Дмитрий Костров ,
ЗАО "Эквант"
[email protected]

Не рост и мощь, а разум
Сулит в войне победу.
Уильям Шекспир

Системы обнаружения компьютерных атак (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия, учитывая, как растет в последние годы число проблем, связанных с компьютерной безопасностью (рис. 1). Хотя технология IDS не обеспечивает полную защиту информации, тем не менее она играет весьма заметную роль в этой области. Краткая история вопроса, а также некоторые экспериментальные и коммерческие системы были рассмотрены в статье ("BYTE/Россия", № 10"2001). Здесь же мы подробнее обсудим современные представленные на рынке продукты и направления дальнейшего развития IDS.

Рынок систем IDS бурно развивается с 1997 г. Именно в это время компания ISS (http://www.iss.com) предложила свой продукт под названием Real Secure. Год спустя Cisco Systems (http://www.cisco.com), осознав целесообразность разработки IDS, купила продукт NetRanger вместе с компанией Wheel Group. Нельзя не упомянуть здесь и объединение SAIC и Haystack Labs в Centrax Corporation (http://www.centrax.com).

Необходимо отметить, что обычные IDS своевременно обнаруживают только известные типы атак. Они работают в том же режиме, что и антивирусные программы: известные - ловятся, неизвестные - нет. Обнаружение неизвестной атаки - трудная задача, граничащая с областью систем искусственного интеллекта и адаптивного управления безопасностью. Современные IDS способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий могут учитываться уже произошедшие, что позволяет идентифицировать атаки, разнесенные во времени, и тем самым прогнозировать будущие события.

В 80-е годы большинство злоумышленников были экспертами в части взлома и сами создавали программы и методы несанкционированного проникновения в компьютерные сети; автоматизированные средства использовались редко. Сейчас появилось большое число "любителей", со слабым уровнем знаний в данной области, которые используют автоматические средства вторжения и эксплойты (exploit - вредоносный код, использующий известные ошибки в ПО и применяемый злоумышленником для нарушения нормальной работы программно-аппаратного комплекса). Иными словами, по мере усовершенствования автоматических средств вторжения снижались уровень знаний и квалификация большинства злоумышленников.

Существует много различных типов атак, и их можно ранжировать в соответствии с возрастанием возможной опасности следующим образом:

• угадывание паролей
• репликационный код
• взлом паролей
• использование известных уязвимых мест
• отключение/обход систем аудита
• воровство данных
• back doors (специальные входы в программу, возникающие из-за ошибок при ее написании или оставленные программистами для отладки)
• использование снифферов и sweepers (систем контроля содержимого)
• использование программ диагностики сети для получения необходимых данных
• использование автоматизированных сканеров уязвимостей
• подмена данных в IP-пакетах
• атаки типа "отказ в обслуживании" (DoS)
• атаки на Web-серверы (CGI-скрипты)
• технологии скрытого сканирования
• распределенные средства атаки.

Теперь атака длится не больше нескольких секунд и может нанести очень чувствительный вред. Например, атака типа "отказ в обслуживании" может вывести из строя Web-магазин или online-биржу на длительное время. Такие атаки наиболее распространены, и способы защиты от них развиваются быстрыми темпами.

Цель любой IDS - обнаружить атаку с наименьшими ошибками. При этом объект атаки (жертва) обычно хочет получить ответ на следующие вопросы.

• Что случилось с моей системой?
• Что подверглось нападению, и насколько опасна атака?
• Кто злоумышленник?
• Когда атака началась и откуда?
• Как и почему произошло вторжение?

Злоумышленник, в свою очередь, как правило, пытается узнать следующее. ·

• Что представляет собой цель атаки?
• Есть ли уязвимости и какие?
• Какой вред можно нанести?
• Какие эксплойты или средства проникновения имеются?
• Есть ли риск быть раскрытым?

Типы IDS

Надежда победить приближает победу,
уверенность в победе лишает нас ее.
Тит Ливий

В первую очередь в IDS используются различные способы определения несанкционированной активности. Хорошо известны проблемы, связанные с атаками через межсетевой экран (брандмауэр). Межсетевой экран разрешает или запрещает доступ к определенным сервисам (портам), но не проверяет поток информации, проходящий через открытый порт. IDS, в свою очередь, пытается обнаружить атаку на систему или на сеть в целом и предупредить об этом администратора безопасности, в то время как атакующий полагает, что он остался незамеченным.

Здесь можно провести аналогию с защитой дома от воров. Закрытые на замок двери и окна - это межсетевой экран. А сигнализация для оповещения о взломе соответствует IDS.

Для классификации IDS существуют различные способы. Так, по способу реагирования различают пассивные и активные IDS. Пассивные просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, переконфигурируя межсетевой экран или генерируя списки доступа маршрутизатора. Продолжая аналогию, можно сказать, что если сигнализация в доме включает звуковую сирену для отпугивания вора - это аналог активной IDS, а если подает сигнал в милицию - это соответствует пассивной IDS.

По способу выявления атаки различают системы signature-based и anomaly-based. Первый тип основан на сравнении информации с предустановленной базой сигнатур атак. В свою очередь, можно классифицировать атаки по типу (например, Ping-of-Death, Smurf). Однако системы данного типа не могут отлавливать новые, неизвестные виды атак. Второй тип основан на контроле частоты событий или обнаружении статистических аномалий. Такая система ориентирована на выявление новых типов атак. Однако недостаток ее - необходимость постоянного обучения. В примере с охраной дома аналогом такой более продвинутой системы IDS выступают соседи, которые знают, кто приходил к вам, внимательно смотрят за незнакомыми людьми и собирают информацию о нештатной ситуации на улице. Это соответствует типу anomalous IDS.

Наиболее популярна классификация по способу сбора информации об атаке: network-based, host-based, application-based. Система первого типа работает по типу сниффера, "прослушивая" трафик в сети и определяя возможные действия злоумышленников. Поиск атаки идет по принципу "от хоста до хоста". Работа таких систем до последнего времени была затруднена в сетях, где использовались коммутация, шифрование и высокоскоростные протоколы (более 100 Мбит/с). Но недавно появились решения компаний NetOptics (http://www.netoptics.com) и Finisar (http://www.finisar.com) для работы в коммутируемой среде, в частности, технологии SPAN-портов (Switched Port Analyzer) и Network Tap (Test Access Port). Network Tap (в виде отдельного устройства или встроенного в коммутатор блока) позволяет проводить мониторинг всего трафика на коммутаторе. В то же время фирмы Cisco и ISS добились определенных успехов в реализации таких систем в высокоскоростных сетях.

Системы второго типа, host-based,предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Система, располагаясь на защищаемом хосте, проверяет и выявляет направленные против него действия. Третий тип IDS, application-based, основан на поиске проблем в определенном приложении. Существуют также гибридные IDS, представляющие собой комбинацию различных типов систем.

Работа современных IDS и различные виды атак

Общая схема функционирования IDS приведена на рис. 2. В последнее время появилось много публикаций о системах, называемых distributed IDS (dIDS). dIDS состоит из множества IDS, которые расположены в различных участках большой сети и связаны между собой и с центральным управляющим сервером. Такая система усиливает защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS. dIDS состоит из следующих подсистем: центральный анализирующий сервер, агенты сети, сервер сбора информации об атаке.

Рис. 2. Общая схема функционирования IDS.

Центральный анализирующий сервер обычно состоит из базы данных и Web-сервера, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса.

Агент сети - один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой - сообщать об атаке на центральный анализирующий сервер.

