Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение

  • Вид работы:
    Дипломная (ВКР)
  • Предмет:
    Информационное обеспечение, программирование
  • Язык:
    Русский
    ,
    Формат файла:
    MS Word
    1,51 Мб
  • Опубликовано:
    2012-12-12
Вы можете узнать стоимость помощи в написании студенческой работы.
Помощь в написании работы, которую точно примут!

Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение














Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ

1.1 Структура типовой ИВС. Структурная модель угроз информации в ИВС

1.2 Анализ современных подходов к защите ИВС

1.3 Анализ ЛИС, применяемых в современных ИВС. Характеристики, классификация и варианты применения

1.3.1 История развития ЛИС и средств их создания

1.3.2 Анализ известных программных ЛИС

1.3.3 Классификация ЛИС

1.3.4 Варианты применения современных ЛИС        

1.4 Роль и место ЛИС в защите ИВС. Постановка задачи 

Выводы по разделу

2. РАЗРАБОТКА АЛГОРИТМОВ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ МЕТОДАМИ ВВЕДЕНИЯ НАРУШИТЕЛЕЙ В ЗАБЛУЖДЕНИЕ

2.1 Методы введения нарушителей в заблуждение

2.2 Алгоритмы функционирования ЛИС

2.2.1 Алгоритм эмуляции узлов ИВС

2.2.2 Алгоритм эмуляции прикладных систем

2.2.3 Алгоритм эмуляции файловых ресурсов 

2.3 Разработка требований к реализации базовых функций ЛИС

Выводы по разделу

ЗАКЛЮЧЕНИЕ

Список использованных источников

ВВЕДЕНИЕ

защита информационный система

Необходимость обеспечения информационной безопасности требует поиска качественно новых подходов к решению многих технических и управленческих задач, связанных с использованием информационной сферы как совокупности информационных ресурсов и информационной инфраструктуры.

Всестороннее внедрение информационно-вычислительных систем (ИВС) общего назначения во все сферы деятельности субъектов хозяйствования предопределило появление неограниченного спектра угроз информационным ресурсам.

Несмотря на значительные результаты теоретических и прикладных исследований в области защиты информации в информационно-вычислительных системах, в частности криптографическими методами, резервированием, методами контроля межсетевого взаимодействия и т. п., недостаточно проработанной остается проблема защиты ИВС, подключенных к сетям связи общего пользования. В свою очередь технология ложных информационных систем является наиболее перспективной в этой области.

Учитывая, что во многих случаях объекты ИВС оснащаются разнотипными вычислительными средствами, существующие методы обеспечения информационной безопасности с помощью «защитных оболочек» не всегда эффективны и легко подвержены деструктивным воздействиям типа «отказ в обслуживании».

Решить проблему позволяет применение методов имитации ложных информационных объектов в защищаемых ИВС, заманивания в них нарушителей для отвлечения от реальных целей, т.е. введения нарушителей в заблуждение. На разработку таких методов защиты современных ИВС и реализацию их в виде алгоритмов функционирования ложных информационных систем и направлена эта работа.

1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ

.1 Структура типовой ИВС. Структурная модель угроз информации в ИВС

В общем случае ИВС включает в себя множество связанных между собой каналами передачи данных аппаратно-программных и технических средств, объединенных в единое целое из территориально разнесенных элементов.

На нижнем уровне детализации ИВС можно представить совокупностью аппаратных средств и физических связей между ними. На верхнем уровне детализации - совокупностью прикладных процессов, посредством которых производится содержательная обработка информации, а также правилами обмена информацией в интересах взаимосвязи прикладных процессов.

Структурная модель угроз информации в ИВС представлена на рис. 1.1. Уровень физической сети (линий связи, первичной сети связи) описывает функции и правила взаимосвязи при передаче различных видов информации между территориально удаленными элементами ИВС через физические каналы связи (первичную сеть). Проекция модели на физический уровень эталонной модели взаимодействия открытых систем (ЭМВОС) определяет, как физически увязаны и как взаимодействуют между собой объекты ИВС.

С учетом специфики функционирования первичной сети связи возможны следующие угрозы информации:

. искажение информации и несвоевременность ее доставки;

. выявление характерных признаков источников сообщений;

. копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) в результате несанкционированного доступа.

Рисунок 1.1 - Структурная модель угроз информационным ресурсам ИВС


Уровень транспорта пакетов сообщений описывает функции и правила обмена информацией в интересах взаимосвязи прикладных процессов и пользователей различных ИВС. Сетевой уровень ЭМВОС определяет связь объектов на уровне логических адресов, например IP-адресов. Компонентами информационной инфраструктуры ИВС (телекоммуникационной сети) являются, например, маршрутизаторы (включая их операционные системы и специальное программное обеспечение), кабельное оборудование и обслуживающий персонал.

С учетом этого на уровне транспорта пакетов сообщений возможны следующие угрозы информации:

. искажение информации и несвоевременность ее доставки;

. выявление характерных признаков источников сообщений;

. копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) в результате несанкционированного доступа к информации;

. нарушение конфигурации маршрутизаторов в результате несанкционированного доступа к операционным системам коммуникационного оборудования (маршрутизаторов) телекоммуникационных сетей;

. нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов, путем осуществления удаленных компьютерных атак на коммуникационное оборудование.

