Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ

1.1 Структура типовой ИВС. Структурная модель угроз информации в ИВС

1.2 Анализ современных подходов к защите ИВС

1.3 Анализ ЛИС, применяемых в современных ИВС. Характеристики, классификация и варианты применения

1.3.1 История развития ЛИС и средств их создания

1.3.2 Анализ известных программных ЛИС

1.3.3 Классификация ЛИС

1.3.4 Варианты применения современных ЛИС

1.4 Роль и место ЛИС в защите ИВС. Постановка задачи

Выводы по разделу

2. РАЗРАБОТКА АЛГОРИТМОВ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ МЕТОДАМИ ВВЕДЕНИЯ НАРУШИТЕЛЕЙ В ЗАБЛУЖДЕНИЕ

2.1 Методы введения нарушителей в заблуждение

2.2 Алгоритмы функционирования ЛИС

2.2.1 Алгоритм эмуляции узлов ИВС

2.2.2 Алгоритм эмуляции прикладных систем

2.2.3 Алгоритм эмуляции файловых ресурсов

2.3 Разработка требований к реализации базовых функций ЛИС

Выводы по разделу

ЗАКЛЮЧЕНИЕ

Список использованных источников

ВВЕДЕНИЕ

защита информационный система

Необходимость обеспечения информационной безопасности требует поиска качественно новых подходов к решению многих технических и управленческих задач, связанных с использованием информационной сферы как совокупности информационных ресурсов и информационной инфраструктуры.

Всестороннее внедрение информационно-вычислительных систем (ИВС) общего назначения во все сферы деятельности субъектов хозяйствования предопределило появление неограниченного спектра угроз информационным ресурсам.

Несмотря на значительные результаты теоретических и прикладных исследований в области защиты информации в информационно-вычислительных системах, в частности криптографическими методами, резервированием, методами контроля межсетевого взаимодействия и т. п., недостаточно проработанной остается проблема защиты ИВС, подключенных к сетям связи общего пользования. В свою очередь технология ложных информационных систем является наиболее перспективной в этой области.

Учитывая, что во многих случаях объекты ИВС оснащаются разнотипными вычислительными средствами, существующие методы обеспечения информационной безопасности с помощью «защитных оболочек» не всегда эффективны и легко подвержены деструктивным воздействиям типа «отказ в обслуживании».

Решить проблему позволяет применение методов имитации ложных информационных объектов в защищаемых ИВС, заманивания в них нарушителей для отвлечения от реальных целей, т.е. введения нарушителей в заблуждение. На разработку таких методов защиты современных ИВС и реализацию их в виде алгоритмов функционирования ложных информационных систем и направлена эта работа.

1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ

1.1 Структура типовой ИВС. Структурная модель угроз информации в ИВС

В общем случае ИВС включает в себя множество связанных между собой каналами передачи данных аппаратно-программных и технических средств, объединенных в единое целое из территориально разнесенных элементов.

На нижнем уровне детализации ИВС можно представить совокупностью аппаратных средств и физических связей между ними. На верхнем уровне детализации - совокупностью прикладных процессов, посредством которых производится содержательная обработка информации, а также правилами обмена информацией в интересах взаимосвязи прикладных процессов.

Структурная модель угроз информации в ИВС представлена на рис. 1.1. Уровень физической сети (линий связи, первичной сети связи) описывает функции и правила взаимосвязи при передаче различных видов информации между территориально удаленными элементами ИВС через физические каналы связи (первичную сеть). Проекция модели на физический уровень эталонной модели взаимодействия открытых систем (ЭМВОС) определяет, как физически увязаны и как взаимодействуют между собой объекты ИВС.

С учетом специфики функционирования первичной сети связи возможны следующие угрозы информации:

1. искажение информации и несвоевременность ее доставки;

2. выявление характерных признаков источников сообщений;

3. копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) в результате несанкционированного доступа.

Рисунок 1.1 - Структурная модель угроз информационным ресурсам ИВС

Уровень транспорта пакетов сообщений описывает функции и правила обмена информацией в интересах взаимосвязи прикладных процессов и пользователей различных ИВС. Сетевой уровень ЭМВОС определяет связь объектов на уровне логических адресов, например IP-адресов. Компонентами информационной инфраструктуры ИВС (телекоммуникационной сети) являются, например, маршрутизаторы (включая их операционные системы и специальное программное обеспечение), кабельное оборудование и обслуживающий персонал.

С учетом этого на уровне транспорта пакетов сообщений возможны следующие угрозы информации:

1. искажение информации и несвоевременность ее доставки;

2. выявление характерных признаков источников сообщений;

3. копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) в результате несанкционированного доступа к информации;

4. нарушение конфигурации маршрутизаторов в результате несанкционированного доступа к операционным системам коммуникационного оборудования (маршрутизаторов) телекоммуникационных сетей;

5. нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов, путем осуществления удаленных компьютерных атак на коммуникационное оборудование.

Уровень обработки данных (локального сегмента ИВС) образуется совокупностью информационных ресурсов и прикладных процессов, размещенных в территориально обособленных ИВС, являющихся потребителями информации и выполняющих ее содержательную обработку. Информационная инфраструктура локальных вычислительных сетей (ЛВС), из которых состоит каждый невырожденный (в автономную ПЭВМ) локальный сегмент ИВС, традиционно состоит из рабочих станций, имеющих отчуждаемые и неотчуждаемые носители информации, концентраторов (многопортовых повторителей), мостов, коммутаторов и маршрутизаторов локальных сетей (коммутаторов третьего уровня). Компонентами информационной инфраструктуры являются также кабельное оборудование, обслуживающий персонал и пользователи.