Сервер сбора информации об атаке - часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируется информация, полученная от агентов сети. Группировка может осуществляться по следующим параметрам:

• IP-адресу атакующего;
• порту получателя;
• номеру агента;
• дате, времени;
• протоколу;
• типу атаки и т. д.

Несмотря на многочисленные упреки и сомнения в работоспособности IDS, пользователи уже широко применяют как коммерческие средства, так и свободно распространяемые. Разработчики оснащают свои продукты возможностями активного реагирования на атаку. Система не только определяет, но и пытается остановить атаку, а также может провести ответное нападение на атакующего. Наиболее распространенные типы активного реагирования - прерывание сессии и переконфигурирование межсетевого экрана.

Прерывание сессии наиболее популярно, потому что для этого не используются драйверы внешних устройств, таких, как межсетевой экран. В оба конца соединения, например, просто посылаются пакеты TCP RESET (с корректным номером sequence/acknowledgement). Однако уже существуют и описаны способы обхода такой защиты злоумышленниками (например, использование флага PUSH в пакете TCP/IP или использование трюка с current pointer).

Второй способ - переконфигурирование межсетевого экрана, позволяет злоумышленнику узнать о наличии экрана в системе. Посылая большой поток ping-пакетов на хост и видя, что через некоторое время доступ прекратился (ping не проходит), атакующий может сделать вывод, что IDS провела переконфигурацию межсетевого экрана, установив новые правила запрета ping на хост. Однако есть способы обойти и эту защиту. Один из них заключается в применении эксплойтов до переконфигурирования межсетевого экрана. Существует и более простой путь. Злоумышленник, атакуя сеть, может задавать в качестве адреса отправителя IP-адреса известных фирм (ipspoofing). В ответ на это механизм переконфигурирования межсетевого экрана исправно закрывает доступ на сайты этих компаний (к примеру, ebay.com, cnn.com, cert.gov, aol.com), после чего начинаются многочисленные звонки возмущенных пользователей в службу поддержки "закрытых" компаний, и администратор вынужден отключить данный механизм. Это очень напоминает отключение ночью автомобильной сигнализации, постоянные срабатывания которой не дают уснуть жителям окрестных домов. После этого машина становится намного доступнее для автомобильных воров.

При этом необходимо помнить, что уже существуют средства для выявления IDS, работающих в режиме "прослушивания" трафика (http://www.securitysoftwaretech.com/antisniff/download.html); кроме того, многие IDS подвержены атакам типа DoS (отказ в обслуживании).

Наиболее продвинулись в этой области "вольные" разработчики мира posix. Простейшие атаки используют уязвимости, связанные с использованием signature-based IDS. Например, использование одной из версий свободно распространяемого продукта Snort может быть сведено к нулю следующим образом. При попытке доступа к файлу /etc/passwd, где в UNIX хранятся имена пользователей, принадлежность к группам и shell, Snort использует следующую сигнатуру для выявления данной активности:

Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev:1;)

Однако можно просто поменять символы в запросе - GET /etc//\//passwd или /etc/rc.d/.././\passwd и обойти эту сигнатуру.

Конечно, разработчики систем IDS уже давно учитывают эти изменения и отлавливают атаки, однако все еще встречаются плохо написанные сигнатуры атак.

Существуют атаки, основанные на полиморфном shell code. Данный код был разработан автором http://ktwo.ca / и основан на использовании вирусов. Данная технология более эффективна против систем signature-based, чем против anomaly- или protocol analysis-based. Полиморфный код использует различные способы для обхода систем на базе string-matching (их можно найти по адресу http://cansecwest.com/noplist-v1-1.txt).

Можно также вспомнить атаки, использующие фрагментацию пакетов, отказ сервиса IDS, разделение атаки между несколькими пользователями, кодировку атаки в кодировке "ebcdic" с изменением типа терминала на "ebcdic", реализацию атаки по зашифрованному каналу, подавление порта модуля слежения, изменение таблицы маршрутизации, чтобы избежать попадания трафика к системе обнаружения атак, и т. п.

Системы IDS используются для выявления не только внешних, но и внутренних нарушителей. Их, как показывает практика, порой гораздо больше, чем внешних. Внутренние атаки не относятся к общим типам атак. В отличие от внешних нарушителей, внутренний - это авторизованный пользователь, имеющий официальный доступ к ресурсам интрасети, в том числе к тем, на которых циркулирует конфиденциальная информация. Общая же практика состоит в использовании служб информационной безопасности для защиты периметра интрасети, при этом защите от внутренних угроз уделяется гораздо меньше внимания. Здесь-то и помогают IDS. Настройка IDS для защиты от внутренних атак - непростая задача; она требует кропотливой работы с правилами и профилями пользователей. Для борьбы с внутренними атаками необходимо использовать комбинацию различных IDS.

Компании и продукты

На рынке представлено несколько десятков коммерческих систем IDS, что обеспечивает выбор наиболее приемлемого решения. К сожалению, отечественные продукты пока отсутствуют, хотя две российские компании к концу этого года готовят выпуск своих систем обнаружения атак.

Ниже описаны продукты более двадцати компаний. По мнению автора, порядок их расположения в статье примерно соответствует степени известности в России.

Cisco Systems

Серия продуктов Cisco IDS содержит решения для различных уровней. В нее входят три системы 42xx версии v.2.2.1 (network-based), среди которых 4210 (рис. 3) оптимизирована для среды 10/100Base-T (45 Мбит/с), 4235 - для среды 10/100/1000Base-TX, (200 Мбит/с) и 4250 - для 10/100/1000Base-TX (500 Мбит/с).

Подсистема IDS имеется в коммутаторе Сatalyst - Catalyst 6000 Intrusion Detection System Module (swithed-integrated network-based).

Cisco IDS Host Sensor 2.0 и Cisco IDS Host Sensor Web Server, разработанные компанией Entercept, обеспечивают защиту на уровне хоста (host-based). IDS на уровне маршрутизатора (Firewall Feature Set 12.1(4)T) способна отражать 59 наиболее опасных видов атак (система network-based). При использовании IDS на уровне межсетевого экрана PIX 535, 525, 515Е, 506Е, 501 (v.6.2.2) отражается более 55 наиболее опасных видов атак (система network-based). Управление системами защиты осуществляется с помощью CiscoWorks VPN/Security Management Solution (VMS) или Cisco IDS software version 3.1(2). Рис. 4 иллюстрирует работу сетевого сенсора Сisco при попытке узнать имена хостов.

Рис. 4. Работа сетевого сенсора Сisco при попытке узнать имена хостов.

Internet Security Systems

Компания ISS в свое время совершила резкий скачок в данной области и занимает ведущие позиции в части реализации систем обнаружения атак. Она также предлагает целое семейство решений для различных уровней.

RealSecure Network Sensor - программное решение, предназначенное для установки на выделенный компьютер в критичном сегменте сети. Анализируя сетевой трафик и сопоставляя его с базой сигнатур атак, сенсор обнаруживает различные нарушения политики безопасности (рис. 5).

Система RealSecure Gigabit Sensor обрабатывает более 500 тыс. пакетов в секунду, используя запатентованный алгоритм семиуровневого анализа, обнаруживает большое число атак, пропускаемых другими системами. Применяется главным образом в сетях, работающих с большой нагрузкой.

RealSecure Server Sensor позволяет обнаруживать атаки на всех уровнях, направленные на конкретный узел сети. Кроме того, может проводить анализ защищенности и обнаружения уязвимостей на контролируемом узле.

Программа RealSecure Desktop Protector (ранее называвшаяся BlackICE Agent) предназначена для обнаружения в реальном режиме времени атак, направленных на рабочие станции корпоративной сети.

