ЗАЩИТА ДАННЫХ
В последние несколько лет наметилась тенденция к увеличению числа информационных атак на ИС, что привело к интенсификации разработки более эффективных инструментов противодействия нарушителям. К таким инструментам относятся системы обнаружения атак (СОА), представляющие собой программно-аппаратные комплексы, предназначенные для выявления несанкционированных действий в ИС. Типовая архитектура СОА включает в себя как минимум пять групп функциональных компонентов (рис. 1):
- модули-датчики (или модули-сенсоры) для сбора необходимой информации о функционировании ИС;
- модули выявления атак, осуществляющие обработку данных, собранных датчиками, с целью обнаружения информационных атак нарушителя;
- модули реагирования на обнаруженные атаки;
- базу данных, в которой хранится вся информация, собранная датчиками системы, а также информация о работе СОА;
- модули управления компонентами СОА.
Рис. 1. Обобщенная архитектура системы обнаружения атак
Все эти компоненты могут быть территориально и функционально распределены в ИС.
Функционирование СОА основано, как показано на рис. 1, на информации, собранной ее модулями-датчиками. От того, насколько быстро и качественно датчики смогут предоставить исходную информацию модулям выявления атак, во многом зависит эффективность работы всей СОА. Рассмотрим, какие типы модулей-датчиков могут быть использованы в СОА.
Типы модулей-датчиков
Существует два типа модулей-датчиков СОА - сетевые и хостовые. Сетевые датчики (СД) предназначены для сбора информации о пакетах данных, передаваемых в пределах сетевого сегмента, где установлен датчик. Как правило, СД собирает информацию при помощи сетевого адаптера, у которого отсутствует IP-адрес и который функционирует в так называемом смешанном режиме (promiscuous mode). Управление же датчиком осуществляется по выделенному сетевому интерфейсу с заданным IP-адресом. Такой метод установки делает СД невидимым для нарушителей и исключает возможность успешной сетевой атаки на СД. Для эффективного функционирования необходимо, чтобы весь трафик сегмента проходил через СД. Можно назвать три базовых способа подключения СД к каналу связи:
- подключение СД к одному из портов концентратора сетевого сегмента;
- подключение СД к SPAN-порту коммутатора;
- установка СД непосредственно в канал связи.
Основные характеристики сетевых и хостовых датчиков
Примерами СОА, базирующихся на СД и подключаемых при помощи концентраторов или SPAN-портов коммутатора, могут служить программные продукты Snort (www.snort.org) и NetProwler (www.symantec.com). Примером СОА, СД которой устанавливаются в канал связи, является система IntruShield (www.intruvert.com).
Хостовые датчики (ХД) устанавливаются на определенные компьютеры в ИС и предназначаются для сбора информации о событиях, возникающих на этом сервере. На одном узле может присутствовать одновременно несколько ХД, собирающих информацию из различных источников. В качестве примера СОА, использующих хостовые датчики, можно привести систему IntruderAlert (www.symantec.com).
Сравнительные характеристики СД и ХД при различных критериях активности отражены в таблице.
Так как СД и ХД имеют и недостатки и преимущества, на практике, например в системе RealSecure компании ISS (www.iss.net), используются оба типа датчиков. Типовая схема размещения датчиков в этом случае предполагает установку СД до и после межсетевого экрана, что позволяет обеспечить контроль его функционирования и защиту, а также в сегментах, включающих в себя большое число узлов, где установка ХД нецелесообразна. Хостовые датчики устанавливаются на критических серверах ИС. Типовая схема размещения в ИС датчиков обоих типов показана на рис. 2.
Рис. 2. Типовая схема размещения датчиков в ИС
Методы сбора информации датчиками СОА
СД обеспечивают сбор информации о передаваемых пакетах данных путем перехвата этих пакетов на канальном уровне модели OSI. Метод реализации СД в большинстве своем зависит от конкретного типа ОС.
