Атаки на мережу і хости не завжди можливо перехопити під час їх проведення за допомогою брандмауерів та іншого інструментарію захисту. Виявлення атак здатне стати вашими очима і вухами. Якщо тільки ви не живете в маленькому містечку, де кожен знає кожного, то напевно замикаєте вхідні двері на замок. Але якщо хтось вдерся в ваш будинок у вашу відсутність, то ви нічого не будете знати про це, поки не повернетеся додому і не побачите розкидані по всій квартирі речі.

Однак багатьох людей така постановка питання не задовольняє. Щоб дізнатися про грабіж вчасно, вони встановлюють системи сигналізації для негайного сповіщення поліції про будь-які підозрілі дії. Комерційні підприємства часто йдуть ще далі і встановлюють системи спостереження, щоб захопити грабіжників на місці злочину.

Світ інформації також взяв на озброєння цю вельми ефективну модель. Брандмауери та системи ідентифікації можна уподібнити замків та запорів вони не дають проникнути всередину небажаних візитерів і пропускають тільки знайомих. Однак вони не в змозі бачити все, що відбувається в мережевому середовищі. Наприклад, якщо одні атакуючі спеціалізуються на проникненні через брандмауер, то інші його взагалі минуть і проникають за допомогою модемного доступу або іншими шляхами. Крім того, якщо атакуючому вдасться дізнатися пароль і проникнути в закриту в інших відносинах мережу, то система ідентифікації, ні брандмауер не будуть знати про те, що стороння проник всередину і робить щось заборонене.

Інша проблема з брандмауерами полягає в тому, що вони не дуже-то підходять для контролю за активністю усередині корпоративної мережі, звідки, як свідчить статистика, і виходить основна загроза. Подібні атаки можуть бути ініційовані незадоволеними працівниками та іншими людьми, що мають законний доступ в мережу і використовують цей привілей для нанесення шкоди. Брандмауери та системи ідентифікації життєво необхідні, але для постійного контролю за мережевим трафіком і знання про будь-яких нетипових події захист мережі слід зміцнити за допомогою системи виявлення атак (Intrusion Detection System, IDS).

Продукти виявлення атак дозволяють знати про те, що відбувається у вашій мережі. Вони допомагають виявити атаки на підставі заданих ознак (signature) і відомих методів вторгнення, а також ідентифікувати статистичні відхилення від типового поведінки. Вони можуть стежити за такими параметрами, як завантаженість ЦПУ і число і типи проходять через систему пакетів. Крім того, багато продукти виявлення атак протоколюють будь-які підозрілі дії і допомагають таким чином зібрати докази на випадок, якщо згодом зловмисника потрібно переслідувати по суду.

Продукти для виявлення атак тісно пов’язані із спорідненою групою продуктів, зазвичай званих засобами оцінки ризику, або, простіше, сканерами. Якщо продукти виявлення атак дозволяють виявити атаку під час її проведення, то сканери насправді проводять попереджувальний пошук уразливих місць у мережі. Незважаючи на меншу популярність, ніж брандмауери та інші аспекти загальної захисту мережі, продукти для виявлення атак швидко заповнюють свою нішу.

ПРОРИВ НА РИНКУ

Ринок продуктів для виявлення атак зазвичай поділяють на два основних сегменти. Більшість з них призначені для контролю або за хостами і здійснюють моніторинг ОС і додатків, або за мережею і проводять моніторинг трафіку в реальному часі. Проте останнім часом галузь стала пропонувати і так звані гібридні продукти, що поєднують функції обох названих категорій, а також включають компоненти для оцінки ризиків. Як можна уявити, що кожен з типів систем виявлення атак має свої за і проти, але загалом кожен з них виконує дуже корисну службу.

Яку б систему ви ні вибрали, вона повинна володіти всіма переліченими нижче можливостями. По-перше, вона повинна виконуватися безупинно, у фоновому режимі. По-друге, вона повинна бути відмовостійка, іншими словами, в разі краху або збою продукт не потрібно було б перебудовувати або переконфігурувати. По-третє, вона повинна бути не схильна до атак. По-четверте, вона повинна покладати на систему мінімальну додаткове навантаження. Нарешті, система виявлення атак повинна адаптуватися до змін у мережі, додатках і пристроях.

Системи для хостів з’явилися ще до того, як отримали широке поширення розподілені мережі. У 80-х типове виявлення атак на хости полягало в аналізі журналів аудиту на предмет аномальної активності. Цього було цілком достатньо, так як атаки на середовища на базі мейнфреймів були досить рідкісні. Виявлення атак на хости раніше досить популярне, хоча його роль дещо змінилася з тих часів, коли комп’ютерним світом правили мейнфрейми. Сьогодні продукти на базі хостів зазвичай здійснюють контроль за журналами в системах Windows NT і UNIX. Вони переглядають журнальні файли і, при виявленні змін, порівнюють запису з характерними ознаками атак. При виявленні підозрілих дій інструментарій виявлення атак сповіщає системного адміністратора.