RealSecure for Nokia - программно-аппаратное решение, разработанное компаниями ISS и Nokia. Оно объединяет все функциональные возможности RealSecure Network Sensor и Nokia IP Network Security Solutions. Система функционирует под управлением защищенной ОС IPSO, базирующейся на FreeBSD.

RealSecure Guard - программное решение, совмещающее в себе возможности межсетевого экрана и системы обнаружения атак в реальном режиме времени. Она устанавливается между защищаемым и открытым сегментами сети (так называемая inline-IDS) и анализирует весь проходящий через нее трафик в поисках запрещенных или опасных пакетов. Система может обнаруживать атаки как на сегменты сети, так и на отдельные, наиболее важные узлы.

Для управления перечисленными системами RealSecure используется модуль RealSecure SiteProtector, который служит основным компонентом централизованного управления и для систем Internet Scanner и System Scanner. Он ориентирован на применение в крупных, территориально распределенных сетях или в организациях, использующих одновременно несколько решений компании ISS.

Более простой модуль RealSecure WorkGroup Manager предназначен для управления только RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor и RealSecure for Nokia. Он может использоваться в отсутствие других решений ISS и при небольшом числе сенсоров в сети (до пяти).

RealSecure Command Line Interface предназначен для управления из командной строки только RealSecure Network Sensor и Gigabit Sensor. Этот модуль управления ориентирован на локальное использование.

Symantec

Продукты Intruder Alert и NetProwler (в настоящее время выпущены версии 3.6 и 3.5.1 соответственно) достаточно подробно описаны в упоминавшемся выше обзоре ("BYTE/Россия", № 10"2001, с.14).

Enterasys Networks

Enterasys Networks - часть бывшей компании Cabletron Systems. Она выпускает IDS Dragon (типа network-based). Внутренняя архитектура шестой версии системы обладает повышенной масштабируемостью. Система включает компоненты Network Sensor, Squire Host Sensor, управляющий модуль с Wеb-интерфейсом Dragon Policy Manager и систему централизованного мониторинга безопасности сети в реальном масштабе времени Dragon Security Information Manager.

Computer Associates

Система eTrust Intrusion Detection (прежнее название SessionWall) предоставляет средства для защиты и мониторинга локальной сети. Этот высокоэффективный и достаточно простой программный продукт предоставляет возможности мониторинга, обнаружения атак, контроля за WWW-трафиком, ведения журналов. Обширная библиотека шаблонов атак eTrust Intrusion Detection регулярно обновляется, и с ее помощью автоматически определяются атаки, соответствующие шаблонам.

Система может использоваться как сниффер, кроме того, позволяет ограничить доступ к узлам Интернета с помощью правил, содержащих ключевые слова. eTrust также ведет количественный учет трафика в сети.

Обнаруживаются вирусы и опасные компоненты Java/ActiveX. Идентифицируются и регистрируются попытки пользователей подобрать пароль для входа в систему, что может впоследствии пригодиться для организационных решений руководства компании.

eTrust Intrusion Detection обеспечивает контекстный просмотр всех циркулирующих в локальной сети пакетов и их блокировку при наличии определенных администратором ключевых слов.

NFR Security

Компания была основана в 1996 году с целью разработки перспективных систем IDS.

Система NFR NID обеспечивает мониторинг сетевого трафика в реальном масштабе времени, выявляя подозрительную активность, различные атаки, запрещенное поведение пользователей в сети и различные статистические отклонения. Используемые сенсоры могут работать со скоростями 1 Гбит/с и 100 Мбит/с без потерь пакетов. В отличие от традиционных систем IDS (сравнение трафика с сигнатурами атак), NFR NID использует специализированную базу знаний, проверяет активность в сети с использованием известных эксплойтов, что дает возможность выявлять в трафике новые виды атаки - такие, как Code Red и Nimda.

NFR HID работает на уровне хоста, позволяет идентифицировать уязвимости и слабые политики безопасности, выявлять подозрительную активность пользователей, проводить мониторинг защищаемого хоста на уровне сетевых атак. Способна поддерживать до 10 тыс. хостов, что очень удобно в больших сетях. В системе используются два типа программ-агентов: Log Analysis Agent проводит мониторинг ядра и файлов сетевых журналов, включая syslogs. Network Node Agent осуществляет мониторинг сетевого трафика и выявляет DoS-атаки на защищаемый хост (отказ в обслуживании), атаки FTP password grabbing, Web phf attacks, CGI scans, BackOrifice scans и т. п. Хорошо подходит для работы в сетях с шифрованием и в коммутируемых сетях.

Tripwire

История развития компаний Tripwire и NFR, а также некоторые функциональные особенности их продуктов изложены в том же обзоре в . Отметим, что существуют три основных продукта этой компании, названия которых говорят сами за себя (for Servers, for Network Devices и for Web Pages). Их главная технологическая особенность - вычисление контрольных сумм основных файлов и модулей.

Snort

Snort - облегченная система обнаружения вторжения. Программа анализирует протокол передачи, выявляет различные атаки, например, переполнение буфера, сканирование, CGI-атаки, попытки определения ОС и т. п. Snort использует специальные правила для поиска атак в трафике. Система проста в настройке и обслуживании, однако в ней довольно много приходится настраивать "руками", без удобного графического интерфейса.

Программа работает в трех режимах: sniffer, packet logger и network intrusion detection system. В первом случае система просматривает пакеты на сетевом уровне и выводит информацию о них на консоль, во втором - записывает файлы журнала на диск, в третьем - анализирует сетевой трафик на предмет совпадения сигнатур атак и сигнализирует о них.

Internetwork Research group, BBN Technologies

Продукты серии NIDS, SecureNet, включают устройства, предназначенные для высокоскоростных сетей (SecureNet 5000 и 7000), защиты персонального компьютера (SecureNet 2000), а также систему мониторинга SecureNet Provider и специальное ПО SecureNet Pro.

Система SecureHost (host-based IDS) разработана для защиты ПК и серверов с помощью внедрения специальных сенсоров - программ-агентов. Агенты обеспечивают принятие решения при возникновении атаки в реальном масштабе времени в соответствии с принятой политикой защиты. Набор программ Intrusion SecureHost состоит из управляющей консоли на базе ОС Microsoft Windows 2000 Server и агентов, работающих в системах с Microsoft Windows NT, Windows 2000 или Sun Solaris 2.8.

Firestorm

Высокоскоростная NIDS Firestorm, разработанная Джиани Тедеско и свободно распространяемая, пока представлена в основном в качестве сенсора, работающего под управлением ОС Linux. Особенности системы таковы:

• сбор информации идет с помощью библиотек libpcap, позволяющих перехватывать пакеты из сетевого трафика;
• система поддерживает правила, написанные для Snort;
• легко настраивается путем редактирования файла firestorm.conf;
• понимает режим работы stateful inspection (технология инспекции пакетов с учетом состояния протокола);
• готовит файлы журналов в формате ASCII или tcpdump;
• проводит корреляцию событий;
• выдает сигналы об атаке на удаленное устройство - консоль.

Однако (как это часто бывает с бесплатными программами) данная система подвержена атакам. Существует возможность атаки на данную систему, которая приведет к "зависанию" NIDS. Атака уже описана в лентах новостей, проблема оказалась в ошибке модуля обработки памяти.

Psionic Technologies

Продукт TriSentry (ранее Abacus Project tools) предназначен для повышения защищенности сети компании путем выявления различных атак. Система состоит из трех базовых компонентов: PortSentry, HostSentry и LogSentry. IDS предназначена для работы в UNIX-окружении.

