Использование средств обнаружения вторжений

50.1

Использование средств обнаружения вторжений

Содержание

50.2

Использование средств обнаружения вторжений

Изделие американской компании Axent и Internet Security Systems одновременно объявили о выходе двух новых программ выявления проникновений в компьютерные системы. По сути, новое в каждой из программэто расширение до того, что уже умеет другая.

Как известно, программы выявления проникновений, предназначенные для обнаружения атак и реагирова ния на них, существуют в двух основных формах: системы на основе сетевого мониторинга и системы на базе хост машин. Фирма Axent уже имела ПО выявления проникновений на хост базе, а теперь добавляет сетевой мониторинг. Фирма ISS, со своей стороны, располагала системой сетевого мониторинга, а теперь добавила хост базу. В результате обе фирмы поспешили объявить, что больше никто на рынке не предлагает оба типа выявления проникновений “в одном флаконе”.

ВAXENT новую технологию сетевого мониторинга назвали NetProwler, и она работает совместно с Intruder Alert 3.0 продуктом Axent на хост базе.

ВISS добавили мониторинг на хост базе в версию 3.0 своего продукта RealSecure. Пакет вышел в декабре прошлого года, цена его начинается от 8995 дол. и зависит от размера сети.

1.Программное изделие RealSecure 3.1

Рекомендуемая изготовителем цена: за каждую защищаемую точку в сети 8995 долл.; за каждый сетевой агент 750 долл.

Internet Security Systems Inc. Atlanta; www.iss.net

Если вы готовы пожертвовать функциональным богатством ради удобства и простоты использования, то вам по дойдет комплексная система обнаружения вторжений RealSecure компании ISS, обслуживающая как сеть, так и центральный компьютер. Этот пакет отстает от продуктов фирмы Axent по гибкости функций настройки, совме стимости с рядом операционных систем (RealSecure работает только с сетями на платформе Windows NT). По добно тандему NetProwler/Intruder Alert, пакет фирмы ISS обнаруживает атаки на главный компьютер, но ока зывается бессильным в тестах с применением давно известной “хакерской” программы Bonik и более нового средства WinFreeze (обе эти DoS программы вызывают зависание сети).

В сети RealSecure лишь инспектирует поступающие на компьютеры информационные потоки, в отличие от NetProwler, он не поддается тонкой настройке для защиты от типичных атак на определенные ОС или действую щие сетевые службы. В обеих программах используются похожие методы, но NetProwler работает производи тельнее, поскольку не нуждается в тотальном сличении информации в сети с имеющейся базой данных призна ков атак. Это позволяет снизить нагрузку на процессор и избежать потери отдельных пакетов, которая случает ся при перегрузке системы обнаружения вторжений.

Зато панель управления в RealSecure спроектирована превосходно. В основном окне можно настраивать, за пускать и отключать защитные схемы для сетевых модулей и агентов, обслуживающих центральный компьютер. Панель Activity Tree (дерево событий) позволяет отследить все происходящие в сети события. Сведения о за фиксированных нападениях сортируются в этой панели по типу; программа оснащена базой данных, содержа щей признаки примерно четырехсот типов атак. Обновления базы данных ежеквартально высылаются пользо вателям на компакт дисках; в конце года фирма ISS планирует сделать такие рассылки ежемесячными. К сожа лению, очистить очень быстро растущий список Activity Tree можно только путем перезапуска всей программы. Функция Event Inspection (инспекция событий) определяет адреса источника и приемника пакетов, а также номе ра атакованных портов; чтобы ознакомиться с этими деталями, достаточно щелкнуть правой кнопкой мыши на строч ке в списке атак или в правой части окна, где атаки сортируются по приоритетности. Дав команду What’s This (“что это”), вы получите справку с объяснением сущности происшедшего нападения и рекомендация относительно того, как защититься от подобных атак впредь.

Еще одно важное преимущество RealSecurity по сравнению с продуктами Axent – наличие 17 готовых отче тов, в том числе список 20 наиболее важных событий и каталог IP адресов. В целом программа пользовате лям нравится. Хотя она и не столь полнофункциональна, как системы фирмы Axent, работать с ней намного проще, а средства защиты сети и хост компьютеров очень хорошо интегрированы.

2. Программные изделия NetProwler 3.0 и Intruder Alert 3.0

Рекомендуемая изготовителем цена для NetProwler 7995 долл.; для Intruder Alert manager – 1995 долл., сер верный агент – 995 долл.