На уровне локального сегмента ИВС существуют следующие угрозы информации:

1. искажение информации, несвоевременность доставки передаваемой информации;

2. выявление характерных признаков источников сообщений;

3. копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) в результате несанкционированного доступа к информации;

4. нарушение конфигурации маршрутизаторов в результате несанкционированного доступа к операционным системам коммуникационного оборудования (маршрутизаторов) телекоммуникационных сетей;

5. нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов, путем осуществления удаленных компьютерных атак на коммуникационное оборудование, серверы и рабочие станции;

6. копирование, искажение информации, нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов путем несанкционированного доступа к операционным системам серверов;

7. копирование, искажение информации, нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов путем несанкционированного доступа к операционным системам рабочих станций;

8. копирование, искажение информации путем несанкционированного доступа к базам данных;

9. разглашение информации.

Анализ построения современных ИВС позволяет сделать вывод, что их архитектурные решения в общем случае идентичны. Они представляют собой территориально распределенные системы, объединяющие в своем составе ЛВС и отдельные компьютеры, которые осуществляют обмен данными друг с другом и могут иметь общие ресурсы и единое управление.

Для современных ИВС характерны следующие особенности их построения.

1. ИВС имеют, как правило, распределенный характер (то есть, не ограничены одним помещением).

2. Каждый узел ИВС может быть либо оконечным: коэффициент связности такого узла равен единице (самый типичный пример - абонентский пункт), либо через этот узел проходит транзитный информационный обмен (условно такой узел можно назвать коммутационным).

3. Внутри одного сегмента ИВС используется высокоскоростная среда передачи данных, например, на основе протокола Ethernet и/или Fast Ethernet.

4. информационный обмен между сегментами ИВС происходит, в основном, в высокоскоростной среде передачи данных, однако, могут иметь место и низкоскоростные (например, модемные) подключения.

5. Общее число информационных ресурсов ИВС определяется, в основном, количеством оконечных узлов, число которых может от десятков до сотни.

6. ИВС могут иметь один или несколько «выходов» в открытые сети связи, либо являться их сегментами.

Информационно-вычислительные системы с перечисленными особенностями построения в настоящее время приобрели наибольшее распространение. Причем отдельными их элементами могут быть ЛВС, отдельно стоящие компьютеры и/или мобильные пользователи, получающие доступ к ресурсам корпоративной ИВС по выделенным каналам связи.

В состав современных ИВС входят следующие обязательные элементы (рис. 1.2).

Рабочие места пользователей системы (стационарные или мобильные), с которых осуществляется одновременный доступ пользователей различных категорий и с различными привилегиями доступа к общим ресурсам ИВС. Рабочие места (РМ) пользователей являются наиболее доступным компонентом ИВС. Именно с них может быть предпринято большинство попыток осуществления несанкционированных воздействий. Это связано с тем, что именно с рабочих мест пользователей осуществляется доступ к защищаемой информации, манипуляция различными данными и управление процессами, запуск специального программного обеспечения (ПО).

Информационные ресурсы ИВС (на основе файл-серверов, серверов печати, баз данных, WEB и т. д.), которые могут быть как выделенными, так и совмещенными с отдельными рабочими станциями, и предназначены для реализации функций хранения файлов и данных, печати, обслуживания рабочих станций и других действий.

Коммуникационное оборудование (коммутаторы, шлюзы, концентраторы и т. п.), обеспечивающие соединение нескольких сетей передачи данных, либо различных сегментов одной ИВС. Серверы и коммуникационное оборудование нуждаются в особой защите, как наиболее важные элементы ИВС. Это связано с тем, что на серверах сконцентрированы большие массивы информации и программного обеспечения, а с помощью коммуникационного оборудования осуществляется обработка информации при согласовании протоколов обмена между различными сегментами сети. Учитывая изолированное расположение данных элементов ИВС и ограниченный круг лиц, имеющих доступ к ним, случайные воздействия пользователей системы можно считать маловероятными. Однако в этом случае возникает повышенная опасность осуществления удаленных преднамеренных деструктивных воздействий на эти элементы системы с использованием ошибок в их конфигурации, недостатков используемых протоколов, уязвимостей ПО.

Рисунок 1.2 - Структурная модель ИВС

Программное обеспечение (операционные системы, прикладное программное обеспечение и т. д.) является наиболее уязвимым компонентом ИВС, т. к. в большинстве случаев, различные атаки на ИВС производятся именно с использованием уязвимостей ПО.

Каналы связи (коммутируемые/выделенные, радиоканалы/проводные линии связи и т.д.) имеют большую протяженность, поэтому всегда существует вероятность несанкционированного подключения к ним и, как следствие, съема передаваемой информации, либо вмешательства в сам процесс передачи.

Кроме этого необходимо выделить в качестве классификационных признаков активные и пассивные ресурсы ИВС. Активные ресурсы - это компоненты системы, которые предоставляют возможность производить действия над другими ресурсами, используя понятие сервиса, определяемого, как точка доступа к активному ресурсу для использования его функциональных возможностей по работе с пассивными ресурсами. Поведение активного ресурса в процессе его использования представляет собой последовательность действий над пассивными ресурсами и действий по взаимодействию с другими активными ресурсами или внешними объектами, использующими его сервисы.

Пассивные ресурсы - это компоненты системы, с которыми нельзя связать понятие поведения при их использовании, и их влияние на изменение состояния других ресурсов системы (хранилища данных, сегменты данных в программах, процессор, дисковое пространство, память).

Поведение активного ресурса наблюдаемо через процесс - программную компоненту системы (которая обычно является исполняемым экземпляром программы) в совокупности с неким контекстом, индивидуальным для каждого процесса. Процесс является основным наблюдаемым объектом в ИВС.

Ресурсы также можно разделить на зоны, или домены: совокупности ресурсов одного типа и/или территориально расположенные вместе.