PortSentry - простой детектор сканирования, который прекращает связь между хостом-жертвой и атакующим. Хост "сбрасывает" локальные маршруты, устанавливает динамические правила доступа и добавляет хост в специальные файлы TCP wrappers hosts.deny, причем все это происходит в реальном времени.

Программа HostSentry позволяет администратору безопасности выявлять необычную активность пользователей (Login Anomaly Detection, LAD).

LogSentry (прежнее название Logcheck) автоматически проводит мониторинг файлов системных журналов нарушений безопасности в почтовых системах. Этот набор программ, ранее поставляемых с TIS Gauntlet firewall, был существенно переработан для аудита более широкого спектра систем.

Lancope

Программно-аппаратный комплекс StealthWatch - мощная система для мониторинга, детектирования и реагирования на атаки в высокоскоростной среде. В отличие от традиционных систем, имеет архитектуру flow-based, которая позволяет выявлять новые атаки без обращения к базе данных существующих сигнатур. Новая архитектура обеспечивает углубленное выявление атак на основе аномальной активности, работу в высокоскоростной среде (от полного дуплекса 100 Мбит/с до 1 Гбит/с), а также значительно меньше реагирует на ложные атаки.

OneSecure

В системе The OneSecure Intrusion Detection and Prevention (IDP) компания предложила специальный механизм - Multi-Method Detection (MMD), который объединяет наиболее известные способы выявления уязвимостей.

Recourse Technologies

Компания предлагает два продукта: ManTrap обеспечивает защиту наиболее критичных серверов, ManHunt выявляет атаки на уровне сети, в том числе в гигабитном окружении. Используются распределенные сенсоры и центральный сервер обработки и принятия решений. При этом разработанная компанией методика (zero-day) выявляет не только известные, но и новые атаки.

Продукты Emerald, NetStat, Shadow и Bro подробно рассмотрены в в "BYTE/Россия", № 10"2001.

Новые веяния

Коммутаторы все шире используются в корпоративных сетях, поскольку они обладают большей пропускной способностью по сравнению с концентраторами и защищают от атак с использованием программ-снифферов для перехвата конфиденциальной информации. Тем не менее проблемы с применением NIDS сохраняются. Существуют коммутаторы с зеркалированием портов (SPAN-порты), которые копируют данные, проходящие через коммутатор, на выделенный порт. Теоретически с помощью SPAN-порта возможно проверить весь поток данных, однако если объем зеркалируемого трафика превысит допустимый предел, то начинаются потери пакетов.

Сейчас уже существуют решения для гигабитной сети, но есть еще одна проблема - шифрование. Сегодня ни один уважающий себя администратор не работает удаленно со своими системами без SSH или SSL, а поскольку передача данных идет в шифрованном виде, проблема использования IDS остается. Она заключается в невозможности расшифровать весь трафик и, как следствие, проверить сигнатуры атак. В ближайшем будущем практически все производители (если они хотят занимать достойное место на рынке IDS) доработают свои продукты для применения в гигабитной сети.

Еще один вопрос - сбор информации и ее анализ. Даже самый серьезный специалист по безопасности - тоже человек и может не заметить некоторых деталей, которые скроют от него подготовку или проведение атаки на хост компании. Начаты проекты Spice и Spade, направленные на развитие технологии выявления аномальной активности, и они должны помочь в решении данной проблемы.

Несомненно, что IDS развиваются в направлении сбора и корреляции информации. При этом информация должна поступать от разнообразных источников (сенсоров). Скорее всего, различия между NIDS и HIDS постепенно исчезнут, и в дальнейшем будут созданы системы централизованного управления с возможностями принятия решения (хотя бы в простых случаях), что заметно снизит нагрузку на администраторов, ответственных за безопасность компьютерных сетей.

на сайте компании Бюро ESG и в журнале «САПР и графика». И.Фертман – председатель совета директоров Бюро ESG,
А.Тучков – технический директор Бюро ESG, к.т.н.,
А.Рындин – заместитель коммерческого директора Бюро ESG.

В своих статьях сотрудники Бюро ESG неоднократно освещали тему информационного обеспечения различных стадий жизненного цикла изделий. Время вносит свои коррективы, вызванные постоянным развитием информационных технологий и необходимостью модернизации внедренных решений. С другой стороны, сейчас явно прослеживается тенденция к использованию программного инструментария, отвечающего требованиям отечественной нормативной базы и принятым у нас в стране производственным процессам. Именно эти реалии, а также накопленный опыт автоматизации деятельности проектных предприятий побудили нас написать эту статью.

Современное состояние автоматизации конструкторской деятельности, производства и информационной поддержки последующих стадий ЖЦ изделий

Компания Бюро ESG имеет большой опыт проведения работ по внедрению систем электронного архива, PDM, PLM, систем управления инженерными данными в самых разных отраслях: судостроении (ОАО «Балтийский завод» - Рособоронэкспорт, ОАО «Севмаш», ЗАО «ЦНИИ Судового машиностроения»), машиностроении (ОАО СПб «Красный Октябрь»), промышленном и гражданском строительстве (ПФ «Союзпроектверфь», ОАО «Гипроспецгаз»), атомной отрасли (ОАО «Атомпроект», ОАО «Росжелдорпроект») и на многих других предприятиях и организациях, перечисление которых не входит в цели и задачи статьи.

Подчеркнем, что внедрения проводились на базе использования различных программных систем: TDMS, Search, SmartPlant Fondation, Autodesk Vault и других, в том числе собственной разработки. Использование той или иной программной среды обусловлено отраслью, стоящими задачами и прочими факторами. Именно обширный опыт, накопленный Бюро ESG по перечисленным направлениям, позволяет нам обрисовать общую картину внедрения систем электронных архивов, систем документооборота PDM и PLM на российских предприятиях.

Современную конструкторскую, производственную деятельность, поддержку эксплуатации, модернизации и утилизации изделий невозможно представить без использования различного рода автоматизированных систем: CAD (САПР), CAM, PDM, систем технологической подготовки производства, PLM-систем. Общую картину иллюстрирует рис. 1.

Рис. 1. Общая картина автоматизации

Как правило, все перечисленные и не перечисленные средства автоматизации присутствуют лишь в некоторой степени, чаще на начальных стадиях ЖЦ изделий - конструкторской деятельности и производстве. На последующих же стадиях ЖЦ степень информационной поддержки процессов иногда крайне низка. Приведем лишь некоторые характерные для наиболее автоматизированных стадий ЖЦ примеры, иллюстрирующие реальную картину.

Заявления о «внедрении PDM или PLM-технологий» на практике часто оказываются лишь внедрением системы электронного архива и документооборота КД и ТД, TDM, и не более. Причины:

• «игра слов» - это когда для создания функционала электронногоархива и документооборота КД и ТД использована дорогостоящая PDM-система (что часто трактуется как «внедрение PDM-технологии», хотя такого нет, налицо лишь внедрение электронного архива и/или TDMс использованием ПО - PDM-системы);
• подмена понятий - когда в названии программного средства присутствует аббревиатура «PDM» или «PLM», но система по роду решаемых задач не является таковой и, опять же, в лучшем случае решает две задачи, но чаще одну из двух:
• управление работой конструкторов на уровне документов, а иногда и 3D-моделей,
• управление электронным архивом КД и ТД.

