Коллектив авторов - Защита от хакеров корпоративных сетей

Кроме желательного для злоумышленника отказа датчика системы обнаружения вторжения, он может получить дополнительную выгоду в результате генерации чрезмерного количества предупреждений (сгенерировать более 10 000 предупреждений для него особого труда не составит), которые администратор должен будет как-то осмыслить. Выбранный для атаки компьютер может полностью потеряться среди выводимых на монитор сообщений, гудков и красных флажков, которые могут поставить в тупик кого угодно. Администратор может просто запутаться, воспринимая огромное количество различных звуковых и графических сообщений об атаках. В лучшем случае попытка идентификации реального вторжения в таких условиях будет сильно затруднена. Также не стоит забывать о психологическом воздействии на оператора, которое часто воспринимается им как тотальная атака всего Интернета на оборудование защищаемой сети. Насколько эффективной окажется система обнаружения вторжением, если подобные атаки станут обычным делом?

На сетевые системы обнаружения вторжения возложена малопонятная задача выявления смысла из буквально миллионов ежесекундно поступающих кусочков информации при обеспечении приемлемого времени реакции (обычно желательно обеспечить время реакции настолько близко к реальному масштабу времени, насколько это возможно). Для устранения возможных ошибок анализа данных сетевая система обнаружения вторжения работает на различных уровнях стека сетевых протоколов. При его исследовании в первую очередь следует обратить внимание на сетевой и транспортный уровни, где у злоумышленника большие возможности запутать, уклониться или вывести из строя датчик системы обнаружения вторжения. Если перед злоумышленником стоит задача найти способ уклонения от обнаружения, то идеальной точкой начала исследования являются именно эти два уровня, поскольку все прочие возможности идентификации атаки системой обнаружения вторжения, впрочем, как и атакуемого хоста, зависят от возможности правильной интерпретации сетевого трафика на этих двух уровнях.

К сожалению, в силу технических особенностей протоколов IP и TCP, у лиц, ответственных за защиту данных, нет возможности четко контролировать их работу. Работу этих протоколов в динамической среде описывают стандарты, в которых оговорены два утверждения: «НЕ ПЛОХО БЫ» и «МОЖНО». Утверждение «ДОЛЖЕН» зарезервировано только для наиболее важных запросов. Подобное определение стандарта протоколов ведет ко многим осложнениям при попытке интерпретировать сетевые средства связи. Таким образом, у злоумышленника сохраняется возможность десинхронизации состояний системы обнаружения вторжения. Из-за этого она не сможет правильно скомпоновать сетевой трафик в единое целое тем же способом, что и атакуемый хост. Например, если сигнатура системы обнаружения вторжения задает поиск строки символов «CODE-RED» в любом HTTP-запросе, то атакующий может фрагментировать трафик таким образом, чтобы пакеты приходили к системе обнаружения вторжения в ином, чем для хоста получателя пакетов, порядке. Таким образом, злоумышленник может добраться до интересующего его хоста, в то время как система обнаружения вторжения не сможет правильно проинтерпретировать происходящие события.

Несколько лет назад была написана статья, посвященная обсуждению многих проблем развития сетевых систем обнаружения вторжения. Важно, что рассмотренные в 1998 году Томасом Птасеком (Thomas Ptacek) и Тимоти Невшамом (Timothy Newsham) в статье «Вставка, уклонение и отказ в обслуживании: ускользание от обнаружения вторжения в сеть» (Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection), http://secinf.net/info/ids/idspaper/idspaper.html, атаки принадлежат широкому диапазону: от вставки нужных злоумышленнику данных в передаваемый поток данных до уклонения от обнаружения. Вставка и уклонение составляют основу противодействия проверке на соответствие сигнатур.