Система обнаружения атак RealSecure

Информация предоставлена НИП "Информзащита"

Что такое система обнаружения атак?

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

Что такое RealSecure?

Система обнаружения атак RealSecure™ разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure™ - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure™ построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.

Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.

Достоинства системы RealSecure™ были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure™ имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure™ выгодно отличает ее от других конкурирующих продуктов.

Компоненты системы RealSecure

Система RealSecure использует распределённую архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).

Возможности системы RealSecure

Система RealSecure™ является одним из лучших решений для защиты Вашей корпоративной сети и следующих ключевых возможностей:

• большое число распознаваемых атак;
• задание шаблонов фильтрации трафика;
• централизованное управление модулями слежения;
• фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP;
• фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;
• различные варианты реагирования на атаки;
• аварийное завершение соединения с атакующим узлом;
• управление межсетевыми экранами и маршрутизаторами;
• задание сценариев по обработке атак;
• генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r);
• запись атаки для дальнейшего воспроизведения и анализа;
• поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring;
• отсутствие требования использования специального аппаратного обеспечения;
• работа с различными Cryptographic Service Provider;
• установление защищенного соединения между компонентами системами, а также другими устройствами;
• наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;
• отсутствие снижения производительности сети;
• работа с одним модулем слежения с нескольких консолей управления;
• мощная система генерация отчетов;
• использование протокола ODBC;
• различные форматы отчетов;
• мощная система подсказки;
• простота использования и интуитивно понятный графический интерфейс;
• невысокие системные требования к программному и аппаратному обеспечению.

Большое число распознаваемых атак

Система RealSecure™ позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:

"Отказ в обслуживании" (Denial of service)
Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

"Неавторизованный доступ" (Unauthorized access attempt)
Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode)
Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Задание шаблонов фильтрации трафика
Для более точной настройки системы RealSecure™ на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.

"Максимум возможностей" (Maximum Coverage)
Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure™, включая обнаружение атак, анализ протоколов, запись сессий и т.п.

"Детектор атак" (Attack Detector)
Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.

"Анализатор протоколов" (Protocol Analyzer)
Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.

"Web-сторож" (Web Watcher)
Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера.
При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.

"Windows-сети" (For Windows Networks)
Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT. При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.

"Запись сессий" (Session Recorder)
Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).

"Модуль слежения в DMZ" (DMZ Engine)
Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).

"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)
Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.

Централизованное управление

Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure™ незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).

Различные варианты реагирования на атаки

Система RealSecure™ имеет возможность по заданию различных вариантов реагирования на обнаруженные атаки:

• запись факта атаки в регистрационном журнале;
• уведомление об атаке администратора через консоль управления;
• уведомление об атаке администратора по электронной почте;
• аварийное завершение соединения с атакующим узлом;
• запись атаки для дальнейшего воспроизведения и атаки;
• реконфигурация межсетевых экранов или маршрутизаторов;
• посылка управляющих SNMP-последовательностей;
• задание собственных обработчиков атак.

Аварийное завершение соединения с атакующим узлом

Модуль слежения системы RealSecure™ может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.

Реконфигурация межсетевых экранов

В версии 2.0 системы RealSecure™ появилась уникальная возможность управления межсетевым экраном компании CheckPoint - Firewall-1. Взаимодействие осуществляется по технологии OPSEC™ (Open Platform for Secure Enterprise Connectivity) и, входящему в нее, протоколу SAMP (Suspicious Activity Monitoring Protocol). Сертификация системы RealSecure (в апреле 1998 г.) на совместимость с технологией OPSEC позволяет расширяет возможности системы по реагированию на обнаруженные атаки. Например, после обнаружения атаки на WWW-сервер, система RealSecure™ может по протоколу SAMP послать сообщение межсетевому экрану Firewall-1(r) для запрета доступа с адреса, осуществляющего атаку.

В версии 2.5 системы RealSecure™ к возможности управления межсетевым экраном CheckPoint Firewall-1 добавилась возможность посылки уведомления об атаке на межсетевой экран Lucent Managed Firewall.

Реконфигурация маршрутизаторов

Аналогично реконфигурации межсетевого экрана CheckPoint Firewall-1, система RealSecure™ позволяет управлять маршрутизаторами серии 7000 компании Cisco Systems.

Посылка управляющих последовательностей SNMP

Система RealSecure™ версии 2.0 имеет возможность генерации управляющих последовательностей по протоколу SNMPv1 или передачу определенных данных в качестве возможного ответного действия на обнаруженную атаку или какое-либо контролируемое системой несанкционированное действие. Посылаемая последовательность содержит данные о времени и типе обнаруженной атаки или несанкционированного действия.

Данная возможность может использоваться для дополнительной обработки обнаруженной атаки средствами управления сетью типа HP OpenView, IBM NetView, Tivoli TME10 или любых других, позволяющих обрабатывать входящие управляющие последовательности по протоколу SNMP.

Запись атаки для дальнейшего анализа

Данная возможность позволяет просматривать предварительно записанные действия, выполняемые злоумышленником при атаке. Это позволит не только понять и проанализировать действия нарушителя, но и наглядно продемонстрировать руководству организации потенциальные угрозы. Воспроизведение атаки для анализа может быть осуществлено как в реальном времени, так и с любой заданной скоростью.

