Научная статья на тему 'Разработка модуля системы обнаружения и предотвращения вторжений'

Разработка модуля системы обнаружения и предотвращения вторжений Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
2190
241
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИСТЕМА ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ / СКАНИРОВАНИЕ / ЗОНДИРОВАНИЕ / ОБМАННАЯ СИСТЕМА

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Басыня Евгений Александрович, Равтович Юлия Константиновна

В данной работе рассматриваются методы и средства обеспечения информационной безопасности локальной вычислительной сети и реализация на их основе модуля системы обнаружения и предотвращения вторжений, представленного в виде обманной системы.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Разработка модуля системы обнаружения и предотвращения вторжений»

Basinya Evgeny Alexandrovich, PhD, prof. (e-mail: [email protected])

Novosibirsk State Technical University, Novosibirsk, Russia Lukina Margarita Sergeevna, student (e-mail: [email protected])

Novosibirsk State Technical University, Novosibirsk, Russia AUTOMATIC DEPLOYMENT OF SERVER SOFTWARE

Abstract. This article describes automatic deployment of server software, using Chef, Puppet and Ansible — three most widely used tools — as an example. Deployment tools are a relatively recent concept, yet they quickly gained popularity and now they are utilized in most software projects. This explains the importance of the task and its relevance to all software engineering.

Key words: design, automation, deployment, Chef, Puppet, Ansible.

РАЗРАБОТКА МОДУЛЯ СИСТЕМЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ Басыня Евгений Александрович, к.т.н., доцент (e-mail:[email protected]) Равтович Юлия Константиновна, студент (e-mail: [email protected]) Новосибирский государственный технический университет,

г.Новосибирск, Россия

В данной работе рассматриваются методы и средства обеспечения информационной безопасности локальной вычислительной сети и реализация на их основе модуля системы обнаружения и предотвращения вторжений, представленного в виде обманной системы.

Ключевые слова: система обнаружения и предотвращения вторжений, сканирование, зондирование, обманная система.

ВВЕДЕНИЕ

Расширение спектра сетевых угроз порождает необходимость использования комплексных систем управления безопасностью локальных вычислительных сетей (ЛВС). Важным элементом безопасности сетей являются системы обнаружения и предотвращения вторжений (IDS/IPS - англ. Intrusion detection system / Intrusion prevention system), представляющие собой комплекс программных и/или аппаратно-программных средств, осуществляющий выявление, анализ и предотвращение вредоносной активности (попыток несанкционированного доступа, вывода хоста из строя и т.д.). Функции данных инструментов включают в себя превентивное воздействие с уведомлением об ответственности, блокировку источника атак, протоколирование существующих угроз сети, сбор информации об осуществленных проникновениях для дальнейшего анализа и устранения факторов, послуживших их причиной и т.д. Однако система обнаружения и предотвращения вторжений не обеспечивает гарантированную безопасность

сети. Злоумышленник может использовать различные методы определения уязвимостей, в том числе механизмы активного и пассивного анализа трафика и информационных ресурсов. Технологией активного анализа уязвимостей, основанным на имитации атак, является зондирование. Этот процесс использует информацию, полученную в результате предварительного сканирования, для анализа каждого устройства сети и позволяет с высокой точностью определить наличие на исследуемом узле конкретной уязвимости. Вспомогательным инструментом выступают программы, перехватывающие и изучающие трафик ЛВС. На основании полученной информации злоумышленник может сформировать список потенциальных уязвимостей и рекомендуемую последовательность атак.

Одним из возможных подходов к осуществлению защиты от зондирования является дезинформация и отвлечение атакующего от истинных целей. Использование обманных систем, фальсифицирующих реакцию системы, заставит нарушителя выполнять большой объем дополнительных действий для определения уязвимостей и позволяет администратору сети идентифицировать атакующего и принять соответствующие меры.

1. ПОСТАНОВКА ЗАДАЧИ

Целью работы является разработка и исследование модуля системы обнаружения и предотвращения вторжений, фальсифицирующего параметры системы и ее реакцию на внешние возмущения.

2. ПРОЕКТИРОВАНИЕ И РЕАЛИЗАЦИЯ СИСТЕМЫ

Разрабатываемая система имеет многоуровневую архитектуру клиент-

сервер, позволяющую достигнуть высокого уровня гибкости, масшабируе-мости и производительности.