Уровень обработки данных (локального сегмента ИВС) образуется совокупностью информационных ресурсов и прикладных процессов, размещенных в территориально обособленных ИВС, являющихся потребителями информации и выполняющих ее содержательную обработку. Информационная инфраструктура локальных вычислительных сетей (ЛВС), из которых состоит каждый невырожденный (в автономную ПЭВМ) локальный сегмент ИВС, традиционно состоит из рабочих станций, имеющих отчуждаемые и неотчуждаемые носители информации, концентраторов (многопортовых повторителей), мостов, коммутаторов и маршрутизаторов локальных сетей (коммутаторов третьего уровня). Компонентами информационной инфраструктуры являются также кабельное оборудование, обслуживающий персонал и пользователи.

На уровне локального сегмента ИВС существуют следующие угрозы информации:

. искажение информации, несвоевременность доставки передаваемой информации;

. выявление характерных признаков источников сообщений;

. копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) в результате несанкционированного доступа к информации;

. нарушение конфигурации маршрутизаторов в результате несанкционированного доступа к операционным системам коммуникационного оборудования (маршрутизаторов) телекоммуникационных сетей;

. нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов, путем осуществления удаленных компьютерных атак на коммуникационное оборудование, серверы и рабочие станции;

. копирование, искажение информации, нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов путем несанкционированного доступа к операционным системам серверов;

. копирование, искажение информации, нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов путем несанкционированного доступа к операционным системам рабочих станций;

. копирование, искажение информации путем несанкционированного доступа к базам данных;

. разглашение информации.

Анализ построения современных ИВС позволяет сделать вывод, что их архитектурные решения в общем случае идентичны. Они представляют собой территориально распределенные системы, объединяющие в своем составе ЛВС и отдельные компьютеры, которые осуществляют обмен данными друг с другом и могут иметь общие ресурсы и единое управление.

Для современных ИВС характерны следующие особенности их построения.

.        ИВС имеют, как правило, распределенный характер (то есть, не ограничены одним помещением).

.        Каждый узел ИВС может быть либо оконечным: коэффициент связности такого узла равен единице (самый типичный пример - абонентский пункт), либо через этот узел проходит транзитный информационный обмен (условно такой узел можно назвать коммутационным).

.        Внутри одного сегмента ИВС используется высокоскоростная среда передачи данных, например, на основе протокола Ethernet и/или Fast Ethernet.

.        информационный обмен между сегментами ИВС происходит, в основном, в высокоскоростной среде передачи данных, однако, могут иметь место и низкоскоростные (например, модемные) подключения.

.        Общее число информационных ресурсов ИВС определяется, в основном, количеством оконечных узлов, число которых может от десятков до сотни.

.        ИВС могут иметь один или несколько «выходов» в открытые сети связи, либо являться их сегментами.

Информационно-вычислительные системы с перечисленными особенностями построения в настоящее время приобрели наибольшее распространение. Причем отдельными их элементами могут быть ЛВС, отдельно стоящие компьютеры и/или мобильные пользователи, получающие доступ к ресурсам корпоративной ИВС по выделенным каналам связи.

В состав современных ИВС входят следующие обязательные элементы (рис. 1.2).

Рабочие места пользователей системы (стационарные или мобильные), с которых осуществляется одновременный доступ пользователей различных категорий и с различными привилегиями доступа к общим ресурсам ИВС. Рабочие места (РМ) пользователей являются наиболее доступным компонентом ИВС. Именно с них может быть предпринято большинство попыток осуществления несанкционированных воздействий. Это связано с тем, что именно с рабочих мест пользователей осуществляется доступ к защищаемой информации, манипуляция различными данными и управление процессами, запуск специального программного обеспечения (ПО).

Коммуникационное оборудование (коммутаторы, шлюзы, концентраторы и т. п.), обеспечивающие соединение нескольких сетей передачи данных, либо различных сегментов одной ИВС. Серверы и коммуникационное оборудование нуждаются в особой защите, как наиболее важные элементы ИВС. Это связано с тем, что на серверах сконцентрированы большие массивы информации и программного обеспечения, а с помощью коммуникационного оборудования осуществляется обработка информации при согласовании протоколов обмена между различными сегментами сети. Учитывая изолированное расположение данных элементов ИВС и ограниченный круг лиц, имеющих доступ к ним, случайные воздействия пользователей системы можно считать маловероятными. Однако в этом случае возникает повышенная опасность осуществления удаленных преднамеренных деструктивных воздействий на эти элементы системы с использованием ошибок в их конфигурации, недостатков используемых протоколов, уязвимостей ПО.

Рисунок 1.2 - Структурная модель ИВС

Программное обеспечение (операционные системы, прикладное программное обеспечение и т. д.) является наиболее уязвимым компонентом ИВС, т. к. в большинстве случаев, различные атаки на ИВС производятся именно с использованием уязвимостей ПО.

Каналы связи (коммутируемые/выделенные, радиоканалы/проводные линии связи и т.д.) имеют большую протяженность, поэтому всегда существует вероятность несанкционированного подключения к ним и, как следствие, съема передаваемой информации, либо вмешательства в сам процесс передачи.

Кроме этого необходимо выделить в качестве классификационных признаков активные и пассивные ресурсы ИВС. Активные ресурсы - это компоненты системы, которые предоставляют возможность производить действия над другими ресурсами, используя понятие сервиса, определяемого, как точка доступа к активному ресурсу для использования его функциональных возможностей по работе с пассивными ресурсами. Поведение активного ресурса в процессе его использования представляет собой последовательность действий над пассивными ресурсами и действий по взаимодействию с другими активными ресурсами или внешними объектами, использующими его сервисы.

