| Сторожевой пес 03.06.2003 Андрей Драница
Предположим, вы счастливый обладатель загородного дома. Вполне естественно, что вам хочется максимально обезопасить свою собственность, установив надежный замок и укрепив двери и окна. На первый взгляд этого достаточно, но… стоит кому-то из домочадцев забыть закрыть окно или потерять ключи, и защите конец. С компьютерными сетями такая же история: можно поставить брандмауэр, периодически менять пароли и т. д., но, тем не менее, стоит какому-нибудь сотруднику принести на рабочее место зараженный трояном CD с новой игрушкой, как практически все обычные меры безопасности теряют смысл. Предыстория Системы обнаружения вторжений IDS (Intrusion Detection Systems) подобны сторожевому псу: они следят не только за формальными параметрами, но и за поведением различных компонентов сети, невзирая на их статус и источник. Когда-то системные администраторы обнаруживали вторжения, сидя перед терминалом и анализируя журналы регистрации. Причем, как правило, обнаружение происходило либо постфактум, когда о причиненном ущербе становилось известно из других источников и нужно было найти виновника, либо совершенно случайно — например, сисадмин замечал, что пользователь, который вроде бы должен быть в отпуске, вошел в систему. В принципе, такая своеобразная IDS, построенная на человеческом интеллекте, и поныне довольно эффективна, но лишь для расследования уже нанесенного ущерба — ведь анализировать трафик в режиме реального времени человек не способен просто физически. Естественно, стали появляться программные средства для анализа собранных данных, однако их функционирование требовало значительных вычислительных ресурсов. Поэтому программы обнаружения вторжений чаще всего запускались в пакетном режиме во время простоя основных вычислительных мощностей (ночью, в обеденный перерыв, в выходные), и о своевременном обнаружении атаки речь не шла. Помимо практических изысканий появлялись и основательные теоретические разработки — одними из первых в этой области были статьи Джеймса Андерсона «Мониторинг угроз компьютерной безопасности» (1980) и Дороти Деннинг «О модели обнаружения вторжения» (1987). Эти авторы считаются основоположниками современной методологии обнаружения вторжений. Именно их труды вдохновили многих исследователей и заложили базис для создания коммерческих продуктов. В начале 90-х годов прошлого века были наконец разработаны настоящие промышленные IDS, действующие в режиме реального времени и умеющие не только обнаруживать атаки в момент их совершения, но и своевременно реагировать на них либо путем привлечения внимания ответственных лиц, либо отражая атаку самостоятельно. Надо сказать, что, несмотря на довольно продолжительный (по компьютерным меркам) период исследований и разработок, рынок IDS начал активно развиваться относительно недавно, где-то с 1997 года, когда компания ISS предложила свой продукт под названием Real Secure, а год спустя Cisco купила Wheel Group вместе с ее системой NetRanger. Требования к IDS Идеальная IDS должна помимо мгновенного (то есть буквально в течение нескольких секунд) обнаружения атаки предоставить администратору полную информацию о том, что в данный момент происходит с системой, к каким объектам злоумышленник пытается получить или уже получил доступ, время начала атаки, ее метод, активность и т. д., — а также все возможные данные об атакующем хосте, начиная с IP-адреса и заканчивая версией ПО на машине злоумышленника. По своей сути IDS являются одним из ключевых звеньев в обеспечении безопасности. Часто это последний рубеж, преодолев который, злоумышленник получит то, за чем пришел. Именно поэтому IDS должны удовлетворять целому набору строгих требований, которые можно рассмотреть на примере системы Bro12, разработанной Ливерморской национальной лабораторией (Lawrence Livermore National Laboratory, www.llnl.gov) Министерства энергетики США.
Контроль и неуязвимость к перегрузке Работа в режиме реального времени Масштабируемость и адаптируемость Живучесть
|
