Security_metod

Початкова ступінь безпеки на мережному рівні може бути забезпечена за допомогою фільтрації пакетів.

Фільтрація пакетів може виконувати майже всі задачі виділеного брандмауера за значно нижчою ціною.

Нижче наведені деякі недоліки використання брандмауера фільтрації па-

кетів:

Фільтрація пакетів не захищає від IP спуфінга. Хакер може відправити довільні пакети, які відповідають критеріям ACL, і вони пройдуть через фільтр.

Пакетні фільтри не відфільтровують фрагментовані пакети. Оскільки фрагментовані IP пакети мають TCP в першому фрагменті, всі фрагменти після першого передаються беззастережно.

Складні списки ACL важко реалізувати і підтримувати правильно.

Пакетні фільтри не можуть динамічно фільтрувати певні сервіси. Наприклад, сесії, які використовують динамічні порти, важко фільтрувати, не відкриваючи доступ до цілого діапазону портів.

Пакетні фільтри не підтримують стану. Вони розглядають кожен пакет окремо, а не в контексті стану з'єднання.

Пакетні фільтри не є комплексним рішенням брандмауера, але вони є його важливим елементом.

Брандмауери з підтримкою стану

Брандмауери з підтримкою стану найбільш універсальні і найбільш поширені. Вони забезпечують фільтрацію пакетів, використовуючи інформацію про з'єднання, яка підтримується в таблиці станів.

На відміну від статичної фільтрації пакетів, яка перевіряє пакети, ґрунтуючись на інформації в заголовку пакета, фільтрація з підтримкою стану відстежує кожне з'єднання, яке проходить через інтерфейси брандмауера і підтверджує, що вони є дійсними. Брандмауер аналізує інформацію в заголовках пакетів рівня 3 і сегментів рівня 4. Наприклад, брандмауер передивляється заголовок TCP для визначення станів синхронізації (SYN), скидання з’єднання (RST), підтвердження (ACK), обробки (FIN), щоб визначити стан з'єднання.

Коли відбувається звернення за обслуговуванням до зовнішнього сервісу, брандмауер зі збереженням стану зберігає певні деталі запиту в таблиці станів. Кожен раз, коли TCP або UDP з'єднання встановлюється, брандмауер збереже інформацію в таблиці станів поточних сесій. Коли зовнішня система відповідає на запит, серверний брандмауер порівнює отримані пакети зі збереженим станом, щоб дозволити або заборонити доступ до мережі.

Таблиця станів поточних сесій містить адреси джерела і призначення, номери портів TCP, інформацію про послідовні номери і додаткові прапори для кожного TCP або UDP з'єднання, пов'язаного з цією конкретною сесією. Ця інформація створює об'єкт сесії, який використовується брандмауером для порів-

60

няння всіх вхідних і вихідних пакетів з таблицею станів поточних сесій. Брандмауер дозволяє дані, тільки якщо відповідне з'єднання існує.

Існує декілька переваг використання брандмауера зі збереженням стану в мережі:

Брандмауери зі збереженням стану часто використовуються в якості первинного засобу захисту для фільтрації небажаного та непотрібного трафіку.

Брандмауери зі збереженням стану підвищують продуктивність пакетних фільтрів або проксі-серверів.

Брандмауери зі збереженням стану захищають від спуфінга і DoS.

Брандмауер зі збереженням стану забезпечує більш детальну інформацію для журналу, ніж брандмауер пакетної фільтрації.

Брандмауери з підтримкою стану мають певні обмеження:

Брандмауер з підтримкою стану не може запобігти атакам рівня додатків, тому що він не розглядає фактичний зміст з'єднання HTTP.

Не всі протоколи мають стан. Наприклад, UDP і ICMP не генерують інформацію з'єднання для таблиці станів, і вона не може використовуватися для фільтрації.

Деякі застосунки відкривають кілька з'єднань, що вимагає відкрити цілий ряд нових портів для другого з'єднання.

Брандмауери з підтримкою стану не підтримують аутентифікацію користувача.

6.3 Самостійна робота студента

6.3.1 Запитання для самоперевірки

1.За якими параметрами фільтрують трафік стандартні ACL?

2.За якими параметрами фільтрують трафік розширені ACL?

3.Де за правилами потрібно розташовувати в топології стандартні та розширені ACL?

4.Які типи брандмауерів Ви знаєте?

