21 декабря 2011 r. 16:53
"Инфокоммуниканионно-упровленческие сети. Расчет и оптимизация систем связи"
Современные подходы к решению проблемы защиты от сетевых атак «отказ в обслуживании»: системы автоматического предотвращения вторжений
В условиях информатизации общества, темпы развития предпринимательской деятельности в сети Интернет приобретают взрывной характер. Перспективы, которые открывает для бизнеса глобальное инфокоммуникационное пространство, столь широки, что на текущий момент для множества компаний получение дохода напрямую связано с возможностью доступа через сеть Интернет. Вместе с тем растет и число злоумышленных действий, преследующих цель заблокировать для легитимных пользователей доступ к серверному оборудованию таких компаний. Надежное и безопасное функционирование современных информационных систем, базирующихся на использовании глобальной сети, невозможно без реализации эффективных механизмов защиты, в том числе предупреждения и препятствования выполнению сетевых атак, их обнаружения, отслеживания источника и противодействия им.
Ширин К.О.,
Аспирант ФГУП ЦНИИС [email protected]
Введение
Статистика преступлений в сфере компьютерных технологий зачастую не учитывает многих прецедентов, связанных с сетевыми атаками, а значит данные, отражающие количество злоумышленных действий, очевидно, являются заниженными. Даже принимая это в расчет, те цифры, которые приводят в своих отчетах компании, предоставляющие услуги по информационной защите, свидетельствуют о значительности масштабов угрозы.
По данным собранным за 2009 год система обнаружения вторжений, разработанная «Лабораторией Касперского», отразила 219 миллионов сетевых атак. Эта же цифра для 2008 года составляла всего лишь 30 миллионов. Среди всех угроз безопасности, реализованных в 2009 году, атаки, направленные на «отказ в облужива-нии» заняли первое место по количеству зарегистрированных инцедентов, с показателем в 71% от общего числа сетевых атак. В 2010 году только подтвержденные потери московских компаний от преступлений в сфере компьютерных технологий составили 150 миллионов рублей. [1, 2] По данным компании Arbor Networks, специализирующейся на сетевой безопасности крупных провайдеров и предприятий, в 2000 году мощность DDoS-атак могла измеряться мегабитами в секунду, уже в 2004 году были зафиксированы атаки величиной до 40 Гбит/сек, а в октябре 2010 года, в результате успешной атаки штормом пакетов был наводнен канал связи пропускной способностью 100 Гбит/сек, в результате чего в течение нескольких часов оставался недоступен для пользователей сайт крупной российской поисковой системы. Все эти факты указывают на формирование крупномасштабных сетей, связывающих «скомпрометированные» компьютерные терминалы пользователей, способных создать нагрузку до 100 Гбит/с
В настоящее время проблема защиты от атак «отказа в обслуживании», является, наиболее, актуальной. Современные методы ее решения не всегда являются доступны-
ми, а зачастую просто дорогостоящими. С этим связана обратная сторона этой проблемы - минимизация расходования ресурсов, требуемых для построения системы эффективного и приемлемого противодействия.
D Do S-атака
DDoS - это скоординированная атака, направленная на нарушение доступности услуг (сервисов) некой системы или сетевого ресурса, инициированная посредством использования множества скомпрометированных компьютеров (хостов), размещаемых в сети Интернет. [4]
В своей основе DDoS атаки могут быть разделены на 3 класса:
- деструктивные атаки;
- ресурсоемкие атаки;
- атаки на пропускную способность.
Деструктивные атаки нарушают нормальное функционирование устройств и приложений путем использования уязвимостей определенного программного обеспечения. Блокирование данных атак происходит через сброс проблемных пакетов (UDP), прекращениие проблемных TCP сессий (сброс пакета и отсылка команды TCP reset на источник и адресат), и опционально может применятся блокировка последующих проблемных пакетов в потоке. Однако, так как реализация данных типов атак основана на уязвимостях ПО, а не на уязвимостях самих протоколов, они не будут рассмотрены в данной статье.
Ресурсоемкие атаки значительно снижают производительность устройств и приложений, за счет отправки большого числа запросов к системе. К таким атакам можно отнести «SYNFlood», «TCP Connection Flood», «UDP Flood DoS», «DNS Malformed Flood», «Stream DoS», «ICMP Flood». Здесь атакуемым местом является реализация протоколов сетевого, транспорного и более высоких уровней.
161
Атаки на пропускную способность реализуются путем загрузки канала связи направленного к атакуемому сетевому устройству. К данным атакам можно отнести SYNflood и UDP flood.
Это лишь одна из возможных классификаций различных видов DDoS-атак. В своей статье Уланов и Котенко [1] дают исчерпывающий набор различных классификаций таких атак на основе различных принципов и критериев.
Все эти атаки ставят перед собой одну задачу -снизить доступность сетевого устройства для легитимных пользователей. Для эффективного предотвращения этих атак необходимо выполнение четырех логических стадий:
- предупреждение;
- обнаружение факта атаки;
- определение источника атаки;
- противодействие атаке.
Предупреждение атаки довольно сложная процедура,
связанная с организационными мерами. Например установка и настройка межсетевого экрана или средства автоматического обнаружения вторжения, регулярное обновление ПО критических сервисов сетевого устройства, поиск возможных уязвимостей и т. д.