Пассивные ресурсы - это компоненты системы, с которыми нельзя связать понятие поведения при их использовании, и их влияние на изменение состояния других ресурсов системы (хранилища данных, сегменты данных в программах, процессор, дисковое пространство, память).

Поведение активного ресурса наблюдаемо через процесс - программную компоненту системы (которая обычно является исполняемым экземпляром программы) в совокупности с неким контекстом, индивидуальным для каждого процесса. Процесс является основным наблюдаемым объектом в ИВС.

Ресурсы также можно разделить на зоны, или домены: совокупности ресурсов одного типа и/или территориально расположенные вместе.

Большинству ИВС присущи следующие признаки:

ИВС состоит из совокупности территориально распределенных ЛВС и отдельных автоматизированных рабочих мест (АРМ). Внутри ЛВС применяется протокол канального уровня Ethernet/FastEthernet, предполагающий широковещание в пределах одного сегмента сети («общая шина»). В большинстве случаев, для повышения производительности ЛВС, в настоящий момент применяются коммутаторы, исключающие широковещание;

на сетевом, транспортном и сеансовом уровнях применяется семейство протоколов TCP/IP. В редких случаях, при использовании OC Netware и мэйнфреймов применяются стеки протоколов IPX/SPX и SNA;

протоколы прикладного уровня значительно более разнообразны и зависимы от используемых операционных систем и информационных служб. Среди наиболее распространенных можно перечислить следующие протоколы, входящие в стек TCP/IP: HTTP, FTP, Telnet, SMTP, POP3, SNMP, DNS, DHCP, SMB [1];

степень информационной открытости ИВС, то есть количество разных точек сопряжения данной системы с сетями общего пользования, существенно влияет на конфигурацию средств защиты;

большинство ЛВС в ИВС имеют средний размер (10-100 хостов) и состоят, как правило, из одного сегмента сети Ethernet («общая шина»). Однако по мере наращивания объема сети, получения доступа к глобальным сетям наблюдается явная тенденция к сегментации.

.2 Анализ современных подходов к защите ИВС

В целом, защиту ИВС можно разделить на два направления (рис. 1.3): защита непосредственно обрабатываемой и хранимой в ИВС информации и защита элементов ИВС.

Как показано на рисунке, первое направление защиты имеет своей целью блокировать возможность НСД к передаваемой, хранимой и обрабатываемой в ИВС информации, и реализуется путем управления доступом к ней. Реализуется это направление обеспечением антивирусной защиты и защиты от НСД, включающей выполнение следующих функций:

разграничение доступа;

регистрация и учет;

контроль целостности;

криптографическая защита.

Рисунок 1.3 - Современные подходы к обеспечению защиты информации в ИВС


В рамках второго направления реализуется защита инфраструктуры, в которой защищаемая информация хранится, обрабатывается и передается. Это направление защиты в свою очередь необходимо разделить на два поднаправления, имеющих различные цели:

защита информации непосредственного управления объектом;

защита информации развития объекта защиты (информации о его составе, структуре и алгоритмах функционирования).

В первом случае традиционно применяются такие методы защиты как:

межсетевое экранирование (аналог разграничения доступа к информации применительно к сетевой инфраструктуре);

анализ защищенности и мониторинг безопасности (аналог функции регистрации и учета при защите информации);

антивирусная защита и защита от компьютерных атак (позволяют сохранять доступность элементов ИВС).

Современные средства защиты, реализующие описанные задачи, широко известны и подробно описаны в многочисленных публикациях на тему защиты информации, поэтому в рамках данной работы они не рассматриваются.

Подробно  рассмотреть следует лишь системы обнаружения атак (СОА). Исходя из того, что любая атака должна иметь три этапа реализации (1. предварительный сбор сведений об объекте атаки и его уязвимых местах, выбор метода атаки; 2. непосредственно реализация атаки; 3. заметание следов атаки), СОА также принято классифицировать по этапу реализации атак, на котором происходит их обнаружение. Такая классификация приведена в [2]. В соответствии с этой классификацией СОА делятся на (рис. 1.4):

. Системы, позволяющие обнаружить уязвимости элементов ИВС и ПО, используемые злоумышленником для реализации атаки. Иначе средства этой категории называются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners).

. Системы, функционирующие на этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. На сегодняшний день в задачи таких систем входит не только обнаружение, но и блокирование (предотвращение) атаки. Помимо этого в последнее время к элементам систем обнаружения атак относят обманные системы (ЛИС). Их ролью в обнаружении атак является привлечение к себе внимания злоумышленника.

. Системы, функционирующие на третьем этапе, позволяющие выявлять следы уже совершенных атак. Эти системы делятся на два класса - системы контроля целостности, обнаруживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации.

Рисунок 1.4 - Классификация систем обнаружения атак по этапу осуществления атаки


Однако следует отметить, что, несмотря на то, что приведенная классификация СОА достаточно широко используется и принята специалистами по информационной безопасности, она имеет некоторые недостатки.

. Системы анализа защищенности на самом деле не являются средствами предупреждения, обнаружения или предотвращения атак. Они лишь позволяют ликвидировать часть недостатков защищаемых объектов, которые злоумышленник может использовать в своих целях.

. Применение ЛИС в реальности является достаточно редким, и, как правило, носит чисто исследовательский характер.

Второе поднаправление защиты объектов ИВС подразумевает под собой реализацию методов скрытия и введения нарушителя в заблуждение, имеющих цель формирования у него устойчивых ложных стереотипов относительно защищаемых объектов (ИВС и ее элементов). Эти методы основаны на управлении демаскирующими признаками объектов ИВС и их деятельности и позволяют предотвращать деструктивные действия или минимизировать их эффективность за счет формирования у нарушителя неверного представления о защищаемых объектах.