6.3.2 Матеріали для самостійного поглибленого вивчення теми

1.Ознайомтеся з рефлексивними списками контролю доступу, дослідіть механізм їх роботи.

2.Ознайомтеся з динамічними списками контролю доступу, дослідіть механізм їх роботи.

3.Ознайомтеся з time-based списками контролю доступу, дослідіть механізм їх роботи.

4.Ознайомтеся з технологією брандмауера зонних політик, дослідіть механізм його роботи.

61

ТЕМА 7. СИСТЕМИ ПОПЕРЕДЖЕННЯ ВТОРГНЕНЬ

Вступ

Проблеми безпеки, з якими стикаються адміністратори не можуть бути успішно вирішені однім застосунком. Захист пристроїв, AAA і функції брандмауера є частиною правильно захищеної мережі, однак вони не можуть захистити мережу від інтернет-хробаків і вірусів, які швидко розвиваються. Мережа повинна бути в змозі негайно розпізнати та попередити атаки хробаків і загрози вірусів.

Сучасні зміни в мережній архітектурі потребують захисту від атак, які швидко розвиваються. Мережна архітектура повинна містити економічно ефективні системи виявлення вторгнень (intrusion detection systems - IDS) або, більш масштабовані системи запобігання вторгненням (intrusion prevention systems - IPS). Мережна архітектура об'єднує ці два рішення в точках входу і виходу з мережі.

7.1 Технології IDS та IPS

Інтернет хробаки і віруси можуть поширюватися по всьому світу за лічені хвилини. Мережа має миттєво розпізнати і пом'якшити вплив цієї загрози. Міжмережні екрани не можуть захистити від шкідливих програм і атак нульового дня (zero-day attacks).

Атака нульового дня виникає, коли комп'ютер зловмисника намагається використовувати уразливості програмного забезпечення, які невідомі або не закриті виробником. Термін zero-day описує момент, коли виявили експлойт. Впродовж часу, який потрібен виробнику ПЗ для розробки і випуску патча, мережа буде вразливою для цієї атаки.

7.1.1 Моніторинг атак

Один з підходів для запобігання проникненню хробаків і вірусів - це постійна робота адміністратора з моніторингу мережі, аналізу файлів журналів, вміст яких генерується мережними пристроями. Це рішення не є масштабованим. Аналіз інформації файлів журналів вручну є трудомістким завданням і надає обмежене уявлення щодо атак, які відбуваються. До того ж, коли журнали аналізуються, атака вже почалася.

Системи виявлення вторгнень IDS були реалізовані для пасивного моніторингу трафіку в мережі в режимі off-line. Рисунок 8 ілюструє, як IDSпристрій копіює потік трафіку, і аналізує його копію, а не сам потік. IDS порівнює захоплений трафік з відомими шкідливими сигнатурами, так само як це робить антивірусне ПЗ. Хоча трафік відстежується і надаються повідомлення про можливі атаки, ніяких дій по відношенню до пакетів IDS не проводить.

Перевага роботи з копією трафіку полягає в тому, що IDS не впливає на інтенсивність трафіку. Недолік роботи з копією трафіку в тому, що IDS не можуть зупинити шкідливі атаки одного пакета. Для того, щоб відповісти на на-

62

пад, IDS потребує допомоги від інших мережних пристроїв, таких як маршрутизатори і міжмережні екрани.

Кращим рішенням є використання пристрою, який зможе одночасно виявити і зупинити напад. Таку функцію виконує IPS.

Рис.8 – Робота системи виявлення вторгнень

7.1.2 Виявлення і припинення атак

Система запобігання вторгненням IPS спирається на технологію IDS. На відміну від IDS, IPS-пристрій працює в режимі inline. Це означає, що увесь вхідний та вихідний трафік має проходити через нього для обробки. Як показано на рисунку 9, IPS не дозволяє входити пакетам до внутрішньої мережі без попереднього аналізу. Він може виявити і негайно вирішити проблему.

IPS перевіряє трафік рівня 3 і рівня 4 для виявлення більш складних вбудованих атак, які можуть містити шкідливі дані на рівнях від 2 до 7. IPS рішення використовують суміш технологій виявлення атак, в тому числі на основі сигнатур, на основі профіля. Цей глибокий аналіз дозволяє визначити і зупинити атаки, які, як правило, проходять через традиційні брандмауери. Коли пакет приходить через інтерфейс на IPS, він не передається на вихідний інтерфейс, доки пакет не буде проаналізований.