Системи виявлення атак на хости заслуговують на увагу з кількох причин. Насамперед, вони можуть повідомити про факт атаки і ступеня її серйозності. Крім того, хост являє собою найкраще місце для протидії атакам. Продукти на базі хостів здатні надавати досить докладну інформацію про те, хто до яких файлів звертається і коли користувачі починають і завершують сеанси зв’язку з сервером.

Цей клас систем виявлення атак дозволяє також виявити зміни в системних файлах і дізнатися про спроби встановлення потенційно шкідливого програмного забезпечення. Зокрема, так звані таємні ходыі являють собою спеціалізовані програми, за допомогою яких хакери можуть віддаленим чином контролювати сервер і або вкрасти інформацію з сервера, або змінити її у зловмисних цілях.

Продукти на базі хостів мають і інші переваги, зокрема відносно невисоку ціну. Замовники можуть придбати кілька агентів для виконання на обраних хост-комп’ютерах, витративши всього лише пару сотень доларів на кожного агента. Зважаючи на те, що продукти для хостів виконуються на наявному обладнанні, такому, як сервери файлів і Web, ніяких додаткових пристроїв купувати не треба. Ринок IDS пропонує також продукти для виявлення атак на мережу. Системи для мережі здійснюють моніторинг за мережевим трафіком в реальному часі, в результаті вони можуть швидко реагувати на будь-яку проведену атаку і сповіщати про неї адміністратора. Принцип роботи продуктів для мереж полягає в аналізі заголовків пакетів, тому, на відміну від систем для хостів, вони здатні виявити такі атаки, як відмова в обслуговуванні, які іншими методами, без аналізу пакетів, виявити неможливо. Більш того, вони можуть перевіряти не тільки заголовок, але і
вміст пакета.

Продукти для мереж здатні також переривати атаки. Завдяки пошук в реальному часі вони можуть зупинити проведену атаку перш, ніж вона завдасть скільки-небудь серйозної шкоди, наприклад блокує критичний сервер. Крім того, на відміну від продуктів для хостів системи виявлення атак на мережу не залежать від конкретної ОС.

Кожен вид продуктів виявлення атак служить конкретної мети, так що на практиці вони виконують різні функції. В ідеалі компанії слід використовувати системи обох типів для скорочення ризику атаки через незабиті діри.

Що стосується такої важливої галузі, як стандарти, ніякого універсального методу для взаємодії продуктів виявлення атак між собою і з системами управління мережею поки не існує. Нещодавно IETF створила робочу групу для визначення формату обміну інформацією про виявлення атак. Ця група працює над визначенням форматів даних та протоколів обміну і спільного використання інформації про атаки кількома системами виявлення атак і управління.

Крім того, Міжнародна асоціація комп’ютерної захисту (International Computer Security Association, ICSA) у грудні створила Консорціум виявлення атак (Intrusion Detection Consortium, IDC) для розробки стандартів на сертифікацію продуктів та інформування користувачів про цієї категорії продуктів.

ЗНОВУ ДЕЖА ВЮ

У багатьох відносинах ринок систем виявлення атак знаходиться зараз на тій же стадії, що й ринок брандмауерів кілька років тому. Тоді далеко не всяка компанія розуміла важливість наявності брандмауера, і ще менше число подбало про їх встановлення. По всій видимості, виявлення атак слід тим же шляхом. Сьогодні практично кожна відносно велика компанія має принаймні один брандмауер для захисту різних сегментів в мережі. Однак ті ж компанії можуть практично нічого не знати про виявлення атак. Проте ця обставина не завадила зародженню ринку.

За оцінками Hurwitz Group, у 1997 році на продукти для виявлення атак та оцінки ризиків компаніями було витрачено близько 65 млн доларів. З ростом інтересу та інформованості про даному секторі ринку ці цифри повинні значно зрости в найближчі кілька років.

Крім того, ринок виявлення атак нагадує ринок брандмауерів і відбуваються процесом об’єднання найбільших гравців великі, з усталеною репутацією компанії набувають більш дрібні. Ця тенденція почала проявлятися на початку 1998 року, коли Cisco Systems купила Wheel Group з-за її технології виявлення атак (потім ця технологія поповнила список пропозицій Cisco в галузі захисту).