Обнаружение факта DDoS-атаки - задача системы анализа трафика. Первым шагом для защиты от атаки является идентификация типа трафика, который загружает сеть. Большинство нападений DDoS посылает очень определенный тип трафика - ICMP, UDP, TCP, часто с поддельными IP адресами. Нападение обычно характеризует необычно большое количество пакетов некоторого типа. Исключением к этому правилу являются DDoS нападения, направленные против определенных служб, типа HTTP, используя допустимый трафик и запросы.
В целях противодействия атаке разработано множество различных методик начиная от действий администратора, направленных на оперативное создание правил для межсетевого экрана, заканчивая дорогостоящим оборудованием мониторинга и полностью автоматического реагирования. [5]
Системы IDS/IPS
Противостояние атакам — важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.
Например, межсетевой экран (МЭ) не способен защитить от пользователей, прошедших аутентификацию. А квалифицированному хакеру не составляет труда украсть идентификатор и пароль авторизованного пользователя. Кроме того, межсетевой экран не только не защищает от проникновения в сеть через модем или иные удаленные точки доступа, но и не может обнаружить такого злоумышленника.
При этом система защиты, созданная на основе модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS), способна решить все или почти все перечисленные проблемы. Она позволяет обнаруживать атаки и реагировать на них в режиме реального вре-
мени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты.
Обнаружение атак — это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (1од-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и «оценивают» различные операции, в том числе с учетом известных уязвимостей.
Адаптивный компонент ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.
Управляющий компонент предназначен для анализа тенденций, связанных с формированием системы защиты организации и генерацией отчетов.
К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты модели адаптивного управления защиты сети.
Сначала в него входили всего три продукта: система анализа защищенности на уровне сети Internet Scanner, средства анализа защищенности на уровне хоста System Scanner и обнаружения атак на уровне сети Real-Secure Network Engine. В дальнейшем ISS пополнила комплект системой анализа защищенности на уровне баз данных Database Scanner и средствами обнаружения атак на уровне хоста RealSecure System Agent.
Одним из видов систмеы защиты от DDoS нападений являются комплексные систымы обнаружения и предотвращения вторжений (IPDS). Такие системы могут стать эффективным инструментом для людей, занимающихся безопасностью.
Для этого они должны как минимум отвечать следующим требованиям, которые необходимо учитывать при их выборе:
1. Поддерживать различные виды анализа;
2. Обеспечивать работу в режиме IDS, осуществлять поведенческий анализ, иметь инструментарий для проведения расследований;
3. Иметь централизованное управление установленными IPS/IDS-системами,
4. иметь хорошие средства анализа для эффективного усовершенствования политик безопасности.
Существуют следующие методики детектирования атаки:
Сигнатурный анализ - исследования трафика на предмет соответсвия шаблону атаки;
— Аномальный анализ - исследование трафи-
ка на предмет несоответствия телекоммуникационной
162
активности нормам, установленным для конкретной сети;
— Анализ несоответствия норме трафика отдельных протоколов, детальный поиск отклонений.
Наибольшая эффективность достигается комбинированием всех трех методов.
Известно, что обнаружение аномалий вычислительных процессов в распределенных вычислительных системах на основе TCP/IP во многом определяет эффективность управления информационной безопасностью в отечественных структурах и организациях. Изучение специфики обнаружения аномалий указывает на необходимость построения некоторой метрики безопасности на основе эталонов или инвариантов семантически корректной (правильной с точки зрения безопасности) обработки данных. Метрики, которая позволяет измерять, учитывать, наблюдать, сравнивать и совершенствовать существующие корпоративные системы защиты информации. Важным моментом этого направления является возможность теоретически обнаруживать и парировать все виды внутренних и внешних воздействий (в том числе и ранее не известные), которые существенно влияют на функциональные свойства распределенных вычислительных систем на основе TCP/IP. (6]
Традиционная защита от атак DDoS включает механизмы обнаружения и реагирования. Для обнаружения аномальных сетевых характеристик могут быть применены многие методы (например, статистические, кумулятивных сумм, сравнение паттернов и т.д ). Примерами
таких методов обнаружения являются Hop counts Filtering (HCF), Source IP address monitoring (SIPM), Bit per Second (BPS) и т. п. Как правило, механизмы реагирования включают фильтрацию, контроль нагрузок и отслеживание. Так как обнаружение атак DDoS наиболее точно, когда оно производится рядом с целью атаки, а отделение легитимного трафика наиболее успешно рядом с источниками атаки, адекватная защита по сдерживанию трафика атаки может быть достигнута только на основе кооперации различных компонентов. Существует множество архитектур для кооперативной распределенной защиты. Задача адаптации рассмотрена в большом количестве статей. Ряд из них посвящен реализации адаптивного подхода к защите от атак DDoS. В [7] сформулирован принцип адаптивной защиты на основе минимизации «стоимости» защиты, а также предложены адаптивные модели защиты.
Литература
1 А.В. Уланов, И.В. Котенко. Защита от DDoS-атак: механизмы предупреждения, обнаружения, отслеживания источника. «Защита информации. Инсайд».
2 В. Митин. Как уберечся от DDoS-атак? «PC Week*
3 Ю.А.Семенов. Телекоммуникационных технологии.
4. К. Керценбаум. Теория и практика защиты от DDoS-атак.
5. А. Лукацкий. Адаптивное управление защитой.
6 Cliff С. Zou, Nick Duffield, Don Towsley, Weibo Gong.
Adaptive Defense Against Various Network Attacks.
163
Нєподшишє замeтки Стр .3