Перевагою роботи в inline режимі є те, що IPS може зупинити атаку одного пакету. Недоліком є те, що неправильно налаштований IPS може негативно вплинути на інтенсивність трафіку.

63

Найбільша різниця між IDS і IPS в тому, що IPS негайно відповідає на загрозу і не дозволяє пройти шкідливому трафіку, в той час як IDS дозволяє шкідливому трафіку пройти, перш ніж буде реакція.

Рис. 9 – Робота системи запобігання вторгненням

7.1.3 Характеристики IPS і IDS

IDS і IPS технології мають певні спільні характеристики, зокрема обидва розгортаються як сенсори. IDS і IPS технології використовують сигнатури для розпізнавання шаблонів атаки в мережному трафіку. Сигнатура - це набір правил, які IDS або IPS використовує для виявлення шкідливої активності. Сигнатури можуть використовуватися для виявлення серйозних порушень безпеки, для виявлення поширених мережних атак, просто для збору інформації. IDS і IPS технології можуть виявляти атомарні сигнатури (single-packet) або компо-

зитні сигнатури (multi-packet).

Переваги та недоліки IDS і IPS

Одна з основних переваг технології IDS, що вона розгортається в автономному режимі і не має ніякого впливу на продуктивність мережі. Це не вносить затримки до потоку трафіку. Крім того, якщо сенсор виходить з ладу, він не впливає на функціональність мережі, це впливає тільки на здатність IDS до аналізу даних.

Тим не менш, є багато недоліків розгортання IDS. Сенсор IDS, передусім, зосереджений на виявленні можливих інцидентів, записі інформації про них та звітності про ці спроби. Датчик IDS не може зупинити пакет, який запускає

64

атаку і не може зупинити з'єднання. До того ж менше користі в боротьбі з поштовими вірусами і автоматизованими атаками, такими як хробаки.

Розгортання платформи IPS також має свої переваги і недоліки. Одна з переваг над IDS та, що сенсор IPS може бути налаштований для знищення критичних для безпеки пакетів. Крім того, сенсор IPS може використовувати методи нормалізації потоку, щоб зменшити або усунути багато з можливостей обходу мережної безпеки.

Недоліком є те, що IPS помилки, відмови, і перевантаження сенсору IPS трафіком можуть мати негативний вплив на продуктивність мережі. Це тому, що IPS повинен бути розгорнутий як вбудований, і трафік повинен мати можливість проходити через нього. Сенсор IPS може вплинути на продуктивність мережі шляхом введення затримки. Сенсор IPS має бути відповідної потужності і реалізований так, щоб не впливати негативно на чутливі до часу застосунки, такі як VoIP.

Питання розгортання

Використання однієї з цих технологій не забороняє використання іншої. Насправді, IDS і IPS технології можуть доповнювати одна одну. Наприклад, IDS можуть бути реалізовані, щоб перевіряти роботу IPS, тому що IDS можуть бути налаштовані для більш глибокого контролю пакетів в автономному режимі. Це дозволяє IPS зосередитися на меншій, але більш критичній частині трафіку.

Рішення щодо того, яку реалізацію використовувати, має випливати з цілей безпеки організації, зазначених в політиці мережної безпеки.

Мережна IPS: переваги та недоліки

Мережна реалізація IPS дозволяє легко бачити атаки, які відбуваються по всій мережі. Це забезпечує чітке уявлення про рівень небезпеки мережі під час нападу. Крім того, система моніторингу трафіку не залежить від типів операційних систем, які використовуються в мережі.

Є й недоліки мережного IPS. Якщо дані передаються мережею в зашифрованому вигляді, це може істотно осліпити мережну IPS, дозволяючи нападу залишатися непоміченим. Ще одна проблема в тому, що IPS має проблеми з моніторингом фрагментованого трафіку.

7.2 IPS сигнатури

Щоб зупинити вхідний шкідливий трафік, мережа повинна бути в змозі визначити його. На щастя, шкідливий трафік може бути описаний різними характеристиками, або сигнатурами. Сигнатура – це набір правил, який використовують IDS і IPS для виявлення типової інтрузивної діяльності, наприклад, DoS-атак. Ці сигнатури унікально визначають конкретних хробаків, вірусів, аномалії протоколу або шкідливий трафік. Датчики IPS налаштовані на пошук ідентичності з сигнатурами або шаблонами аномального трафіку. Сигнатури IPS концептуально схожі на virus.dat файл, який використовується сканерами вірусів.

