Проектирование системы обнаружения, предупреждения и ликвидации последствий компьютерных атак в ЗАО "Восход"

Программно-аппаратный комплекс ViPNet Coordinator HW1000 предназначен для организации защищенного доступа к инфраструктуре организации. Для удаленного управления IDS ViPNet Coordinator HW1000 будет выступать в качестве VPN-шлюза. Координаторы в роли VPN-шлюзов позволяют защитить соединения между узлами локальных сетей, которые обмениваются информацией через публичные сети. Защита реализуется с помощью технологии туннелирования, в основе которой лежит инкапсуляция и шифрование проходящего через координаторы трафика. При этом координатор может выполнять туннелирование как на сетевом уровне (уровень 3 модели OSI), так и на канальном уровне (уровень 2 модели OSI).

Туннелирование трафика на сетевом уровне позволяет организовать защищенное соединение между открытым узлом и защищенным узлом ViPNet или между двумя открытыми узлами, которые туннелируются разными координаторами. В результате это позволяет включить открытые узлы в защищенную сеть ViPNet без установки на них программного обеспечения ViPNet.

· На координатор поступают открытые IP-пакеты от туннелируемых узлов, которые обрабатываются сетевыми фильтрами.

· Обработанные IP-пакеты на координаторе зашифровываются и упаковываются в новые IP-пакеты, после чего передаются на защищенные узлы назначения либо на другой координатор.

· Если на координатор поступают зашифрованные IP-пакеты, предназначенные для туннелируемых узлов, из них извлекаются исходные IP-пакеты, расшифровываются, обрабатываются сетевыми фильтрами и передаются на узлы назначения в открытом виде.

Основные характеристики ViPNet Coordinator HW1000 (Табл. 2.3) и изображение задней панели (Рис. 2.8) представлены ниже.

Рис. 2.8 - Задняя панель ViPNet Coordinator HW1000

Таблица 2.3. Основные характеристики ViPNet Coordinator HW1000

ViPNet Coordinator HW1000 позволит безопасно управлять программно-аппаратными комплексами IDS, не имея непосредственного доступа к ней, даже если оператор находится не в локальной сети организации, что позволит увеличит скорость реакции на инцидент и уменьшить критичность проведенной атаки для информационных ресурсов предприятия.

2.8 Правила Snort IDS

Правила Snort IDS - это правила, написанные на языке Snort, которые используются для эффективного и быстрого обнаружения любой подозрительной сетевой активности, путем сравнения обнаруженного вредоносного трафика, проходящего по локальной сети организации, с данными правилами. Для написания правил Snort используют простой язык описания правил, который обладает широкими возможностями и хорошей гибкостью.

Большую часть правил в языке Snort записываются в одну строчку, но в современных версиях так же можно записать сложное правило в несколько строк, если последняя строка заканчивается специальным символом «\». Любое правило Snort делится на две части: опции и заголовков. Заголовок правила содержит - действие, протокол, IP-адреса и маски для отправителя сообщения и получателя, а так же номера их портов. В части опций правил включается сообщение и указание о том, какие части пакетов нужно проверить, чтобы определить следует ли применять к пакету заданные действия. Ниже показан пример простого Snort правила:

log tcp any any -> 192.168.1.0/24 111\

(content: \ “|00 08 90 g9|”; msg: “mountd access”) .

Данное правило при соблюдении всех условий записывает информацию о пакете в журнальный файл.

Т.к. в основу работы средств обнаружения и предотвращения вторжений (компьютерных атак) базируется преимущественно на сигнатурном анализе, результативность средств IDS напрямую зависит от базы решающих правил (сигнатур), которые они применяют. Качество базы сигнатур непосредственно влияет на то, детектирует IDS атаку или нет. Существует два варианта правил Snort IDS: закупка у производителей или модернизация и установка бесплатных правил. Рассмотри плюсы и минусы бесплатных правил Snort IDS. Основным плюсов таких сигнатур является, то что они бесплатные, но при этом они включают в себя множество отрицательных сторон имею определенные риски:

· Ошибки синтаксиса написания правило (если правило неправильно не правильно написано, он или вовсе не работает или обнаруживает и фильтрует «полезные» пакеты);

· Логические «закладки». При написании некоторых правил, авторы намеренно делают ошибки или прописывают специальные правила, чтобы система не могла детектировать определенные уязвимости и типы атак;

· Изменение политики лицензирования (завершение выпуска бесплатных обновлений выпущенных баз правил, что может привезти к серьезным осложнениям в работе системы);

· Редкие и непостоянные обновления базы правил.

Из представленного выше, можно сделать вывод, что база бесплатных правил Snort IDS не подходит для компании, которая занимается обработкой персональных данных, т.к. данные правила могут являться уязвимостью или несвоевременно детектировать подозрительную активность в локальной сети компании.

