответы и некоторую смесь из них.

1. Активные действия.

Активные ответы представляют собой автоматизированные действия, которые выполняются, когда определены конкретные типы проникновений. Существует три категории активных ответов.

1.1. Сбор дополнительной информации.

Наиболее безвредный, но часто наиболее продуктивный активный ответ состоит в сборе дополнительной информации о предполагаемой атаке. Это может включать возрастающий уровень внимания к источникам информации. Например, можно начать собирать большее количество информации в лог и настроить сетевой монитор на перехват всех пакетов, а не только тех, которые предназначены конкретному порту или системе. Сбор дополнительной информации производится по нескольким причинам. Во-первых, собранная дополнительная информация может помочь обнаружить атаку. Во-вторых, так можно получить информацию, которая затем может использоваться при юридическом расследовании и задержании атакующего.

1.2. Изменение окружения.

Другое активное действие состоит в том, чтобы остановить выполняемую атаку и затем блокировать последующий доступ атакующим. Обычно СОВ не имеют возможностей блокировать доступ конкретного человека, но вместо этого могут блокировать IP-адреса, с которых вошел атакующий. Гораздо труднее блокировать хорошо информированного атакующего, но часто СОВ могут остановить как опытного атакующего, так и новичка, выполняя следующие действия:

· вставить ТСР-пакеты с флагом reset в соединение атакующего с его жертвой, тем самым обрывая соединение;

· переконфигурировать роутеры и firewall'ы для блокирования пакетов с IP-адреса, который определен как источник атаки;

· переконфигурировать роутеры и firewall'ы для блокирования сетевых портов, протоколов или сервисов на стороне жертвы, которые использует атакующий;

· в экстремальных ситуациях переконфигурировать роутеры и firewall'ы для блокирования всех соединений к системе, на которую осуществляется атака.

1.3. Выполнение действия против атакующего.

В некоторых дискуссиях обсуждается правило, что первой опцией в активном ответе должно быть выполнение действия против проникающего. Наиболее агрессивная форма данного ответа включает запуск атаки против него или попытка активного сбора информации о хосте или сети атакующего. Тем не менее, сколь бы это не было заманчиво, такой ответ не рекомендуется. С точки зрения закона, данный ответ может быть более наказуем, чем атака, которую предполагается блокировать.

Первой причиной, по которой данную опцию следует использовать с большой осторожностью, являются требования законодательства. Более того, так как многие атакующие используют подделанные сетевые адреса, это может нанести большой вред невинным хостам и пользователям. Наконец, ответный удар может спровоцировать атакующего, который первоначально намеревался только просмотреть хост жертвы, не выполняя более никаких агрессивных действий.

2. Пассивные действия.

Пассивные ответы СОВ предоставляют информацию пользователям системы, предполагая, что человек сам выполнит дальнейшие действия на основе данной информации. Многие коммерческие СОВ предполагают исключительно пассивные ответы.

2.1. Тревоги и оповещения.

Тревоги и оповещения создаются СОВ для информирования администраторов об обнаружении атак. Большинство коммерческих IDS позволяют администраторам определять детали того, какие и когда тревоги создаются и кому и как они передаются.

Чаще всего сигнал тревоги выводится на экран или в выпадающее окно на консоли СОВ или других систем, что может быть задано администратором при конфигурировании СОВ. Информация, указываемая в сообщении о тревоге, может сильно варьироваться: от простого уведомления, что происходит проникновение, до очень детализированных сообщений, указывающих IP-адреса источника и цели атаки, конкретное инструментальное средство атаки, используемое для получения доступа, и результат атаки.

Другим множеством опций, используемых в больших или распределенных организациях, является возможность удаленного оповещения о тревогах. Это позволяет организации сконфигурировать СОВ таким образом, чтобы она посылала сообщение о тревоге на сотовые телефоны.

В некоторых случаях также можно, например, использовать e-mail в качестве канала передачи сообщений об атаках. Но это не всегда оправданно, так как атакующий может иметь возможность просматривать исходящий e-mail трафик и блокировать это сообщение.

2.2. Использование SNMP Traps.

Некоторые коммерческие СОВ разработаны таким образом, чтобы передавать оповещения о тревоге системе управления сетью. При этом используются SNMP traps для передачи сообщения на центральную консоль управления сетью, где они могут быть обработаны персоналом, обслуживающим сеть. Данная схема имеет несколько преимуществ, которые включают возможность адаптировать всю инфраструктуру сети к ответу на осуществляемую атаку, возможность управлять нагрузкой системы и возможность использовать обычные коммуникационные каналы.

2.3. Возможности отчетов и архивирования.