Современные средства защиты, применяемые в ИВС, такие, например, как межсетевой экран, имеют возможность реализовать скрытие путем ограничения доступа злоумышленника (противника) к защищаемому объекту (информации, сегменту ИВС или ее отдельному узлу).

Таким образом, можно сделать вывод, что современные методы защиты, применяемые в ИВС, имеют возможность блокирования несанкционированного доступа к информации или элементам ИВС, т.е. обнаружения несанкционированных воздействий (например, компьютерных атак) на этапе их реализации и их предотвращения.

В то же время направление предупреждения несанкционированных воздействий остается открытым. Это направление на сегодняшний день начинает развиваться в направлении создания ЛИС. Следовательно, необходимо провести подробный анализ этого направления.

.3 Анализ ЛИС, применяемых в современных ИВС. Характеристики, классификация и варианты применения

.3.1 История развития ЛИС и средств их создания

Существует множество различных вариантов использования обмана в целях защиты. Наиболее известными среди них являются [3]:

сокрытие;

камуфляж;

дезинформация.

В области информационной безопасности наибольшее распространение получил первый метод - сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие топологии защищаемого сегмента сети при помощи межсетевого экрана (МЭ). Как таковой этот метод не рассматривается в качестве способа обмана и широко используется в целях защиты локальных сегментов ТКС.

Наибольший интерес в данном случае представляют два других метода.

Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы (ОС) Windows, приводящее к тому, что злоумышленник, случайно увидевший такой интерфейс, будет пытаться реализовать атаку, использующую уязвимости ОС Unix, а не ОС Windows. Такой подход позволяет существенно увеличить время, необходимое злоумышленнику для "успешной" реализации атаки.

В качестве примера дезинформации можно назвать использование заголовков (banner), позволяющее сформировать у злоумышленника ложное представление о системе. Например, подмена в заголовке почтовой программы, ее названия и версии, которые дают злоумышленнику представление об уязвимостях системы, приводят к тому, что злоумышленник потратит много времени и сил в бесполезных попытках реализовать эти уязвимости.

Реализацию данных методов обмана на практике выполняют ЛИС, также называемые обманными системами.

Как правило, задача ЛИС заключается в том, что эти системы эмулируют те или иные известные уязвимости, которые в реальности в защищаемой системе не существуют. Традиционными причинами использования ЛИС является то, что камуфляж и дезинформация, могут привести к следующему.

. Увеличение числа выполняемых злоумышленником операций и действий. Злоумышленнику приходится выполнять много дополнительных действий, чтобы установить факт обмана - отсутствие уязвимости.

. Получение возможности отследить злоумышленника. За время, необходимое злоумышленнику на то, чтобы проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администратор безопасности имеет возможность предпринять действия по установлению внутреннего нарушителя или сбору информации о внешнем злоумышленнике и предпринять соответствующие меры, например, сообщить об атаке в соответствующие "силовые" структуры.

На сегодняшний день ЛИС довольно широко используются в исследовательских целях.

Примером исследовательского проекта, который можно смело назвать международным, является проект Honeynet, направленный на создание ЛИС по всему миру, исследование с их помощью поведения злоумышленников и выявление новых вредоносных программ и компьютерных атак.

В таблице 1.1 представлены информационные ресурсы лишь некоторых из участников проекта.

Таблица 1.1

Информационные ресурсы участников проекта Honeynet

Страна

Информационный ресурс

Норвегия

#"577144.files/image005.gif">

Рисунок 1.5 - ЛИС honeynet 1-го и 2-го поколения


Если при этом злоумышленник пытается скрыть информацию об атаке, содержащуюся на узле регистрации, анализатор трафика регистрирует атаку на узел регистрации.

Расследование может восстановить действия злоумышленника, но это - трудная задача. Анализ файлов регистрации анализатора трафика может быть затруднен тем, что необходимую информацию трудно найти среди большого количества другой.

Реконструкцию атаки предполагается, осуществлять вручную из файлов регистрации анализатора трафика. Пассивный анализатор трафика, не прерывающий трафик, иногда пропускает данные в случае его большой загруженности, потому что не может повторно запросить их. Вследствие этого, важные данные могут быть пропущены.

Усиление политики межсетевого экрана затруднено, потому что он не должен блокировать слишком много действий злоумышленника. В противном случае он мог бы проявить свое существование слишком рано.

Межсетевой экран установлен как маршрутизатор. Каждый маршрутизатор изменяет область TTL в IP заголовке каждого проходящего через него пакета сообщений. Поэтому поле TTL может показать существование подозрительно сконфигурированного межсетевого экрана и предупредить злоумышленника. Этот факт может помочь злоумышленнику определить атакуемую систему как ЛИС. Чтобы обойти эту проблему, межсетевой экран может быть сконфигурирован так, чтобы не выполнять уменьшение поля TTL. Необходимость применения в такой ЛИС четырех узлов делает ее недешевой и требует немалых усилий в ее администрировании.2-го поколения2-го поколения являются развитием 1-го поколения. Как показано на рис. 1.5б, они состоят из:

моста, который регистрирует трафик на 2 уровне эталонной модели взаимодействия открытых систем (ЭМВОС).

узла-приманки (honeypot).

