Читайте также: |
|
Назначение и основные возможности
Программный продукт Symantec Intruder Alert (ITA) является достойным представителем IDS системного уровня (host-based), построенных на технологии интеллектуальных программных агентов. Выявление локальных и удаленных атак осуществляется путем анализа журналов регистрации событий системного и прикладного ПО. Отличительные черты этой системы - гибкость, масштабируемость и простота администрирования. ITA может быть легко интегрирован практически с любыми типами приложений.
Обнаружение атак и реагирование на них происходит в реальном времени, при этом предусмотрено 14 вариантов действий по автоматическому реагированию на атаки.
Значительное количество предопределенных политик безопасности сочетается с возможностью создания собственных политик без программирования.
В состав ITA входят программные агенты для 35 различных программно-аппаратных платформ, включая разные версии ОС UNIX, Windows и NetWare. По широте охвата платформ продукт не имеет себе равных.
Архитектура Intruder Alert и описание основных компонентов
ITA построен на распределенной трехкомпонентной архитектуре агент/менеджер/консоль. Все компоненты ITA взаимодействуют между собой по защищенному клиент-серверному протоколу. Аутентификация между компонентами и выработка сеансовых ключей осуществляется по алгоритму Диффи-Хелмана. Защита сеанса связи реализуется посредством алгоритма шифрования с 400-битными ключами.
Средства управления ITA представлены двумя графическими приложениями: ITA Admin и ITA View.
Приложение ITA Admin предназначено для управления компонентами системы, создания и настройки политик безопасности, определяющих правила выявления подозрительной активности и реагирования на нее. При помощи приложения ITA Admin администратор безопасности может производить следующий набор действий по администрированию системы обнаружения атак:
– объединять агентов в домены;
– формировать политики безопасности и применять их на контролируемых доменах;
– загружать новые политики безопасности с Web-сервера компании Symantec;
– экспортировать политики безопасности в файлы экспорта;
– настраивать параметры программных агентов;
– подключать дополнительные источники данных для анализа программными агентами;
– определять привилегии пользователей ITA и распределять административные роли по управлению системой выявления атак.
ITA View является средством просмотра регистрационной информации об атаках и других подозрительных событиях, зарегистрированных агентами ITA согласно установленным правилам политики безопасности. Данное средство позволяет составлять запросы к базе данных IТA содержащей консолидированные данные обо всех контролируемых системах, а также формировать на основании результатов запроса отчеты, представленные в различных графических форматах.
Центральным компонентом системы выявления атак является ITA Manager. Он занимается регулированием подключаемых к нему агентов, получая от них информацию о состоянии контролируемых объектов, поддерживает список доменов и активизированных на них политик безопасности и управляет базой данных безопасности. База данных безопасности содержит консолидированные данные о нарушениях безопасности на контролируемых объектах.
В ОС UNIX приложение ITA Manager реализовано в виде демона, представляет собой службу в ОС Windows NT и NLM-модуль в ОС NetWare.
ITA Agent является "рабочей лошадкой" системы выявления атак, выполняющей одновременно функции сенсора, анализатора и средства реагирования на атаки. В его функции входит сбор и анализ данных аудита безопасности из различных источников с использованием сигнатур атак, задаваемых правилами политик безопасности ITA В случае обнаружения в составе исходных данных сигнатуры атаки предпринимается набор действий, предписываемый соответствующим правилом.
Выявление атак и реагирование на них происходит в реальном масштабе времени по специальным алгоритмам (в терминологии ITA - политики безопасности). В среде ОС UNIX агенты реализованы в виде демонов, в ОС Windows NT -в виде служб, а в NetWare представляют собой NLM-модули. Для каждой поддерживаемой ОС привлекаются собственные источники информации аудита. В системах UNIX и Windows события, связанные с безопасностью, фиксируются при помощи стандартных средств регистрации системных событий и средств аудита безопасности (syslog, wtmp, process accounting, btmp, подсистема С2 и т.п. в ОС UNIX и системный журнал, журнал приложений и журнал безопасности в ОС Windows NT). Сенсорные модули ITA Agent с определенной периодичностью сканируют файлы системных журналов и журналов аудита, считывают данные аудита и преобразуют их в свой внутренний формат. В NetWare сенсорные модули ITA Agent самостоятельно регистрируют и обрабатывают данные о событиях, получая эту информацию непосредственно от ядра ОС.