Приведем пример: опыт компании Бюро ESG, включающий работы по созданию макета информационной модели военного корабля, показал, что на стадии ЖЦ эксплуатации наиболее важна, увы, не информация проектанта и строителя, а эксплуатационная документация, интерактивные электронные технические руководства (ИЭТР). Крайне необходима на стадии ЖЦ эксплуатации логистическая поддержка, позволяющая в кратчайшие сроки пополнить ЗИП. Очень часто ни одна система, позиционируемая производителем как PLM, не решает «по умолчанию» задач эксплуатации, хотя, не будем отрицать, такая система вполне может быть использована при соответствующих доработках, например, и для решения вопросов логистики. Заметим, что по эффективности и затраченной на доработку трудоемкости такой подход эквивалентен использованию бухгалтерской или ERP-системы для управления конструкторской деятельностью или текстового редактора для разработки конструкторских чертежей.

Стараясь быть объективными в оценках, не будем дальше сгущать краски, а всего лишь заметим:

• современная автоматизация конструкторской деятельности, производства, поддержки последующих стадий ЖЦ изделий часто включает лишь элементы PDM и PLM;
• часто внедрения PDM и PLM- не более чем создание электронного архива и документооборота КД и ТД;
• говорить о полном внедрении технологии PLM для всех стадий жизненного цикла изделия преждевременно.

Причины перехода на новую платформу

Несмотря на выводы предыдущего раздела статьи, отметим, что очень часто на предприятии, где внедрен электронный архив, конструкторский документооборот, автоматизированная система технологической подготовки производства, элементы PDM/PLM, работа без внедренных средств уже не представляется возможной. Это -основной показатель внедрения. В работе нашей компании был случай, когда при сбоях, произошедших в ЛВС Заказчика не по нашей вине, стал недоступен сервер электронного архива одного машиностроительного предприятия. Время от первого сбоя до первого звонка с предприятия в наш офис специалистам по техподдержке составило менее минуты. При этом все эмоциональные заявления объединяло одно -«без доступа к БД предприятие не может работать». На наш взгляд, это наиболее весомый практический показатель, превзошедший все теоретические выкладки.

Причины перехода к новым технологиям и платформам, а также расширению внедренного функционала можно отнести к нескольким группам.

Развитие технологий и средств проектирования

Один из важных факторов перехода к новым технологиям, программным решениям и расширению внедренного функционала системы конструкторского документооборота, автоматизированной системы технологической подготовки производства, элементам PDM/PLM на стадиях работы конструкторов и производства - появление средств трехмерного проектирования и законодательной базы, определяющей работу с электронными моделями.

Как уже говорилось, в большинстве случаев «внедрения PDM и PLM» речь идет о TDM, электронном архиве и документообороте КД и ТД. Такие решения (независимо от среды, в которой они строились) на практике, как правило, работают с двумерными КД и ТД. Исторически на большинстве предприятий, где реализованы подобные внедрения, в новые системы часто «перекочевали» принципы и подходы работы с двумерной конструкторской и технологической документацией с некоторыми «модернизациями» для электронных двумерных документов. Например, согласно ГОСТ 2.501-2006 изменения в электронные документы вносятся в новую версию. ГОСТ 2.503-90, описывающий внесение изменений «на бумаге», допускает вносить изменения непосредственно в чертеж (зачеркиванием, подчисткой (смывкой), закрашиванием белым цветом, введением новых данных)или создавать новые документы, их листы с заменой исходных, по сути -создавать версии. Пример иллюстрирует, что «модернизации» не так уж существенны, а порядок работы с двумерным электронным документом практически повторяет работу «с бумагой».

Да и сами средства электронного архива и документооборота КД и ТД, успешно внедренные в свое время, очень часто просто не поддерживают подходы к работе с 3D-моделью, а внедренная ранее информационная система, как правило, устарела и не содержит современных механизмов интеграции, позволяющих провести эффективную доработку.

Интеграция и оптимизация производственных процессов

Следующий фактор - интеграция и оптимизация производственных процессов. Очень часто наши заказчики испытывают законное желание максимально автоматизировать всю производственную цепочку. Например, вполне логично, что для написания техпроцессов технологу полезно иметь доступ к результатам работы конструктора. Несомненно, хотелось бы иметь некую единую интегрированную среду, причем, совсем не важно, как построена такая среда - в рамках одной или нескольких систем. Главное - сквозная передача данных между участниками производственных процессов, использование и поддержка актуальной информации.

Создание интегрированных территориально разнесенных сред

Очень часто внедренные ранее системы не содержат необходимого функционала, а встроенные средства его расширения не позволяют добиться желаемого -расширить функционал или организовать необходимое интеграционное взаимодействие с другими системами. Часто КБ и производства территориально разнесены. Иногда же существующие средства не отвечают современным представлениям об эффективной автоматизации. Например, для обмена информацией между системами в судостроении применяются файлы обмена (транспортные массивы). Нередко средством организации интеграционного взаимодействия являются только COM– технология. При этом современные системы позволяют эффективно организовать территориально распределенные БД, работу с инженерными данными, обмен ими между удаленными КБ, КБ и производством.

Экономические причины

Несомненно, в любых условиях экономическая составляющая перехода к использованию новых платформ не нова, но сегодня имеет две основные составляющие:

• вложения в новую платформу должны принести экономический эффект;
• заказчики выражают желание снизить вложения и не зависеть в ряде отраслей от зарубежных производителей.

Система IPS

По ряду причин мы не будем останавливаться на известных западных средствах автоматизации. В этом разделе мы постараемся перечислить решения: системы электронного конструкторского архива, документооборота, PDM, PLM, реально адаптированные к отечественным процессам, действующей нормативной базе РФ для КБ и производства, с одной стороны, и учитывающие современное состояние и наличие систем автоматизации проектирования, СУБД, сетевого оборудования и взаимодействия, с другой стороны. С приведенной оговоркой, выбор, увы, не так велик -возможно, кто-либо аргументированно возразит (за что мы заранее благодарны), но на отечественном рынке просматриваются всего лишь три решения:

• система IPS производства компании «Интермех»;
• система ЛОЦМАН:PLM производства компании «Аскон»;
• система T¬Flex производства компании «Топ Системы».

Целью статьи является отнюдь не формализованное сравнение этих трех систем по принципу «наличия или отсутствия» той или иной функции. Наш опыт показывает, что в большинстве случаев подобный подход весьма субъективен и некорректен. В связи с этим мы сегодня ограничимся описанием лишь одной системы IPS.

Общий функционал

Система представляет собой модульное решение, автоматизирующее конструкторские и производственные задачи -групповую работу конструкторов, конструкторский документооборот, реализацию системы электронного архива, ведение технологической подготовки производства, организацию интеграционного взаимодействия с прочими системами Предприятия.

Общая структура системы IPS приведена на рис. 2.

Рис. 2. Общая структура IPS

Гетерогенность среды IPS

Не секрет, что подавляющее большинство подобных средств является разработками производителей CAD-систем. При этом каждый производитель изначально решал маркетинговую задачу привлечения заказчиков в работе с набором «своих» программных продуктов. К слову, такая концепция присуща программным решениям не только в области автоматизации конструкторской деятельности и производства и не только в нашей стране, а выражает общемировую тенденцию. Некоторое время назад подобный подход претерпел изменения, и сегодня, как правило, любой производитель PDM/PLM-системы утвердительно ответит на вопрос о наличии программного взаимодействия с «неродными» для него CAD-системами.

Систему IPS стоит отметить не как изначально созданную от «какой-нибудь родной» для нее CAD-системы. Концепцию IPS можно охарактеризовать жаргонизмом «всеядность», наиболее точно характеризующим ее отношения к средствам проектирования, используемым в КБ. При этом в реализации IPS отражена сложившаяся тенденция наличия на предприятиях множества CAD-систем. При этом отметим, что иногда такое «изобилие средств проектирования» в ряде случаев -лишь «эхо эпохи спонтанной автоматизации», а в ряде случаев - результат экономически обоснованной политики, обусловленной, в свою очередь, сложностью и спектром проектируемых изделий. IPS одинаково успешно работает со следующими CAD-системами:

• AutoCAD;
• Autodesk Inventor;
• BricsCAD;
• Catia;
• Pro/ENGINEER/PTC Creo Parametric;
• Solid Edge;
• SolidWorks;
• КОМПАС-3D;
• КОМПАС-График.