Мост выполняет функцию межсетевого экрана без уменьшения значения поля TTL. Регистрация осуществляется на мосту. Дополнительная информация, например, нападение на узел регистрации, не собирается. Подход улучшает два недостатка honeynet 1-го поколения. Во-первых, уменьшены затраты аппаратных средств при использовании и конфигурировании только двух узлов. Во вторых, избегается раскрытие ЛИС путем выявление уменьшения поля TTL, производимого маршрутизатором. Реконструкцию атаки предполагается осуществлять вручную путем анализа файлов регистрации межсетевого экрана.

Виртуальные honeynet

Виртуальные машины (например, User-Mode Linux, русск. - Линукс пользовательского режима, VMware [6]) позволяют моделировать honeynet путем создания виртуальных узлов. Использование виртуальных машин дает несколько преимуществ. Сети просто устанавливать, а конфигурацию может быть легко восстановлена. Основная система может осуществлять мониторинг виртуальной машины. User-mode-Linux, например, позволяет наблюдение в реальном времени за злоумышленником, атакующим систему, отображая нажатие клавиш и изменения в файловой системе.

Но у ЛИС высокого взаимодействия на основе виртуальных машин есть и свои ограничения. Аппаратные средства виртуальной машины отличаются от используемых обычно в реальных компьютерах аппаратных средств. Аппаратные средства требуют специальных драйверов и программного обеспечения, которое может использоваться, чтобы брать опознать honeypot. Следовательно, существует несколько признаков, позволяющих отличить виртуальную и реальную машину. Профиль аппаратных средств может использоваться для того, чтобы определить, что машина виртуальная и сделать ее подозрительной для злоумышленника. Чтобы виртуальные машины можно было использовать в качестве ЛИС, применяется моделирование реальных аппаратных средств и областей памяти.

Таким образом, технологии виртуализации могут применяться в целях снижения затрат аппаратных средств на создание ЛИС.

Виртуальные honeynet имеют несколько специфичных недостатков:

Единая точка отказа - Если что-то вдруг пойдет не так, как ожидалось, (к примеру, сбой в операционной среде или какой-либо программе), то весь honeynet выходит из строя и не функционирует до устранения неисправности.

Высокие требования к системе, на которой осуществляется виртуализация.

Возможное ослабление классической защиты - Так, как все в компании могут использовать одни и те же стандартные программы, что и в ловушке, есть опасность того, что хакер может предположить их использование и, зная какие-нибудь слабые места этих программ, провести успешную атаку на другие части сети. Здесь все зависит от программного обеспечения виртуализации.

Гибридные виртуальные honeynet

Гибридный виртуальный honeynet - гибрид классического honeynet и программного обеспечения виртуализации. Перехват данных, межсетевое экранирование и анализ информации, как в сенсорах систем обнаружения атак, проводится на отдельной, изолированной системе. Эта изоляция уменьшает риск взлома. Однако все узлы ЛИС фактически выполнены в единственной системе. mode-Linuxmode-Linux [7] может использоваться как виртуальный honeypot высокого уровня взаимодействия или как часть виртуальной honeynet высокого уровня взаимодействия. Он является созданной на основе ОС Linux виртуальной машиной с открытым кодом. В отличие от коммерческого варианта, VMware, он ограничен несколькими версиями Linux и для основной и для гостевой ОС. Проект honeynet создал несколько дальнейших расширений, чтобы заставить виртуальную машину больше походить на реальную [8]. Таким образом, названия виртуальных устройств могут быть такими же как и реальные. Области памяти отображены так, чтобы они казались реальными. Однако есть и нерешенные проблемы, например, доступ к BIOS.

К преимуществам использования VMware Workstation в виде виртуальной ЛИС стоит отнести:

широкий диапазон поддерживаемых операционных систем - можно эмулировать и поддерживать разнообразные ОС в виртуальной среде (Windows, Linux, Solaris, FreeBSD и т.д.);

опции управления сетью - возможность обеспечения двух способов контроля за сетью. Первый - «bridged» - полезен для гибридных виртуальных сетей honeynet, потому что позволяет любому honeypot использовать сетевую карту компьютера и, в итоге, создается впечатление, что он - другой узел в ЛИС. Вторая опция - организация сети только для одного узла, что хорошо для отдельного виртуального honeypot, потому что появляется возможность лучше управлять трафиком с имеющимся межсетевым экраном.Workstation создает образ каждой гостевой ОС. Эти образы - обычные файлы, что делает такие системы очень портативными. Это означает, что вы можете переместить их на любой другой компьютер. Чтобы восстановить honeypot в его первоначальном состоянии, достаточно просто скопировать резервный файл на место, которое было атаковано хакером.

легкость использования - VMware Workstation поставляется с неплохим графическим интерфейсом (как для Windows, так и для Linux), что делает монтаж, конфигурирование, и управление виртуальными ОС предельно простым.

Динамические ЛИС

Динамические ЛИС  являются будущим ЛИС по мнению Ланца Шпицнера [9]. Подразумевается, что такие системы должны пассивно прослушивая сеть формировать ложные ресурсы в ЛИС при выявлении активности злоумышленника в соответствии с его запросами. Идея заключается в том, что в качестве приманки могут использоваться любые ложные ресурсы, вплоть до файлов с дезинформацией.

Фермы Honeypot

Фермы Honeypot [10] это решение проблемы развертывания большого количества ложных узлов в ЛИС.

Суть решения заключается в создании централизованной «фермы» (современный термин, использующийся для обозначения группы серверов), состоящей из большого количества ложных узлов (honeypot) и даже сетей (honeynet) низкого и высокого уровня взаимодействия, и развертывании в реальных сетях средств перенаправления трафика, передающих его в ферму (рис. 1.6).

