Міністерство Освіти Російської Федерації p>
Московський Державний Університет геодезії і картографії p>
Реферат по предмету p>
«Введення в спеціальність» на тему: p> < p> «Особливості запобігання несанкціонованих проникнень у корпоративні інформаційні системи» p>
Автор: Иван Кабанов p>
Факультет: ФПК p>
Курс: 1 p>
Група: 2 p>
Науковий керівник: проф. Малинник В. А. p>
Москва, 2003 р. p>
Зміст: p>
Вступ ................ ..................................................
............................................ 3 p> < p> 1.Що таке IPS і
IDS ?................................................ ........................< br>............... p>
2. p>
Введення. p>
У нинішній час стало очевидно, що захищати інформацію стає всіскладніше. Що нас чекає завтра? З якими новими загрозами ми зіткнемося?
Чи зможуть системні адміністратори і ті, хто за службовим обов'язком покликанийзабезпечувати цілісність і збереження інформаційних інфраструктурвпорається з усе більш складними і продуманими нападами, мережнимихробаками, «троянцями»? У вступі до реферату я вирішив опублікувати думкифахівців у галузі інформаційної безпеки щодо того, якбуде надалі розвиватися ситуація у сфері їх діяльності. p>
Приміром, Роб Клайд, технічний директор Symantec говорить: «Чим більшепрофесійними стають хакери, тим стрімкіше атаки на сайти.
Черв'як типу flash worm, за умови, що запускає його хакер має списоквсіх (або практично всіх) серверів, відкритих для атаки, може вразитивсі вразливі сервери менш ніж за 30 секунд ». p>
« Протягом найближчих двох років можуть статися широкомасштабні взломисистем безпеки Web-служб. Наслідки будуть набагато серйознішими,ніж знищені Web-сайти або викрадені кредитні картки, як цетраплялося на початку епохи електронної комерції. Тепер ми можемо зіткнутисяз тим, що будуть зупинені автоматизовані потокові лінії,спустошувати банківські рахунки, розриватися ланцюжка поставок довжиною в сотнікомпаній. Секрети фірм, внутрішня корпоративна інформація опиняться підзагрозою розкриття »- говорить голова ради директорів івиконавчий директор DataPower Technology Євген Кузнєцов. p>
Грегор Фрейнд, виконавчий директор Zone Labs вважає: «Три - чотирироки тому хакери робили ставку на безсистемні атаки «навмання». Зараз вонив більшій мірі переорієнтувалися на поразку мереж підприємств, якімістять цінну інтелектуальну власність. Кількість таких атакзростає, і кожна наступна стає витонченішими і згубно попередньої. До
2005 році на рахунку таких атак буде більше 75% фінансових втрат корпораційчерез дір в системах інформаційної безпеки. Протягом найближчихдвох років компаніям доведеться будувати набагато більш сильну і складну захистна кожному вузлі мережі, що містить секретну інформацію, а не покладатися назагальні зовнішні системи безпеки ». p>
Очевидно, що загроза нападів на корпоративні системи стала більш ніжреальною. Захист проти такої загрози потребуватиме «запобіжних технологій»,включають впізнання програм-вірусів по «аномалій» в їхній поведінці
(щодо звичайних програм) а також систем за розпізнавання ізапобігання проникнень у приватні мережі. Про таких технологіях і підемова в даному рефераті. Також у цій роботі я спробую відповісти на питання,зможуть системи запобігання несанкціонованого проникнення вкорпоративні ІТ-системи виконати покладене на них превентивну місію ізамовникам забезпечити необхідний рівень безпеки. p>
1. Що таке IPS і IDS? P>
На сьогоднішній день у сфері комп'ютерної безпеки існує двапринципово різних підходи до захисту від проникнень у корпоративнімережі. Перший і старіший з них це IDS (Intrusion Detection Systems,
IDS). IDS - це система покликана виявити спроби проникнення вприватну мережу і повідомити системного адміністратора про факт вторгнення. Цятехнологія захисту інформації використовується досить давно і вже завоювалапопулярність серед замовників. p>