Рассмотрим более подробно ее составные компоненты. 2.1 IDS/IPS

Основными подходами в IDS/IPS системах к анализу событий безопасности являются: сигнатурный, поведенческий методы, идентификация аномалий и автомодельности. Детекторы злоупотреблений позволяют распознавать используемые средства атаки и не требуют высокого уровня квалификации администратора, однако они способны определять только известные атаки, а также возможность использования только строго определенных сигнатур не позволяет им определять комбинированные атаки. Метод определения аномалий позволяет выявить признаки атаки без знания их конкретных деталей, однако такой подход создает большое число ложных срабатываний системы, а так же не дает однозначного результата при использовании оверлейных технологий и средств шифрования.

В рамках данной работы была выбрана сетевая система обнаружения и предотвращения вторжений Bro.

Bro - это платформа для развертывания сетевой IDS/IPS, разработанная Верном Паксоном в ICSI в 1998 г. Bro имеет многоуровневую модульную структуру, включающую механизм захвата пакетов, механизм событий и интерпретатор скриптов. В данной системе используется комбинирован-

ный подход к анализу событий для определения атак: определение злоупотреблений (с использованием сигнатур и политик безопасности) и выявление аномалий. Благодаря использованию собственного языка написания политик, применяемых при обнаружении вредоносного трафика, Bro позволяет устанавливать свои правила мониторинга для каждого защищаемого объекта. Достоинствами Bro являются гибкость, возможность работы в сетях с большим объемом трафика и осуществление семантического анализа вплоть до уровня приложений.

2.2 МЕЖСЕТЕВОЙ ЭКРАН

В роли комплексного межсетевого экрана (МЭ) будет выступать пакетный фильтр IPtables в сочетании со сценариями Patch-o-Matic (POM), выполняющими наложение заплат на ядро Linux и механизмом определения состояний conntrack.

POM как инструмент прекратил свое существование в 2004 г. и стал использоваться в научной литературе как термин, подразумевающий расширение функций межсетевого экрана на базе ОС Linux.

IPtables - пакетный фильтр, входящий в состав встроенного в ядро Linux межсетевого экрана Netfilter, осуществляющий фильтрацию трафика и перенаправление пакетов в соответствии с заданными правилами.

Conntrack является компонентом Netfilter, обеспечивающим отслеживание состояние соединений и классификацию пакетов с точки зрения принадлежности к соединениям. На основе анализа заголовков передаваемых TCP-пакетов система conntrack определяет, к какому соединению принадлежит каждый пакет (кроме тех, которые помечены как notrack): к новому соединению (new), к уже существующему соединению (established), к дочернему, вызванному уже существующим (related) или неопределяемому соединению (invalid). Для обработки протоколов, использующих в одной сессии несколько соединений, conntrack использует дополнительные модули, анализирующие трафик и извлекающие информацию протокола о новых соединениях. Использование механизма определения состояний соединений позволяет создавать надежные наборы правил и осуществлять полноценную stateful-фильтрацию трафика, позволяющую при использовании опции «keep state» обходиться без выполнения поиска в наборе правил.

POM представляет собой комплект заплат (дополнительных модулей) на ядро OC Linux и набор сценариев, выполняющих их наложение. Подобные расширения в различных вариациях существуют и для Centos 7 версии и выше, где используется FirewallD, пришедший на замену IPtables. В проектируемой системе будет использоваться современный аналог POM -Xtables-addons, отличающийся отсутствием необходимости наложения заплат на ядро Linux. Установка дополнительных модулей значительно расширяет возможности IPtables, позволяя активно противодействовать атакующему.

В разрабатываемой системе будут использованы три инструмента POM: tarpit, delude и random.

Расширение tarpit позволит эффективно противодействовать DDoS-атакам (англ. Distributed Denial of Service - распределённая атака типа «отказ в обслуживании») и зондированию, создавая ловушку для злоумышленника: после подтверждения открытия входящего TCP-соединения размер окна TCP устанавливается равным нулю, что заставляет атакующего прекратить передачу данных и не позволяет ему закрыть соединение. Соединение остается открытым до тех пор, пока не истекает срок тайм-аута, таким образом, создается имитация «зависания» соединения, отнимающая вычислительные мощности атакующего. Это не оказывает никакого влияния на защищаемую систему, в то время как злоумышленник будет вынужден прекратить атаку и возобновить сканирование портов. Другим вариантом применения tarpit является эмуляция открытых портов (в Xtables-addons эта возможность реализована в расширении delude). К примеру, эмуляция использования 100 и более портов в информационной системе при реальном количестве открытых портов от 5 до 10 заметно увеличит временные затраты атакующего, пытающегося осуществить сканирование портов. Даже в случае автоматизации этого процесса число выполняемых им действий все равно значительно увеличивается, что приводит к снижению производительности его работы.