Напомним, что ХД осуществляют сбор информации о событиях, происходящих на том узле, на котором они установлены. Источниками информации здесь могут выступать приложения, запущенные на сервере, системные сервисы ОС, аппаратные ресурсы и др. Сбор исходной информации может выполняться ХД двумя способами: напрямую от источника или опосредованно через промежуточные ПО.
В последнем случае датчик использует вспомогательные информационные ресурсы хоста. Как правило, в роли таких ресурсов выступают журналы аудита ОС тех компьютеров, на которых установлен ХД. Основной недостаток такого метода сбора информации - невозможность регистрации событий в реальном времени, поскольку прежде чем информация о событии будет записана в журнал, проходит какой-то период, которого может быть достаточно для успешного завершения атаки нарушителя. Кроме того, при использовании опосредованного метода сбора информации нарушитель может исказить содержимое журналов аудита, что приведет к тому, что датчик не сможет собрать информацию, необходимую для обнаружения атаки нарушителя. Следует отметить, что большинство ХД СОА реализуют опосредованный метод сбора исходной информации.
При использовании прямого метода ХД получают нужную им информацию непосредственно от заданного источника. Этот метод лишен недостатков рассмотренного выше опосредованного способа сбора данных, а также обеспечивает доступ непосредственно к той информации, которая действительно требуется для СОА. И тем не менее реализация этого метода приводит к необходимости расширения функциональных возможностей датчика и соответственно к увеличению количества потребляемых программно-аппаратных ресурсов хоста, где он установлен. Практическая же реализация прямого метода сбора информации гораздо более трудоемка. В этом случае компромиссом будет одновременное использование двух методов. Примером СОА, датчики которой реализуют подобный подход, является система Entercept (www.entercept.co.uk). Все это позволяет сделать вывод о том, что несмотря на имеющиеся недостатки, ХД, реализующие прямой метод доступа к информации, более эффективно обеспечивают сбор данных для своевременного обнаружения атак нарушителя.
Методы реализации хостовых датчиков в СОА
В принципе ХД могут быть условно разделены на два типа - интегрированные и внешние. Тип ХД определяется методом его реализации. Интегрированные ХД встраиваются в ОС или приложения, уже запущенные на хосте, в то время как внешние датчики устанавливаются в виде отдельных автономных приложений. К преимуществам интегрированных ХД по сравнению с внешними можно отнести:
- меньший размер исполняемого кода датчика;
- меньший объем оперативной памяти хоста, занимаемой датчиком;
- возможность доступа к большему объему данных, необходимых для обнаружения атаки.
Поскольку применение интегрированных датчиков требует фактической модификации исходных кодов ОС и приложений, они могут быть использованы только в UNIX-системах с открытыми кодами. Кроме того, очевидным недостатком датчиков этого типа является высокая сложность их реализации. Пример СОА, базирующейся на интегрированных датчиках, - система AAFID (cerias.purdue.edu).
Поэтому, несмотря на широту функциональных возможностей интегрированных ХД, в СОА более эффективно, по мнению автора, использование внешних датчиков.
Заключение
На примерах действующих коммерческих и академических СОА видно, что наибольшим потенциалом обладают те СОА, которые одновременно используют и хостовые, и сетевые датчики. Надо в этой связи подчеркнуть, что для достижения большего эффекта ХД СОА должны использовать прямой метод доступа к информации и реализовываться в виде внешних компонентов системы.
Однако следует иметь в виду, что выбор метода сбора информации, предназначенной для обнаружения атак, является необходимым, но отнюдь не достаточным условием для построения высокоэффективных СОА. Уровень эффективности СОА частично зависит и от ряда других компонентов системы, например модуля выявления атак, отвечающего за обработку данных, собранных датчиками, и модуля реагирования на обнаруженные атаки. Только качественная реализация всех этих компонентов системы позволит спроектировать СОА, способную эффективно решать задачи противодействия информационным атакам нарушителей.