Большинству ИВС присущи следующие признаки:

ИВС состоит из совокупности территориально распределенных ЛВС и отдельных автоматизированных рабочих мест (АРМ). Внутри ЛВС применяется протокол канального уровня Ethernet/FastEthernet, предполагающий широковещание в пределах одного сегмента сети («общая шина»). В большинстве случаев, для повышения производительности ЛВС, в настоящий момент применяются коммутаторы, исключающие широковещание;

на сетевом, транспортном и сеансовом уровнях применяется семейство протоколов TCP/IP. В редких случаях, при использовании OC Netware и мэйнфреймов применяются стеки протоколов IPX/SPX и SNA;

протоколы прикладного уровня значительно более разнообразны и зависимы от используемых операционных систем и информационных служб. Среди наиболее распространенных можно перечислить следующие протоколы, входящие в стек TCP/IP: HTTP, FTP, Telnet, SMTP, POP3, SNMP, DNS, DHCP, SMB [1];

степень информационной открытости ИВС, то есть количество разных точек сопряжения данной системы с сетями общего пользования, существенно влияет на конфигурацию средств защиты;

большинство ЛВС в ИВС имеют средний размер (10-100 хостов) и состоят, как правило, из одного сегмента сети Ethernet («общая шина»). Однако по мере наращивания объема сети, получения доступа к глобальным сетям наблюдается явная тенденция к сегментации.

1.2 Анализ современных подходов к защите ИВС

В целом, защиту ИВС можно разделить на два направления (рис. 1.3): защита непосредственно обрабатываемой и хранимой в ИВС информации и защита элементов ИВС.

Как показано на рисунке, первое направление защиты имеет своей целью блокировать возможность НСД к передаваемой, хранимой и обрабатываемой в ИВС информации, и реализуется путем управления доступом к ней. Реализуется это направление обеспечением антивирусной защиты и защиты от НСД, включающей выполнение следующих функций:

разграничение доступа;

регистрация и учет;

контроль целостности;

криптографическая защита.

Рисунок 1.3 - Современные подходы к обеспечению защиты информации в ИВС

В рамках второго направления реализуется защита инфраструктуры, в которой защищаемая информация хранится, обрабатывается и передается. Это направление защиты в свою очередь необходимо разделить на два поднаправления, имеющих различные цели:

защита информации непосредственного управления объектом;

защита информации развития объекта защиты (информации о его составе, структуре и алгоритмах функционирования).

В первом случае традиционно применяются такие методы защиты как:

межсетевое экранирование (аналог разграничения доступа к информации применительно к сетевой инфраструктуре);

анализ защищенности и мониторинг безопасности (аналог функции регистрации и учета при защите информации);

антивирусная защита и защита от компьютерных атак (позволяют сохранять доступность элементов ИВС).

Современные средства защиты, реализующие описанные задачи, широко известны и подробно описаны в многочисленных публикациях на тему защиты информации, поэтому в рамках данной работы они не рассматриваются.

Подробно рассмотреть следует лишь системы обнаружения атак (СОА). Исходя из того, что любая атака должна иметь три этапа реализации (1. предварительный сбор сведений об объекте атаки и его уязвимых местах, выбор метода атаки; 2. непосредственно реализация атаки; 3. заметание следов атаки), СОА также принято классифицировать по этапу реализации атак, на котором происходит их обнаружение. Такая классификация приведена в [2]. В соответствии с этой классификацией СОА делятся на (рис. 1.4):

1. Системы, позволяющие обнаружить уязвимости элементов ИВС и ПО, используемые злоумышленником для реализации атаки. Иначе средства этой категории называются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners).

2. Системы, функционирующие на этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. На сегодняшний день в задачи таких систем входит не только обнаружение, но и блокирование (предотвращение) атаки. Помимо этого в последнее время к элементам систем обнаружения атак относят обманные системы (ЛИС). Их ролью в обнаружении атак является привлечение к себе внимания злоумышленника.

3. Системы, функционирующие на третьем этапе, позволяющие выявлять следы уже совершенных атак. Эти системы делятся на два класса - системы контроля целостности, обнаруживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации.

Рисунок 1.4 - Классификация систем обнаружения атак по этапу осуществления атаки

Однако следует отметить, что, несмотря на то, что приведенная классификация СОА достаточно широко используется и принята специалистами по информационной безопасности, она имеет некоторые недостатки.

1. Системы анализа защищенности на самом деле не являются средствами предупреждения, обнаружения или предотвращения атак. Они лишь позволяют ликвидировать часть недостатков защищаемых объектов, которые злоумышленник может использовать в своих целях.

2. Применение ЛИС в реальности является достаточно редким, и, как правило, носит чисто исследовательский характер.

Второе поднаправление защиты объектов ИВС подразумевает под собой реализацию методов скрытия и введения нарушителя в заблуждение, имеющих цель формирования у него устойчивых ложных стереотипов относительно защищаемых объектов (ИВС и ее элементов). Эти методы основаны на управлении демаскирующими признаками объектов ИВС и их деятельности и позволяют предотвращать деструктивные действия или минимизировать их эффективность за счет формирования у нарушителя неверного представления о защищаемых объектах.

Современные средства защиты, применяемые в ИВС, такие, например, как межсетевой экран, имеют возможность реализовать скрытие путем ограничения доступа злоумышленника (противника) к защищаемому объекту (информации, сегменту ИВС или ее отдельному узлу).

Таким образом, можно сделать вывод, что современные методы защиты, применяемые в ИВС, имеют возможность блокирования несанкционированного доступа к информации или элементам ИВС, т.е. обнаружения несанкционированных воздействий (например, компьютерных атак) на этапе их реализации и их предотвращения.

В то же время направление предупреждения несанкционированных воздействий остается открытым. Это направление на сегодняшний день начинает развиваться в направлении создания ЛИС. Следовательно, необходимо провести подробный анализ этого направления.

1.3 Анализ ЛИС, применяемых в современных ИВС. Характеристики, классификация и варианты применения

1.3.1 История развития ЛИС и средств их создания

Существует множество различных вариантов использования обмана в целях защиты. Наиболее известными среди них являются [3]:

сокрытие;

камуфляж;

дезинформация.