65

7.2.1 Атрибути сигнатури

Коли сенсори сканують мережні пакети, вони використовують сигнатури для виявлення відомих атак і відповіді на них зумовленими діями. IDS або IPS сенсор аналізує потік даних, використовуючи різні сигнатури. Коли сенсор знаходить відповідність сигнатурі в потоці даних, він вживає заходів, таких як протоколювання подій або відправка сигналу тривоги на ПЗ управління IDS або

IPS.

Сигнатура має три атрибути:

Тип (Type).

Тригер (Аlarm).

Дія (Action).

7.2.2 Типи сигнатур

Сигнатури поділяють на атомарні та композитні.

Атомарна сигнатура

Атомарна сигнатура – це простий тип сигнатури. Вона складається з одного пакета, активності або випадку, який досліджується для визначення, чи відповідає він сигнатурі. Якщо це так, подається сигнал тривоги, і дія, призначена для цієї сигнатури виконується. З атомарною сигнатурою вся перевірка може бути здійснена в атомарній операції, яка не потребує будь-яких знань про минулі або майбутніх події.

Виявлення атомарних сигнатур споживає мінімум ресурсів, таких як па- м'ять на пристрої IPS/IDS. Ці сигнатури легко ідентифікувати і зрозуміти, тому що вони стосуються однієї конкретної події або пакета. Аналіз трафіку для цих атомарних сигнатур може бути виконаний, як правило, дуже швидко і ефективно.

IDS особливо вразлива для атомарних атак, оскільки поки атака не визначена, поодинокі шкідливі пакети проходять до мережі.

Композитна сигнатура

Композитна сигнатура також називається сигнатурою зі станом. Цей тип сигнатури ідентифікує послідовність операцій, розподілених по декільком вузлам на протязі довільного періоду часу. На відміну від атомарних сигнатур, композитній сигнатурі потрібно кілька частин даних, які мають відповідати сигнатурі атаки, і тому пристрій IPS має підтримувати стан. Тривалість часу, впродовж якого сигнатура має підтримувати стан, відома як горизонт подій.

Довжина горизонту подій варіюється від однієї сигнатури до іншої. IPS не може зберігати інформацію про стан впродовж невизначеного терміну без виснаження ресурсів. Таким чином, IPS використовує налаштований горизонт подій, щоб визначити, як довго потрібно шукати конкретну сигнатуру після виявлення початкового компоненту сигнатури. Налаштування довжини горизонту

66

подій - це компроміс між споживання ресурсів системи і можливістю виявлення атаки, яка відбувається протягом тривалого періоду часу.

7.2.3 Файл сигнатур

Загрози безпеці мережі відбуваються частіше і поширюються все швидше. У міру появи нових загроз, нові сигнатури мають бути створені і завантажені на IPS. Щоб зробити цей процес простішим, всі сигнатури збираються до одного файлу сигнатур і завантажуються на IPS на регулярній основі.

Для нових загроз з низьким пріоритетом файли сигнатур зазвичай публікуються раз на два тижні. Якщо загроза серйозна, файли сигнатур публікуються протягом декількох годин після ідентифікації загрози.

Для захисту мережі, файл сигнатур потрібно регулярно оновлювати. Кожна версія містить нові сигнатури і всі сигнатури з попередньої версії. Наприклад, файл сигнатур IOS-S595-CLI.pkg включає в себе всі сигнатури файлу IOS- S594-CLI.pkg, плюс сигнатури, створені для загроз, виявлених згодом.

7.3 Самостійна робота студента

7.3.1 Запитання для самоперевірки

1.В чому переваги і недоліки систем IDS?

2.В чому переваги і недоліки систем IPS?

3.Чим відрізняються сигнатури атомарні та композитні?

4.Чи можливо одночасно використовувати IDS і IPS?

7.3.2 Матеріали для самостійного поглибленого вивчення теми

1.Виконайте пошук сигнатурних файлів, дослідіть з сигнатур яких атак вони складаються.

2.Дослідіть наступні типи сигнатурних тригерів: на основі шаблонів, на основі аномалій, на основі політик, на основі банки меду.

3.Для чого можна використати NTP при розгортанні IPS?

