Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение

Ключевые возможности таких ЛИС, при использовании дополнительных технологий, таких как МЭ и СОВ, позволяют:

обеспечивать эффективное выявление и сдерживание атак на критически важные целевые АС;

проводить скрытное отслеживание и сдерживание, а также оперативный анализ атак;

выявлять как вторжения на узлы, так и вторжения в сети, сокращая при этом издержки за счет снижения (практически исключения) числа ложных срабатываний;

обеспечивать централизованное управление, основанную на правилах безопасности реакцию системы, большие возможности для подготовки отчетов и анализ тенденций в корпоративных информационно-вычислительных системах;

вести мониторинг случаев несанкционированного доступа к АС или ее использования не по назначению, причем для этого не потребуется ни обновления сигнатур безопасности, ни динамической настройки политики;

производить автоматизированную установку сеансов раннего оповещения;

использовать обманные механизмы по навязыванию нарушителю специально подготовленной информации при воздействии пассивных атак, направленных на доступ к информационным ресурсам АС;

оперативно восстанавливать целостность ЛИС в случае воздействия активных (деструктивных) атак.

ЛИС с высоким уровнем взаимодействия основаны на применении реальных информационных ресурсов, в том числе ОС и приложений. Вместо эмуляции сервисов ((ННТР, FTP, Telnet и др.) используются реальные сервисы. По сравнению с ЛИС с низким и средним уровнем взаимодействия эти ЛИС характеризуются значительно большими возможностями (в том числе временными) по захвату информации об атаках, но и более высоким риском компрометации и использования их для дальнейших атак. Такие ЛИС, как правило, являются исследовательскими, хотя могут быть использованы и как производственные. С целью уменьшения риска компрометации и обнаружения атакующим, что его действия отслеживаются, должны использоваться дополнительные технологии, такие как МЭ и СОА. При этом необходимо постоянно обновлять базу правил МЭ, базу сигнатур СОА и осуществлять мониторинг активности ЛИС.

ЛИС с высоким уровнем взаимодействия - это реальная компьютерная система, отличающаяся от целевой системы тем, что она не выполняет целевых задач (не содержит реальной информации), а служит для того, чтобы заманить злоумышленника и позволить скрытно изучать его действия, а так же отработать эффективные способы автоматического реагирования на атаки с обманом злоумышленника.

4) По уровню введения в заблуждение (обмана) злоумышленника (рис. 1.11):

уровень сегмента;

уровень узла;

уровень сервиса /приложения.

На уровне сегмента ЛИС имитирует целевую систему. При обнаружении атаки нарушитель перенаправляется с целевой АС на ЛИС.

На уровне узла ЛИС имитирует хост целевой АС (рабочую станцию, сервер) и размещается в ее сети.

Рисунок 1.11 - Обобщенная архитектура ЛИС и реализуемые уровни введения в заблуждение

На уровне сервиса/приложения в рамках узла целевой АС каждое приложение/сервис формируется следующим образом: целевой модуль сервиса/приложения вместе с модулем обмана (ложным модулем) вкладывается в обертку, в режиме санкционированного использования при вызове сервиса/приложения управление передается целевому модулю. При обнаружении несанкционированного обращения управление передается модулю обмана.

1.3.4 Варианты применения современных ЛИС

Существует множество вариантов применения ЛИС в целях прямого или опосредованного повышения безопасности защищаемых ресурсов.

Повышение безопасности ЛВС

В сетях, где внутренняя защищенность с технической стороны оставляет желать лучшего, для пресечения возможных сетевых инцидентов, может успешно использоваться ЛИС (искусственная сеть, honeynet), которая позволит [15]:

выявить узлы, с которых происходит сканирование сети;

выявить узлы, с которых происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети;

выявить узлы, с которых происходят попытки или предпосылки для проведения DOS атаки;

выявить узлы, с которых происходит атака типа brute-force (подбор пароля методом перебора);

выявить узлы, с которых происходят попытки несанкционированной отправки писем;

выявить узлы, с которых происходят несанкционированные обращения к ресурсам сети;

выявить узлы, с которых происходит целенаправленная атака на ресурсы сети.

Такие узлы могут управляться как сотрудником организации, пренебрегающим политикой безопасности, так и сетевым червем, проникшим в них. В первом случае, собранные данные могут быть предъявлены в качестве доказательства неправомерных действий сотрудника в сети, во втором - поможет вовремя устранить возникшую проблему, которая еще не успела перерости в вирусную эпидемию. В любом случае, при использовании ЛИС в качестве своеобразной системы ловушки для СОА, можно косвенно повысить уровень информационной безопасности в сети, при чем затратами станут: не самый мощный компьютер и время администратора на обслуживание данного ресурса.

Идея построения ЛИС заключается в следующем. В сети выделяются свободные IP-адреса с различной степенью удаленности друг от друга (например, для сети класса C из диапазона 10.10.0.0/24 могут быть зарезервированы 10.10.0.15, 10.10.0.94, 10.10.0.212). С помощью, например, того же программного продукта honeyd создаются виртуальные узлы сети с ложными сервисами. Весь трафик на выделенные IP-адреса перенаправляется на один mac-адрес, на котором установлен honeyd. В базе DNS за выделенными IP-адресами, прописываются «красивые» имена (типа banks, zarplata, money и т.д.), на ресурсы которых, может позариться злоумышленник. Любая сетевая активность, направленная к выделенным IP-адресам, кроме широковещательных запросов, расценивается как атака. Это связано с тем, что, если данные IP-адреса не используются легальными ресурсами, то к ним не должны осуществляться запросы.

Наглядно, описанная схема ЛИС показана на рис 1.12.