В области информационной безопасности наибольшее распространение получил первый метод - сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие топологии защищаемого сегмента сети при помощи межсетевого экрана (МЭ). Как таковой этот метод не рассматривается в качестве способа обмана и широко используется в целях защиты локальных сегментов ТКС.

Наибольший интерес в данном случае представляют два других метода.

Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы (ОС) Windows, приводящее к тому, что злоумышленник, случайно увидевший такой интерфейс, будет пытаться реализовать атаку, использующую уязвимости ОС Unix, а не ОС Windows. Такой подход позволяет существенно увеличить время, необходимое злоумышленнику для "успешной" реализации атаки.

В качестве примера дезинформации можно назвать использование заголовков (banner), позволяющее сформировать у злоумышленника ложное представление о системе. Например, подмена в заголовке почтовой программы, ее названия и версии, которые дают злоумышленнику представление об уязвимостях системы, приводят к тому, что злоумышленник потратит много времени и сил в бесполезных попытках реализовать эти уязвимости.

Реализацию данных методов обмана на практике выполняют ЛИС, также называемые обманными системами.

Как правило, задача ЛИС заключается в том, что эти системы эмулируют те или иные известные уязвимости, которые в реальности в защищаемой системе не существуют. Традиционными причинами использования ЛИС является то, что камуфляж и дезинформация, могут привести к следующему.

1. Увеличение числа выполняемых злоумышленником операций и действий. Злоумышленнику приходится выполнять много дополнительных действий, чтобы установить факт обмана - отсутствие уязвимости.

2. Получение возможности отследить злоумышленника. За время, необходимое злоумышленнику на то, чтобы проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администратор безопасности имеет возможность предпринять действия по установлению внутреннего нарушителя или сбору информации о внешнем злоумышленнике и предпринять соответствующие меры, например, сообщить об атаке в соответствующие "силовые" структуры.

На сегодняшний день ЛИС довольно широко используются в исследовательских целях.

Примером исследовательского проекта, который можно смело назвать международным, является проект Honeynet, направленный на создание ЛИС по всему миру, исследование с их помощью поведения злоумышленников и выявление новых вредоносных программ и компьютерных атак.

В таблице 1.1 представлены информационные ресурсы лишь некоторых из участников проекта.

Таблица 1.1

Информационные ресурсы участников проекта Honeynet

Страна	Информационный ресурс
Норвегия	http://www.honeynor.no
Германия	http://pi1.informatik.unimannheim.de/index.php?pagecontent= site/Research.menu/Honeynet.page
Ирландия	http://www.honeynet.ie
Испания	http://www.honeynet.org.es
Малайзия	www.my-honeynet.org
Коста рика	www.honeynetcr.org
Мексика	www.honeynet.org.mx
Австралия	www.honeynet.org.au
Греция	www.honeynet.gr
Португалия	www.honeynet.org.pt
Китай	www.honeynet.org.cn
Бразилия	www.honeynet.org.br

Устоявшимся термином в отношении простейших ЛИС стал термин honeypot (ловушка, дословный перевод с англ. - горшочек меда). Под этим термином традиционно понимается поддельная компьютерная система, установленная как «приманка», которая используется в исследовательских целях.

Ланс Шпицнер - основатель проекта, развил несколько идей более сложных ЛИС honeynet, которые называют обманными системами высокого уровня взаимодействия [4].

Honeynet - это сеть машин с системами, используемыми в повседневной деятельности, но предназначенными для компрометации. В процессе компрометации информация фиксируется, а затем анализируется, с целью изучения поведения злоумышленников.

Идея та же, что и у honeypot, но имеется несколько различий. Honeypot, по существу, обычная приманка, т.е. система, специально построенная чтобы быть атакованной, обычно в качестве ложной цели или в целях оповещения об активности злоумышленников. Вместо того чтобы моделировать единственный уязвимый узел сети, honeynet моделирует целую сеть и усиливает возможности обнаружения и анализа.

В своей истории развития ЛИС проекта honeynet могут быть разделены на 1-е и 2-е поколение [5].

Honeynet 1-го поколения

Ранние ЛИС проекта honeynet состояли из нескольких компонентов (рис. 1.5а):

межсетевой экран - сконфигурированный так, чтобы заблокировать трафик злоумышленника, направленный из взломанного honeypot к другим системам во внешней сети;

honeypot - узел-приманка;

sniffer - анализатор трафика, включенный в невидимом режиме, т.е. не имеющий IP адреса, фиксирующий трафик, не показывая себя злоумышленнику.

узел регистрации, фиксирующий данные, поступающие от honeypot.

Идея такой системы состоит в том, чтобы зарегистрировать атаку злоумышленника на узел-приманку. В процессе осуществления своих неправомерных действий, злоумышленник понимает, что логии атакуемой им системы отправлены на узел регистрации.

Рисунок 1.5 - ЛИС honeynet 1-го и 2-го поколения

Если при этом злоумышленник пытается скрыть информацию об атаке, содержащуюся на узле регистрации, анализатор трафика регистрирует атаку на узел регистрации.

Скрытый анализатор трафика регистрирует все попытки атаки, но к нему нельзя обратиться, так как у него нет IP адреса. Регистрационные данные, находящиеся на жестких дисках узла-приманки и регистрационного узла, злоумышленнику позволяется удалить. Именно потому, что такие системы дают возможность злоумышленнику выполнить те действия, которые он хочет, эти системы относят к ЛИС высокого уровня взаимодействия.

Расследование может восстановить действия злоумышленника, но это - трудная задача. Анализ файлов регистрации анализатора трафика может быть затруднен тем, что необходимую информацию трудно найти среди большого количества другой.

Реконструкцию атаки предполагается, осуществлять вручную из файлов регистрации анализатора трафика. Пассивный анализатор трафика, не прерывающий трафик, иногда пропускает данные в случае его большой загруженности, потому что не может повторно запросить их. Вследствие этого, важные данные могут быть пропущены.