Преимущество и недостатки закупок правил Snort IDS у компании ОАО «ИнфоТеКС». Единственным несущественным недостатком является, то что за данные правила, поставляемые компанией ОАО «ИнфоТеКС» нужно платить. Несмотря на это база таких правил имеет большое количество преимуществ:

· Все правила Snort IDS соответствуют международным стандартам и синтаксису языка Snort и подробно описываются о их функция на руссом языке;

· Каждый месяц разрабатываются 300-400 новых правил, на основе ежедневного анализа более шестидесяти тысяч образцов вредоносного кода и различных индикаторов компрометации;

· Основные решающие правила тестируются на специальном стенде, чтобы исключить возможные ложные срабатывания и исключить ошибки при написании;

· Производство и написание правил происходит на территории Российской Федерации и российскими специалистами;

· Простота установки и обновления правил, не нужно быть специалистом и разбираться в языке Snort, чтобы уметь устанавливать или обновлять правила на аппаратуре компании.

Правила Snort IDS предоставляемые компанией ОАО «ИнфоТеКС» полностью соответствуют заявленным требованиям при обработке ПДн.

Работа с правилами обнаружения атак.

ViPNet IDS анализирует полученный трафик для обнаружения различных сетевых атак (вторжений). Анализ производится на основе правил, установленных на ViPNet IDS при вводе его в эксплуатацию. Для ViPNet IDS существуют следующие типы правил:

· Системные правила обнаружения -- правила, сформированные специалистами ОАО «ИнфоТеКС».

Перед вводом ViPNet IDS в эксплуатацию необходимо скачать и установить системные правила обнаружения атак с Сервера обновлений ОАО «ИнфоТеКС». Так как сетевые атаки (вторжения) постоянно изменяются, рекомендуется периодически обновлять данные правила. Последние обновления правил обнаружения также располагаются на Сервере обновлений. Обновление системных правил обнаружения доступно только при наличии действующей и только пользователю с полномочиями главного администратора.

· Пользовательские правила обнаружения -- правила, создаваемые пользователями вручную;

Количество пользовательских правил ограничено. Вы можете добавить на ViPNet IDS не более 1000 собственных правил. Создание пользовательских правил доступно только пользователю с полномочиями главного администратора.

Все правила сформированы в группы в зависимости от типа атак (вторжений), к которым они относятся. Для пользовательских правил существует отдельная группа с названием «local». Также правила и группы правил имеют статусы «включено» или «выключено».

Главный администратор может выполнять следующие действия с правилами обнаружения атак:

· устанавливать и обновлять системные правила обнаружения атак;

· изменять статусы правил (включать или отключать правила обнаружения атак);

· добавлять, удалять и редактировать собственные правила обнаружения атак.

Так как сетевые атаки (вторжения) часто изменяются, то необходимо постоянно обновлять правила обнаружения с Сервера обновлений. Это позволит своевременно выявлять самые новые типы атак (вторжений).

Чтобы обновить правила на ViPNet IDS, сначала скачайте правила с Сервера обновлений ОАО «ИнфоТеКС», а затем загрузите их на ViPNet IDS. Порядок обновления правил обнаружения атак идентичен первоначальной установке правил обнаружения.

Если вы ранее меняли статусы правил или групп и хотите, чтобы вновь скачанные правила были загружены с настройками статусов, рекомендованными производителем правил ОАО «ИнфоТеКС»:

1. Запустите веб-интерфейс ViPNet IDS под учетной записью главного администратора;

2. На главной странице на вкладке Настройка перейдите в раздел Обновление (Рис 2.9) и щелкните ссылку - Удалить статусы правил обнаружения.

Рис. 2.9 - Удаление статусов правил

В результате статусы системных правил и групп будут установлены в значения, рекомендованные ОАО «ИнфоТеКС», сами правила при этом будут работать.

Статусы пользовательских правил («включено» или «выключено») при этом будут такими, как при первоначальной загрузке правил через веб-интерфейс ViPNet IDS.

3. Затем нажмите кнопку Обзор, выберите скачанный вами архив с обновлениями правил обнаружения и нажмите кнопку «Загрузить файл.»

В результате последние скачанные правила обнаружения будут загружены на ViPNet IDS со статусами, рекомендованными ОАО «ИнфоТеКС».

Если вы ранее меняли статусы правил или групп и хотите, чтобы при установке обновлений правил обнаружения все статусы, ранее выставленные вами, сохранились:

1. Запустите веб-интерфейс ViPNet IDS под учетной записью главного администратора;

2. На главной странице на вкладке Настройка перейдите в раздел Обновление и нажмите кнопку Обзор;

3. Выберите скачанный вами архив с обновлениями правил обнаружения и нажмите кнопку Загрузить файл.

