Как предотвратить вторжение в корпоративную сеть?

В настоящее время защита, базирующаяся на файерволе и антивирусе, уже не эффективна против сетевых атак и малвари. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще неизвестные угрозы.

Технологии IDS/IPS

Чтобы выбрать IDS или IPS, следует понимать заложенный в них принцип и назначение. Так задача IDS (Intrusion Detection System) — обнаружение и регистрация атак, а также оповещение в случае срабатывания определенного правила. В зависимости от своего назначения, IDS умеет определять различные виды сетевых атак, попытку неавторизованного доступа или повышения привилегий, появление вредоносного ПО, открытие нового порта и т.д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до 7 уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений, весьма популярны APIDS (Application protocol-based IDS), контролирующие ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются: PHPIDS (phpids.org), анализирующий запросы к PHP приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL команды (см. статью «Последний рубеж» в ][_12_2010).
Сетевые NIDS (Network Intrusion Detection System) более универсальны за счет использования технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Их деятельность не ограничивается конкретным приложением, они проверяют весь проходящий трафик, начиная с канального уровня.
Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проект OpenDPI (www.opendpi.org) или Fwsnort (cipherdyne.org/fwsnort), представляющий собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов.
Все подозрительные действия IDS всего лишь помечает (alert), далее администратор, просматривая статистику, самостоятельно перенастраивает брандмауэр, чтобы заблокировать атакующий хост. Естественно, ни о какой реакции в реальном времени в таком случае речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, Система предотвращения атак), которые базируясь на IDS могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться в разрыв или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR (hlbr.sf.net), которая работает на 2-ом уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.
В обычной жизни дверь не только запирают на замок, но и оставляют охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT таким секьюрити выступают хостовые IPS, защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусом, имеющим модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Охват контролируемых системных параметров у них значительно шире — процессы, целостность системных файлов, реестра, записи в журналах и многое другое.
Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Так появились гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM — Security Information Management). Среди OpenSource проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (разработка этой системы приостановлена, но собранные пакеты еще можно найти в репозитариях Linux и *BSD).
В разнообразии предлагаемых решений может запутаться даже профи. Сегодня познакомимся с наиболее яркими представителями IDS/IPS систем.

Suricata

Разработчик: OISF (Open Information Security Foundation)
Web: www.openinfosecfoundation.org
Платформа: программная
ОС: Linux, *BSD, Mac OS X, Solaris, Windows/Cygwin
Лицензия: GNU GPL

Бета версия этой IDS/IPS была представлена на суд общественности в январе 2010, чему предшествовало три года разработок. Одна из главных целей проекта — создание и обкатка совершенно новых технологий обнаружения атак, движок должен эффективно справляться со своей задачей при обработке большого потока данных. За Suricata стоит объединение OISF, имеющее поддержку серьезных партнеров, включая ребят из US Department of Homeland Security. На сегодня актуальным является вышедший в ноябре 2011 года релиз под номером 1.1. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не-GPL версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата всячески привлекается сообщество, темп разработки очень высокий. Например, по сравнению с предыдущей версией 1.0, объем кода у 1.1 вырос на 70%. Некоторые современные IDS, имеющие долгую историю, в том числе и Snort, не совсем эффективно используют современные многопроцессорные или многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме и по тестам имеет 6-ти кратное увеличение производительности над Snort (на системе 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратной акселерации на стороне GPU за счет задействования CUDA и OpenCL. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6‘), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще модульная компоновка дает возможность быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов.

Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах не обязательно привязываться к номеру порта (как это делается в Snort), достаточно лишь задать действие для нужного протокола. Автор Mod_security, Ivan Ristic, разработал специальную библиотеку HTP, применяемую в Suricata для разбора HTTP трафика. Авторы уделяют особое внимание точности обнаружения и повышению скорости проверки правил. В частности, здесь применен очень быстрый механизм сопоставления по маске с большими наборами IP-адресов.
Вывод результата унифицирован, поэтому возможно использование стандартных утилит для их разбора. Собственно все бэкенды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т.д.), будут без доработок работать и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулесеты, созданные другими проектами — Sourcefire VRT (можно обновлять через Oinkmaster), OpenSource Emerging Threats (hemergingthreats.net) и Emerging Threats Pro (emergingthreatspro.com). В первых релизах поддержка была лишь частичной, и некоторые правила не распознавались и не загружались движком, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающие снортовский. Правило состоит из трех составляющих: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. Причем информацию можно сохранить из потока и в дальнейшем использовать. Такой подход применен для детектирования попыток подбора пароля и более эффективен, чем в Snort, который базируется на пороговом значении срабатывания. Планируется появление механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).
Резюмируя, Suricata — это более быстрый движок, чем Snort, полностью с ним совместимый по правилам и бэкендам и способный обеспечить проверку большого сетевого потока. Единственный недостаток проекта — скудная документация, хотя разобраться с настройками опытному админу ничего не стоит. В репозитариях дистрибутивов уже появились пакеты для установки, на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec (bailey.st/blog/smooth-sec), построенный на базе Suricata.

