Systemy wykrywania włamań do sieci
-
- Józef Muszyński,
- 01.05.2001
Przegląd produktów do wykrywania włamań
RealSecure - sygnatury definiowane przez użytkownika
RealSecure firmy Internet Security Systems jest jednym z najpopularniejszych systemów IDS (dostarczanym na licencji OEM m.in. przez CheckPoint Software Technologies). Funkcjonowanie tego systemu opiera się na technikach wykrywania nadużyć (misuse detection), uzupełnionych o mechanizmy wykrywania anomalii (anomaly detection).
RealSecure został zaprojektowany w formie modułów inspekcyjnych, analizujących ruch sieciowy oraz działania użytkowników w systemie operacyjnym. System umożliwia wy- krywanie, alarmowanie i blokowanie ataków z sieci oraz nieautoryzowanych działań użytkowników lokalnych. System identyfikuje m.in. skanowanie portów serwerów sieciowych, próby nieautoryzowanego dostępu do zasobów oraz różnego rodzaju ataki destrukcyjne blokujące działanie systemów. RealSecure może współdziałać z zaporami ogniowymi CheckPoint FireWall-1. W takiej konfiguracji RealSecure po wykryciu niedozwolonych działań automatycznie dokonuje niezbędnych modyfikacji reguł ochrony zapory ogniowej.
System cechuje architektura rozproszona, na którą składają się trzy podstawowe komponenty:
Network Sensor jest uruchamiany na dedykowanych stacjach, zlokalizowanych w newralgicznych punktach sieci. Jego działanie polega na przechwytywaniu pakietów przesyłanych w sieci i analizowaniu ich zawartości pod kątem znanych wzorców włamań. Po wykryciu niedozwolonych działań RealSecure Engine może przerwać sesję, powiadomić administratora systemu pocztą elektroniczna lub na pager, zarejestrować szczegóły przebiegu sesji, rekonfigurować reguły ochrony zapory ogniowej, wysłać alarm do konsoli zarządzającej lub wykonać inne, zdefiniowane przez administratora czynności.
OS Sensor jest modułem przeznaczonym do analizowania zdarzeń rejestrowanych w logach systemowych. Może on wykrywać nieautoryzowane działania użytkowników, których identyfikacja nie jest możliwa w czasie rzeczywistym.
WorkGroup Manager służy do zarządzania i nadzorowania wszystkich stacji RealSecure (Network Sensor, OS Sensor), rezydujących w oddalonych punktach sieci. RealSecure może być integrowany z platformą zarządzania sieci HPOpenView i Tivoli. Uwierzytelnianie komunikacji sieciowej pomiędzy konsolą zarządzającą i detektorami odbywa się za pomocą kryptografii klucza publicznego.
RealSecure Engine, zainstalowany na komputerze z dwiema kartami sieciowymi, może funkcjonować w konfiguracji utajnionej (stealth configuration). W takiej konfiguracji jedna karta sieciowa jest podłączona do bezpiecznej sieci prywatnej (gdzie jest zlokalizowana konsola zarządzająca), a druga do sieci, w której jest wykonywana analiza ruchu. Inspekcja sieci jest prowadzona na interfejsie pracującym w trybie nie używającym adresu IP - bez skonfigurowanego stosu TCP/IP. Dzięki temu system jest praktycznie niewrażliwy na jakiekolwiek ataki.
Instalowanie i konfiguracja. RealSecure wymaga odrębnych ustawień dla modułów inspekcyjnych Network Engine i System Agent. Dla RealSecure Engine w pierwszej kolejności należy ustalić rodzaj identyfikowanych zdarzeń oraz sposób reakcji na nie. Następnie administrator ustala rodzaje sesji sieciowych, które powinny być w szczególny sposób obsługiwane.
Administrator RealSecure dysponuje interfejsem graficznym umożliwiającym tworzenie polityki bezpieczeństwa oraz monitorowanie funkcjonujących w sieci modułów inspekcyjnych Network Engine i System Agent.
RealSecure Management Console może zostać zintegrowany ze środowiskiem HP OpenView i Tivoli lub działać jako niezależna aplikacja.
Najnowsza wersja systemu - RealSecure 5.0- zawiera szereg uzupełnień, a w tym: mechanizm umożliwiający instalację nowej bazy wzorców ataków, poprawek i uzupełnień w sposób zdalny i bez potrzeby reinstalacji całego oprogramowania, oraz ochrona przed atakami, które są realizowane w formie pakietów fragmentarycznych. Dotyczy to technik włamań, takich jak Frag Routers.