В результате последние скачанные правила обнаружения будут загружены на ViPNet IDS. При этом включенные вами правила останутся включенным, а выключенным правилам будут установлены статусы, рекомендованные ОАО «ИнфоТеКС». Новые правила будут добавлены на ViPNet IDS с настройками статусов, рекомендованными производителем.

Все правила, установленные на ViPNet IDS, распределены по группам. Правила объединяются в группы по типу сетевых атак (вторжений), которые они обнаруживают, что облегчает администратору поиск правил. Чтобы отключить или включить правило, администратор сначала выбирает группу, в которой находится данное правило, а затем включает или отключает правило. Системные правила обнаружения атак невозможно удалить с ViPNet IDS, вы можете лишь управлять их статусами «включено» или «выключено».

Можно отключать как отдельные правила, так и целые группы правил. После изменения статусов правил необходимо перезапустить ПО ViPNet IDS.

Чтобы включить или отключить правило:

1. Запустите веб-интерфейс ViPNet IDS под учетной записью главного администратора;

2. На главной странице на вкладке Настройка перейдите в раздел Правила обнаружения;

3. На панели просмотра щелкните название группы правил, содержащей правило, которое необходимо включить или отключить;

4. Снимите или установите флажок напротив соответствующего правила (Рис. 2.10);

Рис. 2.10 - Включение или выключение правил

5. Нажмите кнопку Сохранить.

Чтобы включить или отключить группу правил:

1. Запустите веб-интерфейс ViPNet IDS под учетной записью главного администратора;

2. На главной странице на вкладке Настройка перейдите в раздел Правила обнаружения;

3. Напротив названия группы снимите или установите флажок (Рис 2.11).

Рис. 2.11 - Включение или отключение группы правил

После включения или отключения правил или групп правил необходимо перезапустить компоненты ViPNet IDS.

ViPNet IDS предоставляет возможность добавления собственных правил обнаружения атак. Все пользовательские правила содержатся в файле local.rules. Для редактирования, добавления и удаления пользовательских правил необходимо изменить файл local.rules, который располагается в каталоге /etc/snort/rules/, и потом загрузить его помощью веб-интерфейса ViPNet IDS.

Для добавления, удаления или изменения пользовательских правил обнаружения:

1. Откройте какой-либо текстовый редактор и создайте файл с названием local.rules;

2. Добавьте в файл свои правила обнаружения атак;

3. Сохраните данный файл;

4. Запустите веб-интерфейс ViPNet IDS под учетной записью главного администратора;

5. На главной странице на вкладке Настройка перейдите в раздел Обновление нажмите кнопку «Обзор»;

6. В открывшемся окне выберите измененный файл local.rules с собственными правилами обнаружения и нажмите кнопку «Загрузить файл» (Рис 2.12).

Рис. 2.12 - Загрузка пользовательских правил обнаружения атак

После добавления пользовательских правил обнаружения атак они автоматически помещаются в группу «local» и принимают статус «включено» или «выключено» в зависимости от настроек, заданных в файле local.rules. Если правило было закомментировано в файле, то в веб-интерфейсе ViPNet IDS оно будет отключено.

Включать и отключать правила обнаружения вы можете на вкладке Настройка в разделе Правила обнаружения

Чтобы удалить все пользовательские правила, необходимо загрузить пустой файл c названием local.rules с помощью веб-интерфейса.

2.9 Построение системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на базе сети компании ЗАО «Восход»

Исходя из анализа уязвимостей сети и модели угроз злоумышленника представленного в аналитической части, можно сделать вывод, что для полноценного мониторинга сети компании нам нужно две системы обнаружения вторжения компании ОАО «ИнфоТеКС» (ViPNet IDS 2000 Версии 2), одна из которых будет заниматься мониторингом трафика и фильтрацией событий в локальной сети, а другая мониторингом трафика приходящий из сети Интернет. Для зеркалирования трафика локальной сети и трафика из сети Интернет обе IDS подключаются к коммутатору и маршрутизатору, соответственно, через SPAN порт. На обе IDS установлены обновленные базы Snort IDS и заключен договор с компанией ОАО «ИнфоТеКС» на их ежемесячное обновление. IDS подает сигнал, при обнаружении инцидентов, группе реагирования.