Также можно установить ловушки на все порты, кроме тех, которые определил администратор. Помимо расхода системных ресурсов атакующего это поможет предотвратить определение типа используемой операционной системы и служб на системе-ловушке.

Расширение random позволит описывать правила, которые будут срабатывать в зависимости от заданной вероятности (от 0% до 100%). Это расширение можно использовать, к примеру, для имитации нестабильности соединения с сервером, для равномерного распределения нагрузки по нескольким серверам или для срабатывания трех описанных выше способов использования расширения tarpit с равной вероятностью. В Xtables-addons подобные функции осуществляются с помощью инструмента chaos: для каждого нового TCP-соединения с заданной вероятностью выполнятся операции reject (сброс соединения с отправкой сообщения о недоступности хоста), tarpit или delude.

Для удаленного администрирования системы будет использоваться технология простукивания портов (англ. Port Knocking - схема авторизации через заданную последовательность попыток соединения с портами сервера) с установлением соединения посредством реализации технологии VPN (англ. Virtual Private Network - виртуальная частная сеть) OpenVPN, что никоим образом не будет противоречить с выставленными ловушками.

2.3 Системный журнал

Для анализа и регистрации событий ОС Linux будет использоваться Rsyslog-сервер. Rsyslog является расширением стандартного демона syslog.

Вместе они позволяют создать централизованный сервер, на который будут перенаправляться события от различных устройств в сети, а он, в свою очередь, будет сохранять эти события в БД MySQL. 2.4 SIEM

SIEM (англ. Security Information and Event Management - управление информационной безопасностью и ее событиями) является системой сбора, хранения и корреляции событий, осуществляющей анализ информации, поступающей из различных источников: межсетевых экранов, IDS/IPS и DLP-систем, сканеров уязвимостей, антивирусных приложений и журналов событий серверов. Самостоятельно SIEM-система не способна предотвращать вторжения и защищать от сетевых атак, однако она является важной частью инфраструктуры безопасности. Используя накопленную статистику, система выявляет отклонения от норм по заданным критериям/правилам и генерирует инцидент. Благодаря анализу совокупности инцидентов SIEM-системы позволяют обнаруживать атаки, осуществляемые по сложным распределенным сценариям.

В разрабатываемой системе в качестве вспомогательного инструмента для IDS/IPS системы используется Prelude OSS SIEM. Архитектура Prelude включает в себя менеджера, агента управления событиями безопасности LML (англ. Log Monitoring Lackey), модуль корреляции, базу данных и интерфейсную подсистему Prewikka. Для обработки данных от источников используется формат IDMEF (англ. Intrusion Detection Message Exchange Format - формат обмена данными об обнаружении вторжений).

Рис. 1. Схема реализации проектируемой системы.

3. ОПИСАНИЕ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ Таким образом, спроектированная система реализована на базе ОС Linux и включает в себя: 1) IDS/IPS Bro;

2) комплексный межсетевой экран на базе Netfilter с использованием заплат на ядро POM и трассировщиком соединений;

3) SIEM-систему Prelude OSS;

4) Системный журнал ^syslog-сервер;

5) Систему реакции на нарушителя.

На рисунке 1 представлена схема реализации модели обманной системы.

Система обнаружения и предотвращения вторжений анализирует данные, полученные с датчиков и сетевых анализаторов трафика. В случае обнаружения атаки она осуществляет обмен информацией с системой SIEM, затем уведомляет систему реакции на нарушителя о проникновении и передает ей описание атакующего. Система реакции на нарушителя записывает IP-адрес злоумышленника в список нарушителей и, с использованием расширения tarpit пакетного фильтра IPtables, трафик с заданной инструментом random вероятностью перенаправляется на порт-ловушку, что создает видимость «зависания» соединения, либо осуществляется эмуляция открытых портов. Данные действия заставляют злоумышленника тратить временные ресурсы и вычислительные мощности, в то время как администратор сети получает возможность однозначно идентифицировать атакующего, зафиксировать его действия и провести активную защиту: осуществить сбор и агрегацию данных о нем (например, трассировку соединения до его хоста).