Процесс сбора информации о состоянии системы в среде UNIX показан на рис. 7.2. Intruder Alert автоматически проводит мониторинг следующих источников информации:
– файла syslog, содержащего данные от ядра ОС и приложений, которые регистрируются через систему syslog;
– файла wtmp, включающего информацию о пользователях, зарегистрировавшихся в системе, и запущенных ими процессах;
– файла btmp, в котором имеются сведения обо всех неудачных попытках входа в систему;
– системы учета пользовательских процессов pacct, регистрирующей различную информацию, связанную с их функционированием и использованием системных ресурсов;
– журналов аудита безопасности С2 (обращение к этому источнику возможно после специальной настройки IТА, поскольку подсистема аудита безопасности в различных реализациях UNIX устроена по-разному).
Помимо перечисленных источников информации, представляющих собой файлы, данные в которых хранятся в двоичном формате, возможно подключение дополнительных информационных источников, применяющих текстовый формат хранения данных, например файла /var/adm/messages и любых других текстовых файлов журналов регистрации событий ОС и приложений.
Рис. 7.2. Источники информации о событиях для ITA в ОС UNIX
Сведения из журналов регистрации событий собирает демон collogd и передает их агенту ITA по программному каналу. Сбор данных от подсистемы аудита безопасности С2 - функция демона C2atd, который преобразует эти данные во внутренний формат ITA и направляет агенту. По умолчанию сканирование источников информации происходит с интервалом в одну секунду.
Использование программного модуля FileWatch для контроля целостности системных файлов
Сценарий проведения многих атак предполагает подмену важных системных файлов «троянскими программами», заражение программ вирусами либо модификацию системных конфигурационных файлов с целью создания «черного входа» в систему. Для контроля целостности программной и информационной частей на контролируемых системах в составе ITA имеется специальный модуль под названием FileWatch, способный обнаруживать нарушения целостности, связанные с добавлением, удалением и модификацией файлов и каталогов. Нарушения целостности выявляются путем сравнения атрибутов этих файлов и каталогов с эталонными значениями. Отслеживание изменения содержимого файлов производится по контрольным суммам. Вычислять контрольные суммы файлов можно по различным алгоритмам, в том числе с помощью хэш-функций MD5.
Принцип функционирования модуля FileWatch представлен на рис. 7.3. Создаваемый пользователем FileWatch List определяет список контролируемых файлов, виды предпринимаемых проверок и их периодичность. База данных атрибутов файлов (File Attribute Database) формируется модулем FileWatch и содержит эталонные значения атрибутов файлов и контрольные суммы, служащие для проверки целостности. Сообщения о результатах проверок, выполняемых модулем FileWatch, передаются агенту ITA, который обрабатывает их в соответствии с заданной политикой безопасности. Чтобы агент ITA мог воспринимать и обрабатывать сообщения FileWatch, а также реагировать на них, на нем должна быть активизирована специальная политика безопасности (UNIX Critical Files для UNIX и NT Critical Files для Windows NT).
Рис. 7.3. Контроль целостности системных файлов при помощи модуля FiSeWatch
Политики безопасности Intruder Alert
Политика безопасности Intruder Alert описывается набором правил. Правила представляют собой логические выражения, построенные на предикатах первого порядка. Посредством предикатов определяются условия возникновения отслеживаемых ситуаций, а логические выражения задают способы реагирования в зависимости от истинности или ложности предикатов.
Правила политики безопасности
Правило политики безопасности - это импликация трех логических высказываний: предиката SELECT, предиката IGNOR и логического высказывания ACTION. Предикат SELECT определяет условия возникновения отслеживаемой ситуации, предикат IGNOR - исключения из этих условий, а логическое высказывание ACTION предписывает выполнение одного из 14 действий по реагированию на возникшую ситуацию.
На языке алгебры логики правило политики безопасности устанавливается тождеством:
ACTION = SELECT ® IGNOR.
В табл. 7.1 показано, как выглядит таблица истинности данной логической функции.
Таблица 7.1. Таблица истинности логической функции ACTION
SELECT | IGNOR | ACTION |
True | False | True |
True | True | False |
False | False | False |
False | True | False |
Истинность высказывания ACTION означает необходимость выполнения действий, предписываемых этим высказыванием. Высказывание ACTION бывает простым или составным, во втором случае оно может состоять из нескольких высказываний, разделенных операцией Ù (логическое «И»):
ACTION = Действие1 Ù Действие2 Ù... Действие N, N ={ 1,14}.
В табл. 7.2 описаны способы реагирования на попытки НСД, поддерживаемые ITA
Таблица 7.2. Способы реагирования на попытки НСД, поддерживаемые программой ITA
Название способа | Назначение |
Execute Command | Выполнить команду операционной системы, файл сценария или исполняемый файл |
Record To ITA View | Поместить запись с данными о событии в базу данных безопасности менеджера ITA |
Disable User Account | Заблокировать регистрационную запись пользователя |
Run Shared Actions | Выполнить действие, определяемое другим правилом политики безопасности, активизированной на агенте ITA |
Ранжирование попыток НСД
Правила политики безопасности ранжируются с целью определения степени критичности тех или иных событий, происходящих в системе. Каждому правилу присваивается номер в диапазоне от 0 до 100. Все события, отслеживаемые правилами политики безопасности, в зависимости от их приоритета делятся на три уровня критичности (обозначаемые на диаграммах ITA различными цветами) в соответствии с табл. 7.3.
Таблица 7.3. Уровни приоритетов событий, отслеживаемых программой ITA
Приоритет | Уровень критичности | Угроза безопасности |
0-33 | Зеленый | Некритичные события, не требующие немедленного реагирования |
34-66 | Желтый | Критичные события средней важности, требующие реагирования |
67-100 | Красный | Критичные события высокой важности, представляющие серьезную угрозу безопасности и требующие немедленного реагирования |
Предопределенные политики безопасности
ITA содержит базовый набор предопределенных политик безопасности для каждой из поддерживаемых операционных систем, который устанавливается вместе с продуктом. Часть предопределенных политик безопасности активизируется сразу же после загрузки ITA. Остальные требуют дополнительной настройки.
Например, политика ITA Reports генерирует отчеты о работе программного агента при получении им команды report от ITA View (ITA View позволяет также управлять ITA-агентами путем посылки им команд по сети). Политика UNX Failed telnet служит для выявления неудачных попыток удаленной регистрации в системе Solaris 2.5 с применением сервиса telnet, а посредством политики UNX System Problems обнаруживаются проблемы, возникающие при выполнении системных задач, таких как неудачная операция монтирования тома, истечение времени ожидания ответа на запрос, неверный IP-адрес или МАС-адрес. Для ОС Windows NT политика NT SYN Flood отыскивает атаки «отказ в обслуживании» SYN Flood, а политика NT Guest User Logon регистрирует случаи локального или удаленного входа пользователя с именем «Гость» в систему.
Часть предопределенных политик перед активацией должны быть дополнительно настроены. Среди них политика APACHE HTTP Start/Stop, обнаруживающая запуск и останов Web-сервера Apache 1.1.1, и политика Cisco Config Change, выявляющая изменение конфигурации маршрутизатора Cisco v11.1.
Дата добавления: 2015-09-02; просмотров: 92 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Средства защиты информации компании Symantec | | | Пример использования Symantec IDS |