Усиление политики межсетевого экрана затруднено, потому что он не должен блокировать слишком много действий злоумышленника. В противном случае он мог бы проявить свое существование слишком рано.

Межсетевой экран установлен как маршрутизатор. Каждый маршрутизатор изменяет область TTL в IP заголовке каждого проходящего через него пакета сообщений. Поэтому поле TTL может показать существование подозрительно сконфигурированного межсетевого экрана и предупредить злоумышленника. Этот факт может помочь злоумышленнику определить атакуемую систему как ЛИС. Чтобы обойти эту проблему, межсетевой экран может быть сконфигурирован так, чтобы не выполнять уменьшение поля TTL. Необходимость применения в такой ЛИС четырех узлов делает ее недешевой и требует немалых усилий в ее администрировании.

Honeynet 2-го поколения

Honeynet 2-го поколения являются развитием 1-го поколения. Как показано на рис. 1.5б, они состоят из:

моста, который регистрирует трафик на 2 уровне эталонной модели взаимодействия открытых систем (ЭМВОС).

узла-приманки (honeypot).

Мост выполняет функцию межсетевого экрана без уменьшения значения поля TTL. Регистрация осуществляется на мосту. Дополнительная информация, например, нападение на узел регистрации, не собирается. Подход улучшает два недостатка honeynet 1-го поколения. Во-первых, уменьшены затраты аппаратных средств при использовании и конфигурировании только двух узлов. Во вторых, избегается раскрытие ЛИС путем выявление уменьшения поля TTL, производимого маршрутизатором. Реконструкцию атаки предполагается осуществлять вручную путем анализа файлов регистрации межсетевого экрана.

Виртуальные honeynet

Виртуальные машины (например, User-Mode Linux, русск. - Линукс пользовательского режима, VMware [6]) позволяют моделировать honeynet путем создания виртуальных узлов. Использование виртуальных машин дает несколько преимуществ. Сети просто устанавливать, а конфигурацию может быть легко восстановлена. Основная система может осуществлять мониторинг виртуальной машины. User-mode-Linux, например, позволяет наблюдение в реальном времени за злоумышленником, атакующим систему, отображая нажатие клавиш и изменения в файловой системе.

Но у ЛИС высокого взаимодействия на основе виртуальных машин есть и свои ограничения. Аппаратные средства виртуальной машины отличаются от используемых обычно в реальных компьютерах аппаратных средств. Аппаратные средства требуют специальных драйверов и программного обеспечения, которое может использоваться, чтобы брать опознать honeypot. Следовательно, существует несколько признаков, позволяющих отличить виртуальную и реальную машину. Профиль аппаратных средств может использоваться для того, чтобы определить, что машина виртуальная и сделать ее подозрительной для злоумышленника. Чтобы виртуальные машины можно было использовать в качестве ЛИС, применяется моделирование реальных аппаратных средств и областей памяти.

Таким образом, технологии виртуализации могут применяться в целях снижения затрат аппаратных средств на создание ЛИС.

Виртуальные honeynet имеют несколько специфичных недостатков:

Единая точка отказа - Если что-то вдруг пойдет не так, как ожидалось, (к примеру, сбой в операционной среде или какой-либо программе), то весь honeynet выходит из строя и не функционирует до устранения неисправности.

Высокие требования к системе, на которой осуществляется виртуализация.

Возможное ослабление классической защиты? - Так, как все в компании могут использовать одни и те же стандартные программы, что и в ловушке, есть опасность того, что хакер может предположить их использование и, зная какие-нибудь слабые места этих программ, провести успешную атаку на другие части сети. Здесь все зависит от программного обеспечения виртуализации.

Гибридные виртуальные honeynet

Гибридный виртуальный honeynet - гибрид классического honeynet и программного обеспечения виртуализации. Перехват данных, межсетевое экранирование и анализ информации, как в сенсорах систем обнаружения атак, проводится на отдельной, изолированной системе. Эта изоляция уменьшает риск взлома. Однако все узлы ЛИС фактически выполнены в единственной системе.

User-mode-Linux

User-mode-Linux [7] может использоваться как виртуальный honeypot высокого уровня взаимодействия или как часть виртуальной honeynet высокого уровня взаимодействия. Он является созданной на основе ОС Linux виртуальной машиной с открытым кодом. В отличие от коммерческого варианта, VMware, он ограничен несколькими версиями Linux и для основной и для гостевой ОС. Проект honeynet создал несколько дальнейших расширений, чтобы заставить виртуальную машину больше походить на реальную [8]. Таким образом, названия виртуальных устройств могут быть такими же как и реальные. Области памяти отображены так, чтобы они казались реальными. Однако есть и нерешенные проблемы, например, доступ к BIOS.

VMware

К преимуществам использования VMware Workstation в виде виртуальной ЛИС стоит отнести:

широкий диапазон поддерживаемых операционных систем - можно эмулировать и поддерживать разнообразные ОС в виртуальной среде (Windows, Linux, Solaris, FreeBSD и т.д.);

опции управления сетью - возможность обеспечения двух способов контроля за сетью. Первый - «bridged» - полезен для гибридных виртуальных сетей honeynet, потому что позволяет любому honeypot использовать сетевую карту компьютера и, в итоге, создается впечатление, что он - другой узел в ЛИС. Вторая опция - организация сети только для одного узла, что хорошо для отдельного виртуального honeypot, потому что появляется возможность лучше управлять трафиком с имеющимся межсетевым экраном.

VMware Workstation создает образ каждой гостевой ОС. Эти образы - обычные файлы, что делает такие системы очень портативными. Это означает, что вы можете переместить их на любой другой компьютер. Чтобы восстановить honeypot в его первоначальном состоянии, достаточно просто скопировать резервный файл на место, которое было атаковано хакером.