Axent Technologies Inc., Rockville, MD; 301 258 5043; www.axent.com

Эти два пакета отличаются поразительным функциональным богатством и гибкостью; работая в паре, они сперва очень тщательно обследуют компьютеры корпоративной сети, определяя, какие компоненты и в ка ких местах установлены, а затем выстраивают систему защиты на основе полученных данных. Между собой пакеты фирмы Axent интегрированы недостаточно, но благодаря их общей мощности данный тандем оказал ся впереди конкурирующего пакета RealSecure.

После инсталляции NetProwier нужно запустить функцию составления профиля, которая завершает развер тывание системы защиты. Эта функция определила, какая операционная система установлена в сети и какие службы в ней задействованы. Потом программа автоматически включила шаблоны механизмов защиты, со ответствующие имеющейся конфигурации. Так, система не стала защищаться от вторжений, осуществляемых

50.3

Использование средств обнаружения вторжений

с помощью механизма WinNuke, поскольку этот механизм действует только на платформе Windows и безопа сен для сети на основе ОС Solaris.

При тестировании были составлены профили для машин, работающих с Linux, Solaris, Windows 98 и NT, и на всех NetProwier определил конфигурацию верно, лишь в одном случае допустив заминку. При первом прохо де на компьютере с Windows NT программа выбрала в списке операционных систем пункт “другая”, но при повторном запуске ОС была распознана правильно.

Подобно пакету RealSecure, тандем NetProwier и Intruder Alert предусматривает распознавание около четы рех сотен различных видов нападений на сеть, к тому же фирма Axent регулярно выставляет на своем Web узле обновления, содержащие новые шаблоны. Кроме того, вы можете самостоятельно создать новый шаб лон (настроить защиту от атаки с механизмом DoS нам удалось буквально за пять минут). В RealSecure подоб ные функции тоже есть, но работать с ними сложно: приходится открывать три экранных окна, в NetProwler операции выполняются проще.

Информация о функционировании сети и обнаруженных попытках взлома выводится в окне Attacks. Правда, в отличие от RealSecure, программа NetProwler не позволяет отсортировать сведения по типу механизма атаки или приоритетности. В программе Intruder Alert при работе с центральным компьютером приходится манипулиро вать диаграммами и текстовыми файлами, чтобы определить слабые места в защите.

3. Использование сканеров фирмы Axent

О компании Axent Technologies, Inc.

Компания Axent Technologies является лидером в сфере производства программных систем защиты инфор мации, удерживая 43% мирового рынка в указанной области. Предлагая большую номенклатуру продуктов для большего числа платформ, компания Axent доказывает реальность построения системы сетевой безопас ности на продуктах одного производителя.

Продукт NetRecon

Программный продукт предназначен для проверки (сканирования) сети/компьютеров на возможные уязви мости.

Данная программа позволяет просканировать сеть или отдельные компьютеры как изнутри, так и снаружи (из Internet) и выявить потенциальные уязвимости в системе защиты. Система NetRecon предназначена для тес тирования защищенности (правильности конфигурирования) серверных платформ, межсетевых экранов (firewalls) и Web серверов. Продукт является современной системой 3 го поколения и разработан для функ ционирования под управлением Windows NT. После сканирования создается отчет (текст, графика, HTML — для удаленного просмотра), где указываются все найденные уязвимости и способы их устранения.

Пакет NetRecon предназначен для анализа уязвимости компьютерных сетей при попытках несанкциониро ванного доступа злоумышленников из числа пользователей или атаке хакеров через Internet.

Для обнаружения слабых мест программа сканирует корпоративную сеть, воспроизводя способы атаки, кото рые могут применять взломщики. Процедура тестирования автоматизирует задачу поиска «дыр», открывающих возможность проникновения в сеть. Данный продукт дополняет серию предлагаемых компанией Axent систем обеспечения безопасности корпоративных сетей.

Сканер NetRecon может работать совместно с другими программами, разработанными компанией Axent: Enterprise Security Manager и Intruder Alert. Первая является средством общей защиты и контроля безопас ности компьютерной сети, вторая позволяет обнаружить на начальной стадии попытки атак на сеть.