Однак, багато аналітиків вважають, що сьогодні існує більшеефективний і зручний спосіб боротьби з хакерами. Ця система - Intrusion
Prevention System, IPS. P>
Абревіатура IPS в області інформаційної безпеки закріплена засистемами та рішеннями, які служать для запобігання нападів. Під неюмається на увазі набір технологій, які з'явилися на стику міжмережевихекранів і систем виявлення нападів IDS. Від міжмережевих екранів у IPSузятий принцип активного втручання в мережеве взаємодія чи поведінкапрограм, а від IDS - інтелектуальні методи моніторингу відбуваютьсяподій. Таким чином, IPS не тільки виявляє нападу, а й намагаєтьсязапобігти їх. У Росії рішення IPS з'явилися ще в складі міжмережевихекранів або класичних систем IDS. Сьогодні, на ринку є іспеціалізовані продукти, такі як сімейство апаратних IPS компанії
NetScreen. Серед продуктів IPS аналітики виділяють п'ять типів компонентів,кожен з яких виконує свої функції і може комбінуватися з іншими. p>
Мережева IDS. p>
Пристрій, який аналізує що проходять через нього IP-пакети, намагаючисьзнайти в них ознаки атаки по заздалегідь визначених правилами і сигнатурах,називається мережний IDS (NIDS). Від традиційної IDS такі продуктивідрізняються тим, що вони не лише вишукують випадки ненормального інестандартного використання мережевих протоколів, а й намагаються блокувативсі невідповідності. Хоча NIDS і користується базою сигнатур відомих атак,вони можуть також запобігти і невідоме їм напад, особливо якщо вонопобудовано на аномальному використанні протоколів. p>
Комутатори сьомого рівня. p>
Мережні пристрої, які визначають маршрути IP-пакетів в залежностівід типу програми, називаються комутаторами сьомого рівня (додатків).
Їх можна використовувати для різних цілей: створення кластерів, балансуваннянавантаження, роздільного зберігання даних за типами, а також для захисту.
Підозрілі пакети такі пристрої або повністю знищують, абоперенаправляють на спеціальний сервер для подальшого аналізу. Цей тип IPSдобре відбиває атаки, спрямовані на відмову в обслуговуванні і на спільнийзлом декількох служб. p>
Екран додатків. p>
Механізм, який контролює системні виклики мережевих програм,називається екраном додатків (application firewall/IDS). Він відслідковувати немережеве взаємодія, а поведінку програм, бібліотек, які працюють змережею. Такий екран може працювати і за фіксованим набору правил, протенайбільший інтерес представляють самонавчається продукти, які спочаткузапам'ятовують штатну роботу програми, а надалі фіксують чи недопускають нештатне їхню поведінку. Такі екрани блокують невідомі атаки,але їх необхідно встановлювати на кожен комп'ютер і «перенавчати» призміну конфігурації додатків. p>
Гібридні комутатори. p>
Є технології, які об'єднають в собі екрани додатків і комутаторисьомого рівня, - це гібридні комутатори. Вони, на відміну від екранівдодатків, що мають справу вже з IP-пакетами, на початку навчаючись штатнимзапитам, а всі позаштатні або блокуючи, або направляючи на спеціальнийсервер для подальшого вивчення. Вони можуть відобразити і атаки на відмову вобслуговуванні, і невідомі атаки, але їх доведеться щоразу перенавчатизаново при кожній зміні конфігурації системи. p>
Пастки. p>
До категорії IPS відносяться також програми-пастки, які намагаютьсяактивно втручатися в процес нападу. Такі продукти, емуліруя роботуінших програм, провокують нападаючого атакувати, а потім контратакуєйого, намагаючись одночасно з'ясувати його особу. Пастки найкращекомбінувати з комутаторами - гібридними або сьомого рівня, щобреагувати не на основний потік інформації, а тільки на підозріліз'єднання. Пастки використовують швидше для залякування і контратаки, ніж длязахисту. p>
Слід зазначити, що IPS різних типів добре інтегруються у доситьінтелектуальну систему захисту, кожен елемент якого добре доповнюєінші. При цьому вони не конкурують з уже існуючими засобамиінформаційної безпеки: міжмережевим екранами, IDS, антивірусами та ін,оскільки доповнюють їх. p>
