[an error occurred while processing this directive]
Информация предоставлена НИП "Информзащита"
Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.
До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.
Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.
Система обнаружения атак RealSecure разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.
Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.
Достоинства системы RealSecure были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure выгодно отличает ее от других конкурирующих продуктов.
Система RealSecure использует распределённую архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.
Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).
Система RealSecure является одним из лучших решений для защиты Вашей корпоративной сети и следующих ключевых возможностей:
Система RealSecure позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:
"Отказ в обслуживании" (Denial of service)
Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.
"Неавторизованный доступ" (Unauthorized access attempt)
Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.
"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.
"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.
"Анализ протокола" (Protocol decode)
Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Задание шаблонов фильтрации трафика
Для более точной настройки системы RealSecure на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
"Максимум возможностей" (Maximum Coverage)
Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure, включая обнаружение атак, анализ протоколов, запись сессий и т.п.
"Детектор атак" (Attack Detector)
Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.
"Анализатор протоколов" (Protocol Analyzer)
Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.
"Web-сторож" (Web Watcher)
Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера.
При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.
"Windows-сети" (For Windows Networks)
Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT.
При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.
"Запись сессий" (Session Recorder)
Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).
"Модуль слежения в DMZ" (DMZ Engine)
Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).
"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)
Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.
Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).
Система RealSecure имеет возможность по заданию различных вариантов реагирования на обнаруженные атаки:
Модуль слежения системы RealSecure может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.
В версии 2.0 системы RealSecure появилась уникальная возможность управления межсетевым экраном компании CheckPoint - Firewall-1. Взаимодействие осуществляется по технологии OPSEC (Open Platform for Secure Enterprise Connectivity) и, входящему в нее, протоколу SAMP (Suspicious Activity Monitoring Protocol). Сертификация системы RealSecure (в апреле 1998 г.) на совместимость с технологией OPSEC позволяет расширяет возможности системы по реагированию на обнаруженные атаки. Например, после обнаружения атаки на WWW-сервер, система RealSecure может по протоколу SAMP послать сообщение межсетевому экрану Firewall-1(r) для запрета доступа с адреса, осуществляющего атаку.
В версии 2.5 системы RealSecure к возможности управления межсетевым экраном CheckPoint Firewall-1 добавилась возможность посылки уведомления об атаке на межсетевой экран Lucent Managed Firewall.
Аналогично реконфигурации межсетевого экрана CheckPoint Firewall-1, система RealSecure позволяет управлять маршрутизаторами серии 7000 компании Cisco Systems.
Система RealSecure версии 2.0 имеет возможность генерации управляющих последовательностей по протоколу SNMPv1 или передачу определенных данных в качестве возможного ответного действия на обнаруженную атаку или какое-либо контролируемое системой несанкционированное действие. Посылаемая последовательность содержит данные о времени и типе обнаруженной атаки или несанкционированного действия.
Данная возможность может использоваться для дополнительной обработки обнаруженной атаки средствами управления сетью типа HP OpenView, IBM NetView, Tivoli TME10 или любых других, позволяющих обрабатывать входящие управляющие последовательности по протоколу SNMP.
Данная возможность позволяет просматривать предварительно записанные действия, выполняемые злоумышленником при атаке. Это позволит не только понять и проанализировать действия нарушителя, но и наглядно продемонстрировать руководству организации потенциальные угрозы. Воспроизведение атаки для анализа может быть осуществлено как в реальном времени, так и с любой заданной скоростью.
Для задания специфичных реакций на атаки, в системе RealSecure существует возможность определения своих собственных обработчиков (например, уведомление администратора об атаке по пейджеру). Обработчик атаки должен быть любым исполняемым файлом, который может запускаться из командной строки.
Система RealSecure обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию о обнаруженных атаках, отсортированную по различным признакам, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:
Вся информация об обнаруженных атаках сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о сетевом трафике в Ваших собственных системах.
Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:
Интуитивно понятный графический интерфейс и простота использования системы поможет быстро и легко настроить ее с учетом требований, предъявляемых в Вашей организации. Принципы функционирования системы не требуют реконфигурации других систем, используемых Вами. Это выгодно отличает систему RealSecure, например, от межсетевых экранов или средств контроля "активного" кода (Java, ActiveX и т.п.).
Система RealSecure обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом осуществлять обнаружение атак на узлы Вашей корпоративной сети. Объемная база данных содержит подробную информацию обо всех обнаруживаемых системой атаках.
При использовании системы RealSecure снижения производительности сети незначительное (не более 3-5%). Проблемы могут возникнуть при функционировании модуля слежения на компьютере с минимально требуемыми системными требованиями и большой интенсивности сетевого трафика. В этом случае часть пакетов может быть пропущена без соответствующей обработки.
Система RealSecure может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.
Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure одинаково хорошо поддерживает оба этих варианта.
Система RealSecure не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.
Модули слежения системы RealSecure необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.
Существует три основных участка, в которых может быть установлен модуль слежения системы RealSecure:
После межсетевого экрана (в "демилитаризованной зоне" (DMZ)).
Основная цель такой установки - предотвращение атак на системы и устройства, установленные внутри DMZ. Это особенно важно для межсетевого экрана, как точки поступления внешних данных в вашу внутреннюю сеть. При добавлении RealSecure в DMZ Вы дополнительно защищаете внешний периметр корпоративной сети от потенциальных атак.
До межсетевого экрана (в intranet).
Основная цель указанной установки - обнаружение изменений настроек межсетевого экрана и контроль трафика, проходящего через него. Модуль слежения, установленный до межсетевого экрана гарантирует:
Также можно использовать эту конфигурацию совместно с предыдущей для проверки эффективности Вашего межсетевого экрана. Например, путем сравнения числа атак, обнаруженных до и после межсетевого экрана. На ключевых сегментах корпоративной сети.
Большинство атак на узлы сети реализуется изнутри и многие организации принимают меры по уменьшению ущерба от таких атак путем установки системы RealSecure на критичных сегментах сети.
К другим вероятным местам размещения модулей слежения системы RealSecure можно отнести: