BC/NW 2008, №2 (13): 13.1

 

Разработка методики для тестирования АППАРАТНЫХ систем предотвращения вторжений

 

Куковкина И.А., Абросимов Л.И.

 

(Москва, Московский энергетический институт (технический университет), Россия)

 

Система предотвращения вторжений (Intrusion Prevention System - IPS) – это устройство сетевой безопасности, используемое для мониторинга сети и/или компьютерной системы, цель которого выявлять, блокировать или предотвращать в реальном времени трафик, являющийся результатом деятельности вредоносного или нежелательного программного обеспечения. Технология предотвращения вторжений считается расширением технологии обнаружения вторжений (Intrusion Detection System – IDS). Сам термин «Intrusion Prevention System» был предложен Эндрю Плато (Andrew Plato), инженером компании NetworkICE.

Особенностями IPS являются:

-       IPS - это in-line устройство на пути трафика, оно прозрачно, то есть не имеет MAC- и IP-адресов портов в сегменте, не использует таблицы коммутации/маршрутизации как коммутаторы/маршрутизаторы;

-       проверяются все пакеты, проходящие сквозь него;

-       осуществляется проверка всего пакета;

-       отслеживаются потоки/сессии;

-       принимаются меры в реальном времени (блокировать, пропустить, ограничить скорость);

-       блокируются DoS (Denial of Service – отказ в обслуживании) и DDoS (Distributed Denial of Service – распределенный отказ в обслуживании) атаки;

-       возможно обнаружение любого типа трафика – разрешенный трафик, шпионские приложения, Peer-to-peer и т.п.;

-       могут применяться фильтры, аналогичные фильтрам брандмауэра.

Функциональность IPS основывается на анализе порогов (rate-based) и/или контента (content-based). Пороговые устройства IPS определяют ситуации, когда устанавливается слишком много соединений, происходит много ошибок или в сеть поступает большое количество пакетов. В зависимости от настройки устройства, после превышения порогового значения трафика можно сократить трафик, полностью отбрасывать пакеты или послать администратору предупреждение. Устройства IPS на базе контента обнаруживают аномалии в поведении и протоколах и определяют по ним вредоносную деятельность. Один из возможных вариантов расположения IPS в сети представлен на рис.1.

 

 

Рис.1. Пример расположения IPS в сети

 

Системы предотвращения вторжений стали развиваться в конце 90-х г.г., и за последние 10 лет стремительно эволюционировали. И такой прогресс неудивителен: потребность в защите сетевой инфраструктуры ощущают сейчас все больше и больше компаний, от малых, количество узлов сети которых не превышает 25, до крупных корпораций. Такой активный спрос на устройства рассматриваемого класса обуславливается тем, что интервалы времени между появлением сообщения об очередной новой «дыре» в программном обеспечении, выпуском «заплаты» и разработкой программного компонента взлома сокращаются сегодня невероятно быстро. Так, атака «червя» Blaster последовала на 25-й день после выпуска «заплаты», а червя Sasser - и того раньше - через 18 дней. В марте 2004 года «червь» Witty начал свою массированную атаку типа «переполнение буфера» спустя всего один день после того, как был обнаружен соответствующий дефект программного обеспечения. Как показал проведенный в США в 2004 году журналом Network Computing интерактивный опрос читателей, целых 80% респондентов уже развернули у себя системы IPS сетевого уровня или планируют внедрить такую систему в течение ближайшего года [1].

На сегодняшний день на рынке представлено порядка 20 компаний, занимающихся разработкой систем предотвращения вторжений уровня сети. Однако нет широко известных методов оценки качества устройств данного класса, вследствие чего полагаться приходиться на субъективные оценки, как то: несертифицированные тесты, маркетинговые ходы и т.п. По этой причине представляются актуальными формулирование подхода к решению задачи экспериментальной оценки качества информационной защиты, обеспечиваемой аппаратной системой предотвращения вторжений, а также разработка методики для их тестирования. Данная методика будет представлять собой совокупность библиотеки систематизированного множества пакетов, имитирующих вредоносный и нежелательный трафик, и программного обеспечения, необходимого для генерации трафика и проведения исследований и тестирования. Данный генерируемый трафик позволит выявить реакцию устройства на 12 стандартных типов атак и действий нежелательных приложений.