Важным фактором для оценки средства сканирования сети является информация, представляемая в отчете о тестировании. NetRecon проводит анализ безопасности корпоративной сети как сторонний эксперт, а при взаимодействии с другой системой фирмы Axent показывает возможные способы противодействия опреде ленным методам атаки и проникновения в сеть. Кроме того, NetRecon можно использовать для тестирования различных комплексов, предназначенных для детекции попыток атаки на сеть и несанкционированного дос тупа к ней.

Отчет о тестировании формируется в формате html и имеет объем несколько сотен Кб.

NetRecon распознает слабые места системы безопасности, каждое из которых в отдельности или их комплекс делают сеть уязвимой для атаки. Продукт тестирует возможности доступа по Internet протоколу (IP), прото колам IPX, SNMP и некоторым другим. При обнаружении «дыры в защите» программа немедленно выдает от чет с оценкой ее серьезности, что весьма важно, так как полное время проверки, в зависимости от величины сети, может составлять несколько десятков минут или даже часов.

Комплекс OmniGurd

Продукты линии OmniGuard – это прежде всего Enterprise Security Manager и Intruder Alert.

Назначение

Система OmniGuard/ESM предназначена для анализа и оценки уровня сетевой безопасности методом поиска уязвимостей, которые могут быть использованы при подготовке и проведении информационных атак против серверных платформ.

50.4

Использование средств обнаружения вторжений

Система OmniGuard/ITA используется для отслеживания событий, происходящих на сервере. Работа в реаль ном масштабе времени позволяет при обнаружении подозрительной активности прервать ее до вмешатель ства администратора безопасности.

Отличительные особенности

•Для удобства работы администратора безопасности, отвечающего за серверный парк, обе системы реа лизованы в архитектуре «клиент сервер».

•В целях создания системы защиты, способной «закрыть» большую группу серверов, управляемых разны ми операционными системами, фирма разработала агенты для нескольких ОС: Microsoft Windows NT, Novell Netware 3.x 4.x, Digital Unix, Silicon Graphics IRIX, Solaris, SunOS, HP UX и др.

•Набор продуктов OmniGuard позволяет полностью перекрыть информационные риски организации и дает инструментальную базу для управления политиками безопасности и их администрирования, мони торинга и обнаружения неавторизованной активности.

На рубеже 1997 1998 годов объем продаж систем ESM и ITA в странах Восточной Европы возрос в несколько раз, что свидетельствует о высокой надежности этих продуктов при создании замкнутых систем защиты кон фиденциальной информации.

Краткая характеристика OmniGuard/ESM

Проверка правильности настроек и администрирования корпоративных серверов.

Данная программа работает в архитектуре «менеджер — агент — консоль управления» и позволяет прове рить правильность настройки операционной системы и наличие всех установленных заплат. По результатам проверки указываются все найденные уязвимости и способы их устранения. Поддерживаются практически все платформы и операционные системы. Предусмотрены дополнительные модули для проверки распрост раненных для основных операционных систем приложений (Tivoli, Oracle, BMC Patrol и другие).

Система OmniGuard/Enterprise Security Manager компании Axent предназначена для анализа и контроля уров ня безопасности гетерогенных сетей Netware, Windows NT, UNIX и осуществляет поиск уязвимостей операци онной системы, которые могут использоваться злоумышленником для получения несанкционированного до ступа к ресурсам сети.

OmniGuard/Enterprise Security Manager способна производить следующие проверки операционной систе мы:

анализ особенностей конфигурации операционной системы, которые потенциально могут быть исполь зованы для получения несанкционированного доступа;

оценку cоответствия учетных записей пользователей требованиям политики безопасности (наличие и длина паролей, периодичность их смены, ограничения по времени входа в сеть, привязка к физическому адресу и т.д.);

проверку наличия всех необходимых комплектов модернизации (patch);

проверку состояния системы аудита;

выявление «подозрительных» изменений в назначениях прав доступа, параметрах конфигурации систе мы, произведенных с момента предыдущей проверки.

Для каждой из поддерживаемых операционных систем Enterprise Security Manager выполняет поиск более 100 различных типов потенциальных уязвимостей.

Продукт способен производить оценку защищенности на основе пяти предопределенных стратегий (разли чающихся по степени детализации проверки), кроме того, возможно создание пользовательских стратегий, реализующих интересующие администратора безопасности конкретные тесты.

Enterprise Security Manager позволяет просматривать результаты тестирования в интерактивном режиме. По итогам тестирования может быть сформирована удобная для последующего анализа форма отчетности, со держащая описание выявленных слабостей в системе безопасности и рекомендации по их устранению.