Рисунок 1.12 - Схема ЛИС, повышающей безопасность ЛВС

Обнаружение узлов, участвующих в ботсетях

Одним из вариантов применения ЛИС является описанный в [16] способ обнаружения узлов, участвующих в ботсетях (botnet) [17].

Контроль DNS трафика - эффективный подход для выявления деятельности ботсетей. Выявление DNS трафика содержащего запросы доменных имен из черного списка, которые связаны с активностью ботсетей, позволяет обнаружить инфицированные узлы, входящие в ботсеть (рис. 1.13).

Рисунок 1.13 - Способ обнаружения узлов, участвующих в ботсетях

В докладе на конференции Black Hat Briefings in Europe (2004) была представлена идея проекта создания «Системы раннего предупреждения в сетях Провайдеров услуг Интернет» [18].

Отличие идеи проекта от вышеописанной заключается, в основном, в применении не только оконечных узлов, но и специализированного сетевого оборудования. Заявляется возможность раннего обнаружения этой системой с целью своевременного принятия мер:

DDOS атак;

известных и неизвестных сетевых червей;

спама;

скрытых каналов передачи информации;

взломанных узлов;

открытых прокси-серверов;

попыток сканирования сетей.

Еще одним вариантом применения ЛИС в современных телекоммуникационных системах является борьба со спамом.

На практике эта возможность использовалась в исследовании описанном в [19]. В этом исследовании применяется известный программный инструмент для развертывания ЛИС Honeyd. С его помощью осуществляется наблюдение за открываемыми спамерами почтовыми релеями. Архитектура ЛИС представлена на рис. 1.14.

Рисунок 1.14 - Применение Honeyd для борьбы со спамом

Созданы сети с открытыми почтовыми релеями и прокси. В этих сетях осуществляется перехват всей электронной почты, относящейся к спаму, после чего проводится анализ причин получения спама. Один узел под управлением Honeyd способен одновременно моделировать несколько сетей C-класса. Он моделирует машины, на которых запущены почтовые серверы, прокси-серверы и веб-серверы. Захваченную электронную почту посылают в совместный спамфильтр, который позволяет другим пользователям избегать прочтения уже известного спама.

При проведении этого исследования дополнительно была осуществлена попытка определить типы ОС, которые наиболее часто используются для рассылки спама. Для этого проверялся тип ОС каждого узла, который устанавливал соединение с ЛИС. В 53% тип ОС установить не удалось. Однако среди остальных изученных узлов 43% были под управлением ОС Linux. Из результатов исследования был сделан вывод, что ОС Solaris, Windows и FreeBSD редко используются для рассылки спама.

Еще один пример исследования, направленного на использование ЛИС для защиты от спама представлен в [20].

ЛИС в беспроводных сетях

Исследование, описанное в [21], сосредоточено на обнаружении беспроводных атак, осуществляемых на втором уровне ЭМВОС, то есть, атак заключающихся в организации несанкционированного доступа в безопасную беспроводную сеть, построенную на стандарте 802.11. Это исследование проходит в рамках одного из направлений деятельности испанского отделения проекта Honeynet [22].

Описываемая беспроводная ЛИС названа HoneySpot. Параллельно в исследовании участнвую два типа HoneySpot:

Public HoneySpot - моделирует общественную беспроводную сеть передачи данных (хотспот). Такие хотспоты обычно размещают в общественных местах для свободного доступа в сеть.

Private HoneySpot - моделирует закрытую (частную) беспроводную сеть передачи данных, такую как доступные в корпорациях или дома. Как правило, частная сеть предлагает защищенный доступ к сети (корпоративной или домашней).

Поскольку целью хотспота является предоставление доступа в сеть Интернет, с помощью Public HoneySpot осуществляется обнаружение следующих типов атак:

непосредственные атаки клиентов сети, заключающиеся в использовании уязвимостей на уровне ОС, таких как уязвимости администрирующего ПО или драйверов беспроводного интерфейса;

атаки, сосредоточенные на беспроводной инфраструктуре (например, точке беспроводного доступа);

атаки, направленные на обход средств защиты (например, МЭ), с целью незаконного получения полного доступа к сети.

С помощью Private HoneySpot обнаруживают:

непосредственные атаки клиентов сети, заключающиеся в использовании уязвимостей на уровне ОС, таких как уязвимости администрирующего ПО или драйверов беспроводного интерфейса;

атаки, сосредоточенные на беспроводной инфраструктуре (например, точке беспроводного доступа);

атаки, направленные на эксплуатацию уязвимостей на уровне протоколов, такие как слабость протоколов WEP или WPA/2, или механизмов аутентификации, предлагаемых WEP, WPA/2 WPA/2 pre-shared keys, или 802.1X/EAP;

атаки, направленные на обход других механизмов безопасности, используемые в беспроводных сетях, такие как фильтрация по MAC адресу, отключение SSID broadcast (широковещательная информация о зоне обслуживания) и т.д, с целью получения доступа к сети на 2 уровне ЭМВОС.

Архитектура беспроводной ЛИС HoneySpot представлена на рис. 1.15. Основными элементами ЛИС являются:

беспроводная точка доступа (WAP) как средство организации беспроводной инфраструктуры (может использоваться от одной до нескольких штук);

модуль беспроводного клиента (WC), выполняющий симуляцию трафика в беспроводной сети, который обеспечивает необходимый минимум информации злоумышленнику для осуществления атак, характерных для беспроводных сетей, таких как взлом ключей протокола WEP методом повторной отправки перехваченных пакетов сообщений;

беспроводной регистратор (WMON), осуществляющий перехват и регистрацию всего трафика в сети для его анализа в режиме реального времени и анализа в последующем;

модуль анализа данных (WDA), выполняющий функцию анализа трафика, получаемого от регистратора, и выявления несанкционированной активности;

модуль проводной архитектуры (WI), выполняющий функции имитации проводной сети, к которой подключена беспроводная (может понадобиться еще и в случае, когда атака на беспроводную сеть привела к нарушению ее функционирования).

