3.4 Системы обнаружения вторжений - Intrusion Detection Systems и системы-ловушки - Honeypots

Системы IDS (Intrusion Detection Systems), обнаружение вторжений, Snort (EagleX), системы-ловушки (honeypots)

Брандмауэры позволяют уберечься от многих неприятностей, однако по своей сущности они предназначены для пассивной защиты - как замок на двери. Однако во многих ситуациях в добавление к замку требуется еще и сигнализация, которая сообщит вам, что в вашу сеть (или на важный сервер вашей сети) пытаются проникнуть. Роль такой сигнализации выполняют системы обнаружения вторжений - Intrusion Detection Systems (IDS). Системы IDS производят непрерывный мониторинг информации, получаемой при помощи:

• мониторинга сети/сетевого адаптер. Более мощные корпоративные системы IDS могут производить мониторинг, к примеру, всего трафика во внутренней сети, обнаруживая запрещенные действия (например, сканирование портов) и сигнатуры (например, применение какого-либо эксплойта). Такие системы относятся к классу NIDS - Network Intrusion Detection Systems. Персональные IDS обычно ограничиваются анализом трафика, который явно направлен на определенный компьютер. Такие системы принадлежат к классу HIDS - Host Intrusion Detection Systems;
• мониторинга журнала событий Windows. Если, к примеру, начало резко увеличиваться количество отказов при попытке подключения к компьютеру (Failure Audit для событий входа), вполне возможно, что происходит перебор паролей;
• мониторинга логов брандмауэра (используется обычно только в интегрированных решениях брандмауэр - IDS). Таким образом можно определить недружественную активность определенного хоста.

Некоторые системы IDS могут производить также постоянный мониторинг исполняемых файлов/файловой системы в целом/файлов конфигурации/реестра, но обычно этим занимается антивирусное программное обеспечение.

После того, как будут система IDS обнаружит признаки атаки, обычно она в автоматизированном режиме выполняет определенные администратором действия, например:

• оповещает администратора (звуковым предупреждением, сообщением электронной почты/net send/пейджер/SMS и т.п.)
• изменяет настройки брандмауэра, блокируя IP-адрес нападающего;
• разрывает установленное нападающим TCP-соединение;
• запускает определенную администратором программу/скрипт;
• протоколирует атаку и т.п.

IDS - это только часть инфраструктуры защиты сети предприятия, и, как и все остальные компоненты, сама по себе IDS не обеспечивает абсолютной защиты. При использовании IDS обязательно необходимо учитывать следующие моменты:

• IDS обычно не могут нормально работать в сетях с большим трафиком (за исключением некоторых очень дорогих аппаратных систем). Обычно 50 000 пакетов в секунду (средним размером в 180 байт) в 100 Мбит сети - недосягаемый предел для большинства систем IDS;
• большинство IDS бессильно перед приемом, который называется snow blind (ослепление снегом). При этом атакующий забрасывает систему IDS сотнями пакетов с "обманными" IP и MAC-адресами. В таком потоке определить пакеты, при помощи которых производится, например, попытка взлома, IDS не может;
• большое количество ложных срабатываний IDS, которые атакующему организовать совсем не сложно, могут привести к тому, что администратор просто отключит часть возможностей IDS. Вообще говоря, устанавливая IDS, нужно готовится к тому, что большая часть срабатываний будет ложной, что потребует дополнительного времени и внимания со стороны администратора.

Какие системы IDS являются наиболее распространенными:

• очень часто используются системы IDS, которые встроены в прокси-серверы и брандмауэры (например, в тот же самый Kerio WinRoute Firewall или Microsoft ISA Server). Обычно такие системы IDS не отличаются большой функциональностью - в них встроено буквально несколько правил обнаружения вторжений, например, на сканирование портов). Тем не менее даже такое решение может успешно применяться для немедленного реагирования на нападения;

• очень распространенная система IDS (фактически классическая) - это система SNORT (www.snort.org). Изначально она была создана под *nix, затем перенесена и под платформу Windows. В классическом варианте необходимо руками редактировать текстовый файл конфигурации, но существует и графическое приложение для настройки SNORT под Windows - IDSCenter. SNORT, "упакованный" для более удобной установки и настройки под Windows и заранее преконфигурированный, называется EagleX (все перечисленные утилиты находятся в каталоге IDS на компакт-диске). К плюсам SNORT можно отнести надежность, большое количество документации и дополнительных утилит, а также бесплатность (утилита поставляется с открытым исходным кодом). К недостаткам - сложность в установке и настройке, а также то, что программа требует большого количества компонентов, которые необходимо доустанавливать отдельно (Apache, Perl, mySQL и т.п.). Фактически сейчас SNORT является стандартом де-факто для систем обнаружения вторжений. Его распространенность можно сравнить, например, с распространенностью Web-сервера Apache или DNS-сервера BIND;
• существует большое количество коммерческих систем обнаружения вторжений (как правило, очень дорогих, но чрезвычайно мощных, с автоматически обновляемыми сигнатурами атак). В качестве примеров таких систем можно привести McAfee Entercept или ETrust Intrusion Detection фирмы Computer Associates. Evaluation-версии этих приложений находятся на компакт-диске в каталоге IDS;
• есть и персональные системы обнаружения атак, которые предназначены для защиты единственного рабочего компьютера. Обычно они очень просты в настройке и нересурсоемки. К одной из самых удачных программ такого рода можно отнести Internet Periscope (имеется на компакт-диске). Помимо обнаружения вторжений, эта система умеет также в автоматическом режиме находить сведения о домене и IP-сети, из которой пришел злоумышленник, показывать координаты для контактов его провайдера и т.п. Подробнее об этом будет рассказано в модуле "Защита отдельных компьютеров при работе в Интернете";
• в отдельный класс IDS можно отнести специальные программы, которые проводят не анализ сетевого трафика, а постоянный мониторинг журналов событий Windows (обычно при помощи них можно также настроить аудит). К таким системам относится, например, GFI SELM. Подобные системы будут рассмотрены в специальном разделе про мониторинг компьютеров Windows.
• конечно, имеются также аппаратные системы обнаружения вторжений (часто объединенные с аппаратными брандмауэрами). Наиболее распространены такие устройства фирм CheckPoint и NetScreen.

Еще один тип программ, которые имеют отношение к системам обнаружения вторжений - это так называемые Honeypots (другое называние - Deception или Decoy systems). В соответствии со своим названием они действуют как приманка (липкая лента) для хакеров. Honeypots поставляются в виде коммерческих и некоммерческих продуктов, отдельных аппаратных решений (например, Specter) или образов готовых Unix-систем. Впрочем, Honeypot несложно создать и самому, использовав для этого старый компьютер (или виртуальный компьютер на основе VMWare). Обычно на него помещается максимальное число уязвимых приложений и внешне привлекательных для хакера ресурсов - и одновременно там же стоит система обнаружения вторжений (например, SNORT), которая фиксирует все действия хакера. Для атакующих из Интернета обычно такие приманки помещаются в DMZ, а во внутренней сети роль Honeypots обычно играют каталоги с привлекательными названиями и настроенным аудитом на файловых серверах.

Получить учебные материалы по этому курсу