легкость использования - VMware Workstation поставляется с неплохим графическим интерфейсом (как для Windows, так и для Linux), что делает монтаж, конфигурирование, и управление виртуальными ОС предельно простым.

Динамические ЛИС

Динамические ЛИС являются будущим ЛИС по мнению Ланца Шпицнера [9]. Подразумевается, что такие системы должны пассивно прослушивая сеть формировать ложные ресурсы в ЛИС при выявлении активности злоумышленника в соответствии с его запросами. Идея заключается в том, что в качестве приманки могут использоваться любые ложные ресурсы, вплоть до файлов с дезинформацией.

Фермы Honeypot

Фермы Honeypot [10] это решение проблемы развертывания большого количества ложных узлов в ЛИС.

Суть решения заключается в создании централизованной «фермы» (современный термин, использующийся для обозначения группы серверов), состоящей из большого количества ложных узлов (honeypot) и даже сетей (honeynet) низкого и высокого уровня взаимодействия, и развертывании в реальных сетях средств перенаправления трафика, передающих его в ферму (рис. 1.6).

Рисунок 1.6 - Архитектура решения Фермы Honeypot

1.3.2 Анализ известных программных ЛИС

На сегодняшний день существует множество программных реализаций элементов ЛИС различной сложности, к которым относятся такие программные продукты как Deception ToolKit, Fakebo, Iptrap, Honeyd, KFSensor и др., краткое описание возможностей которых представлено ниже.

Deception ToolKit

Deception ToolKit (DTK) - набор perl-сценариев, имитирующих работу распространенных сетевых сервисов (Telnet, SSH, FTP, DNS, POP и т. д.). Поддерживаются наиболее распространенные методы исследования систем, предоставлена возможность программирования поведения ложного сервиса с имитацией какого-либо вида уязвимости. Система проста в установке и прозрачна в управлении. Сохраняемые в лог-файлах данные позволяют получить исчерпывающую информацию о деятельности злоумышленника.

Существенный недостаток - открывает порт 365 (deception port), который позволяет идентифицировать систему как ЛИС.

В развитие пакета DTK автором была разработана улучшенная версия - DTK-Pro, которая, реализуя все возможности DTK, дополняет его новыми механизмами:

управление несколькими DTK, установленными на разных хостах сети;

графический интерфейс администратора DTK-Pro;

проверка согласованности задаваемых правил обмана и ряд других функций.

Fakebo

Fakebo имитирует работу серверных частей «троянских» программ Back Orifice и Netbus. При попытке установить соединение ЛИС Fakebo проводит трассировку (определение маршрута) хоста, откуда исходит запрос, и сохраняет данные обо всех попытках установить соединение, выдавая злоумышленнику предупреждающее сообщение о регистрации его действий.

Jammer 2.00

Программа обеспечивает защиту от NetBus и Back Orifice - двух наиболее известных хакерских инструментов в Интернете. Фиксирует каждую попытку хакеров войти в ваш компьютер. Одна из версий Jammer могла обнаруживать четыре модификации BackOrifice и 15 разновидностей NetBus, большинства троянских коней, NetBios, Legion и Ogre, дырки в ICQ Personal Web Server и многое другое. Jammer не только устанавливает факт вторжения, но и удаляет все следы пребывания хакеров, наказывая их отправлением письма их системному администратору.

Iptrap

При запуске программы указывается список прослушиваемых портов. При попытке установления соединения Iptrap блокирует хост, используя внешний брандмауэр (iptables/ipchains). Включена поддержка протокола IPv6.

Honeyd

Программа позволяет создавать виртуальные хосты в сети (теоретически до 65 535 виртуальных хостов с одного физического адреса). Они могут быть сконфигурированы для выполнения произвольных сервисов и способны имитировать различные версии ОС. Сканеры безопасности nmap и xprobe действительно определяют те версии ОС, которые заданы в системе. Любой тип сервиса на виртуальной машине моделируется согласно простому файлу конфигурации. В качестве альтернативы можно использовать какой-либо сервис реальной системы. Honeyd позволяет создать целую виртуальную сеть со своей топологией, коллизиями, потерями пакетов. При этом каждый узел этой сети моделируется с различными адресами и ОС (рис. 1.7).

Рисунок 1.7 - Вариант структуры ЛИС, построенной с помощью Honeyd

KFSensor

KFSensor имитирует работу распространенных сетевых сервисов (Telnet, FTP, VNC, POP, HTTP, SMTP, SOCKS и т. д.). Поддерживает прослушивание портов, позволяет обнаружить сетевые черви (worms). Поддерживаются наиболее распространенные методы исследования систем, предоставлена возможность программирования поведения ложного сервиса с имитацией какого-либо вида уязвимости. Система проста в установке и в управлении. Сохраняет данные в лог-файлах. Поддерживает собственные скрипты, написанные на языках Perl и C. Совместим с скриптами, написанными для Honeyd.

Bait'n'Switch

Bait'n'Switch [11] является ЛИС, реализующей механизм отвлечения злоумышленника от защищаемых объектов. Bait'n'Switch реализован как расширение известной системы обнаружения атак (СОА) Snort. Всякий раз, когда обнаружена успешная атака, СОА фильтрует атаку и, изменяя маршрут соединения, перенаправляет весь дальнейший трафик от атакующего узла к ЛИС. Этот процесс скрыт от злоумышленника так, чтобы он не обнаружил подмены. Позже дальнейшее взаимодействие злоумышленника с ЛИС может быть проанализировано, а реальная защищаемая система таким образом может избежать дальнейших действий злоумышленника.

Intrusion Trap system

Intrusion Trap system [12] является улучшенной версией Bait'n'Switch. В случае, когда СОА обнаруживает атаку, Intrusion Trap system в состоянии передать установленное подключение к ЛИС. Таким образом, даже первое подключение может быть обработано ЛИС и злоумышленник не замечает, что он не имеет доступа к реальной системе. Первая атака не блокируется. Вместо этого она перенаправляется к ЛИС.