А кроме того - с системами проектирования печатных плат электронных изделий (ECAD): Mentor Graphics и Altium Designer.

Возможности настройки функционала

Платформа IPS позволяет гибко настраивать функционал. При настройках могут быть использованы встроенные средства (без программирования). Для реализации же уникального функционала могут применяться внешние среды программирования для написания программ-плагинов.

Важным аспектом автоматизации проектирования, производственной деятельности, внедрения электронного архива, PDM/PLM-технологий на современном предприятии является то, что начинать приходится отнюдь не «с чистого листа». Кроме того, как правило, уже в той или иной степени организовано хранение информации в электронном виде (электронный архив), нередки успешные внедрения конструкторского документооборота, элементов PDM и PLM. В более «продвинутых» случаях существует единое информационное пространство, организовано межсистемное взаимодействие. При этом, с одной стороны, внедренные и успешно эксплуатируемые средства требуют модернизации, связанной с переходом на новые технологии (например, при внедрении трехмерных CAD-систем). С другой стороны, ранее накопленные БД, технические и организационные подходы должны и могут быть применены при внедрении новых технологий. Например, БД «двумерной» документации на ранее произведенные изделия вовсе не теряет своей актуальности при переходе к использованию 3D-CAD-систем (изделия эксплуатируются, модернизируются, производятся вновь независимо от того, как они спроектированы -«на плоскости» или «на бумаге»).

Организация территориально распределенной работы

Добавим, что система IPS позволяет реализовывать территориально разнесенные решения как в рамках одной стадии ЖЦ изделия, например при проектировании одним или несколькими КБ, так и в рамках различных стадий. При этом возможны, например, проектирование изделия одним или несколькими КБ и удаленный доступ технологов одного или нескольких разнесенных производств к результатам работы конструкторов, автоматизация технологической подготовки производства с использованием соответствующих модулей IPS. Механизм публикаций документов и моделей позволяет удаленному от КБ предприятию вносить аннотации, инициализировать проведение изменений, работая в единой территориально распределенной среде.

Общая структура организации распределенной работы IPS приведена на рис. 3.

Рис. 3. Организация территориально распределенной работы IPS

Пример перехода КБ к использованию IPS

Приведем реальный пример перевода с ранее внедренной системы электронного архива, документооборота с элементами PDM и PLM в одном из крупных КБ. Основные причины проведения работ:

• переход конструкторских подразделений к трехмерному проектированию;
• отсутствие технической возможности поддержки работы с 3D-CAD-системами у существующей системы электронного архива и документооборота КД с элементами PDM и PLM;
• устаревшая архитектура существующей системы и невозможность ее дальнейшего масштабирования;
• требования к территориально разнесенному взаимодействию КБ с другими КБ и производством.

Результаты работ:

• проработка вопросов миграции данных из существующей системы в IPS;
• проработка вопросов миграции процессов из существующей системы в IPS;
• программное решение - подсистема интерфейсного взаимодействия между существующей системой и IPSдля обеспечения интеграционного взаимодействия систем, позволяющая осуществить «плавный переход»;
• сформулирована организационная составляющая перехода к использованию новой системы с учетом оптимизации временных и ресурсных затрат.

Первый этап - разработка технологии и программно-технических решений - проводился на ранее спроектированном, «пилотном» изделии.

В настоящее время, согласно графику работ, специалисты нашей компании выполняют следующий этап работ, основанный на полученных ранее результатах: сопровождение проектирования двух реальных изделий 3D-CAD-систем и системы IPS.

Заключение

• Часто этапы автоматизации КБ и предприятий, позиционируемые как реальные внедрения PDM/PLM-технологий, представляют собой создание электронных архивов, систем документооборота КД и ТД, TDM (чаще для двумерных документов). В большинстве случаев можно говорить лишь о реальном внедрении элементов PDM и PLM;
• с переходом к трехмерному проектированию ранее внедренные системы электронного архива и документооборота КД и ТД, внедренные элементы PDM и PLMдалеко не всегда отвечают новым требованиям;
• перевод на новые платформы систем электронного архива и документооборота КД и ТД, элементов PDM и PLM-непростая, но вполне решаемая задача, требующая разработанного компанией Бюро ESG системного подхода, лишь частично освещенного в статье.

Список литературы

1. Турецкий О., Тучков А., Чиковская И., Рындин А. Новая разработка компании InterCAD -система хранения документов и 3D-моделей// REM. 2014. № 1.
2. Тучков А., Рындин А. О путях создания систем управления инженерными данными// REM. 2014. № 1.
3. Казанцева И., Рындин А., Резник Б. Информационно-нормативное обеспечение полного жизненного цикла корабля. Опыт Бюро ESG// Korabel.ru. 2013. № 3 (21).
4. Тучков А., Рындин А. Системы управления проектными данными в области промышленного и гражданского строительства: наш опыт и понимание// САПР и графика. 2013. № 2.
5. Галкина О., Кораго Н., Тучков А., Рындин А. Система электронного архива Д’АР - первый шаг к построению системы управления проектными данными// САПР и графика. 2013. № 9.
6. Рындин А., Турецкий О., Тучков А., Чиковская И. Создание хранилища 3D-моделей и документов при работе с трехмерными САПР// САПР и графика. 2013. № 10.
7. Рындин А., Галкина О., Благодырь А., Кораго Н. Автоматизация потоков документации -важный шаг к созданию единого информационного пространства предприятия // REM. 2012. № 4.
8. Петров В. Опыт создания единого информационного пространства на СПб ОАО «Красный Октябрь» // САПР и графика. 2012. № 11.
9. Малашкин Ю., Шатских Т., Юхов А., Галкина О., Караго Н., Рындин А., Фертман И. Опыт разработки системы электронного документооборота в ОАО «Гипроспецгаз»// САПР и графика. 2011. № 12.
10. Санёв В., Суслов Д., Смирнов С. Использование информационных технологий в ЗАО «ЦНИИ судового машиностроения// CADmaster. 2010. № 3.
11. Воробьев А., Данилова Л., Игнатов Б., Рындин А., Тучков А., Уткин А., Фертман И., Щеглов Д. Сценарий и механизмы создания единого информационного пространства// CADmaster. 2010. № 5.
12. Данилова Л., Щеглов Д. Методология создания единого информационного пространства ракетно-космической отрасли// REM. 2010. № 6.
13. Галкина О.М., Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Электронная информационная модель изделий судостроения на различных стадиях жизненного цикла// CADmaster. 2007. № 37a.
14. Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Технологии обеспечения жизненного цикла изделий // Компьютер-ИНФОРМ. 2005. № 11.
15. Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Ступени внедрения ИПИ-технологий// Судостроение. 2005. № 4.

Что такое IDS?

Системы обнаружения вторжений (Intrusion Detection System) - это совокупность программных и/или аппаратных средств, служащих для выявления фактов несанкционированного доступа в компьютер/компьютерную сеть, а также предотвращения неавторизованного управления ими.

Что такое IDS?

Проще говоря, IDS - это система, которая обеспечивает безопасность деятельности пользователя, защищая его от разного рода вторжений и сетевых атак, коих в век информационных технологий просто не счесть. Кроме того, IDS - это возможность получать прогноз о будущих атаках и предотвращать их, а также узнавать информацию об "атакующих", которая может быть полезной для корректировки факторов, допустивших несанкционированных доступ.