Известны еще, по крайней мере, два проекта, осуществляющие исследования атак в беспроводных сетях с помощью ЛИС [23,24].

Отлов вредоносного программного обеспечения

Наверное наиболее широко распространенным является вариант применения ЛИС для отлова нового вредоносного ПО [25,26].

Корпорация Microsoft развернула проект Strider Honeymonkey Exploit Detection System (SHEDS). Речь идёт об автоматической системе поиска сайтов, распространяющих программы с потенциально опасными последствиями, например, трояны или эксплоиты.

Рисунок 1.15 - Архитектура беспроводной ЛИС HoneySpot

Отличие SHEDS от проекта Honeynet состоит в следующем. «Пассивная» сеть Honeynet работает как приманка - пассивно дожидается заражения. Узлы «активной» сети SHEDS сами «ищут неприятности». Эти узлы в автоматическом режиме просматривают «сомнительные» ресурсы сети Интернет пытаясь найти сайты, заражающие компьютеры.

Основная идея проекта состоит в том, чтобы обнаруживать новые эксплойты, трояны и spyware до того, как те получат изрядное распространение.

ЛИС в SCADA системах

Известны также исследования направленные на создание ЛИС для автоматизированных систем управления технологическими процессами (SCADA systems) [27]. Целью проекта является сбор информации об уязвимостях и недостатках архитектуры современных SCADA систем с точки зрения безопасности. В рамках работы ведтуся работы по созданию инструментов, позволяющих имитировать клиент-серверные АСУ ТП (SCADA), распределенные АСУ ТП (DCS), и программируемые логические контроллеры (PLC). Работу над проектом ведут специалисты Cisco Systems, Inc.

1.4 Роль и место ЛИС в защите ИВС. Постановка задачи

Из проведенного в п. 1.2 анализа можно сделать вывод, что направление защиты информации развития объекта защиты в современных ИВС практически не реализовано, решаются лишь задачи блокирования несанкционированного доступа к обрабатываемой информации и к элементам ИВС.

В то же время анализ возможностей существующих ЛИС показывает, что ЛИС могли бы взять на себя функции предупреждения атак на элементы ИВС, существенно повысив таким образом их безопасность.

Таким образом, результаты анализа условий функционирования современных ИВС, проведенного в первом разделе работы, позволили сформулировать следующую задачу на дипломное проектирование: разработка методов и алгоритмов функционирования ложных информационных систем.

Выводы по разделу

1. Рассмотрена структура типовой ИВС и структурная модель угроз информации в ИВС.

2. Проведенный анализ современных подходов к защите ИВС показал, что большинство средств защиты направлены решение задачи управления доступом к информации, в то же время направление предупреждения угроз методами введения нарушителей в заблуждение не развиты.

3. Анализ современных ложных информационных систем показал, что они могли бы решать задачи защиты ИВС методами введения в заблуждение, однако на сегодняшний день им, как правило, отводится роль приманок, применяемых в целях изучения возможностей злоумышленников.

4. Сделаны выводы о необходимости разработки методов и алгоритмов функционирования ложных информационных систем.

2. РАЗРАБОТКА АЛГОРИТМОВ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ МЕТОДАМИ ВВЕДЕНИЯ НАРУШИТЕЛЕЙ В ЗАБЛУЖДЕНИЕ

Реализация предлагаемого подхода требует, чтобы ЛИС были неотъемлемой частью системы защиты ИВС. Их роль должна заключаться в заблаговременном формировании в ИВС обстановки, которая позволит минимизировать потери на этапе осуществления нарушителем деструктивных воздействий на элементы ИВС.

Тесное взаимодействие системы защиты и ЛИС должно позволить выявить активность противника и направить ее на ложные объекты.

Далее, когда речь уже идет о реализации атаки на реальные или ложные элементы системы, роль ЛИС заключается в том, что система защиты должна выявлять атаки или разведку и переводить их в ЛИС, снижая их эффективность для нарушителя и предоставляя дополнительное время для формирования модели поведения защиты.

2.1 Методы введения нарушителей в заблуждение

На рис. 2.1 проиллюстрован пример реализации угроз распределенной ИВС в которую входят три ЛВС, состоящих из оборудования связи и автоматизации управления, а также оконечного телекоммуникационного оборудования, обеспечивающего доступ к ССОП. ССОП представляет собой совокупность транзитных узлов (маршрутизаторов), образующих единую инфраструктуру.

Из рисунка видно, что внешний нарушитель или внутренний нарушитель, находящийся в одной из ЛВС распределенной ИВС, имеют возможность:

осуществления НСД в ЛВС1 и дальнейшего ее исследования;

удаленного доступа в ЛВС1 из доверенной ЛВС;

осуществления различных несанкционированных воздействий (НСВ) на элементы ЛВС1 (НСД, компьютерные атаки и вирусные воздействия).

Рисунок 2.1 - Пример угроз ИВС

Для реализации целей предупреждения НСВ на элементы ЛВС целесообразно использовать ЛИС, которые будут при попытках обращения создавать видимость доступа к ресурсам. Нарушителей, которых можно вводить в заблуждение таким образом можно разделить на три категории.

1. Внешний нарушитель. Определив своей целью ЛВС1 осуществляет действия по более глубокому ее изучению.

2. Внутренний нарушитель. Санкционированный либо несанкционированный пользователь ЛВС1, изучающий ее структуру при помощи специализированного ПО, либо осуществляющий стихийные попытки доступа к ресурсам ЛВС1.