Honeycomb

Honeycomb [13] реализован как расширение honeyd. Эта система основана на идее, что любой трафик, направленный к honeypot, можно считать атакой. Honeycomb автоматически генерирует сигнатуры для всего поступающего трафика. Существующие сигнатуры обновляются всякий раз, когда был обнаружен подобный трафик. Таким образом, качество сигнатур увеличивается с каждой атакой. Механизм создает сигнатуры для всего трафика, направленного к honeypot. Впоследствии сигнатуры должны быть проверены вручную на предмет того, являлось ли обнаруженное соединение атакой.

Tiny Honeypot

Tiny Honeypot - простая ловушка, программа, основанная на iptables redirects и xinetd. Прослушивает все TCP порты, не используемые в настоящее время, регистрирует все подключения и обеспечивает минимальную обратную связь с нападающим. Программа позволяет ввести в заблуждение большинство известных автоматизированных сканеров.

HI HAT

(High Interaction Honeypot Analysis Toolkit) позволяет преобразовывать произвольные PHP-приложения в ложные web-объекты (Honeypot) высокого уровня взаимодействия. Кроме того, в HIHAT реализован графический пользовательский интерфейс, который поддерживает процесс контроля Honeypot и анализа собранных данных. Типичным применением является преобразование PHPNuke, PHPMyAdmin или OSCommerce в полнофункциональный Honeypot, который предлагает злоумышленникам полную функциональность приложений, но выполняет при этом всесторонний мониторинг и регистрацию всех событий в фоновом режиме.

Возможности HIHAT:

автоматическое выявление известных атак;

обнаружение SLQ-инъекций, удаленного изменения файлов, «межсайтового выполнения сценариев» (Cross-Site Scripting Scripting, XSS) [14], попыток загрузки вредоносного программного обеспечения и т.д.;

режим обзора статистики, позволяющий просматривать и быстро осуществлять поиск новых инцидентов;

подробное информирование обо всех данных, связанных с проникновением злоумышленника в ЛИС;

сохранение копии вредоносных инструментов злоумышленника в защищенном хранилище для дальнейшего анализа.

В частности, эта ЛИС может с использованием карт googlemap отображать статистику по местонахождению источников атак на карте мира (рис. 1.8). Для этого используются механизмы определения в сервисе whois местоположения источников по их IP-адресу.

Рисунок 1.8 - Отображение системой HIHAT статистики о местонахождении источников атак

Список существующих программных ЛИС можно существенно расширить. Большое количество такого ПО можно найти по следующим адресам:

http://www.honeypots.net/honeypots/products;

http://project.honeynet.org/project.

1.3.3 Классификация ЛИС

Ложная информационная система служит для реализации механизмов введения в заблуждение злоумышленника с целью затруднения и препятствовании атакам на целевые АС и навязывания специально подготовленной ложной информации.

Ложные информационные системы могут обеспечить повышение безопасности АС непосредственно или косвенно.

Традиционно ЛИС рассматривают как ресурс безопасности, который предназначен для исследования атак со стороны нарушителей с целью их исследования. Таким образом, косвенное влияние ЛИС на повышение безопасности защищаемых АС проявляется в раскрытии стратегии, методов и средств действий нарушителей для последующего усиления защитных механизмов.

Непосредственное влияние ЛИС на защищенность АС может проявляться в усилении обшей архитектуры защиты и конкретных механизмов защиты за счет перенесения внимания нарушителей с компонентов целевой защищаемой системы на компоненты ложной и реализации более эффективных механизмов реагирования на действия нарушителя для введения его в заблуждение, а также одновременного задействования средств межсетевого экранирования, обнаружения атак и т.п..

Ложные информационные системы строятся таким образом, чтобы привлечь внимание злоумышленника в силу тех или иных причин (наименее защищенная часть системы или кажущаяся привлекательность информационного содержания).

Ложные информационные системы могут имитировать отдельный протокол (SMTP, FTP, SOCKS, HTTP, SSH, Telnet и т.д.), отдельную рабочую станцию или сервер под управлением операционной системы и целые сети, их уязвимости и защищенность.

Ложная информационная система может быть реализована на одном или нескольких хостах. Одновременно могут использоваться различные типы.

Классификацию ложных информационных систем следует производить по четырем основным признакам (схема классификации ЛИС приведена на рис. 1.9):

1) По уровню интеграции ЛИС в целевую АС:

отдельно от целевых АС;

параллельно целевым АС;

в составе целевых АС.

Отдельно от целевых АС и параллельно с ними могут быть ЛИС предназначенные для отвлечения сил и дезинформации злоумышленников, сбора сведений о них, изучения методов поведения атак, обнаружения и оповещения об атаках.

Рисунок 1.9 - Схема классификации ЛИС

В составе целевых АС могут быть наиболее эффективные и сложные в настройке и эксплуатации ЛИС, которые позволяют обнаружить, отслеживать, пресекать атаки изнутри и дезинформировать злоумышленников.

2) По назначению:

производственные ЛИС;

исследовательские.

Производственные ЛИС применяются для защиты ресурсов АС и снижения риска их компрометации. Как правило, их легче реализовать, так как они обладают меньшей функциональностью, чем исследовательские ЛИС. Вследствие простоты их сложнее использовать для атак на другие системы. Однако они могут предоставить меньше информации о злоумышленнике.

Производственные ЛИС должны способствовать реализации трех основных функций защиты АС от атак: препятствованию, обнаружению и реагированию с подключением обманных механизмов, исходя из основных целей злоумышленника по реализации угроз нарушения: конфиденциальности, доступа, целостности. Традиционными механизмами защиты, обеспечивающими препятствование атакам, являются межсетевое экранирование, разграничение доступа, аутентификация и шифрование.