Рисунок 1.6 - Архитектура решения Фермы Honeypot


.3.2 Анализ известных программных ЛИС

На сегодняшний день существует множество программных реализаций элементов ЛИС различной сложности, к которым относятся такие программные продукты как Deception ToolKit, Fakebo, Iptrap, Honeyd, KFSensor и др., краткое описание возможностей которых представлено ниже.ToolKitToolKit (DTK) - набор perl-сценариев, имитирующих работу распространенных сетевых сервисов (Telnet, SSH, FTP, DNS, POP и т. д.). Поддерживаются наиболее распространенные методы исследования систем, предоставлена возможность программирования поведения ложного сервиса с имитацией какого-либо вида уязвимости. Система проста в установке и прозрачна в управлении. Сохраняемые в лог-файлах данные позволяют получить исчерпывающую информацию о деятельности злоумышленника.

Существенный недостаток - открывает порт 365 (deception port), который позволяет идентифицировать систему как ЛИС.

В развитие пакета DTK автором была разработана улучшенная версия - DTK-Pro, которая, реализуя все возможности DTK, дополняет его новыми механизмами:

управление несколькими DTK, установленными на разных хостах сети;

графический интерфейс администратора DTK-Pro;

проверка согласованности задаваемых правил обмана и ряд других функций.имитирует работу серверных частей «троянских» программ Back Orifice и Netbus. При попытке установить соединение ЛИС Fakebo проводит трассировку (определение маршрута) хоста, откуда исходит запрос, и сохраняет данные обо всех попытках установить соединение, выдавая злоумышленнику предупреждающее сообщение о регистрации его действий.2.00

Программа обеспечивает защиту от NetBus и Back Orifice - двух наиболее известных хакерских инструментов в Интернете. Фиксирует каждую попытку хакеров войти в ваш компьютер. Одна из версий Jammer могла обнаруживать четыре модификации BackOrifice и 15 разновидностей NetBus, большинства троянских коней, NetBios, Legion и Ogre, дырки в ICQ Personal Web Server и многое другое. Jammer не только устанавливает факт вторжения, но и удаляет все следы пребывания хакеров, наказывая их отправлением письма их системному администратору.

При запуске программы указывается список прослушиваемых портов. При попытке установления соединения Iptrap блокирует хост, используя внешний брандмауэр (iptables/ipchains). Включена поддержка протокола IPv6.

Программа позволяет создавать виртуальные хосты в сети (теоретически до 65 535 виртуальных хостов с одного физического адреса). Они могут быть сконфигурированы для выполнения произвольных сервисов и способны имитировать различные версии ОС. Сканеры безопасности nmap и xprobe действительно определяют те версии ОС, которые заданы в системе. Любой тип сервиса на виртуальной машине моделируется согласно простому файлу конфигурации. В качестве альтернативы можно использовать какой-либо сервис реальной системы. Honeyd позволяет создать целую виртуальную сеть со своей топологией, коллизиями, потерями пакетов. При этом каждый узел этой сети моделируется с различными адресами и ОС (рис. 1.7).

Рисунок 1.7 - Вариант структуры ЛИС, построенной с помощью Honeyd

имитирует работу распространенных сетевых сервисов (Telnet, FTP, VNC, POP, HTTP, SMTP, SOCKS и т. д.). Поддерживает прослушивание портов, позволяет обнаружить сетевые черви (worms). Поддерживаются наиболее распространенные методы исследования систем, предоставлена возможность программирования поведения ложного сервиса с имитацией какого-либо вида уязвимости. Система проста в установке и в управлении. Сохраняет данные в лог-файлах. Поддерживает собственные скрипты, написанные на языках Perl и C. Совместим с скриптами, написанными для Honeyd. ’n’Switch'n'Switch [11] является ЛИС, реализующей механизм отвлечения злоумышленника от защищаемых объектов. Bait’n’Switch  реализован как расширение известной системы обнаружения атак (СОА) Snort. Всякий раз, когда обнаружена успешная атака, СОА фильтрует атаку и, изменяя маршрут соединения, перенаправляет весь дальнейший трафик от атакующего узла к ЛИС. Этот процесс скрыт от злоумышленника так, чтобы он не обнаружил подмены. Позже дальнейшее взаимодействие злоумышленника с ЛИС может быть проанализировано, а реальная защищаемая система таким образом может избежать дальнейших действий злоумышленника.

Intrusion Trap systemTrap system [12] является улучшенной версией Bait’n’Switch. В случае, когда СОА обнаруживает атаку, Intrusion Trap system в состоянии передать установленное подключение к ЛИС. Таким образом, даже первое подключение может быть обработано ЛИС и злоумышленник не замечает, что он не имеет доступа к реальной системе. Первая атака не блокируется. Вместо этого она перенаправляется к ЛИС. [13] реализован как расширение honeyd. Эта система основана на идее, что любой трафик, направленный к honeypot, можно считать атакой. Honeycomb автоматически генерирует сигнатуры для всего поступающего трафика. Существующие сигнатуры обновляются всякий раз, когда был обнаружен подобный трафик. Таким образом, качество сигнатур увеличивается с каждой атакой. Механизм создает сигнатуры для всего трафика, направленного к honeypot. Впоследствии сигнатуры должны быть проверены вручную на предмет того, являлось ли обнаруженное соединение атакой. HoneypotHoneypot - простая ловушка, программа, основанная на iptables redirects и xinetd. Прослушивает все TCP порты, не используемые в настоящее время, регистрирует все подключения и обеспечивает минимальную обратную связь с нападающим. Программа позволяет ввести в заблуждение большинство известных автоматизированных сканеров.HAT

(High Interaction Honeypot Analysis Toolkit) позволяет преобразовывать произвольные PHP-приложения в ложные web-объекты (Honeypot) высокого уровня взаимодействия. Кроме того, в HIHAT реализован графический пользовательский интерфейс, который поддерживает процесс контроля Honeypot и анализа собранных данных. Типичным применением является преобразование PHPNuke, PHPMyAdmin или OSCommerce в полнофункциональный Honeypot, который предлагает злоумышленникам полную функциональность приложений, но выполняет при этом всесторонний мониторинг и регистрацию всех событий в фоновом режиме.