3. Внутренний нарушитель. Санкционированный либо несанкционированный пользователь другой ЛВС, имеющий доступ в защищаемую ЛВС, но также несанкционированно изучающий ее структуру или осуществляющий попытки несанкционированного доступа к ресурсам.

Выявление НСВ всех категорий нарушителей должно приводить к перенаправлению их запросов на ЛИС, которые в дальнейшем будут имитировать взаимодействие с ними. При этом необходимо учесть, что когда нарушитель внутренний, необходимо принять меры не только по пресечению его действий, но и по его выявлению.

На рис. 2.2 представлена схема информационных потоков нарушителей всех описанных выше категорий. Несанкционированные ИП нарушителей должны выявляться модулем обнаружения несанкционированных воздействий (МОНСВ). В МОНСВ реализован механизм перенаправления несанкционированных ИП на модуль введения в заблуждение (МВВЗ) ЛИС, вместо их блокирования, осуществляемого традиционными средствами защиты.

Рисунок 2.2 - Схема информационных потоков нарушителей при использовании ЛИС

МОНСВ как составная часть системы защиты ЛВС может быть выполнен в виде распределенной системы агентов с единым сервером безопасности - сервером ЛИС (рис. 2.3). При этом агенты выделяют идентификационные признаки из ИП, а все решения принимаются сервером безопасности.

Рисунок 2.3 - Пример реализации МОНСВ, основанного на распределенной сети агентов

Другим вариантом решения проблемы может быть сегментирование ЛВС и установка между сегментами единого МОНСВ, перенаправляющего несанкционированные ИП на подключенный к нему МВВЗ (рис. 2.4), либо выполнение сервером ЛИС всех функций в одном месте. Это решение однако обладает недостатком, заключающимся в том, что несанкционированные ИП, не выходящие за пределы сегмента ЛВС не могут быть выявлены таким образом. Но при этом в случае, когда опасность НСВ заключается именно в доступе в другой сегмент, может быть использован и этот подход. Кроме того, в этом случае невозможно выявлять неуспешные попытки доступа к ресурсам ЛВС.

Далее необходимо разработать алгоритмы функционирования ЛИС.

Рисунок 2.4 - Пример реализации МОНСВ, основанного на сегментировании ЛВС

2.2 Алгоритмы функционирования ЛИС

На рис. 2.5 представлена блок-схема обобщенного алгоритма функционирования ЛИС. На начальном этапе в ЛИС необходимо сформировать базу исходных данных об эмулируемых ресурсах. В этой базе должны быть заданы:

-- перечень эмулируемых операционных систем;

- перечень эмулируемых сетевых сервисов для каждой из эмулируемых операционных систем;

- перечень уязвимостей для каждого из эмулируемых сетевых сервисов;

- перечень эмулируемых прикладных систем;

- перечень других эмулируемых ресурсов.

Должны быть также предварительно заданы ресурсы, необходимые для эмуляции (средства эмуляции, алгоритмы эмуляции, алгоритмы выбора эмулируемых ресурсов).

Сложность этого этапа зависит от применяемой технологии ЛИС (от способа эмуляции ресурсов) и вида ресурса, который необходимо эмулировать. Некоторые ресурсы, такие как файлы с данными или базы данных прикладных систем эмулировать слишком сложно, поэтому задача сводится к предварительному формированию базы готовых ресурсов, которые будут использоваться на этапе эмуляции.

Когда все исходные данные сформированы и ЛИС готова к использованию, переходят к этапу выявления попыток осуществления несанкционированных воздействий злоумышленниками.

Выявление несанкционированных воздействий необходимо осуществлять на нескольких уровнях:

выявление нарушений политики межсетевых экранов ИВС;

выявление попыток сканирования состава ИВС;

выявление попыток сканирования портов узлов ИВС;

выявление попыток осуществления компьютерных атак на узлы ИВС (в том числе воздействий вредоносного ПО, такого как сетевые черви, эксплоиты);

выявление несанкционированных попыток осуществления доступа к узлам ИВС;

выявление неуспешных попыток подключения к любым ресурсам (файлы и папки в сетевом доступе, базы данных, прикладные системы), требующим прохождения процедуры аутентификации.

Попытки действий, нарушающих политику межсетевого экрана однозначно указывают на несанкционированную деятельность в сети, будь то реальные действия злоумышленника, случайные или преднамеренные действия сотрудника организации, поэтому при их выявлении МОНСВ должно приниматься решение о введении такого нарушителя в заблуждении, т.е. перенаправления его запросов в ЛИС. То же самое касается и политик персональных межсетевых экранов, которые могут также входить в систему элементов МОНСВ. Межсетевые экраны повсеместно используются для контроля межсетевого взаимодействия, поэтому описывать суть их политик здесь нет необходимости. В данном случае важно лишь предусмотреть взаимодействие межсетевого экрана и ЛИС.

Сканирование состава ЛИС может не противоречить напрямую политике межсетевых экранов, однако в большинстве случаев не может рассматриваться как санкционированная деятельность. В связи с этим должны быть предусмотрены механизмы выявления попыток сканирования. Как правило, сканирование диапазона сетевых адресов в большинстве средств сканирования по умолчанию осуществляется по возрастанию адресов начиная с 1 (например, с IP адреса 192.168.0.1 по адрес 192.168.0.255). При этом первый адрес обычно резервируется под сервер. Таким образом, если оставить этот адрес в сети пустым, остается лишь предусмотреть выявление попыток обращения к первому адресу сети и воспринимать его как попытку сканирования. В специализированных сканерах безопасности в связи с тем, что сканирование диапазона адресов подряд может быть воспринято системой обнаружения атак как атака, предусмотрены механизмы сканирования всего диапазона, но по случайному алгоритму. В этом случае сканирование не будет начинаться с первого адреса в сети. В связи с этим в СОА можно предусмотреть перечень адресов, существующих в сети, а все попытки обращения к адресам, которых в этом перечне нет рассматривать как попытки сканирования сети.