67

ТЕМА 8. БЕЗПЕКА ЛОКАЛЬНОЇ МЕРЕЖІ

Вступ

Мережа захищена настільки, наскільки захищена її найслабша ланка. Тому окрім безпеки периметра мережі, важливо приділяти увагу безпеці кінцевих пристроїв цієї мережі. Необхідно опікуватися безпекою пристроїв інфраструктури LAN і таких кінцевих систем, як робочі станції, сервери, IP-телефони, точки доступу.

Безпека кінцевих пристроїв також передбачає безпеку мережної інфраструктури рівня 2 OSI, щоб запобігти атакам 2-го рівня, таким як спуфінг MACадрес і атаки STP маніпуляцій.

Атаки другого рівня моделі OSI включають спуфінг MAC-адрес, STP маніпуляції, переповнення таблиці MAC-адрес, LAN шторми, і VLAN атаки.

Першим кроком до попередження цих атак є розуміння основних загроз, які походять від інфраструктури 2-го рівня. 2-й рівень може бути дуже слабкою ланкою для вищих рівнів OSI, якщо 2-й рівень скомпрометований, хакери отримують доступ до більш високих рівнів. Важливо пам'ятати, що атаки 2-го рівня як правило, вимагають внутрішнього доступу, і виконуються співробітниками або відвідувачами.

Інша фундаментальна проблема – це переповнення буфера. Переповнення буфера часто стає джерелом DoS атак. Переповнення буфера може бути використано для того, щоб виконати довільний код і несанкціоновано скористатися привілеями.

8.1 Атака підробки MAC-адрес

Комутатори регулюють потік даних між портами шляхом пересилання даних на конкретні порти, визначаючи їх на основі МАС-адрес. Комутатори підтримують таблиці MAC-адрес, також відомі як content-addressable memory (CAM), для відстеження MAC-адрес пристроїв, пов'язаних з кожним портом комутатора. Ці таблиці заповнюються за рахунок вивчення МАС-адрес відправників фреймів, які проходять через комутатор.

Важливо зазначити, що у фреймах даних, які надсилаються кінцевим системам, поля МАС-адрес джерела і призначення не змінюються в межах домену комутації. Якщо комутатор отримує вхідний фрейм даних і MAC адреса призначення відсутня в таблиці, комутатор направляє фрейм на всі порти, за винятком порту, на якому фрейм був отриманий. Коли вузол призначення відповідає, комутатор записує його МАС-адресу до адресної таблиці, дізнавшись її з поля «адреса джерела» фрейму. Комутатори заповнюють таблицю MAC-адрес шляхом запису МАС адреси джерела кадру, і асоціювання її з портом, на якому фрейм було отримано.

В мережах з кількома взаємопов'язаними комутаторами, таблиця МАСадрес записує декілька MAC адрес для портів, що з'єднують комутатори.

68

Метод, який використовується комутаторами для заповнення таблиці MAC-адрес призводить до вразливості, відомої як підміна MAC-адрес (MAC spoofing). Атаки спуфінга відбуваються, коли один хост маскується або видає себе за інший, щоб отримати недоступні дані або обійти налаштування безпеки.

Атака MAC спуфінга відбувається, коли зловмисник змінює МАС-адресу хоста, щоб відповідати МАС-адресі іншого важливого хоста, наприклад сервера. Атакуючий хост надсилає фрейм в мережу з наново налаштованою МАСадресою. Коли комутатор отримує фрейм, він досліджує MAC-адресу джерела. Комутатор переписує поточний запис MAC адреси в таблиці і призначає MAC адресу на новий порт (рис. 10). Потім він ненавмисно передає фрейми, призначені для цільового хоста на атакуючий хост.

Коли комутатор змінює таблицю MAC-адрес, цільовий хост не отримує ніякого трафіку, доки він не відправить трафік. Коли хост відправляє трафік, комутатор отримує і аналізує фрейм, в результаті чого таблиця МАС-адрес переписується ще раз, відбувається знову призначення МАС-адреси на початковий порт.

Рис. 10 – Спуфінг МАС-адрес

8.2 Атака переповнення таблиці MAC-адрес

На додаток до атаки підміни MAC адрес, також інфраструктурні пристрої 2-го рівня вразливі до атаки переповнення таблиці MAC-адрес. Таблиця MACадрес комутатора містить MAC-адреси, які можуть бути досягнуті через певні фізичні порти комутатора. Коли комутатор 2-го рівня отримує фрейм, він передивляється таблицю MAC адрес у пошуках MAC-адреси призначення і передає фрейм до відповідного порту.

69