Компьютерра - Журнал «Компьютерра» № 9 от 7 марта 2006 года

В SecureHost IPS алгоритм работы анализатора был разработан на основе исследований иммунной системы человека. Так называемая технология адаптивного профилирования (APT) определяет агрессивные воздействия на «организм», наблюдая за исполнением кода в работающих программах. Система вылавливает аномалии, проявляющиеся в неожиданных вариантах выполнения кода из-за программных ошибок, некорректной конфигурации и пр., и блокирует вызовы от подозрительного источника. Минимизация числа ложных срабатываний в Secure Host IPS реализована за счет внедренного в APT механизма обучения. Система со временем учится различать обыденные некритичные изменения приложений и перестает «бить в набат» по любому поводу.

Сетевые системы обнаружения и предотвращения атак работают как минимум по двум алгоритмам анализа трафика. Первый — это рассмотренное выше сравнение битовой последовательности потока данных с эталонной сигнатурой. Второй — выявление аномальной сетевой активности (Protocol Anomaly Detection, PAD). Это довольно удачное сочетание методов. Сигнатурный анализ позволяет установить и обезвредить уже известную угрозу, а PAD специализируется на атаках, не имеющих соответствующих сигнатур.

Принцип работы первого метода уже ясен, так что перейдем сразу ко второму. В процессе проверки средствами PAD система исследует использование сетевых протоколов на соответствие заложенным требованиям (это могут быть как общие спецификации RFC, так и специфические критерии разработчиков). Детекторы PAD особенно эффективны при атаках с переполнением буфера ОС, потому что даже в случае использования хакером этого древнего механизма вторжения сразу выявить характерный признак атаки для сравнения с сигнатурой невозможно.

Помимо наблюдения и перехвата в режиме реального времени системы используются для анализа сетевых событий и оперативного розыска злоумышленника. Как правило, подобные системы не имеют в сети ни МАС-, ни IP-адреса, что мешает хакеру точно определить их «месторасположение». Среди популярных продуктов такого типа можно отметить Cisco IDS/IPS, StoneGate IPS, Radware Defense Pro, Juniper Networks Tap, Intrusion SecureNet, XSGuard IPS и TippingPoint.

Программно-аппаратное решение Cisco остается одним из самых востребованных — в первую очередь благодаря широкой функциональности. Система идентифицирует и блокирует червей, вирусы, троянцев, spyware и adware, используя неплохую подборку алгоритмов в своем анализаторе, причем проверка производится на скорости до 1 Гбайт/с. И еще Cisco IPS/IDS ориентирована на интеграцию с другими средствами сетевой безопасности от того же разработчика. В компании подобную ориентацию на связную работу нескольких своих продуктов именуют концепцией адаптивной защищенной сети (Self-Defending Network), а для управления группой устройств используется специализированная система центрального управления Cisco Works VMS.

В последней версии IPS поддерживается анализ аномалий (отклонений от RFC) таких протоколов, как ICMP, TCP, UDP, FTP, SMTP, HTTP, DNS, RPC, NetBIOS, NNTP, GRE и Telnet. Этот метод комбинируется с нормализацией трафика для перекрывания хакерам «обходных путей» и анализом изменений самого трафика. Среди особенностей Cisco IDS/IPS отметим обнаружение атак через VoIP-сервисы и интеграцию с системами корреляции событий.

Другой игрок на рынке сетевых IPS, компания Intrusion, прилагает к своему основному продукту SecureNet системы Provider (для сбора статистики с возможностями регрессионного анализа) и Nexus (для распространения обновлений). SecureNet работает на шести уровнях OSI: от канального до уровня приложений, поддерживая фильтры по MAC— и IP-адресам (для мониторинга виртуальных локальных сетей) и корреляцию данных по событиям, полученным от разных источников. В систему включен специализированный скриптовый язык для создания собственных сигнатур, средства совместной работы с системами управления сетями от других разработчиков (в том числе HP OpenView) и функции HoneyPot.

На последних хотелось бы остановиться подробнее, так как концепцию HoneyPot («горшок меда») без преувеличения можно назвать отдельной главой в истории противостояния хакеров и сисадминов. Впрочем, главная идея HoneyPot стара как мир — это ловля на живца. Программы, созданные в рамках этой концепции, имитируют работу сетевых систем. Хакер, «взламывающий» фальшивую сеть, автоматически становится объектом наблюдения службы безопасности, подсунувших ему «пустышку». Таким образом, HoneyPot-системы отводят удар от охраняемого объекта и попутно собирают всю возможную информацию о злоумышленнике[Подробно о HoneyPot писал Александр Красоткин в статье «Беспроводные сети. Взлом и защита» (спецвыпуск «КТ» от 15.01.04)].