ЗАКЛЮЧЕНИЕ

Разработанная система состоит из нескольких взаимодействующих модулей (IDS/IPS Bro, МЭ, SIEM Prelude OSS, ^syslog-сервер и системы реакции на нарушения) и позволяет бороться с различными сетевыми угрозами посредством выставления ловушек и фальсификации параметров системы. Особенностью предлагаемого решения является гибкость настройки и масштабирования: есть возможность реализовать иной механизм реакции на атаки, заменить или усовершенствовать какой-либо компонент системы, интегрировать дополнительный модуль и т.д.

Список литературы

1. Басыня Е. А. Самоорганизующаяся система управления трафиком вычислительной сети / Е. А. Басыня, Г. А. Французова, А. В. Гунько // Доклады Томского государственного университета систем управления и радиоэлектроники. - 2014. - № 1 (31). - С. 179-184.

2. Сафронов А. В. Применение метода согласования балансов для повышения эффективности информационно - измерительной системы при опредлении ТЭП ТЭЦ / А. В. Сафронов // Сборник трудов ХУ11 Международной научно-практической конференции студентов, аспирантов и молодых ученых. 9-13 апреля 2012, Томск: Изд-воТПУ, 2012. - С.237 - 238.

3. Basinya E. A. Methods of self-organization in providing network security / E. A. Basinya, G. A. Frantsuzova, A. У. Gunko // Global Science and Innovation: materials of the 1 intern. sci. conf., USA, Chicago, 17-18 Dec. 2013. - Chicago: Accent Graphics communications 2013. - Vol. 2. - P. 386-389.

Basinya Evgeny Alexandrovich, PhD, prof. (e-mail: [email protected])

Novosibirsk State Technical University, Novosibirsk, Russia Ravtovich Yuliya Konstantinovna, student (e-mail: [email protected])

Novosibirsk State Technical University, Novosibirsk, Russia

IMPLEMENTATION AND RESEARSH OF AN INTRUSION DETECTION AND PREVENTION SYSTEM MODULE

Abstract. This article describes an implementation of intrusion detection and prevention system module as a deception system, based on the methods and instruments of providing information security of local area network.

Keywords: intrusion detection and prevention system, scan, probe, deception system.

ПОЛУЧЕНИЕ ПОРОШКА НИТРИДА КРЕМНИЯ ПО АЗИДНОЙ

ТЕХНОЛОГИИ СВС Белова Галина Сергеевна, студент (e-mail: [email protected]) Амосов Евгений Александрович, к.т.н., доцент Самарский государственный технический университет, г.Самара

В данной статье рассмотрена азидная технология СВС для получения нанопорошка нитрида кремния. Отмечены преимущества данной технологии для получения нанопрошка. Выбраны оптимальные химические уравнения и условия получения нитрида кремния. Предложена модель зависимости среднего размера частиц нитрида кремния температуры.

Ключевые слова: нитрид кремния, самораспространяющийся высокотемпературный синтез, нанопорошок, температура реакции

Исследован процесс получения порошка нитрида кремния с помощью азидной технологии самораспространяющегося высокотемпературного синтеза. Технология СВС-Аз основана на проведении экзотермической реакции взаимодействия исходных реагентов в режиме горения, а в качестве азотирующего реагента порошка используется твёрдый азид, вместо газообразного или жидкого азота. Чаще всего, в качестве твёрдого азида используется азид натрия (NaN3), так как он является невзрывчатым и негигроскопичен [1].

Для получения порошка нитрида кремния методом СВС-Аз используются уравнения:

6NaN3 + (NH4)2SiF6 = VsSisN + 6NaF + 4H + 9V3N2 ; 2Si + 6NaN3 + (NH4)2SiF6 = SisN + 6NaF + 4H2 + 8N2 ;

5Si + 6NaNs + (NH4)2SiF6 = 2SisN + 6NaF + 4H2 + 6N2 ;

8Si + 6NaNs + (NH4^SiF6 = 3SisN + 6NaF + 4H2 + 4N2 ;

11Si + 6NaNs + (NH4)2SiF6 = 4SisN + 6NaF + 4H2 + 2N2 ;

14Si + 6NaNs + (NH4)2SiF6 = 5SisN + 6NaF + 4H2 .

i Надоели баннеры? Вы всегда можете отключить рекламу.