Samhain

Разработчик: Samhain Labs
Web: www.la-samhna.de/samhain/
Реализация: программная
ОС: Unix, Linux, Windows/Cygwin
Лицензия: GNU GPL

Выпускаемый под OpenSource лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Используется несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда его процессы невозможно обнаружить в памяти. Также Samhain поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС с регистрацией всех событий в единой точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию по зашифрованному каналу на сервер — yule (TCP, AES, подпись), который сохраняет их в БД (MySQL, PostgreSQL, Oracle). Кроме этого, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов оповещения и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и другие. Управление можно осуществлять нескольким администраторам с четко установленными ролями.
Пакет доступен репозитариях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain на Windows.

StoneGate Intrusion Prevention System

Разработчик: StoneSoft Corporation
Web: www.stonesoft.com
Реализация: программно-аппаратная, образ VMware
ОС: 32/64-битные Windows 2k3/Vista/7/2k8R2, Linux (CentOS, RHEL, SLES)
Лицензия: коммерческая

Решение, разработанное финской компанией, занимающейся созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS и 0day атак, веб-фильтрация, поддержка зашифрованного трафика и т.д. Используя StoneGate IPS, можно заблокировать вирус, spyware, работу определенных приложений (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control дает возможность разделить корпоративную сеть на несколько виртуальных сегментов, не изменяя реальную топологию, и для каждого установить индивидуальные политики безопасности. Настройка политик проверки трафика производится при помощи шаблонов, содержащих типовые правила. Процесс создания политик происходит в оффлайн-режиме, по окончании администратор их проверяет и загружает на удаленные узлы IPS. Сходные события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, существенно облегчая анализ администратором.
Несколько устройств легко соединить в кластер и интегрировать с другими решениями StoneSoft — StoneGate Firewall/VPN и StoneGate SSL VPN, единое управление обеспечиваются из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль, кроме настроек работы IPS, создания новых правил и политик, позволяет производить мониторинг и просматривать журналы. Консоль написана на Java, поэтому доступны версии для Windows и Linux.
Поставляется StoneGate IPS как в виде аппаратного комплекса, так и образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

Разработчик: IBM
Web: www.ibm.com/ru
Реализация: программно-аппаратная, образ VMware
Лицензия: коммерческая

Система предотвращения атак от IBM для детектирования использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту, в том числе и от 0day угроз. Как и во всех продуктах серии IBM Security, его основой является модуль анализа протоколов — PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т.д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать место, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, без необходимости привлечения дополнительного устройства. Разработчики ОС или приложения не всегда успевают выпустить заплатку, устраняющую критическую уязвимость, технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры, пока не установлены обновления. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений дает возможность управлять и при необходимости блокировать P2P, IM, ActiveX элементы, средства VPN и т.д.
Реализован модуль DLP, обеспечивающий контроль попыток передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается 8 типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ настраивает самостоятельно при помощи регулярных выражений.

В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукте IBM применен специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и других.
Предусмотрено несколько вариантов действий при обнаружении атаки – блокировка хоста, отправка предупреждения, запись трафика атаки (в файл совместимый с tcpdump), поместить узел в карантин, настраиваемое пользователем действие и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN.
При наличии в сети двух и более устройств IPS активация режима High Availability гарантирует, что в случае выхода из строя одного из них трафик пойдет через другое, установленные соединения при этом не прервутся. Внутри железки все подсистемы дублированы: RAID, два блока питания, два вентилятора охлаждения. Настройка производится при помощи веб-консоли и максимально проста (курсы обучения занимают всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, обеспечивающий централизованное управление, анализ логов и отчеты.

Современный интернет несет огромное количество угроз, поэтому сегодня системы с узкой специализацией уже не интересны, необходимо применять комплексное многофункциональное решение, включающее все компоненты защиты — фаервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). Примером UTM может служить Trend Micro Deep Security (ru.trendmicro.com), Kerio Control (kerio.ru), Sonicwall Network Security (sonicwall.com), FortiGate Network Security Platforms and Appliances (fortinet.com) или большинство специализированных дистрибутивов Linux — Untangle Gateway, IPCop Firewall, pfSense и др.

McAfee Network Security Platform 7

Разработчик: McAfee Inc.
Web: www.mcafee.com
Реализация: программно-аппаратная
Лицензия: коммерческая

Одним из популярных IPS-решений был IntruShield IPS, выпускаемый компанией McAfee, теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS, новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать вторжение в начальной стадии. В McAfee использована технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и дает оценку репутации всем проходящим уникальным файлам, IP- и URL-адресам, протоколам. В результате NSP может обнаруживать трафик ботнета, 0day угрозы и DDoS атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.
Не все IDS/IPS работают в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP с этим проблем не испытывает, он умеет анализировать трафик между VM, а также VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает их в физическую среду для анализа.
Движок различает более 1100 приложений, работающих на 7-ом уровне OSI, просматривая трафик при помощи механизма контент-анализа и предоставляя простые инструменты управления.
Кроме NIPS, McAfee выпускает и хостовую IPS — Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, межсетевой экран с контролем состояния соединений, технология оценки репутаций для блокирования атак.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, планируемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения имеют поддержку и снабжены сертификатами, которые позволяют использовать их в организациях, занимающихся, в том числе, обработкой персональных данных. Распространяемый по OpenSource лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и главное — абсолютно бесплатен.

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)