Почему IDS необходимы?

В последнее время применение пользователями систем обнаружения вторжения активно набирает популярность. IDS - важнейший элемент информационной безопасности, необходимый каждому дальновидному пользователю. Система обнаружения вторжений позволит не только выявить компьютерную атаку и блокировать ее, но и выполнить это в удобном графическом интерфейсе - от пользователя не потребуется специальных знаний о сетевых протоколах и возможных уязвимостях.

По аналогии с антивирусными программами системы обнаружения вторжения применяют для базового метода обнаружения несанкционированной деятельности:

• на основе сигнатуры. В данном случае анализ проводится на базе соответствия определенному набору событий, которые уникально характеризуют то или иное известное нападение. Данная методика довольно эффективна и в коммерческих способах поиска опасности - главная.
• на основе аномалий. Такой тип работы характеризируется обнаружением атак путем идентификации необычного поведения сети, сервера или приложения. Системы, работающие по данному механизму, могут эффективно отслеживать нападения, однако их главная проблема - масса ложных срабатываний.

Архитектура IDS

Любая IDS включает в себя:

В большинстве простых IDS все вышеперечисленные компоненты реализованы в виде одного устройства. В зависимости от параметров сенсоров и методов анализа системы обнаружения вторжений обеспечивают разный уровень обнаружения атак.

IDS, защищающая сегмент сети

Этот тип систем очень надежен, поскольку развертывание происходит на специализированном сервере, на котором другие приложения работать не могут. При этом сервер можно сделать невидимым для нападающего. Для особенно качественной защиты
сети устанавливается ряд таких серверов, которые могут анализировать трафик во всех ее сегментах. При удачном расположении этих систем можно контролировать весьма масштабную сеть.

Недостаток IDS, защищающий сегмент сети, - сложность распознания атаки в момент высокой нагрузки сети. Кроме того, такая IDS сможет лишь сообщить о нападении, но не проанализировать степень проникновения.

IDS, защищающая отдельный сервер

Данные системы осуществляют сбор и анализ информации о подозрительных процессах, которые происходят на конкретном сервере. Такая IDS имеет довольно узкую задачу, а потому может выполнять высоко детализированный анализ, а также определять конкретного пользователя, который совершает несанкционированные действия.

Некоторые IDS, защищающие сервер, имеют возможность управлять сразу группой серверов, составляя общие отчеты о возможной сетевой атаке. В отличие от IDS, защищающих сегмент сети, эти системы могут работать даже в сети, которая использует шифрование, - в том случае, если информация на сервере до ее передачи содержится в открытом виде.

Главный минус IDS, контролирующих сервер(ы), - невозможность выполнять контроль всей сети. Для них видимы лишь пакеты, получаемые защищаемым сервером. Кроме того, эффективность работы систем снижается, когда сервер использует вычислительные ресурсы.

IDS, защищающая приложения

Эти системы защиты контролируют события, происходящие в пределах одного приложения. Как вы уже, наверно, догадались, такая система позволяет создавать отчет с максимально высокой степенью детализации, поскольку работает с еще более узкой задачей, чем система предыдущего типа.

IDS, защищающая приложение, использует знания о приложении, а также данные анализа его системного журнала для составления анализа. Система взаимодействует с приложением посредством API.

Недостаток IDS, защищающих приложения очевиден - слишком узкий профиль. Конечно, если для пользователя важно обеспечить безопасность конкретного приложения - это вполне приемлемый вариант.

IDS - надежная защита?

Системы обнаружения вторжений - эффективный инструмент защиты пользователя от разного рода несанкционированных атак, однако не стоит забывать, что если мы говорим о полноценной безопасности, IDS - всего лишь элемент данной системы. Полноценная безопасность это:

• политика безопасности интрасети;
• система защиты хостов;
• сетевой аудит;
• защита на базе маршрутизаторов;
• межсетевой экран;
• система обнаружения вторжений;
• политика реагирования на обнаруженные атаки.

Только грамотно сочетая все вышеперечисленные типы защиты, пользователь может быть абсолютно спокоен за безопасность хранения и передачи важных данных.

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

INFO

• О Mod_Security и GreenSQL-FW читай в статье «Последний рубеж», ][_12_2010.
• Как научить iptables «заглядывать» внутрь пакета, читай в статье «Огненный щит», ][_12_2010.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS , анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_12_2010).

Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.

Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проекты OpenDPI и Fwsnort . Последний представляет собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов. IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR , которая работает на втором уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.

В обычной жизни дверь не только запирают на замок, но и дополнительно защищают, оставляя возле нее охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT в качестве такого секьюрити выступают хостовые IPS (см. «Новый оборонительный рубеж» в ][_08_2009), защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусами, имеющими модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Они контролируют гораздо больше системных параметров: процессы, целостность системных файлов и реестра, записи в журналах и многое другое.

Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Для этой цели были созданы гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM - Security Information Management). Среди OpenSource-проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (поддержка этой системы приостановлена несколько лет назад, но собранные пакеты еще можно найти в репозиториях Linux и *BSD).

В разнообразии предлагаемых решений может запутаться даже профи. Сегодня мы познакомимся с наиболее яркими представителями IDS/IPS-систем.

Объединенный контроль угроз

Современный интернет несет огромное количество угроз, поэтому узкоспециализированные системы уже не актуальны. Необходимо использовать комплексное многофункциональное решение, включающее все компоненты защиты: файервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам-фильтр. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). В качестве примеров UTM можно привести Trend Micro Deep Security , Kerio Control , Sonicwall Network Security , FortiGate Network Security Platforms and Appliances или специализированные дистрибутивы Linux, такие как Untangle Gateway, IPCop Firewall, pfSense (читай их обзор в статье «Сетевые регулировщики», ][_01_2010).

Suricata

Бета-версия этой IDS/IPS была представлена на суд общественности в январе 2010-го после трех лет разработок. Одна из главных целей проекта - создание и обкатка совершенно новых технологий обнаружения атак. За Suricata стоит объединение OISF, которое пользуется поддержкой серьезных партнеров, включая ребят из US Department of Homeland Security. Актуальным на сегодня является релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не GPL-версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата к работе привлекается сообщество, что позволяет достигнуть очень высокого темпа разработки. Например, по сравнению с предыдущей версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные IDS с длинной историей, в том числе и Snort, не совсем эффективно используют многопроцессорные/многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме. Тесты показывают, что она шестикратно превосходит Snort в скорости (на системе с 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратного ускорения на стороне GPU. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6’), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще, модульная компоновка позволяет быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов. Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах необязательно привязываться к номеру порта (как это делает Snort), достаточно лишь задать действие для нужного протокола. Ivan Ristic, автор Mod_security, создал специальную библиотеку HTP, применяемую в Suricata для анализа HTTP-трафика. Разработчики прежде всего стремятся добиться точности обнаружения и повышения скорости проверки правил.

Вывод результатов унифицирован, поэтому можно использовать стандартные утилиты для их анализа. Собственно, все бэк-энды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т. д.), без доработок работают и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулсеты, созданные для других проектов: Sourcefire VRT (можно обновлять через Oinkmaster), и Emerging Threats Pro . В первых релизах поддержка была лишь частичной, и движок не распознавал и не загружал некоторые правила, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающий снортовский. Правило состоит из трех компонентов: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. При этом информацию из потока можно сохранять для последующего использования. Такой подход, применяемый для отслеживания попыток подбора пароля, более эффективен, чем используемый в Snort метод, который оперирует пороговым значением срабатывания. Планируется создание механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).