У березні 1998 р., Security Dynamics підписала угоду на суму 32 млн доларів про купівлю Intrusion Detection. Потім у червні 1998 року Memco Software завершила операцію з придбання розробника програмного забезпечення для виявлення атак AbirNet. Зовсім недавно, в січні 1999 року, Axent Technologies, раніше придбала виробника брандмауерів компанію Raptor, оголосила про входження в її склад Tools Internet.

Практично всі постачальники засобів захисту тепер заявляють, що у них є продукти для виявлення атак так само, як раніше вони заявляли про наявність у них брандмауерів. Для підвищення привабливості своїх пропозицій багато виробників продуктів для брандмауерів і VPN ліцензують відсутні технології у розробників засобів виявлення атак. Щоб не вносити непотрібну плутанину, я обмежуся розглядом оригінального програмного забезпечення для виявлення атак.

ЯК ХОРОШИЙ ХОСТ

Одним з постачальників систем для хостів є ODS Networks, що почала в березні 1999 року поставляти четверту версію свого продукту Computer Misuse Detection System (CMDS). Дана система призначена для серверів і робочих станцій Windows NT 4.0, але незабаром вона буде підтримувати і платформи UNIX.

Продукт дозволяє не тільки виявити очевидні ознаки атаки, такі, як невдала спроба реєстрації, несанкціонований доступ з привілеями суперкористувача (root і зміна системи, але і визначає типову картину використання хост-системи. Порівнюючи певні статистичні параметри, він може виявити потенційні порушення захисту, наприклад спроби реєстрації пізно вночі або різке збільшення числа відкритих файлів на сервері.

Інша система виявлення атак на хости під назвою CyberCop Server пропонується Network Associates. Вона виконується як на Windows NT 4.0, так і на Solaris. Даний продукт доповнює брандмауер в справі захисту серверних ресурсів і виявлення таких атак, як незаконна реєстрація та несанкціоноване зміна вузла Web. Він автоматично реєструє інформацію про атаку і відправляє попередження системного адміністратора, а також переривання SNMP на центральну станцію управління.

Крім того, ринок виявлення атак на хости не обійшла своєю увагою і Security Dynamics, придбала продукт Kane Security Monitor разом з компанією Intrusion Detection. Цей продукт дозволяє захистити сервери Windows NT від таких відхиляються від норми дій користувача, як невдалі спроби реєстрації та доступ до файлів, зловживання ідентифікаторами адміністратора та отримання надмірних привілеїв. Продукт складається з трьох частин: Console виконується на клієнтській машині адміністратора, Auditor Service на мережному сервері, а Agents встановлюються з Console на машинах під NT, за якими вони повинні стежити.

Інша група продуктів для виявлення аномалій на сервері пропонується Tripwire Security Systems. Її однойменні продукти виконуються на Windows NT, Red Hat Linux і Solaris і служать для моніторингу цілісності файлів. Такий моніторинг передбачає контроль за спробами зміни прихованих файлів і додавання/видалення файлів в/з захищених каталогів. Tripwire повідомляє про підозрілих діях по електронній пошті і створює базу даних про зміни в системі як докази втручання в її роботу.

Сімейство продуктів Secured для виявлення атак на хости від Memco Software оптимізовано для конкретних типів додатків на базі серверів. Ця група продуктів складається з Secured for Web, Secured for E-mail і Secured for Firewalls. Всі продукти виконуються на HP-UX від Hewlett-Packard і Solaris. Продукт для Web підтримує Web-серверів Netscape Communications і Apache і запобігає крах серверів або зміна сторінок Web у результаті несанкціонованих дій користувачів. Secured for E-mail захищає сервери Sendmail допомогою запобігання випадкових зупинок. І, нарешті, Secured for Firewalls захищає Firewall-1 компанії Check Point Software від несанкціонованого доступу.

Продукти Secured використовують технологію захисту від переповнення буферів (Stack Overflow Protection, STOP) улюбленого способу злому серверів хакерами. Memco просуває свою лінію продуктів скоріше як засіб попередження атак, ніж повідомлення про атаки.

ХТО ДИВИТЬСЯ ЗА МЕРЕЖЕЮ?

Системи виявлення атак на хости дуже важливі для виявлення іноді практично непомітних змін на серверах, наявність яких може тим не менш служити сигналом про втручання у функціонування системи. Однак для моніторингу всіх мережевих пакетів, що приходять і виходять із даних IP-адрес всередині компанії, вам не обійтися без систем виявлення атак на мережу. Однією з пропозицій у цій області є Intruder Alert від Axent Technologies для безперервного моніторингу всієї мережі, в тому числі для контролю за маршрутизаторами, брандмауерами, серверів Web і іншими пристроями за вказівкою адміністратора. Крім того, завдяки інтеграції з платформами управління від Tivoli і HP, можливості моніторингу Intruder Alert значно зросли. Продукт здатний виявити ряд серйозних атак, в тому числі троянських коней, зміни в ядрі UNIX і конфігурації системи, Satan, переповнення буферів і лавину запитів ping.

