Безопасность и Internet

         

Адаптивное управление защитой


Алексей ЛУКАЦКИЙ НИП "Информзащита", СЕТИ #10/99

Современные сетевые технологии уже трудно представить без механизмов защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам инфраструктура защиты, может ли администратор безопасности своевременно узнать о начале таких атак?

Информация об уязвимости аппаратных и программных средств постоянно публикуется в различных списках рассылки по проблемам безопасности (например, Bugtraq), и сетевым администраторам следует внимательно следить за этими «черными» списками.

Противостояние атакам — важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.

Например, межсетевой экран (МЭ) не способен защитить от пользователей, прошедших аутентификацию. А квалифицированному хакеру не составляет труда украсть идентификатор и пароль авторизованного пользователя. Кроме того, межсетевой экран не только не защищает от проникновения в сеть через модем или иные удаленные точки доступа, но и не может обнаружить такого злоумышленника.

При этом система защиты, созданная на основе модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS), способна решить все или почти все перечисленные проблемы. Она позволяет обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты.

Компания Yankee Group опубликовала в июне 1998 г. отчет, содержащий описание процесса обеспечения адаптивной безопасности сети. Этот процесс должен включать в себя анализ защищенности (security assessment), т. е. поиск уязвимостей (vulnerabilities assessment), обнаружение атак (intrusion detection), а также использовать адаптивный (настраиваемый) компонент, который расширяет возможности двух первых функций, и управляющий компонент.

Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней «слабых мест» и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:


«люки» в системах (back door) и программы типа «троянский конь»; слабые пароли; восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»; отсутствие необходимых обновлений (patch, hotfix) операционных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Обнаружение атак — это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и «оценивают» различные операции, в том числе с учетом известных уязвимостей.

Адаптивный компонент ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.

Управляющий компонент предназначен для анализа тенденций, связанных с формированием системы защиты организации и генерацией отчетов.

К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты модели адаптивного управления защиты сети.

Сначала в него входили всего три продукта: система анализа защищенности на уровне сети Internet Scanner, средства анализа защищенности на уровне хоста System Scanner и обнаружения атак на уровне сети RealSecure Network Engine. В дальнейшем ISS пополнила комплект системой анализа защищенности на уровне баз данных Database Scanner и средствами обнаружения атак на уровне хоста RealSecure System Agent.

В настоящее время комплект ПО SAFEsuite поставляется в новой версии — SAFEsuite Enterprise, в которую входит также ПО SAFEsuite Decisions, обеспечивающее принятие решений по проблемам безопасности. Остановимся на компонентах SAFEsuite Enterprise более подробно.


Database Scanner


Проблемы, связанные с безопасностью баз данных, идентифицирует ПО Database Scanner. В этом ПО реализованы проверки подсистем аутентификации, авторизации и контроля целостности; дополнительно выявляется соответствие СУБД требованиям перехода к 2000 г. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, содержит перечень рекомендуемых корректирующих действий для устранения обнаруженных уязвимостей.

Пока Database Scanner поддерживает СУБД Microsoft SQL Server и Sybase Adaptive Server; работу с другими СУБД (Oracle, Informix) планируется обеспечить в сентябре 1999 г.

Все системы анализа защищенности компании ISS используют похожие методы работы и интерфейс. Различие состоит в характере обнаруживаемых уязвимых мест (их общее число для всех четырех систем превышает 1600).



Internet Scanner


Система анализа защищенности — Internet Scanner — предназначена для проведения регулярных всесторонних или выборочных тестов сетевых служб, операционных систем, используемого прикладного ПО, маршрутизаторов, межсетевых экранов, Web-серверов и т. п. Результатом тестирования являются отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее дислокации в корпоративной сети, а также рекомендации по коррекции или устранению «слабого места». Хотелось бы отметить, что еще год назад Internet Scanner был сертифицирован Гостехкомиссией РФ (сертификат № 195) и пока является единственной системой анализа защищенности, получившей «добро» в этой организации.

Более 3000 компаний во всем мире (включая Россию) используют Internet Scanner в качестве основного компонента системы обеспечения сетевой безопасности

Internet Scanner может быть использован для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP, — как компьютеров, подключенных к локальной или глобальной сети (Internet), так и автономных ПК с установленной поддержкой TCP/IP. Продукт состоит из трех основных подсистем: Intranet Scanner для тестирования рабочих станций, серверов, X-терминалов; Firewall Scanner для проверки межсетевых экранов и коммуникационного оборудования; Web Security Scanner для контроля за Web-, FTP-, SMTP- и другими службами. Firewall Scanner используется Гостехкомиссией РФ при проверках МЭ для их сертификации на информационную безопасность.