Задание пользовательских сценариев обработки атаки

Для задания специфичных реакций на атаки, в системе RealSecure™ существует возможность определения своих собственных обработчиков (например, уведомление администратора об атаке по пейджеру). Обработчик атаки должен быть любым исполняемым файлом, который может запускаться из командной строки.

Система генерации отчетов

Система RealSecure™ обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию о обнаруженных атаках, отсортированную по различным признакам, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

• по приоритету (степени риска) атаки;
• по IP-адресу отправителя;
• по IP-адресу получателя;
• по именам контролируемых событий.

Возможность работы по протоколу ODBC

Вся информация об обнаруженных атаках сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о сетевом трафике в Ваших собственных системах.

Форматы отчетов

Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:

• Character-separated values;
• Comma-separated values (CSV);
• Crystal Report;
• DIF (Data Interchange Format);
• Excel 2.1;
• Excel 3.0;
• Excel 4.0;
• Excel 5.0;
• Excel 5.0 (расширенный);
• HTML 3.0;
• HTML 3.2 (стандартный);
• HTML 3.2 (расширенный);
• Lotus 1-2-3 (WK1);
• Lotus 1-2-3 (WK3);
• Lotus 1-2-3 (WKS);
• различные форматы баз данных через драйвер ODBC;
• Rich Text Format (RTF);
• текстовый;
• Microsoft Word;
• и многие другие.

Кроме того, система RealSecure™ дополнительно позволяет:

• сохранять отчеты на жестком диске;
• сохранять отчеты в базе данных Lotus Notes;
• сохранять отчеты в папке Microsoft Exchange;
• пересылать отчеты при помощи механизма Microsoft Mail (MAPI).

Простота использования

Интуитивно понятный графический интерфейс и простота использования системы поможет быстро и легко настроить ее с учетом требований, предъявляемых в Вашей организации. Принципы функционирования системы не требуют реконфигурации других систем, используемых Вами. Это выгодно отличает систему RealSecure™, например, от межсетевых экранов или средств контроля "активного" кода (Java, ActiveX и т.п.).

Система подсказки

Система RealSecure™ обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом осуществлять обнаружение атак на узлы Вашей корпоративной сети. Объемная база данных содержит подробную информацию обо всех обнаруживаемых системой атаках.

Отсутствие снижения производительности сети

При использовании системы RealSecure™ снижения производительности сети незначительное (не более 3-5%). Проблемы могут возникнуть при функционировании модуля слежения на компьютере с минимально требуемыми системными требованиями и большой интенсивности сетевого трафика. В этом случае часть пакетов может быть пропущена без соответствующей обработки.

Системные требования

Требования к аппаратному обеспечению:

• Процессор - Pentium Pro 200 МГц (рекомендуется Pentium II 300 МГц);
• ОЗУ - 64 Мб (рекомендуется 128 Мб);
• НЖМД - не менее 100 Мб (для базы данных и регистрационного журнала) + 10 Мб для ПО модуля слежения;
• Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring, FDDI.

Требования к программному обеспечению:

• Операционная система
• Windows NT 4.0 с SP3;
• Solaris - 2.4/2.5 + Motif;
• Linux - 1.3 + X Window R11;
• Дополнительные сведения - для использования системы требуются права администратора рабочей станции.

Функционирование системы RealSecure

Система RealSecure™ может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure™ не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.

Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure™ одинаково хорошо поддерживает оба этих варианта.

Система RealSecure™ не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.

Модули слежения системы RealSecure™ необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.

Варианты установки системы RealSecure

Существует три основных участка, в которых может быть установлен модуль слежения системы RealSecure™:

После межсетевого экрана (в "демилитаризованной зоне" (DMZ)).
Основная цель такой установки - предотвращение атак на системы и устройства, установленные внутри DMZ. Это особенно важно для межсетевого экрана, как точки поступления внешних данных в вашу внутреннюю сеть. При добавлении RealSecure™ в DMZ Вы дополнительно защищаете внешний периметр корпоративной сети от потенциальных атак.

До межсетевого экрана (в intranet).
Основная цель указанной установки - обнаружение изменений настроек межсетевого экрана и контроль трафика, проходящего через него. Модуль слежения, установленный до межсетевого экрана гарантирует:

• что межсетевой экран функционирует должным образом; он не скомпрометирован и его настройки несанкционированно не изменялись;
• что не используются обходные пути через межсетевой экран, для атаки на внутреннюю сеть.

Также можно использовать эту конфигурацию совместно с предыдущей для проверки эффективности Вашего межсетевого экрана. Например, путем сравнения числа атак, обнаруженных до и после межсетевого экрана. На ключевых сегментах корпоративной сети.

Большинство атак на узлы сети реализуется изнутри и многие организации принимают меры по уменьшению ущерба от таких атак путем установки системы RealSecure™ на критичных сегментах сети.

К другим вероятным местам размещения модулей слежения системы RealSecure™ можно отнести:

• размещение на главной сетевой магистрали (backbone) - для исследования межсегментного трафика;
• размещение сразу после модемной стойки - для защиты от НСД по коммутируемым каналам;
• и т.п.