Enterprise Security Manager работает в следующих операционных системах: Microsoft WindowsNT, Novell Netware3.x и 4.x, Solaris, SunOS, IBM AIX, HP UX, Digital UNIX, SiliconGraphics IRIX, NCR MPRAS, Motorola SVR3, Sequent Dynix.

Архитектура системы основана на двух основных компонентах :

«Агент», устанавливаемый на тестируемом компьютере (Netware сервер, Windows NT сервер, Windows NT стан ция, UNIX хост и т. д.;

«Менеджер», устанавливаемый на одном из защищаемых серверов или на отдельном сервере, не пред назначенном для защиты (UNIX хост, Windows NT сервер, Netware сервер) и позволяет осуществлять

централизованный контроль безопасности в гетерогенной сети.

Возможно определение стратегии защиты как для отдельных серверов, так и для доменов (групп серверов, для которых приняты общие правила политики безопасности).

Краткая характеристика OmniGuard/ITA

В качестве комплексного средства реализации сканирования серверов целесообразно рекомендовать сис тему Intruder Alert фирмы Axent. Эта система позволяет на основе автоматизированных процедур анализа трафика круглосуточно обнаруживать попытки проникновения в критические области сети и вырабатывать программируемые администратором безопасности диагностические процедуры и сигналы тревоги. Cледует

50.5

Использование средств обнаружения вторжений

отметить тот факт, что система Intruder Alert поставляется совместно с постоянно обновляемыми базами ти повых атак на информационные ресурсы.

По сути своей система Intruder Alert является анализатором протоколов, снабженным развитым сервисом безопасности и является одним из лучших средств в области инструментов реализации политики безопас ности.

Cистема Intruder Alert обладает широким спектром возможностей по обработке протоколов аудита и обра ботки сигналов, поступающих от SNMP агентов. Intruder Alert позволяет формировать и поддерживать в со стоянии актуальности единую базу правил политики безопасности для всей корпоративной сети. Обобщен ные правила политики безопасности поставляются совместно с системой в виде так называемых Solutions Packs:

•Web Server Solution Pack;

•Internet Solution Pack;

•Operating System Solution Pack;

•Application and Database Solution Pack.

Фирма AXENT регулярно поставляет своим заказчикам Solutions Packs, а также выполняет заказные работы по со ставлению пакетов правил безопасности.

ÏÎ OmniGuard/Unix Privilege Manager

Компания Axent Technologies разработала ПО OmniGuard/Unix Privilege Manager, обеспечивающее защиту ин формации в сети предприятии. Она утверждает, что этот продукт позволит системным администраторам вос станавливать контроль. Новый продукт выпускается для большинства основных вариантов операционных сис тем Unix, в том числе НР UX, Solaris компании Sun, AIX компании IBM, Digital Unix и Irix компании Silicon Graphics. По словам представителей компании, это ПО “решает серьезную проблему защиты Unix систем, которая возни кает в случае, когда слишком много пользователей получают право на привилегированный доступ к корневому каталогу, чтобы выполнять рутинные рабочие функции. Цены на него установлены следующие: 1195 дол. ме неджер, 99 дол. агент рабочей станции и 295 дол. серверный агент. При закупках в больших количествах предоставляются скидки.

Сравнение систем Axent Enterprise Security Manager и Internet Scanner/System Security Scanner

Главное описание

•Система OmniGuard\ESM средство реализации политики безопасности;

•Настраиваемые пользователем шаблоны и уровни безопасности;

•Стоимость консоли управления для ОС Windows NT $1995, серверного агента для Windows NT $995, клиентского агента для Windows NT $395 (информация о стоимости получена от компании Axent и мо жет отличаться от стоимости этой системы в России).

Чем Internet Scanner лучше Axent’s ESM

1. Omniguard ESM полагается на механизмы операционной системы, чтобы обнаружить уязвимости и использо вать выбранную политику безопасности. Тем самым пропускается целый ряд сетевых уязвимостей. Система ESM не может сообщить о следующих уязвимостях, которые могут использовать для атак злоумышленники:

•Уязвимости FTP, WWW, Exchange, SMTP;

•Уязвимости DNS, RPC, NFS;

50.6

Использование средств обнаружения вторжений

•Уязвимости, приводящие к атакам типа “отказ в обслуживании”;

•Проблемы конфигурации межсетевых экранов.