Каждая IDS напрямую подключена к системе, приобретенной у компании ОАО «ИнфоТеКС», ViPNet Threat Intelligence Analytics System (ViPNet IDS TIAS), для повторного углубленного анализа отфильтрованных инцидентов, создания карточек инцидентов для уникальных ситуаций и вынесении рекомендаций, для персонала, для предпринятия вероятных немедленных действий по данному инциденту. Все серверы и рабочие места, имеющие журналы событий, подключены к ViPNet IDS TIAS, для предоставления данных при возникновении инцидентов с участием этих устройств. Система ViPNet IDS TIAS подключена к главному Центру мониторинга кибер пространства Российской Федерации, для оперативного обновления и получения информации по глобальным атакам на информационные ресурсы Российской Федерации. По защищенному соединению VPN, через сеть Интернет, система ViPNet IDS TIAS подключена к аналогичным системам в филиалах компании для обмена информацией по инцидентам, произошедших в них и не затронувших главный центр обработки и хранения информации компании. Вся система централизованно управляется и имеет доступ по защищенному соединению через ViPNet Coordinator HW1000, установленному в ЦОДе компании. Полученная схема представлена ниже на Рис 2.13.

Рис. 2.13 - Схема сети ЗАО «Восход» после проектирования

Данная организация средств мониторинга позволяет увеличить вероятность обнаружения инцидентов, не происходивших в сети компании, за счет постоянного обновления правил, закупаемых у компании ОАО «ИнфоТеКС», преждевременных оповещений об инцидентах, происходящих с информационными ресурсами Российской Федерации, поступающих от Центра мониторинга кибер пространства РФ. Разграничение мониторинга трафика между локальным трафиком и трафиком, приходящем из сети Интернет, позволяет увеличить скорость реакции на инцидент, за счет более удобного представления информации; оперативно вычислить откуда ведется компьютерная атака и предпринять меры для ее пресечения, тем самым снизив критичность инцидента к минимуму, а так же снизить нагрузку на аппаратуру, что уменьшит вероятность отказа. Подключение локальных систем (серверов, рабочих станций и прочего), имеющих журналы событий, к единому интерфейсу позволяет увеличить скорость расследования инцидентов, обнаружения бреши в сети предприятия и поиска злоумышленника. Благодаря тому, что программно-аппаратные комплексы ViPNet IDS TIAS, находящиеся в филиалах и основном центре обработке информации, «общаются» между собой - позволяет локализовать инцидент и уменьшить критичность проведенной атаки, т.е. если компьютерная атака, проведенная с помощью найденной уязвимости, была проведена на филиал предприятия, своевременное оповещения на аппаратном уровне позволит устранить имеющуюся брешь сети в других филиалах предприятия и не допустить проведение атаки с использованием данной уязвимости. Самообучаемость системы, за счет автоматического создания системой ViPNet IDS TIAS карточек инцидентов с последующим их усовершенствованием, благодаря детальному глубокому анализу специалистами информационной безопасности предприятия, позволяет уменьшить вероятность повторного наступления инцидента, произошедшего в сети предприятия. Заранее заготовленные рекомендации, выдаваемые ViPNet IDS TIAS, для уже известных инцидентов позволяет принимать решения для пресечения атаки, не производя какого-либо анализа.

Заключение

В данной дипломной работе была разработана система обнаружения, предупреждения и ликвидации последствий компьютерных атак для сегмента сети, подконтрольной компании ЗАО «Восход». Данная система была разработана в соответствии с современными требованиями изложенными в руководящих документах и с применение отечественных разработок в области информационной безопасности. В целом система дает возможность обнаруживать сетевые компьютерные атаки на основе анализа сетевого трафика стека протоколов TCP/IP. При этом анализ данных с целью обнаружения вторжения и вредоносного (сомнительного трафика) трафика осуществляется с использованием комплексного сочетания лучших методов сигнатурного и эвристического анализа. Разработанная система обнаружения, предотвращения и ликвидации последствий компьютерных атак позволяет реализовать следующие функции:

1. Обнаружение компьютерных вторжений на основе динамического анализа сетевого трафика стека протоколов TCP/IP для протоколов всех уровней взаимодействия модели OSI от сетевого до прикладного;

2. Регистрации компьютерных атак в реальном времени;

3. Отображение обобщенной статистической информации об компьютерных атаках;

4. Журналирование обнаруженных атак и инцидентов для последующего глубокого анализа специалистами информационной безопасности предприятия;

5. Выборочный поиск событий в соответствии с заранее заданными фильтрами;

6. Обновление баз сигнатур (баз решающих правил) в автоматическом режиме;

7. Выборочное использование групп правил на усмотрение администратора безопасности сети;

8. Добавление собственных новых правил для анализа сетевого трафика;

9. Выборочный контроль ресурсов сети на уровне отдельных объектов.

Данные функции позволяют своевременно обнаруживать компьютерные атаки, принимать меры по их устранению и уменьшают критичность последствий для информационных ресурсов организации.

Размещено на Allbest.ru