Главная » Предотвращение сетевых атак: технологии и решения
Системы предотвращения атак(IPS) сегодня очень популярны.Они объединяют целый ряд технологий безопасности и достаточно далеко шагнули от своихпредков - систем обнаружениявторжений. Тем не менее, некоторые аналитики критикуют IPS заобъективные недостатки и дажепредсказывают скорую смертьтаких систем. Рассмотрению современных технологий предотвращения атак, анализу их сильныхи слабых сторон, а также перспектив их существования посвящена данная статья.Раньше было всего два класса защитныхсредств, устанавливаемых на периметре, - межсетевые экраны (firewall)и системы обнаружения вторжений (IDS).Межсетевые экраны (далее МСЭ) пропускалитрафик через себя, но не "заглядывали" внутрьпересыла емых данных, фокусируясь только назаголовке IP-пакета. Системы IDS (IntrusionDetection System), напротив, анализировалито, что упускалось из виду межсетевыми экранами, но не были способны блокировать атаки,так как трафик через них не проходил. Поэтомуна стыке двух технологий родился новый классзащитных средств - системы предотвращениявторжений (IPS).IPS (Intrusion Prevention System) оказалисьнастолько популярными, что многие производители стали рекламироватьсвои классическиеIDS как системы предотвращения атак, то естьIPS. Не меняя сути своих продуктов, но подставив букву P вместо D, этипоставщики открылидля себя новые рынки и новых клиентов. Нопризнаками настоящей системы IPS эти решения не обладали. Во-первых,IPS функционируетв режиме inline (пропускает трафик через себя)на скорости канала. Другими словами, решениене становится "бутылочным горлышком" и неснижает скорость передачи данных. Во-вторых,система IPS обеспечивает сборку передаваемыхпакетов в правильном порядке и анализируетэти пакеты с целью обнаружения следов несанкционированной активности.В-третьих, во времяанализа используются различные методы обнаружения атак: сигнатурный иповеденческий,а также идентификация аномалий в протоколах.Наконец, в-четвертых, система IPS в состоянииблокировать вредоносный трафик (но не путемразрыва соединения с помощью команды RESETпротокола TCP). Таким образом, чтобы получитьсистему IPS из IDS, надо сделать не один шаг (заменить букву вназвании), а целых четыре - добавить новые технологии и изменитьпринципыработы решения.Четыре к одномуСовременные системы IPS развивались в нескольких направлениях. Некоторые производители развили имеющиеся у них IDS, оснастивих гораздо более эффективными механизмамипредотвращения атак. Например, в системахIDS использовалась простая посылка TCP-пакетов с флагом RST или реконфигурация МСЭи сетевого оборудования. Эффективность этой"защиты" для классических IDS составляет всего около 30% - ведь трафик через устройствоне проходит и о реагировании в реальном времени говорить не приходится (существует хотьи минимальная, но задержка). Однако былонайдено простое решение: поместить системуIDS между защищаемыми и незащищаемымиресурсами (весь трафик между ними проходитчерез IDS). Так появились системы под названием inline-IDS, позже переименованные в IPS.По этому пути пошли компании ISS, Cisco, NFRи Sourcefire.Однако технологии IPS не ограничивалисьтолько эволюцией систем IDS. СовременныеМСЭ, оснащенные механизмом глубокого анализа трафика, также могут быть отнесенык разряду IPS. Нехватка расширенных механизмов анализа в МСЭ привела к тому, что ихстали оснащать функциями не только анализазаголовка пакета, но и глубокого проникновения в тело данных и "понимания" передаваемых протоколов. Производители по-разномуназывают эту функциональность: Deep PacketInspection, Application Intelligence и т. д., носуть ее от этого не меняется. МСЭ с такимифункциями способны обнаруживать многиенарушения политики безопасности, например скрытие в протоколе HTTP запрещенныхприложений (ICQ, P2P и т. п.), отклонение отстандартов RFC и т. д. Разумеется, современные МСЭ не обладают такими же механизмамиобнаружения атак, что и IDS, но со временемслияние этих систем все же произойдет. Попути оснащения своих МСЭ новыми возможностями пошли компании Check Point, Cisco,Fortinet и iPolicy Networks.Существует еще третье направление, котороепослужило толчком к становлению современных систем предотвращения атак,- созданиеантивирусов. Начавшие свой путь как средствалечения загрузочных, файловых и макровирусов, эти средства защиты"нарастили мышцы"за счет обнаружения троянцев, червей и других вредоносных программ. Витоге, читая описания современных антивирусов, очень сложно понять, очем идет речь - об антивируснойпрограмме или системе IPS.Четвертым витком эволюции стало создание "чистых" систем IPS,которые изначально были ориентированы на предотвращение атак. По такомупути пошликомпании OneSecure и IntruShield, выпустившие в 2000-2001 годах первыеIPS. В эту жекатегорию попали такие пионеры отрасли,как Network ICE и Tipping Point. Но, как говорится, иных уж нет, а тедалече - все названные компании были куплены более крупными игроками:McAfee, NetScreen, ISS и т. п.Сейчас в сегменте собственно IPS появилисьновые "ростки" - V-Secure, Reflex Security,DeepNines Technologies и другие.Варианты внедренияОбычно при упоминании систем IPS вголовуприходят выделенные устройства, которыемогут быть установлены на периметре корпоративной сети и, в рядеслучаев, внутри нее.