2.ESM сложен в установке, дорог, и ВСЕ ЕЩЕ не обнаруживает большинство уязвимостей сети или ОС, кото рые могут поставить систему под угрозу!

“Internet Scanner проанализировал каждое устройство на нашей тестовой подсети и даже нашел несколько потенциальных уязвимостей в ОС Windows NT, позволяющих пользователям получить привилегированный доступ к критичным ресурсам. Она также проанализировала наш межсетевой экран (firewall), пробуя как спе цифичные для различных межсетевых экранов атаки, так и “стандартные” атаки, например “подбор пароля” (brute force). Система ESM не предназначена для выявления таких проблем. Вместо этого она оценивает за щищенность каждого хоста, сравнивая параметры системы с заранее определенными пользователем. Так, ESM, по существу никаких “уязвимостей” не обнаруживает, только отклонения от политики безопасности, приня той Вами”.

3.“Система Internet Scanner является лучшей из рассмотренных нами, обеспечивая отличное качество отче тов для персонала различного уровня (руководство организации, руководство среднего звена и технические специалисты) с включением цветных графиков и диаграмм и ссылок на подробную информацию о найден ных уязвимостях. На другом конце спектра, ESM предлагает отчеты фиксированной ширины, которые содер жат информации немногим больше, чем рейтинговое значение обнаруженной уязвимости. Диаграммы и бо лее подробная информация об уязвимостях может быть просмотрена посредством GUI, однако распечатать ее в текущей версии невозможно”.

4.Система Internet Scanner для NT может обнаружить расширенную информацию о регистрационных запи сях пользователей (user account) и журнале аудита без установки на каждом хосте модулей системы.

5.Система Internet Scanner может обнаружить все сетевые устройства и места доступа внутрь корпоратив ной сети (типа RAS сервера). Система ESM может создать отчет по уязвимостям только для тех узлов, на кото рых она установлена.

6.Система ESM, работающая под управлением Windows NT:

•Не имеет информации о патчах безопасности;

•Не имеет информации об уязвимостях Exchange, IIS, и приводящих к атакам типа “Отказ в обслужива нии”;

•Не проверяет “активный код” (Java, ActiveX) и политику безопасности броузеров;

•Не анализирует DCOM, SNMP и т.п.;

•Не определяет запущенные сервисы и службы Windows NT.

Пример атаки на Пентагон

Сценарий злоумышленники используют “statd”:

•Установка сниффера для перехвата пароля, проходящего через межсетевой экран;

•Использование информации, собранной при соединении через межсетевой экран. Statd:

•Бюллетень CERT Advisory CA 97.26;

•Выпущен December 5, 1997;

•Уязвимость, позволяющая получить доступ с правами root на Web сервер в DMZ. Если Пентагон использует Axent ESM/Omniguard для защиты сервера:

•NetRecon не определяет уязвимость statd и множество других высокоприоритетных атак на Unix или NT;

•Злоумышленник может использовать statd для получения доступа с правами root к Web серверу, даже если Пентагон использует ESM с самой строгой политикой безопасности;

•Axent не имеет готового решения по обнаружению сетевых атак в реальном масштабе времени.

Если Пентагон использует ISS Safesuite для защиты сервера:

•Система Internet Scanner обнаружит уязвимость statd и порекомендует меры по ее устранению;

•S2, запущенный на Web сервере, возможно, сможет определить активность сниффера;

•Real Secure 2.0, установленный в DMZ, перехватит и блокирует использование уязвимости statd злоумыш ленником;

•Любой из этих трех продуктов ISS смог бы блокировать эту атаку или помочь ее предотвратить. Вместе они обеспечивают очень надежную и эффективную защиту.

Недостатки ESM

1.Слабое понимание сетевых или “хостовых” уязвимостей.

2.Нет способа уведомления о том, что хост атакован злоумышленником.

3.Новая информация о патчах только для Unix нет информации о патчах для Windows NT.

4.Схема лицензирования для ESM очень сложна, и приобретение необходимых компонентов может быть очень дорого лицензируется число агентов, диапазон IP адресов и число управляющих модулей (manager).

5.ESM не проверяет Web сервера или опасные сервисы. Нет никакого способа предотвратить обход злоумыш ленниками установленной политики безопасности. Смотри пример о атаке Пентагона в этом документе.

6.Система сложна для инсталляции и управления.

7.Отчеты трудны в понимании и содержат много пространной информации.

50.7

Использование средств обнаружения вторжений

Таблица 3.

50.8