Сканирование портов также является признаком несанкционированной деятельности в сети, и также может осуществляться как последовательным, так и случайным образом. Необходимо предусмотреть аналогичные механизмы выявления сканирования портов узлов ИВС.

Для выполнения двух указанных выше задач в составе МОНСВ должны быть предусмотрены сенсоры СОА на сетевом и/или узловом уровнях, которые должны осуществлять взаимодействие с МВВЗ.

Компьютерные атаки и другие деструктивные воздействия также должны обнаруживаться СОА. Задача также должна решаться сенсорами.

Попытки несанкционированного осуществления доступа к узлам ИВС и их ресурсам традиционно блокируются в результате непрохождения нарушителем процедуры аутентификации. Необходимо предусмотреть идентификацию таких событий и реализовать механизмы перенаправления нарушителя в МВВЗ. Идентификация указанных событий традиционно реализуется средствами защиты информации от несанкционированного доступа.

Еще одним методом выявления несанкционированных действий является анализ регистрационной информации в журналах аудита безопасности всех устройств и средств защиты в ИВС и ее сопоставление. События, зарегистрированные на одном узле сети могут не классифицироваться как несанкционированные действия, но в совокупности с событиями другого узла могут говорить об атаке. Например, ICMP-запрос Echo-Reply (ping-запрос) к одному узлу ИВС еще не атака, но последовательная отправка такого запроса ко всем узлам сети уже говорит о сканировании состава ИВС.

Запоминание злоумышленника - этап, необходимый для того, чтобы выявив несанкционированные воздействия и их источник, в дальнейшем система расценивала все его действия как несанкционированные и осуществляла введение его в заблуждение. Это позволяет не допустить дальнейших действий нарушителя, даже если они не будут распознаны системой как враждебные.

На следующем этапе система уведомляет администратора ИБ об инциденте для того, чтобы он начал предпринимать действия по выявлению источника атаки и предотвращению потерь в результате ее осуществления.

После того, как факт несанкционированного воздействия или попытки его осуществления установлен, вступает в игру МВВЗ, который, во-первых, позволяет минимизировать потери в реальной системе за счет отвлечения злоумышленника на эмулируемые ресурсы, а во-вторых, позволяет выиграть время, необходимое администратору ИБ на расследование зарегистрированного инцидента. Алгоритмы функционирования ЛИС при эмуляции некоторых ресурсов представлены ниже.

Вся деятельность злоумышленника по отношению к эмулируемым ресурсам должна быть зарегистрирована. Для этого применяются усиленные механизмы аудита событий и скрытая передача регистрируемой информации из ложных объектов в защищенное хранилище, которое не может быть выявлено и вскрыто злоумышленником.

Таким образом, ЛИС позволяет достичь основной цели - предупреждения атаки, путем заблаговременного формирования среды, позволяющей при выявлении несанкционированных действий нарушителя направлять их на ложные объекты ИВС, а также предоставления администратору ИБ временных ресурсов и необходимых улик для расследования инцидента.

2.2.1 Алгоритм эмуляции узлов ИВС

На рис. 2.6 представлена блок-схема алгоритма эмуляции узлов ИВС.

Средствами МОНСВ отслеживается все сетевая активность. При приеме каждого очередного запроса система анализирует его на предмет того, не является ли источник этой активности уже зарегистрированным в системе злоумышленником.

В случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней.

В случае если признаков несанкционированного воздействия в анализируемом запросе не выявлено, он передается дальше к элементам ИВС.

В соответствии с описанным выше обобщенным алгоритмом функционирования ЛИС при выявлении признаков несанкционированных воздействий в анализируемом запросе адрес источника активности запоминают и оповещают об инциденте администратора ИБ.

Далее идентифицируется тип несанкционированного воздействия. В случае, если выявляется попытка сканирования сети, принимается решение о введении нарушителя в заблуждение относительно состава ИВС. Для этого случайным образом формируется перечень адресов, на которых будут эмулироваться ложные объекты ИВС, после чего переходят к приему очередного запроса.

Рисунок 2.6 - Блок схема алгоритма эмуляции узлов ИВС

В случае если выявленная активность не является сканированием сети, происходит эмуляция узлов сети, для того, чтобы осуществляя анализ узла ИВС, злоумышленник убедился в его наличии.

Эмуляция узлов сети выполняется последовательно (рис. 2.7). Случайным образом из предварительно заданного перечня эмулируемых ресурсов выбирается операционная система. Далее для эмуляции выбираются сервисы, которые присущи выбранной операционной системе, и эмулируются в рамках того же узла, после чего из перечня известных уязвимостей каждого сервиса выбираются уязвимости (или наборы уязвимостей) и также эмулируются.

Рисунок 2.7 - Пространство эмулируемых признаков узла ИВС

Далее запрос злоумышленника направляется в эмулированный узел ИВС, а его деятельность в системе в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС осуществляется регистрация действий нарушителя.

2.2.2 Алгоритм эмуляции прикладных систем

На рис. 2.8 представлена блок-схема алгоритма эмуляции прикладных систем.

Активность пользователей также как и в предыдущем случае отслеживается средствами МОНСВ, а именно компонентами, отвечающими за аутентификацию пользователей в прикладных системах.

В случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней, а именно: определяется правильные ли аутентификационные данные введены пользователем.

Рисунок 2.8 - Блок схема алгоритма эмуляции прикладных систем

При нормальном прохождении процедуры аутентификации пользователем ему предоставляется обычный доступ к прикладной системе.