Возможности HIHAT:

автоматическое выявление известных атак;

обнаружение SLQ-инъекций, удаленного изменения файлов, «межсайтового выполнения сценариев» (Cross-Site Scripting Scripting, XSS) [14], попыток загрузки вредоносного программного обеспечения и т.д.;

режим обзора статистики, позволяющий просматривать и быстро осуществлять поиск новых инцидентов;

подробное информирование обо всех данных, связанных с проникновением злоумышленника в ЛИС;

сохранение копии вредоносных инструментов злоумышленника в защищенном хранилище для дальнейшего анализа.

В частности, эта ЛИС может с использованием карт googlemap отображать статистику по местонахождению источников атак на карте мира (рис. 1.8). Для этого используются механизмы определения в сервисе whois местоположения источников по их IP-адресу.

Рисунок 1.8 - Отображение системой HIHAT статистики о местонахождении источников атак


Список существующих программных ЛИС можно существенно расширить. Большое количество такого ПО можно найти по следующим адресам:

<#"577144.files/image009.gif"> Рисунок 1.9 - Схема классификации ЛИС

В составе целевых АС могут быть наиболее эффективные и сложные в настройке и эксплуатации ЛИС, которые позволяют обнаружить, отслеживать, пресекать атаки изнутри и дезинформировать злоумышленников.

) По назначению:

производственные ЛИС;

исследовательские.

Производственные ЛИС применяются для защиты ресурсов АС и снижения риска их компрометации. Как правило, их легче реализовать, так как они обладают меньшей функциональностью, чем исследовательские ЛИС. Вследствие простоты их сложнее использовать для атак на другие системы. Однако они могут предоставить меньше информации о злоумышленнике.

Производственные ЛИС должны способствовать реализации трех основных функций защиты АС от атак: препятствованию, обнаружению и реагированию с подключением обманных механизмов, исходя из основных целей злоумышленника по реализации угроз нарушения: конфиденциальности, доступа, целостности. Традиционными механизмами защиты, обеспечивающими препятствование атакам, являются межсетевое экранирование, разграничение доступа, аутентификация и шифрование.

В отличие от перечисленных механизмов ЛИС непосредственно не реализует функции препятствования, однако косвенно они повышают степень препятствования, отвлекая на себя внимание злоумышленников, повышая трудоемкость реализации атаки, и в итоге, снижая риск реализации атаки.

Если атака направлена на реализацию угрозы конфиденциальности, ЛИС может имитировать объект, содержащий специально подготовленную открытую и поддельную конфиденциальную информацию (рис. 1.10).

Рисунок 1.10 - Пример имитации ложных объектов в целях отвлечения злоумышленника от реальной системы или дезинформации


В обнаружении атак ЛИС участвуют непосредственно. Традиционные системы обнаружения вторжений имеют существенные недостатки: большое количество ложных срабатываний и неспособность обнаружить неизвестные атаки. ЛИС способствуют улучшению показателей количества ложных срабатываний, числа пропусков атак, возможностей обнаружения скрываемых и новых атак, а также агрегирования данных. Это обусловлено тем, что объем трафика, направляемого на ЛИС (по сравнению с целевой АС), - невелик и практически весь этот трафик является злонамеренным. Производственные ЛИС можно использовать для реализации действий в ответ на атаку - реагировать (например, разоблачать злоумышленников после того, как они определят уязвимость) или для анализа ситуации в АС, в которую проник злоумышленник. Ложные информационные системы реагируют на действия атакующего, вводя его в заблуждение (обман), и помогают собрать детальную информацию об атаке и атакующем для последующего выбора наиболее адекватной реакции. Реализация обманных функций осуществляется путем навязывания нарушителю ложной информации за счет эмуляции несуществующих сетевых сегментов, серверов, рабочих станций, их уязвимостей, защищенности от НСД.

Исследовательские ЛИС применяются для изучения действий злоумышленника, используемых ими стратегий и средств с целью построения более эффективных механизмов защиты и повышения безопасности целевых АС. ЛИС данного типа характеризуются высоким уровнем взаимодействия с злоумышленником. Исследовательские ЛИС позволяют отслеживать шаг за шагом действия нарушителей по компрометации систем, фиксировать их, изучать средства нападения, осуществлять ранее предупреждение и прогнозировать атаки.

Они более сложны и используют не эмулируемые, а реальные ОС и приложения. Однако, более высокая функциональность приводит к большим затратам на их сопровождение и к большему риску их компрометации и использования против других систем, чем у производственных ЛИС. В то же время различие между производственными и исследовательскими ЛИС не является принципиальным. Одни и те же ЛИС могут использоваться и как производственные, и как исследовательские.