2. Профілактика отримує схвалення. P>
Чи зможуть системи запобігання несанкціонованого проникнення вкорпоративні мережі впорається зі своїм завданням? Цим питанням стурбовані нелише замовники IPS, вже існуючі та потенційні, а й виробникисистем виявлення проникнень, що намагаються зрозуміти, яким чиномвпорається з технологією, яка загрожує основам їх бізнесу. Перевага
IPS в порівнянні з IDS виділяється особливо яскраво на тлі зростаючих вимогклієнтів до створення більш ефективних засобів запобіганнянесанкціонованих вторгнень в їх мережі. Але оскільки технології стаютьвсе складніше, корпоративні клієнти частіше відчувають труднощі при виявленнівідмінностей між «справжніми» IPS та їх спрощеними версіями, а також приінтеграції IPS з різними елементами мережевих інфраструктур. p>
Роль працюючих систем попередження вторгнень важко переоцінити --багато фахівців з інформаційних технологій сьогодні продовжують сьогодні виношувати системупрофілактики атак, які здатні завдати компаніям дуже серйознийзбиток. Експерти в галузі безпеки передбачають, що в мірувдосконалення технологій IPS відбудеться злиття систем IDS іміжмережевих екранів, число механізмів IPS помітно збільшиться, авиробники засобів аналізу трафіку і комутуючого обладнання (вЗокрема, Cisco Systems, F5 Networks і Nortel Networks) поведуть боротьбу заволодіння короною IPS. p>
Деякі аналітики, в тому числі і фахівці компанії Gartner, радятьсвоїм клієнтам утриматися поки від великих інвестицій в IDS і уважновивчити всі переваги технології IPS. «Компаніям, які вже вклали у IDSсерйозні кошти і отримав нібито позитивні результати, рекомендуємозвернути увагу на виробників засобів управління системамибезпеки, зокрема на компанії ArcSight і NetForensics, - зазначиввіце-президент Gartner Джон Пескаторі. - Ми вважаємо, що концепція IDSсебе вичерпала. Вона не представляє сьогодні практично ніякої цінностідля корпоративних користувачів. Щоб вижити, треба діяти швидше,буквально зі швидкість проходження інформації по кабелю, і необхідно вирішуватипитання помилкових спрацьовувань. p>
Хибні спрацьовування - одна з найбільш серйозних недоліків IDS --являє собою вельми обтяжливе ношу при браку досвідузабезпечення внутрішньої безпеки, а постійно скорочуються бюджетівпримушують знову й знову піднімати питання, пов'язані з пріоритетамиобробки відповідних подій. Технології IPS дозволяють уникнутиотримання фальсифікованих позитивних результатів завдяки різниммеханізмам. Серед них, зокрема, аналіз сигнатур, що змінюються в ходіперевірки сесії, ідентифікація мережевих протоколів і пакетів з метоюперевірки на предмет виявлення в них раптових змін шаблонів трафіку
(як це відбувається в атаці, розрахованої на відмову в обслуговуванні) аботаких змін, які не передбачені встановленими правилами. «Іноділюди намагаються боротися з кожним окремо взятим вразливим місцем, хоча цезовсім не є необхідністю, особливо сьогодні, коли штат організаційпомітно скоротився, - відзначає старший мережевий інженер компанії Tower
Records П. Дж. Кастро. - Ми повинні сконцентруватися на тому, що можезавдати реальний збиток ». p>
Зусилля виробників засобів безпеки, метою яких єуспішне впровадження IPS, зводяться нанівець наявністю численних проломів всистемах безпеки і найчастіше необхідністю проведення дорогихпроцедур щодо усунення збитку від вірусів. Широке розповсюдження вірусівостанні рік-півтора стало останньою краплею, що переповнила чашу терпіннябагатьох клієнтів. Глобальні епідемії Nimba, Klez, Code Red і т.д. призвеликерівників компаній до думки про те, що створення ефективної системи ІТ -самооборони стане одним з найважливіших чинників забезпечення нормальногофункціонування організацій у майбутньому. p>
«Всі ці віруси завдали нам великої шкоди, - зауважив директорінформаційної служби університету штату Флорида Том Данфорд. - В окремихвипадках наш навчальний заклад фактично виявлялося на межі виживання.