Інший продукт для виявлення атак на мережу, NetRanger, пропонується Cisco. Він з’явився в результаті придбання компанії Wheel Group. NetRanger складається з двох компонентів: Sensor і Director. Sensor може працювати практично в будь-якій мережі TCP/IP і стежити за трафіком в сегментах локальної мережі, підключення Internet і мережної частини пулів модемів, що зв’язують компанію з зовнішніми партнерами. Цей компонент аналізує заголовки і зміст усіх пакетів, а також взаємозв’язок пакетів з іншими в потоці даних. Сенсори можуть бути налаштовані для тієї області, моніторинг за якою вони покликані здійснювати.

Наприклад, якщо якийсь користувач часто подає за своєю природою нешкідливі запити ping, то Sensor може бути налаштований на ігнорування таких сигналів з конкретного мережевого адреси. При виявленні можливого вторгнення Sensor посилає попередження на консоль Director, інший компонент NetRanger. Director здійснює нагляд за декількома сенсорами і подає попередження на пейджер, електронну пошту і навіть у додатку довідкової служби. Крім того, він допомагає адміністратору визначити, де саме сталася атака і наскільки вона серйозна. Інформаційна база даних містить рекомендації про контрзаходи та інші відомості про атаки.

Коли Memco Software в минулому році придбала AbirNet, вона отримала в своє розпорядження продукт для виявлення атак під назвою SessionWall-3. У жовтні 1998 року AbirNet представила корпоративну версію продукту з підтримкою моніторингу всієї мережі від центрального вузла. Продукт дозволяє виявляти ознаки атаки, відомі віруси, доступ до недозволених серверів Web і навіть аплети Java і код ActiveX. Крім того, продукт протоколює всі події в системі електронної пошти при перегляді Web, telnet і ftp.

При виявленні чого-небудь незвичайного SessionWall-3 посилає попередження електронною поштою або на пейджер, відправляє переривання SNMP і блокує підозрілі дії. Крім того, він підтримує контекстне динамічне блокування відкритих сеансів в залежності від їх змісту. Продукт може також створювати правила для блокування наступних сеансів аналогічного типу.

НАЙКРАЩЕ З ДВОХ СВІТІВ

Ринок систем виявлення атак все більше схиляється на користь гібридних продуктів, що поєднують краще від продуктів для хостів та мереж. Поки ви можете знайти на ринку не більше дюжини подібних продуктів, але більшість галузевих експертів пророкують не тільки зростання, але і їх домінування на ринку в найближчому майбутньому.

Internet Security Systems, одна з найбільш відомих компаній-розробників систем виявлення атак, пропонує один з перших гібридів RealSecure 3.0 з грудня 1998 року. Він дозволяє виявити аномалії як на рівні мережі, так і на рівні операційної системи і негайно відреагувати на атаку.

RealSecure складається з двох основних компонентів: RealSecure Detectors і RealSecure Manager. Детектори розташовуються в стратегічних місцях підприємства і здійснюють моніторинг мережевого трафіку в реальному часі; крім того, вони стежать за журнальними і системними файлами ОС. Менеджер дозволяє конфігурувати й управляти детекторами з декількох точок, включаючи HP OpenView і власну консоль управління ISS.

Centrax також вийшла на ринок гібридів зі своїм Entrax Security Suite 2.1 в січні 1999 року. Цей продукт позиціонується як єдине інтегроване рішення для управління корпоративною захистом з однієї точки. Він підтримує керування правилами, оцінку вразливості (багато в чому аналогічно сканерів мережі) і виявлення атак на рівні хостів. Entrax сумісний з Solaris і Windows і містить 41 перевірку для UNIX та 21 для NT. Продукт може також виявити 64 типу подій в UNIX і 83 в NT.

Незважаючи на те що багато компаній пропонують як продукти для виявлення атак, так і продукти для оцінки ризиків (сканери), об’єднання їх разом, як надійшла Centrax, представляється значним кроком. Адміністратору важливо знати те, що відбувається в мережі, так і її слабкості.

ПІД СУВОРИМ НАГЛЯДОМ

Хакери постійно винаходять нові способи проникнення в мережу, і, при всій своїй важливості, брандмауери та інші системи захисту не всесильні. Тому, замість того, щоб замикати ваші двері або сподіватися на краще, ви можете придбати все бачить і чує помічника в справі захисту мережі в особі системи виявлення атак.