Многие, если не все коммерческие СОВ предоставляют возможности создания отчетов и других детализированных информационных документов. Некоторые из них могут создавать отчет о системных событиях и проникновениях, обнаруженных за конкретный период (например, неделя или месяц). Некоторые предоставляют статистику или логи, созданные СОВ, в формате, понимаемом базами данных или другим ПО, создающим отчеты.

2.4. Возможность хранения информации о сбоях.

При обсуждении возможностей различных СОВ важно рассмотреть способы хранения информации о сбоях и отказах. Возможность хранения информации о сбоях обеспечивает дополнительный способ защиты СОВ от обхода ее атакующим. Это является обязательным требованием для средств управления, которые можно считать безопасными.

Существует несколько областей при создании ответа, которые требуют возможности хранения сбоев. Например, в СОВ должна существовать возможность тихого и надежного мониторинга за атакующими. Должна также существовать функция ответа в СОВ, прерывающая данную тишину широковещательными сообщениями о тревоге открытым текстом в просматриваемой сети, что позволит атакующему определить наличие СОВ. При этом следует учитывать, что атакующие могут иметь непосредственной целью СОВ как часть атаки.

Зашифрованные туннели и другие криптографические механизмы, используемые для скрытия информации и аутентификации компонентов СОВ, являются отличным способом обезопасить и гарантировать надежность функционирования СОВ [4].

1.6 Существующие на рынке системы обнаружения вторжений

На современном рынке существует множество различные систем обнаружения вторжения. Приведём некоторые из них:

1. OSSEC является масштабируемой, мультиплатформенной узловой системой обнаружения вторжений. Она имеет мощный компонента анализа, в неё интергрирован анализ логов, проверка целостности файлов, централизованная политика, обнаружение руткитов, оповещение в режиме рельного времени и активные ответные меры. СОВ работает в большинстве операционных систем, широко используемая. OSSEC очень активно развивается, т.е. выпускается каждые ѕ месяца. Для корпоративный клиентов существует коммерческая поддержка. Данный продукт хорошо задокументирован.

2. Bro является сетевой системой обнаружения вторжений с открытым исходным кодом. Она является пассивной СОВ только для пользователей unix-подобный операционных систем. На сайте производителя утверждается, что данный программный продукт настоятельно рекомендуется использовать только как дополнение к уже установленной СОВ. Документация весьма скудная.

3. CATNET - это интелектуальная система для обнаружения, анализа и регистрации инциндентов в сети. Она может обнаруживать аномалии и попытки сетевых вторжений, контролировать инфраструктуру организации. Продукт предлагает быстрый и эффективный мониторинг сети, мониторинг безопасности, журнал событий для последующего анализа, поддержка продукта. К сожалению документация к данному программному продукту была найдена только на французком языке, продукт выпускает французская компания.

4. Snort - это продукт с открытым исходным кодом для обнаружени и предотвращения вторжений. Изначальной система умела только обнаруживать вторжения, но затем переросла в зрелую и более многофункциональную систему предотвращения вторжений. Система способна выполнять в режиме реального времени анализ трафика и регистрацию по ip-сети. Она заслужила всемирную известность, в связи с этим существует довольно большое число сообщест по поддрежке продукта.

В таблице 1.6.1. приведём сравнение четыёх систем обнаружения систем по нескольким параметрам.

Табл. 1.6.1. Сравнительная характеристика систем обнаружения вторжений

СОВ

Параметр

Bro

CATNET

OSSEC

Snort

Бесплатность

+

?

+

+

Открытость

исходных кодов

+

?

+

+

Мультиплатформенность

?

+

+

+

Графический интерфейс

?

+

+

?

Тип по мониторингу системы

сетевая

сетевая

узловая

сетевая, узловая

Для рассмотрения СОВ предпочтение было отдано Snort. При выборе системы руководствовались следующими принципами:

1. Бесплатность.

Для меня данный фактор являлся существенным, так как все СОВ работают по одному принципу. При рассмотрении структуры и организации работы одной из систем, можно легко ориентироваться в других в будущем.

2. Открытость исходного кода.

Данный продукт с открытым исходным кодом. Преимущество в том, что любой желающий может просмотреть и редактировать исходный код программы, внося свой вклад в развитие проекта. Благодаря этому Snort развивается быстрыми темпами.

3. Мультиплатформенность.

Snort разрабатывается для разных операционных систем. Проще говоря, установив и настроив СОВ на одном компьютере, его можно перенести без особых трудностей на другую машину с отличной от этой операционной системой. Данный продукт существует под такие операционные машины как Windows и семейство UNIX-подобных систем.

4. Простота в настройке.