В случае если пользователь вводит неправильные аутентификационные данные, его адрес запоминают и оповещают об инциденте администратора ИБ. На самом деле однократная ошибка пользователя при вводе логина и пароля - обычное дело, всего лишь опечатка. Поэтому в системе должен быть предусмотрен счетчик неудачных попыток аутентификации и система должна принимать решение о введении пользователя в заблуждение лишь с третьей или пятой неудачной попытки аутентификации, т.е. в случае, когда явно осуществляется попытка подбора пароля.

Далее осуществляют эмуляцию интерфейса прикладной системы. Осуществление взаимодействия пользователя с ложным интерфейсом прикладной системы которая может быть реализовано двумя способами:

предоставлением доступа ложного интерфейса прикладной системы к ложной базе данных, сформированной на предварительном этапе в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС;

выдача сообщения о неизвестной ошибке, произошедшей при подключении к БД.

Первый вариант взаимодействия достаточно сложен в реализации, к тому же с одной стороны нарушитель будет считать, что получил доступ в систему, но с другой стороны он может определить, что база данных является ложной. Далее все возможные действия злоумышленника в системе регистрируются.

Второй вариант взаимодействия с одной стороны не позволяет надолго привлечь внимание злоумышленника, а с другой стороны две-три попытки доступа к системе, приводящие к такому результату явно указывают на несанкционированную активность.

2.2.3 Алгоритм эмуляции файловых ресурсов

Блок схема алгоритма эмуляции файловых ресурсов представлена на рис. 2.9.

Активность пользователей также как и в предыдущих случаях отслеживается средствами МОНСВ, а именно компонентами, отвечающими за защиту информации от несанкционированного доступа.

Рисунок 2.9 - Блок схема алгоритма эмуляции файловых ресурсов

В случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней, а именно: определяется имеет ли пользователь, обращающийся к ресурсу, соответствующие права доступа.

При наличии у пользователя прав доступа ему предоставляется возможность работы с файлом.

В обратном случае адрес нарушителя запоминают и оповещают об инциденте администратора ИБ.

Далее осуществляют эмуляцию доступа нарушителя к файлу, которая может быть выполнена двумя способами:

предоставление доступа к ложному файлу, предварительно созданному в базе данных ЛИС в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС, при этом ложному файлу присваивают имя файла, к которому злоумышленник запросил доступ;

формирование файла такого же размера с таким же названием и расширением, который при этом не будет открываться, т.е. формирование случайного массива данных с расширением запрашиваемого файла.

Первый вариант сложнее в реализации в связи с тем, что необходимо достаточно быстро сгенерировать (найти) файл такого же объема и с таким же расширением в базе данных ЛИС, что практически невозможно без снятия какого либо из ограничений.

Второй вариант намного проще в реализации и позволяет зафиксировать неоднократную попытку пользователя открыть файл в ответ на сообщение об ошибке при открытии, а это указывает на несанкционированную деятельность пользователя.

2.3 Разработка требований к реализации базовых функций ЛИС

Базовые функции ЛИС должны включать в себя:

прослушивание сетевого трафика и захват данных для последующего анализа (фиксация действий нарушителя);

сбор и объединение данных от различных программных и аппаратных компонентов целевой АС;

переадресация несанкционированных запросов на компоненты ЛИС;

контроль действий нарушителя, в том числе оповещение администратора о компрометации, блокирование действий нарушителя;

обнаружение несанкционированных запросов и атак, включая атаки, осуществляемые по криптографическим соединениям;

заманивание и автоматическое реагирование на действия нарушителя с введением его в заблуждение (обмана).

Прослушивание сетевого трафика и захват данных для последующего анализа (фиксация действий нарушителя).

Для прослушивания и захвата сетевого трафика целесообразно использовать программу типа tcpdump [Tcpdump] (для Unix-платформы), либо ее аналог windump [Windump] (для Windows-платформы). Для более детального анализа трафика необходимо применять : несколько сенсоров, производящих «прослушивание» сети, например: один перед граничным хостом, второй -- в демилитаризованной зоне (ДМЗ). третий -- в локальной вычислительной сети. Для создания модулей формирования, обработки и отправки пакетов требуется использование библиотеки типа Libnet (для UNIX-платформ). либо ее аналога libnelNT (для Windows-платформы) Последняя для своей работы требует наличие Winpcap.

Для создания модулей «прослушивания» и захвата сетевых пакетом можно применить библиотеку типа Libpcap (для Unix-платформы) или Winpcap (для Windows-платформы).

Сбор и объединение данных от различных программных и аппаратных компонентов целевой АС.

Сбор и объединение данных от различных программных и аппаратных
компонентов АС (сенсоров, МЭ, СОА, маршрутизаторов и др.) гарантирует,
что можно обнаружить и зарегистрировать все действия нарушителей, даже если они замаскированы или зашифрованы. Задача сбора и объединения данных является одной из наиболее сложных в реализации ЛИС. Связано это с тем, что существует множество источников данных, уровней обработки информации, на текущий момент существует множество несовместимых между собой форматов данных, используемых различными компонентами информационных систем. При реализации требуется выделить не менее трёх основных типов данных, которые необходимо собирать, обрабатывать и объединять:

дамп сетевого трафика (из нескольких источников);

журналы регистрации событий операционных систем;

журналы регистрации событий различных приложений (систем обнаружения вторжений, межсетевых экранов, баз данных и др.).

Для обеспечения эффективной фиксации действий нарушителей необходимо использовать несколько различных уровней сбора данных.