В отличие от перечисленных механизмов ЛИС непосредственно не реализует функции препятствования, однако косвенно они повышают степень препятствования, отвлекая на себя внимание злоумышленников, повышая трудоемкость реализации атаки, и в итоге, снижая риск реализации атаки.

Если атака направлена на реализацию угрозы конфиденциальности, ЛИС может имитировать объект, содержащий специально подготовленную открытую и поддельную конфиденциальную информацию (рис. 1.10).

Рисунок 1.10 - Пример имитации ложных объектов в целях отвлечения злоумышленника от реальной системы или дезинформации

В обнаружении атак ЛИС участвуют непосредственно. Традиционные системы обнаружения вторжений имеют существенные недостатки: большое количество ложных срабатываний и неспособность обнаружить неизвестные атаки. ЛИС способствуют улучшению показателей количества ложных срабатываний, числа пропусков атак, возможностей обнаружения скрываемых и новых атак, а также агрегирования данных. Это обусловлено тем, что объем трафика, направляемого на ЛИС (по сравнению с целевой АС), - невелик и практически весь этот трафик является злонамеренным. Производственные ЛИС можно использовать для реализации действий в ответ на атаку - реагировать (например, разоблачать злоумышленников после того, как они определят уязвимость) или для анализа ситуации в АС, в которую проник злоумышленник. Ложные информационные системы реагируют на действия атакующего, вводя его в заблуждение (обман), и помогают собрать детальную информацию об атаке и атакующем для последующего выбора наиболее адекватной реакции. Реализация обманных функций осуществляется путем навязывания нарушителю ложной информации за счет эмуляции несуществующих сетевых сегментов, серверов, рабочих станций, их уязвимостей, защищенности от НСД.

Исследовательские ЛИС применяются для изучения действий злоумышленника, используемых ими стратегий и средств с целью построения более эффективных механизмов защиты и повышения безопасности целевых АС. ЛИС данного типа характеризуются высоким уровнем взаимодействия с злоумышленником. Исследовательские ЛИС позволяют отслеживать шаг за шагом действия нарушителей по компрометации систем, фиксировать их, изучать средства нападения, осуществлять ранее предупреждение и прогнозировать атаки.

Они более сложны и используют не эмулируемые, а реальные ОС и приложения. Однако, более высокая функциональность приводит к большим затратам на их сопровождение и к большему риску их компрометации и использования против других систем, чем у производственных ЛИС. В то же время различие между производственными и исследовательскими ЛИС не является принципиальным. Одни и те же ЛИС могут использоваться и как производственные, и как исследовательские.

Как показал анализ, проведенный в п.п. 3.1.1.1 и 3.1.1.2, на сегодняшний день ЛИС используют как правило именно в исследовательских целях.

3) По уровню взаимодействия со злоумышленником:

низкий;

средний;

высокий.

Уровень взаимодействия с нарушителем определяет, какие возможности предоставляет ЛИС нарушителю по реализации атак. Чем большую свободу имеет атакующий, больший уровень интерактивности, большее время взаимодействия, тем больше информации можно собрать о его действиях, и тем больше объем работ по установке и поддержке системы и выше риск ее компрометации.

ЛИС с низким уровнем взаимодействия, как правило, являются производственными. Они эмулируют сервисы (и соответствующие ОС), ограничивая количество действий, которые может выполнить нарушитель с ЛИС. Это взаимодействие ограничивается тем, насколько подробно эмулируются сервисы. В отличие от ЛИС с высоким уровнем взаимодействия, не существует реальной ОС, к которой получает доступ злоумышленник. Преимуществом ЛИС с низким уровнем взаимодействия является простота их установки, а так же существенно снижается риск, связанный с компрометацией системы (получения нарушителем контроля над ЛИС и использования ее для атак на целевую АС).

Основное назначение ЛИС с низким уровнем взаимодействия состоит в
обнаружении атак, в частности, неавторизованного сканирования и попыток соединения, а также предупреждения о подозрительной деятельности. Эти ЛИС обладают ограниченной функциональностью и реализуются программно. При установке ЛИС программа эмуляции инсталлируется на узел и конфигурируются эмулируемые сервисы для заманивания и обмана нарушителей. Данные ЛИС позволяют собрать следующую информацию об атаке:

Время и дата атаки;

IP-адрес и порт источника атаки;

IP-адрес и порт назначения атаки и др.

Если эмулируемые сервисы поддерживают взаимодействие со злоумышленником, то ЛИС может фиксировать действия, выполняемые
злоумышленником. Полнота отслеживания действий нарушителя зависит от эмуляционных возможностей ЛИС. Недостатком таких ЛИС является то, что они не могут отслеживать и собирать более детальную информацию (такую как IRC чаты, e-mail, и т. п.).

ЛИС со средним уровнем взаимодействия реализуют более развитые
возможности по взаимодействию (в том числе временные) со злоумышленником, чем ЛИС с низким уровнем взаимодействия, но обладают меньшей функциональностью, чем ЛИС с высоким уровнем взаимодействия.
Отличительной особенностью таких ЛИС является создание
виртуальных ОС вместо реализации эмуляции сервисов.

Виртуальная ОС контролируется со стороны реальной ОС, но
предоставляет функциональность реальной ОС, хотя и специально ограниченную для уменьшения риска компрометации системы.

Достаточно высокая функциональность ЛИС позволяет эмулировать работу сетевых сегментов, серверов, рабочих станций, в том числе и их уязвимостей для заманивания и обмана.

Так как нарушителям предоставлены большие возможности по взаимодействию, и они могут получить доступ к реальной ОС, должны быть обеспечены защитные механизмы от возможной компрометации и использования ЛИС для последующих атак.

ЛИС со средним уровнем взаимодействия позволяют эффективно
выявлять, скрытно отслеживать и сдерживать, а также оперативно
анализировать атаки. Они выявляют вторжения на узлы и сети, сокращая при этом издержки за счет снижения числа ложных срабатываний, реагируют на действия нарушителей путем включения обманных механизмов.