Статья опубликована в №3 (ноябрь) 2013Разделы: Информационные технологииРазмещена 25.11.2013. Последняя правка: 26.11.2013.
Просмотров - 5520
Методы анализа защищенности компьютерных сетей
Распутин Роман Владимирович
НГТУ, ЗАО "Энвижн Груп"
инженер направления информационной безопасности технического отдела
Любченко В.И., Вихман В.В.
Аннотация:
В этой статье вводная информация об обнаружении вторжений и современных методов анализа сетевой безопасности.
Abstract:
This article provides an introduction to the intrusion detection and modern methods for the network security analysis.
Ключевые слова:
Анализ защищенности, методы анализа защищенности, обнаружение вторжений, предотвращение вторжений
Keywords:
security analysis, methods for security analysis, intrusion detection, intrusion prevention
УДК 004.02 + 004.7
В этой статье вводная информация об обнаружении вторжений и современных методов анализа сетевой безопасности. В основном здесь будут рассмотрены методы работы, основанные на уровне IP. Прежде всего, будут объяснены основные термины, связанные с обнаружением вторжений и сбором трафика. Затем будут описаны несколько методов, в соответствии со следующими критериями:
- Охват,
- Эффективность,
- Производительность,
- Применимость для различных типов сбора данных,
- Способность обнаружения вторжений в зашифрованном трафике.
Первый критерий — это способность обнаруживать угрозы безопасности. Охват является полным, если метод обнаруживает как известные, так и неизвестные угрозы. Второй критерий означает точность обнаружения, скорость ложных срабатываний, полученных методом. Третий критерий – скорость обработки сетевого трафика с помощью метода – имеет решающее значение для развертывания в высокоскоростных сетях. Четвертый критерий определяет, является ли захват пакетов и/или (выборка) данных, основанных на потоке, пригодным в качестве входа оценки метода. Последний критерий является более важным в сегодняшней сети.
Основная классификация методов берется из [1].
Обнаружение вторжений
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем. [2]
Можно разделить системы обнаружения вторжений (СОВ) на два основных класса в зависимости от их позиции во сети: хостовые системы обнаружения вторжений и сетевые системы обнаружения вторжений.
Хостовая система обнаружения вторжений. Этот тип обнаружения выполняется на компьютере в компьютерной сети. Хостовая система обнаружения вторжений (Хостовая СОВ) обычно отслеживает файлы журналов (например, журналов брандмауэра, журналов веб-сервера и системных журналов) и целостность системных файлов (например, целостности ядра или открытые порты).
Сетевые системы обнаружения вторжений. Сетевой подход рассматривает всю сеть или ее часть. Весь входящий или исходящий сетевой трафик проверяется на наличие подозрительных шаблонов. Шаблоны могут быть представлены в виде подписи, строки символов, которая описывает определенную атаку. Еще другой подход – обнаружение аномалий. Сначала необходимо создать модель нормального поведения сети. Затем необходимо оценить разность с моделью. Если значение больше, чем заданное (пороговое), это может указывать на атаку. Другие сетевые системы обнаружения вторжений (Сетевые СОВ) используют анализ состояния протокола, неожиданные или недопустимые последовательности пакетов с точки зрения конкретного протокола. Сетевые СОВ – пассивные системы: они являются "невидимыми " для других хостов и главным образом для нападающих.
В сочетании с СОВ, часто упоминаются два следующих термина: ложноположительных и ложноотрицательных. Первый обозначает ложное предупреждение СОВ: система классифицирует неопасный трафик, как вредоносный. Второй термин указывает на наличие вредоносного трафика, который не был распознан СОВ. Конечно, существует тенденция , чтобы минимизировать количество обоих ложных положительных и отрицательных. Например, если СОВ производит большое количество ложных срабатываний, это сигнализирует администратору о последующем ручном анализе этих предупреждений.
Предотвращение вторжений
Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.[3] Системы IPS можно рассматривать как расширение систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. По сравнению с СОВ, система предотвращения вторжений (СПВ) является реактивной системой, в которой СОВ тесно связана с брандмауэром. Основной задачей СПВ является смягчение (остановка) обнаруженной атаки. СПВ можно разделить на три класса: хостовые, сетевые и распределенные.
Сбор потокового трафика
Классический подход многих СОВ или СПВ для сбора данных, заключается в захвате всех сетевых пакетов, которые проходят через систему, чаще всего в PCAP-формате. Однако, многие маршрутизаторы и зонды мониторинга собирают потоковые данные, как правило, в формате NetFlow.
NetFlow и IPFIX
NetFlow был первоначально разработан компанией Cisco Systems, мировым лидером в области сетевых решений. Многие коммутаторы и маршрутизаторы Cisco способны экспортировать записи NetFlow. Есть два широко используемых версии NetFlow - версии 5 и 9. Первая из них является собственным форматом компании Cisco, а вторая была стандартизирована как открытый протокол по IETF в 2006 году.
Поток определяется как однонаправленная последовательность пакетов с некоторыми общими свойствами, которые проходят через сетевое устройство. Эти собранные потоки экспортируется на внешнее устройство, коллектор NetFlow. Сетевые потоки высоко гранулированные, например, записи потоков включают такие детали, как IP-адреса, пакеты и байты, метки, тип службы, порты приложений, входные и выходные интерфейсы, и т.д. Таким образом, коллекция потоковых данных обеспечивает агрегированный вид сетевого трафика.