Первый уровень - это шлюз на границе периметра защищаемой сети.
Сетевые пакеты на данном уровне могут отслеживаться с использованием
МЭ и СОА. Здесь пассивно просматривается сетевой трафик, который поступает в сеть, идентифицируются и блокируют удаленные атаки. Использование данного уровня обеспечивает запись и регистрацию всех
действий нарушителей для последующего анализа. В частности, шлюз позволяет восстанавливать такие данные, как учетные записи и пароли к примеру, из открытых протоколов, таких как IRC, НTTP или telnet.

По журналу регистрации, содержащему информацию о передаче файлов, можно восстановить, какой инструментарий применялся нарушителем. Даже при использовании зашифрованных протоколов, с помощью пассивного анализа характерных признаков пакетов возможно определить тип атакующей системы и ее возможное местонахождение.

Второй уровень сбора данных - это журнал регистрации мостового (граничного) компонента второго уровня, реализуемого, например, на основе использования МЭ или СОА. Этот компонент должен иметь механизм фильтрации и модификации пакетов, позволяющий блокировать исходящие соединения при обнаружении определенной сигнатуры (например, достижении установленного предельного числа исходящих соединений) и (или) изменять содержимое сетевых пакетов, обезвреживая атаки. Тот же самый механизм может использоваться для регистрации всех входящих и исходящих соединений.

Входящие соединения содержат важную информацию, поскольку с их помощью, скорее всего, выполняется несанкционированная деятельность или атаки. Исходящие соединения имеют еще большее значение, поскольку могут свидетельствовать о проникновении нарушителя в ЛИС и поскольку исходящее соединение инициирует хакер.

Третий уровень предназначен для сбора информации о деятельности нарушителя в системе, в том числе о командах, инициированных нарушителем. Нарушители, чтобы скрыть свои действия, могут использовать шифрование и такие протоколы, как SSH и HTTPS. Например, как только нарушитель проник на узел ЛИС, он может осуществлять удаленное администрирование системы с помощью SSH. Для решения этой проблемы можно использовать специальные модули ядра ОС, устанавливаемые на хостах, которые могут стать объектами атак. Эти модули накапливают информацию обо всей деятельности нарушителей.

Информацию, которую собирают модули ядра, нельзя сохранять локально на хосте, поскольку нарушитель может обнаружить и удалить или изменить эту информацию. Поэтому указанную информацию необходимо удаленно собирать на защищенной системе, причем так, чтобы нарушитель об этом не знал. Это должны выполнять компоненты второго уровня. Они таким образом действуют как сетевой анализатор, накапливающий сведения и регистрирующий всю деятельность нарушителей, записывая в том числе все пакеты, сгенерированные модулями ядра.

Однако, нарушители могут проанализировать трафик в ЛИС и обнаружить, что в пересылаемых пакетах содержатся сведения об их собственной деятельности. Чтобы воспрепятствовать этому, модуль ядра должен маскировать пакеты, например, под трафик NetBIOS, передаваемый из других систем. Причем IP- и МАС-адреса отправителей и получателей могут маскироваться под адреса локального сервера Windows, а данные, содержащиеся в пакетах, - шифроваться. В этом случае, даже если нарушитель осуществляет перехват и анализ пакетов, то для него они будут выглядеть как обычный трафик.

Эти многочисленные уровни сбора данных гарантируют, что будет получено истинное представление о деятельности нарушителей. Важным аспектом в решении поставленной задачи является возможность использования стандартных средств операционных систем для сбора журналов регистрации событий. В качестве подобных средств можно использовать программный пакет такой как syslog-ng, способный собирать журналы регистрации событий с ОС Linux на одном выделенном сервере. Для операционных систем Windows существует несколько клиентов, работающих совместно с syslog-ng.

Подобная связка позволяет практически для любой конфигурации защищаемой сети использовать одинаковый механизм регистрации событий на уровне ОС. Необходимо также, чтобы такие компоненты ЛИС, как антивирусное ПО, сервисы и приложения, системы контроля целостности файлов и др. также записывали события, отражающие их работу, в журналы регистрации событий.

Таким образом, на одном выделенном сервере должны быть сосредоточены дампы сетевого трафика с нескольких хостов сети и общий для всей сети журнал регистрации событий, что позволит администратору иметь общую картину о состоянии сети на любой момент времени.

Контроль действий нарушителя, в том числе оповещение администратора о компрометации, блокирование действий нарушителя

Цель контроля действий нарушителя - снизить риск несанкционированного использования ЛИС. Для этого необходимо гарантировать, что после того, как нарушитель проник в ЛИС, он не сможет использовать ее ресурсы для реализации атак на другие системы. Поскольку необходимо предоставить нарушителям возможность попасть в ЛИС, но не позволить им проникнуть дальше и нанести вред другим системам, необходимо изолировать данные системы. Эта задача может быть выполнена с помощью дополнительного мостового (граничного) компонента ЛИС (сенсора ЛИС), реализуемого, например: на основе использования МЭ или СОА. Этот компонент реализует фильтрацию и модификацию исходящих сетевых пакетов, обеспечивая блокировку исходящих соединений при обнаружении определенной сигнатуры и (или) изменение содержимого сетевых пакетов для обезвреживания атак. Поскольку мост действует на втором уровне передачи пакетов, не происходит никакого замедления при маршрутизации пакетов или появления МАС-адресов, которые может идентифицировать нарушитель. Следовательно, мост позволяет злоумышленникам проникнуть в сеть, но и дает возможность контролировать их действия и исходящий трафик. Основной принцип реализации механизмов контроля данных состоит в предоставлении нарушителям свободы действий в ЛИС и в то же время недопущении нанесения вреда другим системам.

Заманивание и автоматическое реагирование на действия нарушителя с введением его в заблуждение (обмана).