Резюмируя, отмечу, что Suricata - это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта - скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec , построенный на базе Suricata.

Samhain

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

• создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с «живой» системой;
• мониторинг и анализ записей в журналах;
• контроль входа/выхода в систему;
• мониторинг подключений к открытым сетевым портам;
• контроль файлов с установленным SUID и скрытых процессов.

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft - StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов - PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

Предусмотрено несколько вариантов действий при обнаружении атаки - блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки - RAID, блок питания, вентилятор охлаждения - дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS - Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

• Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) - так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
• Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
• Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
• Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

Лабораторная работа № _ . Системы обнаружения атак, работающие в режиме реального времени.

Цель работы : Ознакомление с принципами действия систем обнаружения атак, работающих в режиме реального времени. Установка и настройка реальной системы обнаружения атак Black ICE Defender .

ОСНОВНЫЕ ПОНЯТИЯ

Системы и сети являются целями атак. Все чаще и чаще фиксируются атаки на ресурсы Internet с целью нарушения существующей политики безопасности. Системы анализа защищенности (сканер безопасности) проверяют системы и сети в поиске проблем в их реализации и конфигурации, которые приводят к этим нарушениям. Системы обнаружения атак (далее IDS -системы, Intrusion Detection Systems ) собирают различную информацию из разнообразных источников и анализируют ее на наличие различных нарушений политики безопасности. И анализ защищенности, и обнаружение атак позволяют организациям защитить себя от потерь, связанных с нарушениями системы защиты.

IDS -системы собирают информацию об использовании целого ряда системных и сетевых ресурсов, затем анализируют информацию на наличие вторжения (атак, идущих снаружи организации) и злоупотреблений (атак, идущих изнутри организации). Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации ОС и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости.

Существует несколько классификаций IDS -систем. Одна из них - по принципу реализации:

host -based - обнаруживает атаки, направленные на конкретный узел сети,

Network - based - обнаруживает атаки, направленные на всю сеть или сегмент сети.

Системы класса host -based можно разделить еще на три подуровня:

Application IDS - обнаруживает атаки, направленные на конкретные приложения;

OS IDS - обнаруживает атаки, направленные на ОС;

DBMS IDS - обнаруживает атаки, направленные на СУБД.

Выделение обнаружения атак на СУБД в отдельную категорию связано с тем, что современные СУБД уже вышли из разряда обычных приложений и по многим своим характеристикам, в т.ч. и по сложности, приближаются к ОС. Таким образом, классификация IDS -систем по принципу реализации выглядит следующим образом:

Рис. 1. Классификация систем обнаружения атак по принципу реализации

IDS -системы выполняют следующий ряд функций:

Мониторинг и анализ пользовательской и системной активности;

Аудит системной конфигурации;

Контроль целостности системных файлов и файлов данных;

Распознавание шаблонов действий, отражающих известные атаки;

Статистический анализ шаблонов аномальных действий.

Целесообразно привести высказывания известных специалистов в области IDS -систем:

Маркус Ранум : IDS -системы достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем. Скорее всего, IDS -системы похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.

Ли Саттерфилд : Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность ОС, обнаруживать несанкционированные действия, и автоматически реагировать на них. Кроме того, IDS -системы могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени.

Исторически сложилось, что технологии, по которым строятся IDS -системы, принято условно делить на две категории: обнаружение аномального поведения (anomaly detection ) и обнаружение злоупотреблений (misuse detection ). Однако в практической деятельности применяется именно классификация, учитывающая принципы практической реализации таких систем - обнаружение атак на уровне сети и на уровне хоста.

Network-based системы анализируют сетевой трафик, в то время как host-based - регистрационные журналы ОС или приложения. Каждый из классов имеет свои достоинства и недостатки. Необходимо заметить, что лишь некоторые IDS -системы могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее, эта классификация отражает ключевые возможности, отличающие одну IDS -систему от другой.

Принципиальное преимущество сетевых IDS -систем в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, IDS -системы на уровне сети практически не снижают производительности сети.

IDS -системы на уровне хоста были разработаны для работы под управлением конкретной ОС, что накладывает на них определенные ограничения. Используя знание того, как должна себя "вести" ОС, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается высокой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени (например, система "Операционный день банка", система управления технологической системой или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты Вашей организации. Если Вы хотите защитить один или несколько узлов, то IDS -системы на уровне хоста могут быть неплохим выбором. Но, если Вы хотите защитить большую часть сетевых узлов организации, то IDS -системы на уровне сети, вероятно, будут лучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи IDS -системы. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением было бы применение IDS -системы, объединяющей в себе оба эти подхода.

Технология, по которой построены данные системы, основана на гипотезе, что аномальное поведение пользователя (т.е. атака или какое-либо враждебное действие) часто проявляется как отклонение от нормального поведения. Примерами аномального поведения могут служить: большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора или использование периферийных устройств, которые обычно не задействуются пользователем. Если бы мы смогли описать профиль нормального поведения пользователя, то любое отклонение от него можно охарактеризовать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременная посылка большого числа запросов об активности станций от администратора системы сетевого управления. Многие IDS -системы идентифицируют этот пример, как атаку типа "отказ в обслуживании" ("denial of service "). С учетом этого факта необходимо отметить, что возможны два крайних случая при эксплуатации системы:

1. Обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак.

2. Пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай гораздо более опасен, чем ложное отнесение аномального поведения к классу атак. Поэтому при настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:

Построение профиля пользователя. Трудно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы.

Определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из вышеназванных крайних случаев.

Организация ids-системы

Все системы обнаружения атак могут быть построены на основе двух архитектур: "автономный агент " и "агент-менеджер ". В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура "агент-менеджер ".

Ниже приведен список компонент, из которых должна состоять типичная IDS -система:

1. Графический интерфейс . Не надо говорить, что даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружелюбный интерфейс. В зависимости от ОС, под управлением которой функционирует IDS -система, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix .

2. Подсистема управления компонентами . Данная подсистема позволяет управлять различными компонентами IDS -системы. Управление может осуществляться, как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например, SNMP . Под термином "управление" понимается как возможность изменения политики безопасности для различных компонентов IDS -системы (например, модулей слежения), так и получение информации от этих компонент (например, сведения о зарегистрированной атаке).

3. Подсистема обнаружения атак . Основной компонент IDS -системы, который осуществляет анализ информации, получаемой от модуля слежения. По результатам анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т. д.

4. Подсистема реагирования . Подсистема, осуществляющая реагирование на обнаруженные атаки и иные контролируемые события.

Более подробно варианты реагирования будут описаны ниже.

5. Модуль слежения . Компонент, обеспечивающий сбор данных из контролируемого пространства (регистрации или сетевого трафика). У разных производителей может называться: сенсором (sensor ), монитором (monitor ), зондом (probe ).

В зависимости от архитектуры построения IDS -системы может быть физически отделен (архитектура "агент-менеджер ") от других компонентов, т. е. находиться на другом компьютере.

6. База знаний . В зависимости от методов, используемых в IDS -системе, база знаний может содержать профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. Эта база может пополняться производителем IDS -системы, пользователем системы или третьей стороной, например, компанией, осуществляющей поддержку этой системы.

7. Хранилище данных . Обеспечивает хранение данных, собранных в процессе функционирования IDS -системы.

Методы реагирования ids-системы

Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование:

1. Уведомление . Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль IDS -системы. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону.

2. Сохранение . К категории "сохранение" относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени.

Первый вариант широко распространен во многих системах защиты.

Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

3. Активное реагирование . К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т. е. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.