Удару піддалися не окремі комп'ютери, а цілі класи, і нам довелосявитратити чимало коштів НАТО, щоб очистити машини від вірусів іліквідувати завдані збитки. Безумовно, все це забрало багато часу інегативно позначилося на продуктивності праці та навчальному процесі. УЗрештою, ми прийшли до висновку, що досягти необхідного рівнябезпеки можна лише за умови проведення необхідних профілактичнихзаходів ». p>
Сьогодні, на мережі навчального закладу як всередині студентського містечка, такі за його межами підключено більше 10 тис. користувачів, і Данфордхотілося б, щоб система IPS забезпечувала виявлення підозрілихдій в мережі, їх блокування та подальше вивчення з внутрішньої сторонибрандмауера. У грудні минулого року в університеті була встановленамережева консоль UnityOne-200 компанії TippingPoint Technologies,що дозволяє здійснювати пошук потенційних джерел загроз. Результативиявилися обнадійливими. Незважаючи на наявність у мережі безлічі серверів з
Microsoft SQL Server, черв'як Slammer не зміг проникнути ні в одну зуніверситетських систем. p>
Апаратні консолі і IPS-системи TippingPoint UnityOne містять механізмбезпечної обробки мережевого трафіку, в основу якої покладено коштидуже швидкого аналізу заголовків мережевих пакетів. «Для успішного відбиттяатак шляхом блокування підозрілих пакетів відразу після виявленнязагрози, рішення IPS просто необхідно зробити частиною мережевийінфраструктури, - підкреслює технічний директор TippingPoint Марк
Віллебек-Лемер. - Затримка їх спрацювання не повинна перевищувати декількохмікросекунд. Оскільки в назвах IPS і IDS є дві загальні букви, мизавжди вели розмову про наступне покоління сімейства продуктів, хоча імали на увазі дійсно різні речі. Атаки обрушуються на нас не тількипо всьому зовнішньому периметру, але і з внутрішньої сторони. Система IPS будеефективною тільки в тому випадку, якщо, інтегрувавши її мережеву структуру,ви зможете відбивати удари, що наносяться з будь-якого напрямку. IPS не можна більшевважати лише точкою доступу до глобальної мережі ». p>
3. Деякі недоліки систем IPS. P>
Сьогодні, абревіатуру IPS можна побачити в заголовках багатьох популярнихвидань, однак прихильники IDS, зокрема представники компанії
Internet Security Systems (ISS), ставлять під сумнів прогнози, згідно зяким системи IDS найближчим часом підуть у небуття, а клієнтамзнадобляться ще більш ефективні засоби мережевого захисту. «Наявність замкуна вхідних дверях зовсім не означає відмову від охоронної сигналізації », --зауважив технічний директор ISS Кріс Клаус. p>
У той же час не можна заперечувати, що виробники систем IPS надаютьтиск на ринок IDS, з тим щоб у вигідному світлі представити своївласні розробки. Компанія ISS в числі багатьох переходить зараз відпідходу, що передбачає вдосконалення відповідних дій привиявлення атак, до розробки технологій, що реалізують превентивні заходизахисту. Зокрема, така стратегія може спиратися на впровадженнякерівників служб, які збирають інформацію про серверах та настільнихкомп'ютерах, які аналізують журнали операційних систем та інші відомості,що дозволяють оцінити поточний стан справ. p>
«Розробникам IPS сьогодні доводиться долати скептичний настрійклієнтів, породжуваний незавершеними проектами в галузі забезпеченнябезпеки інформаційних систем і невиконаними обіцянками надати
«Чарівну паличку», за допомогою якої можна буде захиститися від чогозавгодно », - пояснив начальник служби безпеки компанії Radianz Ллойд
Хейшн. P>
Труднощі, зумовлені необхідністю глибокого вивчення мережевоготрафіку і постійного моніторингу в онлайновому режимі, говорять про те, щонасіння IPS можна кидати в непідготовлений грунт. p>
Подібні рішення повинні стати ще одним елементом мережевих інфраструктур,які в будь-який момент можуть опинитися під загрозою перевантаження.