Внедрение в качестве систем защиты таких аппаратных устройств (securityappliance) - наиболее распространенный вариант, но далеконе единственный. Такие шлюзы безопасности,несмотря на хорошую краткосрочную и среднесрочную перспективу, вдальнейшем постепенно уйдут в тень, и их место займут решения,интегрированные в инфраструктуру, что гораздо эффективнее со многихточек зрения.Во-первых, стоимость интегрированного решения ниже стоимости автономного (stand-alone)устройства. Во-вторых, ниже и стоимостьвнедрения (финансовая и временная) такогорешения - можно не менять топологию сети.В-третьих, надежность выше, так как в цепочкепрохождения трафика отсутствует дополнительное звено, подверженное отказам. Наконец, в-четвертых, интегрированные решенияпредоставляют более высокий уровень защитыза счет более тесного взаимодействия с защищаемыми ресурсами.Сама интеграция может быть выполнена различными путями. Самым распространеннымспособом в настоящий момент является использование маршрутизатора (router). В этомслучае система IPS становится составной частью данного устройства и получает доступк анализируемому трафику сразу после поступления его на определенный интерфейс. Интегрированная в сетевое оборудование системаIPS может быть реализована в виде отдельногомодуля, вставляемого в шасси маршрутизатора,или в виде неотъемлемой части операционнойсистемы маршрутизатора. Первой в данном направлении развития систем IPS стала компанияCisco Systems, имеющая как отдельные модулидля своих маршрутизаторов, так и подсистемуCisco IOS IPS, входящую в состав операционнойсистемы Cisco IOS. Примеру Cisco последовали и другие сетевые производители: Extreme,3Com и т. д.Но система IPS, интегрированная в маршрутизатор, умеет отражать атаки только на периметре сети, оставляя внутренние ресурсы беззащиты. Поэтому второй точкой интеграции являются коммутаторы локальной сети(switch), в которые с успехом могут быть внедрены механизмы предотвращения атак, причемкак в виде части ОС, так и в виде отдельногоаппаратного модуля. Первое слово в даннойобласти сказала компания ODS Networks, предложившая коммутаторы с встроенной системойIPS. Позже ODS была куплена компанией SAIC,а технология интеграции IPS в коммутаторына время забыта, пока ее не возродила CiscoSystems в своем семействе Cisco Catalyst.Третий тип устройств, через которые можетпроходить трафик, нуждающийся в анализе,представлен точками беспроводного доступа(wireless access point). Сегодня это направление активно развивается,что связано совсплеском интереса к беспроводным технологиям (Wi-Fi, WiMAX, RFID). Попути интеграциипошли такие производители, как Cisco Systemsи Aruba, оснастившие свое оборудование необходимыми функциями. Такогорода системы,помимо обнаружения и предотвращения различных атак, умеют определятьместонахождение несанкционированно установленных беспроводных точекдоступа и клиентов. Другиепроизводители (например, Trapeze Networks)не имеют собственных решений, поэтому интегрируются с производителямисамостоятельных систем предотвращения атак в беспроводных сетях -AirDefense, AirMagnet, AirTight,Network Chemistry и Newbury Networks.Последним рубежом обороны, где может бытьустановлена система IPS, является рабочаястанция или сервер. В этом случае IPS реализуется несколькими путями.Во-первых, какпрограммное обеспечение, интегрированноев операционную систему. Пока таких решенийнемного и все они ограничиваются системами семейства UNIX, поскольку ихядро можноскомпилировать вместе с подсистемой отражения атак. Во-вторых, системаIPS на рабочейстанции или сервере может представлять собойприкладное ПО, устанавливаемое "поверх" операционной системы.Выпускается большим числом производителей: Cisco Systems, ISS, McAfee,Star Force и другими. Эти системы называютсяHost IPS (HIPS). Кроме отражения сетевых атак,они обладают еще большим количеством полезных функций: контроль доступак USB, созданиезамкнутой программной среды, контроль утечкиинформации, контроль загрузки с постороннихносителей и т. д. В-третьих, система IPS можетпредставлять собой отдельную подсистему отражения атак, реализованную всетевой карте.Некоторые производители (в частности, D-Link)выпускают такого рода устройства, однако ихраспространенность оставляет желать лучшего.Ситуация может измениться только в том случае, когда такой функционалбудет базовым длялюбой сетевой карты.Если же вернуться к выделенным средствампредотвращения атак, то основными игроками этого рынка являются компании CiscoSystems, ISS, Juniper; из малоизвестных в России - 3Com, McAfee, Sourcefire, Top Layer, NFRи другие. И уж совсем неизвестны такие производители, как V-Secure, StillSecure, DeepNines,NitroSecurity и Reflex Security.Особняком стоит технология обнаружения и блокирования аномалий в сетевом трафике, которуюподдерживают Arbor Networks, Cisco Systems,Lancope, Mazu Networks и Q1 Labs. Однако данныерешения отличаются от классических систем IPS.Прежде всего, они работают не в режиме inline,они имеют дело не с самим трафиком, а, например,с Netflow. Кроме того, продукты данного классане автономны, а тесно связаны с другими решениями (как правило, с сетевым оборудованием).Наконец, системы обнаружения и блокированияаномалий не предот вращают атаки, а действуютреактивно - изменяют списки контроля доступа(ACL, Access Control Lists) уже после обнаружения атаки.
Категория: Обеспечение безопасности | Просмотров: 152