Остановимся на исследуемых угрозах более подробно. Классифицировать их можно двумя способами: по способам защиты от их вредоносной деятельности (табл. 1) и по защищаемым от вредоносной деятельности сущностям (табл. 2).

 

Таблица 1

Классификация угроз по способам защиты

 

 

 

Таблица 2

Классификация угроз по защищаемым сущностям

 

Необходимые составляющие библиотеки определяются следующим образом. Для каждой угрозы устанавливаются ее характерные особенности (например, определенные значения определенных полей пакета; поведение пакетов и т.д.). Выделенные особенности формализуются и агрегируются, на основании чего, во-первых, становится возможным провести детальную классификацию угроз, во-вторых, - определить для каждой угрозы характеризующий ее вектор параметров.

Исследования проводятся на специально созданном стенде, имитирующем работу сети «локальный компьютер – Интернет» и представленном на рис.2. Он представляет собой совокупность системы предотвращения вторжений и двух компьютеров, один из которых является генератором атак, подключенным к WAN-порту IPS, второй – атакуемым объектом, подключенным к LAN-порту.

 

 

Рис.2. Стенд исследований

 

         В свою очередь генератор атак (рис.3) можно рассматривать как совокупность базы данных, являющейся реализацией библиотеки, системы управления базой данных и программного обеспечения, необходимого для генерации трафика и проведения исследований и тестирования. В качестве системы управления базой данных (СУБД) была выбрана система MySQL, так как она свободно распространяема, характеризуется большой скоростью, устойчивостью и предназначена для малых и средних приложений.

 

 

Рис.3. Детализация генератора атак

 

Принцип действия смоделированной системы следующий. Основой базы данных, системой управления которой является система MySQL, являются два отношения (рис.4). Одно из них (THREAT_CATEGORY) содержит имена описанных в табл.2 двенадцати категорий угроз. Второе отношение (THREAT_REALIZATION) обладает набором атрибутов (параметров) для реализаций конкретных угроз, составляющих эти категории. Атрибуты однозначно идентифицируют каждую угрозу. Связь конкретной угрозы с соответствующей категорией осуществляется при помощи внешнего ключа – первичного суррогатного ключа отношения THREAT_CATEGORY. Кортеж угрозы есть правило ее генерации. Программное обеспечение, используя интерфейс программирования приложений (Application Programming Interface – API) MySQL, выбирает вектор параметров (правило) для конкретной угрозы, выбираемой пользователем, после чего осуществляется генерация пакетов, характерных для выбранной атаки.

 

 

Рис.4. Структура базы данных

 

Резюмируя вышеизложенный материал, сформулируем подход к решению задачи экспериментальной оценки качества информационной защиты, обеспечиваемой аппаратной системой предотвращения вторжений:

1)     создать стенд экспериментов;

2)     организовать хранение вредоносных приложений;

3)     сгенерировать заданный набор вредоносного трафика;

4)     осуществить поступление вредоносного трафика на исследуемую систему предотвращения вторжений;

5)     зафиксировать, обработать и оценить количественные значения качества информационной защиты.

Проводимые ранее исследования позволяют говорить о возможности реализации разрабатываемой методики.

Для проведения исследований была выбрана система предотвращения вторжений (IPS) компании 3Com Tipping Point – 3Com X5 Unrestricted. Согласно исследованиям аналитической компании Gartner за  2005 и 2006г.г., а также за первую половину 2008г., 3Com Tipping Point является лидером рынка по сетевым системам предотвращения вторжений (NIPS) [4].

ЛИТЕРАТУРА

1.                                   Кёртис Франклин-мл., Йордан Уинс. Тестируем системы предотвращения вторжений уровня сети // М.: Сети и системы связи, 2005.

2.                                   Устройства сетевой безопасности 3Com X5/X506.

ftp://ftp.3com-moscow.ru/1_3Com_Moscow_common_end_users/08.02.21_3Com_Security_X_Family_WW.zip

3.                                   3Com X Family Local Security Manager User’s Guide.

4.                                   Официальный сайт компании Gartner. http://www.gartner.com.