2015-05-15
440
Хост является наиболее вероятной целью хакерской атаки. Кроме того, хост создает самые сложные проблемы для обеспечения безопасности. Существует множество аппаратных платформ, операционных систем и приложений — и все это периодически обновляется, модернизируется и корректируется, причем в разные сроки. Поскольку хосты предоставляют другим хостам услуги по требованию, их очень хорошо видно в сети. К примеру, многие посещали сайт Белого Дома http://www.whitehouse.gov (это хост), но вряд ли кто-нибудь пытался получить доступ к адресу s2-0.whitehouse.net (это маршрутизатор). Поскольку хосты так хорошо видны, именно через них чаще всего совершаются попытки несанкционированного доступа в сеть.
По этим причинам хосты чаще других устройств становятся жертвами удачных атак. Зачастую web-сервер в сети Интернет работает на аппаратной платформе одного производителя с сетевым адаптером другого производителя, с операционной системой третьего поставщика и серверным программным обеспечением, которое либо является открытым, либо поставлено четвертой компанией. Кроме того, на этом web-сервере могут работать приложения, свободно распространяемые через Интернет. И, наконец, этот сервер может связываться с сервером базы данных, где все «разнообразие» повторяется еще раз. Мы не хотим сказать, что угроза безопасности происходит из-за разнородности источников сетевых устройств.
Цель у нас другая: показать, что по мере увеличения сложности системы повышается вероятность сбоев и отказов.
Для защиты хоста необходимо внимательно следить за всеми компонентами системы. Все они должны быть самыми свежими, со всеми «заплатками» и коррекционными модулями. В частности, следите за тем, как эти модули влияют на функционирование других системных компонентов. Прежде чем установить модуль или новую версию в производственную среду, тщательно протестируйте их в испытательной среде.
Если этого не сделать, новый модуль может привести к отказу в обслуживании (denial of service — DoS).
Цель - приложения
Исходные коды приложений, как правило, пишутся людьми и поэтому неизбежно содержат ошибки.
Ошибки могут быть мелкими (например ошибки, возникающие при распечатке документов) или весьма неприятными (к примеру, в результате ошибки номер вашей кредитной карты, хранящийся в базе данных, может стать доступным по протоколу FTP для анонимного пользователя). На обнаружение ошибок второго типа, а также других слабостей более общего характера и нацелены системы обнаружения вторжений (intrusion detection system — IDS), которые действуют как системы предупреждения. Когда IDS обнаруживает что-то похожее на атаку, она может предпринять самостоятельные действия или уведомить систему управления, чтобы соответствующие действия мог предпринять сетевой администратор. Некоторые системы такого типа снабжаются более или менее эффективными средствами реагирования и отражения атак. Системы обнаружения атак, работающие на хостах (host-based IDS — HIDS), могут перехватывать вызовы операционных систем и приложений на отдельном хосте. Кроме того, они могут впоследствии проводить анализ локальных лог-файлов. Перехват позволяет лучше предотвращать атаки, а анализ представляет собой пассивное средство реагирования. Специфика хост-систем (HIDS) делает их более эффективными для предотвращения атак некоторых типов по сравнению с сетевыми системами NIDS (network IDS), которые обычно выдают сигнал тревоги только после обнаружения атаки. Однако та же специфика не дает хост-системам общесетевой перспективы, которой в полной мере обладают системы NIDS. Поэтому Cisco рекомендует сочетать системы обоих типов и размещать HIDS на критически важных хостах, а NIDS — для наблюдения за всей сетью. В результате такого сочетания возникает полномасштабная система обнаружения атак.
После установки системы необходимо настроить ее, чтобы повысить эффективность и сократить число ложных срабатываний. Под ложным срабатыванием понимается сигнал тревоги, вызванный не атакой, а обычным трафиком или обычной деятельностью. Отрицательным срабатыванием называется случай, когда система не обнаруживает настоящей атаки. После настройки системы IDS вы можете точно сконфигурировать ее для конкретных действий по ликвидации угроз. Как уже отмечалось, нужно нацеливать HIDS на ликвидацию наиболее опасных угроз на уровне хоста, потому что именно здесь HIDS может работать с наибольшей эффективностью.
Определяя роль системы NIDS, вы можете выбрать один из двух основных вариантов.
Первый вариант (и потенциально — в случае неправильного внедрения — наиболее опасный) — это «отрубание» трафика с помощью фильтров управления доступом, установленных на маршрутизаторах. Если система NIDS обнаруживает атаку, источником которой является какой-либо хост, она блокирует этот хост, не давая ему возможности на определенное время связываться с данной сетью. На первый взгляд этот способ кажется очень удобным и хорошо помогает администратору безопасности, однако в действительности прибегать к нему следует с большой осторожностью, а, возможно, и не прибегать вовсе.
Первая проблема состоит в том, что хакер может пользоваться чужими адресами. Если система NIDS решает, что атака идет с определенного устройства, и «отрубает» это устройство, оно теряет права доступа к вашей сети. Однако, если хакер пользуется чужим адресом, NIDS блокирует адрес, хозяин которого никогда не планировал никаких атак. Если для атаки хакер использовал IP-адрес мощного прокси-сервера HTTP, вы блокируете множество ни в чем не повинных пользователей. В руках творчески настроенного хакера этот механизм сам по себе может стать удобным инструментом для атаки типа DoS.
Для смягчения описанного выше риска метод «отрубания» нужно использовать только для трафика ТСР, но там, где спуфинг адресов осуществить гораздо труднее, чем в области UDP. Пользуйтесь этим методом только в случае реальной угрозы и при минимальной вероятности ложного срабатывания. Однако в пределах одной сети существует гораздо больше вариантов. Эффективное внедрение фильтрации RFC 2827 может значительно ограничить объем трафика, поступающего с чужих адресов. Кроме того, поскольку заказчики обычно не включаются в состав внутренней сети, вы можете предпринять более жесткие меры против атак, исходящих из внутрикорпоративных источников. Еще одна причина для более жестких внутренних мер состоит в том, что внутренние сети, как правило, не имеют таких мощных средств фильтрации с учетом состояния соединений (stateful filtering), которые обычно используются на границе сети. Поэтому во внутренней сети вам следует более серьезно полагаться на систему IDS, чем во внешней среде.
Вторым вариантом для NIDS является сокращение угроз за счет использования сброса TCP (TCP reset).
Как видно из названия этого метода, он используется только для трафика ТСР. Прекращение атаки производится отправлением сообщений «TCP reset» на атакующий и атакуемый хост. Поскольку трафик ТСР хуже поддается спуфингу, этот метод является более предпочтительным, чем метод грубого «отрубания» адресов.
Этот метод чувствителен к производительности. Система NIDS отслеживает передаваемые пакеты. Если скорость передачи пакетов превосходит возможности NIDS, снижения производительности в сети не происходит, так как NIDS не находится на пути потоков данных. Однако при этом теряется эффективность самой системы NIDS, которая начинает терять пакеты, срабатывать в спокойной обстановке и не замечать настоящих атак. Поэтому, чтобы в полной мере воспользоваться всеми преимуществами NIDS, не превышайте возможностей этой системы. С точки зрения маршрутизации, IDS, как и многие системы, способные учитывать состояние, некорректно функционирует в асимметрично маршрутизируемой среде.
Если группа маршрутизаторов и коммутаторов передает пакеты по одному маршруту, а принимает по другому, система IDS будет видеть только половину трафика, что вызовет ложные срабатывания и нулевую реакцию на реальные атаки.