При обмане нарушителя должно осуществляться его заманивание за счет имитации различных уязвимостей, сокрытие реальной структуры защищаемой АС и ее ресурсов, введение нарушителя в заблуждение и навязывание ему ложной информации за счет эмуляции несуществующих сетевых сегментов, серверов, рабочих станций, их уязвимостей, защищённости от НСД и передаваемого трафика.

Выводы по разделу

1. Сформулированы методы введения нарушителей в заблуждение, определившие основные задачи ложных информационных систем.

2. Разработан обобщенный алгоритм функционирования ложной информационной системы, подробно описывающий методы выявления несанкционированных воздействий.

3. Разработаны алгоритмы эмуляции ложной информационной системой узлов информационно-вычислительной системы, прикладных систем и файловых ресурсов, позволяющие решать задачи введения противника в заблуждение и предупреждения таким образом несанкционированных воздействий на элементы информационно-вычислительной системы.

4. Сформулированы требования к реализации базовых функций ложных информационных систем.

ЗАКЛЮЧЕНИЕ

В дипломном проекте была описана типовая структура вычислительной системы и структурная модель угроз информационным ресурсам информационно-вычислительных систем.

Проведен анализ современных подходов к защите информационно-вычислительных систем, который показывает, что большинство средств защиты направлены решение задачи управления доступом к информации. В то же время направление предупреждения угроз методами введения нарушителей в заблуждение не развиты.

Обширный анализ современных ложных информационных систем позволил выявить, что ложные информационные системы могли бы решать задачи защиты информационно-вычислительных систем методами введения в заблуждение, однако на сегодняшний день им, как правило, отводится роль приманок, применяемых в целях изучения возможностей злоумышленников.

Разработанный алгоритм функционирования ложной информационной системы и алгоритмы эмуляции ложной информационной системой узлов информационно-вычислительной системы, прикладных систем и файловых ресурсов, позволяют решать задачи введения противника в заблуждение и предупреждения таким образом несанкционированных воздействий на элементы информационно-вычислительной системы.

Экономическая эффективность применения предложенных технических решений обоснована.

Таким образом, поставленные на дипломное проектирование задачи выполнены, а цель дипломного проекта достигнута - разработаны алгоритмы защиты информационно-вычислительных систем методами введения нарушителей в заблуждение, применение которых позволяет снять ряд существенных противоречий в области защиты информации.

Список использованных источников

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. - СПб.: Питер, 2003.-864 с.: ил.

Лукацкий А. В. Обнаружение атак. - СПб. : БХВ - Петербург, 2001. - 624 с.: ил.

А.В.Лукацкий. Обман - прерогатива не только хакеров http://bugtraq.ru/library/security/luka/dtk.html

L.Spitzner, Honeypots: Tracking Hackers, Addison-Wesley, 2002 www.tracking-hackers.com/book

Patrick Diebold. Usage of Honeypots for Detection and Analysis of Unknown Security Attacks. http://user.cs.tu-berlin.de/~dakkonbb/honeypot/diploma.pdf

VMware Inc. VMware workstation. http://www.vmware.com/support/

Jeff Dike. User-mode-linux. http://user-mode-linux.sourceforge.net

Honeynet project. Honeypot extensions for user-mode-linux. http://user-modelinux.sourceforge.net/honeypots.html

Lance Spitzner. Dynamic honeypots. http://www.tracking-hackers.com/-papers/, 2003

Lance Spitzner. Honeypot farms. http://www.tracking-hackers.com/papers/, 2003

Alberto Gonzalez Jack Whitsitt. Bait'n'switch. Technical report, Team Violating. http://baitnswitch.sf.net

Miyake Takemori, Rikitake and Nakao. Intrusion trap system: An efficient platform for gathering intrusion related information. Technical report, KDDI R and D Laboratories Inc., 2003

Christian Kreibich. Honeycomb - automated NIDS signature creation using honeypots. Technical report, 2003

Дмитрий Евтеев, Сергей Гордейчик. Защита Internet Explorer 8. Анализ эффективности. http://www.interface.ru/home.asp?artId=18968

Евтеев Дмитрий. Развертывание honeynet на FreeBSD. http://www.securitylab.ru/contest/266417.php

Botnet Detection Combining DNS and Honeypot Data NTT Information Sharing Platform Labs. Keisuke ISHIBASHI, Tsuyoshi TOYONO, and Makoto IWAMURA https://www.dns-oarc.net/files/workshop-2008/ishibashi.pdf

J. Kristoff, “Botnets, detection and mitigation: DNS-based techniques,” Information Security Day, Northwestern University, July, 2005

Nicolas Fishbach. Building an Early Warning System in a Service Provider Network. http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-fischbach-up.pdf

Honeyd Research: Honeypots Against Spam http://www.honeyd.org/spam.php

Jean-Marc Seigneur, Anselm Lambert, Patroklos G. Argyroudis, Christian D. JensenPR3 Email Honeypot. https://www.cs.tcd.ie/publications/tech-reports/reports.03/TCD-CS-2003-39.pdf

HoneySpot: The Wireless Honeypot. Monitoring the Attacker's Activities in Wireless Networks. A design and architectural overview http://honeynet.org.es/papers/honeyspot/HoneySpot_20071217.pdf

The Spanish Honeynet Project (SHP) http://www.honeynet.org.es

http://www.blackalchemy.to/project/fakeap,

http://www.securityfocus.com/infocus/1761

Использование Nepenthes Honeypots для обнаружения злонамеренного ПО. http://security.tsu.ru/?newsid=71

Microsoft автоматизировала охоту на эксплойты. http://www.xakep.ru/post/27699/default.asp, 2005

SCADA HoneyNet Project: Building Honeypots for Industrial Networks. http://scadahoneynet.sourceforge.net

1. Размещено на www.allbest.ru