Программный продукт хорошо документирован. На официальном сайте разработчика можно скачать руководство пользователя, в котором доступно описаны все возможности Snort и каким образом его можно сконфигурировать. Язык написания собственных правил гибкий и мощный.

5. Наличие различных сообществ.

Существуют много различных сообществ поддерживающих пользователей Snort. Также есть сообщества разрабатывающие правила для Snort, тем самым база правил постоянно совершенствуется для распознавания новых видов атак.

6. Включение в себя системы определения и предотвращения вторжений.

Snort включает в себя не только систему определения вторжения, но и систему предотвращения вторжений.

Из данной главы можно сделать вывод, что применение систем обнаружения вторжений довольно актуально, поэтому давайте же перейдём к рассмотрению СОВ Snort.

Глава 2 Структура и функционирование СОВ Snort

В этой главе мы рассмотрим Snort, которая является бесплатной сетевой системой предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS) с открытым исходным кодом, способной выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP сетях. Snort была написана Мартином Роешом и в настоящее время разрабатывается компанией Sourcefire, основателем и техническим директором которой является Роеш. Sourcefire предлагает так же коммерческие версии систем для предприятий, специализированные аппаратные платформы и услуги по поддержке.

Snort выполняет протоколирование, анализ, поиск по содержимому, а также широко используется для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований, таких как переполнение буфера, стелс-сканирование портов, атаки на веб-приложения, SMB-зондирование и попытки определения ОС. Программное обеспечение в основном используется для предотвращения проникновения, блокирования атак, если они имеют место.

2.1 Общий принцип функционирования СОВ

Систему обнаружения вторжений Snort по способу мониторинга системы можно отнести как к узловой, так и к сетевой системе в зависимости от параметров настройки. Обычно она защищает определённый сегмент локальной сети от внешних атак из интернета. На Рис. 2.1.1. показана схема сети и работа Snort в ней. СОВ выделенная красным прямоугольником работает как узловая СОВ, другая же как сетевая. Пусть кто-то через сеть интернет отправляет пакет. После этого пакет попадает в маршрутизатор и передаётся дальше в нужную подсеть. Пройдя через маршрутизатор, пакет проходит или не проходит через межсетевой экран. Его ещё называею файервол, брауменд. Межсетевой экран - это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Здесь нужно отметить, что файервол, как правило, совмещён с маршрутизатором, но они могут сосуществовать как и отдельные устройства.

Рис. 2.1.1. Построение сети с установленной сетевой СОВ Snort

После этого пакет попадает на машину с СОВ Snort, которая контролирует нашу подсеть. Snort просмартривает не подпадает ли пакет под какое-либо, существующее в её базе, правило. Если такого правила не существует, то пакет передаётся дальше получателю, иначе же Snort передаёт межсетевому экрану соответсвующие команды. Команды могут быть двух видов:

1. Система позволяет передавать пакет получателю;

2. Система запрещает передавать пакет получателю.

Существует также и другой способ, в котором сетевые пакеты из интернета попадают сначала не межсетевому экрану, а системе обнаружения вторжений. Первый способ более целесообразен нежели первый, так как нагрузка на машину со Snort уменьшается. На Рис. 2.1.1. межсетевой экран, маршрутизатор и СОВ показаны как логические блоки, физически же они могут заключаться все в одном устройстве.

При работе Snort в качестве узловой СОВ, она будет защищать только один сервер. Для этого она должна быть настроенно соответственно. На этом мы закончим рассмотрениие общего принципа работы СОВ и перейдём к более детальному её рассмотрению.

2.2 Архитектура СОВ Snort

Посмотрим, из каких же функциональных блоков состоит СОВ Snort. На Рис. 2.2.1. показаны компоненты, которых включает в себя Snort.

Рис. 2.2.1. Подсистемы СОВ Snort

Сенсорная подсистема - подсистема, занимающаяся сбором событий, которые связаны с безопасностью защищаемой система.

Подсистема анализа - подсистема, предназначенная для выявления атак и подозрительных действий на основе данных сенсорной подсистемы.

Подсистема хранения результатов анализа - подсистема, обеспечивающая накопление первичных событий и результатов анализа.

СОВ Snort включается в себя сниффер пакетов, который перехватывает все пакеты в своей подсети. На Рис. 2.2.2. показан принцип прохождения данных, полученных сниффером, через СОВ Snort.

Рис. 2.2.2. Прохождение данных через Snort

Рассмотрим этапы прождения данный через программный продукт Snort:

1. Преобразование данных к пригодному для анализа виду. Это преобразование производится с помощью так называемого декодера;

2. Анализ данных с помощью соответственных блоков программы;

3. Преобразование полученных результатов к понятному для человека виду;

4. Сохранение выходных данных в базу данных.


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.