| Зростання витрат на |
| розпізнавання |
| вторгнень |
| неминучий. |
| Проведений META Group аналіз найближчих інвестиційних планів компаній |
| з числа Global 2000 показав наявність високої зацікавленості в |
| закупівлі мережевих і хостовых систем розпізнавання вторгнень. У багатьох |
| організаціяіях в довгострокових планах значаться також консолі |
| централізованого управління інформацією про безпеку. Як відзначають в |
| META Group, для директорів з безпеки не став несподіванкою |
| перехід виробників від випуску систем розпізнавання вторгнень к |
| систем запобігання їм. За прогнозом Meta Group, різниця між двома |
| цими вельми спорідненими технологіями зникне протягом двох років. Адже |
| кількість «дірок» виявлених в програмному забезпеченні, з 1998 року |
| зросло більш ніж в 15 разів. |
| Рік | Кількість «дірок» |
| 1998 | 262 |
| 1999 | 417 |
| 2000 | 1090 |
| 2001 | 2437 |
| 2002 | 4129 | p>
«Розробники IPS вже перейшли рубікон, однак використання таких рішеньяк і раніше, пов'язане з ризиком, - підкреслив Хейшн. - Їх складність і самаприрода IPS-рішень таять у собі потенційну небезпеку. Вносячи в мережевусередовище ще одне джерело помилок (пристрій, якому вже не приділяєтьсяпасивна роль), ви тим самим знижуєте загальну стійкість всієї середовища ». p>
У розробників систем IPS практично немає часу на усуненнянедоліків і виведення своїх продуктів на достатньо зрілий рівень. Але те жсаме можна сказати і про авторів проектів IDS. p>
«Складність полягає в тому, що в даний момент галузь не пропонуєінтегрованих корпоративних рішень, - пояснив Хейшн. - Є окремінарощувані модулі, призначені для розв'язання окремих завдань. Кожен зних коштує грошей. Природно, це породжує питання. Ми не зможемо пройтицілком довгий і тернистий шлях з неповноцінними продуктами ». p>
Системи IDS опинилися в ще більш складному становищі. Як зауважив
Пескаторі, рішення IPS підносяться сьогодні по суті як «ліки від усіххвороб ». Виробники, орієнтовані на IDS, часто приймають цімаркетингові ходи за чисту монету, і в результаті їм не вдаєтьсяподолати труднощі, пов'язані з IDS. Зрозуміло, що кількість помилковихспрацьовувань потрібно зменшувати, але не за рахунок встановлення бар'єрів на шляхупроходження легітимного трафіку. Потрібен ретельний підбір алгоритмів,сигнатур, стійких засобів аналізу протоколів у поєднанні зметодологіями, що залежать від навколишнього оточення, і кореляції всіх цихмеханізмів з іншими технологіями, що забезпечують керування мережами. Алеподібні комбінації, що цікаво, найчастіше зустрічаються саме всистемах IPS. p>
«На наш погляд, до кінця наступного року, технологія IPS надасть реальневплив на ринок міжмережевих екранів і систем IDS, - зауважив Пескаторі.
- До цього моменту сюди кинеться Cisco, можливо, CheckPoint, а вступв боротьбу компаній типу Nortel, F5 Networks, можливо, навіть Nokia будеознаменований випуском висококласних багатогігабітних продуктів,призначених для телекомунікаційних операторів. У свою чергу,постачальники систем IDS повинні уважно стежити за сходженням IPS,інтегруючи свої пропозиції до схеми міжмережевих екранів. Дні тих, хто неприйме концепцію IPS, виявляться полічені ». p>
Хейшн також розглядає міжмережеві екрани, системи IDS та IPS якнайважливіших компонентів реалізації стратегії інформаційної безпеки.
Повна відмова від концепції IDS за відсутності дуже гарного міжмережевогоекрана - порочна ідея, вважає він. Однак переваги IPS говорять про те,що роль IDS в корпоративному середовищі зміниться. p>
«Припустимо, компанії виходять у світ з IPS, але чи буде це заміноюміжмережевого екрану? - Задається питанням Хейшн. - Моя відповідь категоричнонегативний. Міжмережеві екрани проектуються, створюються і настроюються,з тим щоб забезпечити фільтрацію, екранування і контроль доступу, а IPSі IDS - ні ». p>
« Сьогодні ми пропонуємо певний рівень контролю над діями IPS.