IPFIX. Продолжение усиления IETF приводит к унификации протоколов и приложений, которые требуют потокового измерения IP трафика. RFC 3917 определяет требования для экспорта информации о потоке трафика из маршрутизаторов, промежуточных устройств (например, брандмауэры, прокси, балансировки нагрузки, NATs), или систем измерения трафика для дальнейшей обработки приложениями, расположенными на других устройствах. Следовательно, NetFlow версии 9 компании Cisco был выбран в качестве основы для IP Flow Information Export (экспорт информации о потоках IP, сокращенно IPFIX). Там нет фиксированных свойств, таких как в NetFlow версии 5. Пользователь может гибко определять свойства, используемые для распознавания потоков.
RFC 5101, опубликованный в январе 2008 года, определяет протокол IPFIX, который служит для передачи информации о движении IP-трафика по сети. RFC 5102 определяет информационную модель для протокола IPFIX. Он используется протоколом IPFIX для кодирования измеренной информации о трафике и информацию, связанную с целом процессе. Благодаря гибкости IPFIX , RFC 5103 может ввести термин Biflow, двунаправленный поток, и описать эффективный метод для экспорта Biflows информации с использованием протокола IPFIX. Двунаправленный вид сетевого трафика может быть полезным для анализа безопасности.
Развитие IPFIX еще не закончено. Рабочая группа IPFIX по-прежнему работает на нескольких интернет-проектах, которые будут опубликованы в качестве RFC. Самый последний RFC был выпущен в апреле 2008 года. Он обеспечивает руководящие принципы для осуществления и использования протокола IPFIX.
Выборка пакетов выполняется (особенно маршрутизаторами), чтобы сохранить экспортеров ресурсов NetFlow. Различают два основных типа выборки:
- детерминированная - точно n пакетов из n выбирается,
- случайная - каждый пакет выбирается с вероятностью 1/n.
Постоянная n называется частотой дискретизации. Например, если она установлена на 4, и устройство принимает 100 пакетов, то 25 пакетов будет проанализировано и 75 пакетов будет отброшено для анализа. Записываются только общие поля заголовка пакета, а не вся полезная нагрузка. Выборка потока – это другой тип агрегации.
Активное и неактивное значения таймаута влияют на создание потока. Активный таймаут применяется к долговечных потоков. Если поток был неактивным некоторое время, равное таймауту неактивности или был обнаружен конец потока, статистика потока экспортируется от зонда к коллектору. Коллектор представляет собой сервер, выделенный для сбора, долгосрочного хранения и анализа статистических данных потока.
Другие технологии на основе потоков
Фирменный Cisco NetFlow или открытые IETF стандарты не являются единственными потоковыми решеними. Другой промышленный стандарт был описан в RFC 3176. sFlow – это технология для мониторинга трафика в сетях передачи данных, содержащих коммутаторы и маршрутизаторы. В частности, он определяет механизмы отбора проб, реализованные в агенте sFlow для мониторинга трафика, sFlow MIB для управления sFlow агентом и формат выборочных данных используемых агентом sFlow при пересылке данных на центральный коллектор данных. sFlow поддерживается Alcatel-Lucent, D-Link, Hewlett Packard, Hitachi и NEC.
Другие лидеры в сетевой индустрии также развивают свои собственные потоковые решения: Juniper Networks используют JFlow и Huawei Technology собственный NetStream.
Также, распространены следующие методы, которые не будут рассмотрены в данной статье:
- Обнаружение на основе подписи
- Анализ протоколов с сохранением состояния
- Обнаружение аномалий
В этой статье были рассмотрены несколько методов обнаружения для анализа защищенности компьютерной сети. Определенно, это далеко не полный список известных методов, а выборка методов, имеющих широкое распространение, а также интересных методов и подходов.
Есть несколько существующих СОВ на основе указанных методов. Snort является ведущим представителем СОВ, основанных на подписях, и де-факто стандартом для обнаружения вторжений. Она широко распространена, потому что это программное обеспечение с открытым исходным кодом. Другая часто используемая система Bro. В настоящее время не нашлось ни одного сетевого набора инструментов, который реализует методы обнаружения аномалий. Единственным исключением из этого является, скорее всего, CAMNEP, что делает возможным перенос выбранных методов из отдельной среде в авторские среды.
Библиографический список:
1. Northcutt, S. and Frederick, K. and Winters, S. and Zeltser, L. and Ritchey, R.: Inside Network Perimeter Security: The Definitive Guide to Firewalls, VPNs, Routers, and Intrusion Detection Systems, New Rider's Publishing, 2003, 9780735712324. 2.1,2.4
2. Википедия - свободная интернет-энциклопедия. [Электронный ресурс]. URL: http://ru.wikipedia.org/wiki/IDS
3. Википедия - свободная интернет-энциклопедия. [Электронный ресурс]. URL: http://ru.wikipedia.org/wiki/Система_предотвращения_вторжений
Рецензии:
26.11.2013, 0:48 Назарова Ольга Петровна
Рецензия: Указать сноски на литературу и может быть рекомендована к печати.
10.06.2014, 0:48 Каменев Александр Юрьевич
Рецензия: Уточнить аннотацию - более чётко указать что проанализировано и какой получен из этого результат. После этого рекомендовать к публикации.
Комментарии пользователей:
Оставить комментарий