Технология SmartScan сделала Internet Scanner «самообучаемым» ПО. Модуль SmartScan действует как настоящий хакер; он изучает сеть, запоминает информацию, собранную в течение различных сеансов сканирования сети, создает полную картину уязвимостей организации и способен автоматически применить накопленные сведения для расширения возможностей сканирования

Подробно описывать все возможности системы Internet Scanner нет нужды — этому посвящено немало статей. Хотелось бы остановиться на некоторых функциях, не получивших освещения в российских публикациях. Краткий перечень ключевых возможностей Internet Scanner насчитывает почти 20 позиций, среди которых — задание своих собственных и множества стандартных проверок (более 600), определение глубины сканирования, централизованное управление процессом сканирования, параллельное сканирование до 128 сетевых устройств и систем, запуск процесса по расписанию, генерация отчетов различных форматов и уровня детализации, функционирование под управлением ряда ОС и невысокие системные требования к программно-аппаратному обеспечению.




Рис. 1. Типовой отчет о защищенности сети, полученный с помощью Internet Scanner

Настройка на конкретное сетевое окружение организации облегчается за счет шаблонов для поиска тех или иных «слабых мест». Все 600 уязвимостей, обнаруживаемых Internet Scanner, разделены на 26 категорий, по которым можно создавать и собственные новые шаблоны.

Продукт ISS обеспечивает такую уникальную проверку, как определение работающих в сети модемов. С ее помощью реально предотвращается несанкционированный доступ к корпоративной сети через модем в обход межсетевого экрана.

Механизм генерации отчетов Internet Scanner позволяет выбирать из 30 готовых форм. Они позволяют получить как обобщенные данные об уровне защищенности всей организации (рис. 1), так и подробные отчеты, содержащие техническую информацию о том, где и какие «слабые места» обнаружены, а также инструкции по их устранению (например, пошаговые рекомендации по изменению системного реестра Windows или строки в конфигурационных файлах Unix, гиперссылка на FTP- или Web-сервер с обновлением, устраняющим уязвимость). Отчеты могут быть выведены не только на английском, но и на немецком, французском, испанском, португальском и, что примечательно, на русском языке. Русифицирована и подсистема описания уязвимостей (рис. 2.).



Рис. 2. Вид экрана описания
уязвимостей Internet Scanner

Последняя версия Internet Scanner имеет возможность добавлять собственные проверки уязвимых мест, например описанных в Bugtraq или обнаруженных в процессе работы.

Подсистема моделирования атак — Advanced Packet eXchange — поставляется бесплатно c Internet Scanner и позволяет администратору создавать допустимые и запрещенные IP-пакеты, с помощью которых он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов, системного и прикладного ПО.


RealSecure


Наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает в себя обнаружение атак. ПО RealSecure 3.1, полноправный член семейства SAFEsuite, позволяет обнаруживать враждебную деятельность на хостах, распознавать атаки на корпоративную сеть и реагировать на них соответствующим образом в режиме реального времени. При этом RealSecure может использоваться для защиты как внешнего доступа (например, из Internet), так и внутренней сети (по статистике, до 75% всех инцидентов происходят по вине сотрудников организации).

Пока RealSecure — единственная система на рынке средств защиты, которая функционирует на двух уровнях: сети (network-based) и хоста (host-based). Продукты других производителей, как правило, ориентированы только на сетевые атаки. При работе на уровне сети RealSecure анализирует весь сетевой трафик, а на уровне хоста — журналы регистрации ОС (EventLog и syslog) и деятельность пользователей в режиме реального времени.

Необходимо отметить, что система RealSecure обладает возможностью не только контролировать 600 событий (в том числе 200 сетевых атак), но и добавлять свои собственные сигнатуры, что позволяет своевременно защищать сеть от постоянно появляющихся угроз безопасности.

RealSecure поддерживает базу данных инцидентов по 700 контролируемым событиям

ПО RealSecure имеет распределенную архитектуру и содержит два основных компонента: RealSecure Detector и RealSecure Manager. Первый обеспечивает обнаружение атак и реакцию на них; он состоит из двух модулей-агентов — сетевого и системного. Сетевой агент устанавливается на критичном сегменте сети и распознает атаки путем «прослушивания» трафика. Системный агент инсталлируется на контролируемом узле и выявляет несанкционированные операции. Компонент RealSecure Manager служит для настройки продукта и сбора информации от RealSecure Detector.

Управление компонентами RealSecure осуществляется и с помощью так называемого модуля консоли, и с использованием дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (HP OpenView Plug-In Module) или Tivoli. В распределенной сети можно установить нескольких консолей, обеспечивающих управление всеми модулями обнаружения атак.

Любую систему обнаружения атак характеризуют возможности ее реакции на эти атаки. RealSecure обеспечивает три типа реакций: уведомление (notification), хранение (storage) и активная реакция (active response).

Уведомления могут рассылаться на одну или несколько консолей управления (RealSecure Manager) по электронной почте или (при подключении системы AlarmPoint) по факсу, телефону и на пейджер. Предусмотрена генерация управляющих SNMP-последовательностей визуализиции контролируемых событий в системах сетевого управления (например, HP OpenView, CA Unicenter, Tivoli). Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае сохраняется и содержание всего трафика. RealSecure обеспечивает воспроизведение администратором всех действий нарушителя с заданной скоростью для последующего анализа. Часто это помогает разобраться, каким образом злоумышленник проник в корпоративную сеть и что именно требуется противопоставить ему в дальнейшем.