Клієнти можуть самі блокувати трафік, а наші партнери розробляютьінтерфейси для взаємодії з пристроями сімейства BIG-IP. На базіподібних рішень цілком можна реалізувати контроль над функціонуванням
IPS », - відзначив директор F5 Networks з управління продуктами Ерік Гіза. P>
Після покупки на початку поточного року компанії Okena велику активність ввідношенні IPS стала виявляти і корпорація Cisco Systems. До складу Cisco
Systems також увійшла компанія Psionic Software (угода з її придбаннябула завершена в грудні 2002 року), що було розцінено аналітиками якнамір в першу чергу прискорити створення нових рішень з обробкипомилкових спрацьовувань. Частково це підтвердилося нещодавнім анонсом IDS -модулів для комутаторів Catalyst (зокрема, для пристроїв серії
Catalyst 6500). P>
«Наші клієнти не раз заявляли, що розуміють всю важливість проведеннязаходів щодо запобігання вторгнень. Однак у більшості своїй вони по -як і раніше, не довіряють технології, яка працює автономно, тобтонезалежно від людини, і сама приймає рішення щодо мережноготрафіку », - заявив менеджер Cisco Джон Макфарленд. p>
IPS Переваги очевидні, але для доведення їх сили впротидії загрозам безпеці, що виникають у реальному світі, потрібніоб'єктивні випробування. Вже сьогодні технології IPS реалізуються на практиці впристроях і рішеннях, що діють автономно і здатних самостійноприймати рішення. Однак з того, що роблять і як поводяться заразпостачальники систем IDS (а ведуть вони себе зовсім інакше в порівнянні зтим, що ми бачили раніше), можна зробити висновок: майбутнє IPS лежить вобласті не ізольовані, а інтегрованих рішень, будь то поєднання з
IDS, міжмережеві екранами або якимись іншими компонентами мережевийінфраструктури. «Від систем IPS сьогодні потрібна присутність у мережі, умінняприймати рішення і впливати на проходження пакетів - всі ці функціїмережевого пристрою, - підкреслив Макфарленд. - IPS - не одноразовий трюк.
Це рішення має дійсно бути всеосяжним ». P>
4. IPS в Росії. P>
У Росії продукти IPS з'явилися недавно і зараз у всіх постачальників їхпродано по кілька екземплярів. В основному це продажі IPS у складіінших продуктів: міжмережевих екранів або IDS. Так, компанія NetWell,оголосила минулого літа про початок поставок пристроїв NetScreen, продаєїх у складі корпоративної мережі і вже має шість проектів з їхвикористанням. За оцінкою Дмитра Коваля, генерального директора NetWell,витрати на пристрої IPS/IDS становлять не більше 10% загальної вартостіпроекту. Для попередньо встановлених систем IPS ціна одного пристрою знаходитьсяв діапазоні від 7 до 10 тис. дол Програмне рішення CheckPoint
Applications Intelligence поставляється в складі брандмауера іокремо не продається (тільки через модифікацію старих версій). p>
Втім, за словами Олексія Лукацького, заступника директора з маркетингукомпанії «Інформзахист», поки що важко переконати російських користувачів напокупку пристроїв захисту, відмінних від уже відомих продуктів - антивірусіві міжмережевих екранів. p>
«Російські компанії вже кілька років впроваджують не тільки міжмережевіекрани та антивірусне програмне забезпечення, але і системи виявленнявторгнень, системи аналізу вмісту Web-трафіку та електронної пошти, --зазначив Микола Петров з компанії «Ернст енд Янг». - Проте, якпоказує практика, дуже часто запропоновані рішення не відповідаютьпотребам клієнтів в повній мірі, вони або погано стикуються з тим, що вжеТобто, чи погано розширюються для додаткових потреб у подальшому, або невраховують специфіки бізнесу клієнта ». p>
Можливо, недовіра до IPS в Росії пов'язано зі складністю новоїтехнології. Так за словами Лукацького у потенційних клієнтів ще залишаютьсясумніви в життєздатності технології IPS. Наприклад, Віталій Чівіков,розробник програмних засобів захисту інформації концерну «Сістемпром»,вважає, що засоби захисту, такі як IPS, при їх неправильному налаштуваннілегко можна використати для реалізації DoS-атаки. Загалом, поки відношеннядо IPS, як і до будь-якої нової технології, обережне, оскільки ще незрозуміло, чим вони відрізняються від міжмережевих екранів і класичних IDS, атакож наскільки вони надійні. p>