При атаке, которая может привести к выведению из строя узлов корпоративной сети, RealSecure позволяет автоматически разорвать соединение с атакующим узлом, блокировать учетную запись нарушителя (если он сотрудник организации) или реконфигурировать МЭ и маршрутизаторы таким образом, чтобы последующие соединения с таким узлом были запрещены. В настоящее время ПО поддерживает МЭ CheckPoint Firewall-1 и Lucent Managed Firewall, маршрутизаторы компаний Cisco, Nortel и ODS Networks. Администратор способен также создать собственные сценарии обработки контролируемых событий и задать операции активной реакции.

Применение RealSecure в сети не снижает ее производительности не только при использовании каналов Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet. Сама система RealSecure может быть защищена от внешних атак при помощи так называемой Stealth-конфигурации, которая не позволяет «видеть» эту систему из внешней сети.



SAFESuite Decisions


Системы, обеспечивающие управление разнородными сетевыми средствами, почти всегда содержат элементы так называемых средств принятия решений. Таковы продукты компаний Computer Associates (ProtectIT, DirectIT, Unicenter TNG), Tivoli Systems (Management Framework, User Administration, Security Management), PLATINUM (ProVision AutoSecure Access Control, ProVision AutoSecure Enterprise Security Administration). В одном ряду с ними — система SAFEsuite Decisions, которая позволяет собирать, анализировать и обобщать сведения, получаемые от различных установленных в организации средств защиты информации. К средствам, поддерживаемым первой версией, относятся все продукты компании ISS, МЭ CheckPoint Firewall-1 и Gauntlet (и, как следствие, МЭ российского производства «Пандора» и «Застава-Джет», разработанные на базе Gauntlet).

Пакет SAFEsuite Decisions состоит из нескольких взаимосвязанных компонентов:

подсистемы SAFElink, обеспечивающей сбор данных от различных средств защиты и их запись в централизованную базу данных SAFEsuite Enterprise Database; базы данных SAFEsuite Enterprise Database для хранения данных, полученных от SAFElink (построена на основе СУБД Microsoft SQL Server); подсистемы SAFEsuite Decisions Report, которая дает возможность обрабатывать, анализировать и обобщать информацию, хранящуюся в базе данных. Decisions Report позволяет ранжировать риски системы защиты организации, идентифицировать нарушителей политики безопасности, выявлять тенденции, прогнозировать изменение уровня защищенности ресурсов организации и т. д.

Все системы семейства SAFEsuite Enterprise прошли сертификацию Госкомсвязи на соответствие требованиям перехода к 2000 году.



System Scanner и Security Manager


Одной из главных задач, на которые нацелены системы анализа защищенности, разработанные компанией ISS, является сбор информации о ПК-клиентах. Иногда это удается сделать дистанционно с помощью Internet Scanner, но часто разумнее проводить такую операцию, используя локальный компьютер (например, при проверке «слабых» паролей, наличия установленных пакетов модификаций, обновлений ОС или приложений и т. п.).

На первый взгляд, для анализа уязвимостей ОС Windows и Unix вполне достаточно Internet Scanner. Но дополнительный анализ, осуществляемый System Scanner (S2), способствует значительному повышению уровня защищенности. Как правило, общий анализ защищенности реализуется только на уровне сети, без локального сканирования на уровне ОС и без анализа защищенности приложений. System Scanner как бы обеспечивает взгляд на сеть «изнутри», обнаруживая «слабые места», которые не проявляются при дистанционном сканировании через сеть, но весьма опасны для Unix- и Windows-систем. Например, переполнение буфера (buffer overflow), может использоваться злоумышленником, в том числе с паролем «Guest», для получения привилегированного (root) доступа.

Весьма серьезной угрозой для работоспособности информационных систем является неправильная работа пользователя. Сканирование, обеспечиваемое S2, дает более детальный анализ его деятельности, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. System Scanner позволяет проверять файлы .rhost, применять словарь часто используемых паролей, а также обнаруживать программы-«анализаторы протокола» типа «sniffer».

Любой системный администратор заинтересован в информации об установленных patches (модификациях). Благодаря своим встроенным функциям S2 не только обнаруживает уже установленные patches, но и выявляет необходимые модификации, имеющиеся у поставщиков программно-аппаратного обеспечения.

Подсистема Security Manager во многом аналогична системе System Scanner и также проводит анализ защищенности на уровне ОС. Однако Security Manager поддерживает гораздо больше платформ и ОС, чем S2 (в том числе SCO OpenServer и UnixWare, Netware), и обладает возможностью добавления своих собственных проверок.

Все указанные достоинства реализованы ISS вместе с купленной ею компанией March Information Systems (из Великобритании). В конце III квартала текущего года компания ISS планирует интегрировать системы System Scanner и Security Manager в единую систему анализа защищенности на уровне ОС.