Как показал анализ, проведенный в п.п. 3.1.1.1 и 3.1.1.2, на сегодняшний день ЛИС используют как правило именно в исследовательских целях.

) По уровню взаимодействия со злоумышленником:

низкий;

высокий.

Уровень взаимодействия с нарушителем определяет, какие возможности предоставляет ЛИС нарушителю по реализации атак. Чем большую свободу имеет атакующий, больший уровень интерактивности, большее время взаимодействия, тем больше информации можно собрать о его действиях, и тем больше объем работ по установке и поддержке системы и выше риск ее компрометации.

ЛИС с низким уровнем взаимодействия, как правило, являются производственными. Они эмулируют сервисы (и соответствующие ОС), ограничивая количество действий, которые может выполнить нарушитель с ЛИС. Это взаимодействие ограничивается тем, насколько подробно эмулируются сервисы. В отличие от ЛИС с высоким уровнем взаимодействия, не существует реальной ОС, к которой получает доступ злоумышленник. Преимуществом ЛИС с низким уровнем взаимодействия является простота их установки, а так же существенно снижается риск, связанный с компрометацией системы (получения нарушителем контроля над ЛИС и использования ее для атак на целевую АС).

Основное назначение ЛИС с низким уровнем взаимодействия состоит в
обнаружении атак, в частности, неавторизованного сканирования и попыток соединения, а также предупреждения о подозрительной деятельности. Эти ЛИС обладают ограниченной функциональностью и реализуются программно. При установке ЛИС программа эмуляции инсталлируется на узел и конфигурируются эмулируемые сервисы для заманивания и обмана нарушителей. Данные ЛИС позволяют собрать следующую информацию об атаке:

Время и дата атаки;адрес и порт источника атаки;адрес и порт назначения атаки и др.

Если эмулируемые сервисы поддерживают взаимодействие со злоумышленником, то ЛИС может фиксировать действия, выполняемые
злоумышленником. Полнота отслеживания действий нарушителя зависит от эмуляционных возможностей ЛИС. Недостатком таких ЛИС является то, что они не могут отслеживать и собирать более детальную информацию (такую как IRC чаты, e-mail, и т. п.).

ЛИС со средним уровнем взаимодействия реализуют более развитые
возможности по взаимодействию (в том числе временные) со злоумышленником, чем ЛИС с низким уровнем взаимодействия, но обладают меньшей функциональностью, чем ЛИС с высоким уровнем взаимодействия.
Отличительной особенностью таких ЛИС является создание
виртуальных ОС вместо реализации эмуляции сервисов.

Виртуальная ОС контролируется со стороны реальной ОС, но
предоставляет функциональность реальной ОС, хотя и специально ограниченную для уменьшения риска компрометации системы.

Достаточно высокая функциональность ЛИС позволяет эмулировать работу сетевых сегментов, серверов, рабочих станций, в том числе и их уязвимостей для заманивания и обмана.

Так как нарушителям предоставлены большие возможности по взаимодействию, и они могут получить доступ к реальной ОС, должны быть обеспечены защитные механизмы от возможной компрометации и использования ЛИС для последующих атак.

ЛИС со средним уровнем взаимодействия позволяют эффективно
выявлять, скрытно отслеживать и сдерживать, а также оперативно
анализировать атаки. Они выявляют вторжения на узлы и сети, сокращая при этом издержки за счет снижения числа ложных срабатываний, реагируют на действия нарушителей путем включения обманных механизмов.

Ключевые возможности таких ЛИС, при использовании дополнительных технологий, таких как МЭ и СОВ, позволяют:

обеспечивать эффективное выявление и сдерживание атак на критически важные целевые АС;

проводить скрытное отслеживание и сдерживание, а также оперативный анализ атак;

выявлять как вторжения на узлы, так и вторжения в сети, сокращая при этом издержки за счет снижения (практически исключения) числа ложных срабатываний;

обеспечивать централизованное управление,  основанную на правилах безопасности реакцию системы, большие возможности для подготовки отчетов и анализ тенденций в корпоративных информационно-вычислительных системах;

вести мониторинг случаев несанкционированного доступа к АС или ее использования не по назначению, причем для этого не потребуется ни обновления сигнатур безопасности, ни динамической настройки политики;

производить автоматизированную установку сеансов раннего оповещения;

использовать обманные механизмы по навязыванию нарушителю специально подготовленной информации при воздействии пассивных атак, направленных на доступ к информационным ресурсам АС;

оперативно восстанавливать целостность ЛИС в случае воздействия активных (деструктивных) атак.

ЛИС с высоким уровнем взаимодействия основаны на применении реальных информационных ресурсов, в том числе ОС и приложений. Вместо эмуляции сервисов ((ННТР, FTP, Telnet и др.) используются реальные сервисы. По сравнению с ЛИС с низким и средним уровнем взаимодействия эти ЛИС характеризуются значительно большими возможностями (в том числе временными) по захвату информации об атаках, но и более высоким риском компрометации и использования их для дальнейших атак. Такие ЛИС, как правило, являются исследовательскими, хотя могут быть использованы и как производственные. С целью уменьшения риска компрометации и обнаружения атакующим, что его действия отслеживаются, должны использоваться дополнительные технологии, такие как МЭ и СОА. При этом необходимо постоянно обновлять базу правил МЭ, базу сигнатур СОА и осуществлять мониторинг активности ЛИС.

ЛИС с высоким уровнем взаимодействия - это реальная компьютерная система, отличающаяся от целевой системы тем, что она не выполняет целевых задач (не содержит реальной информации), а служит для того, чтобы заманить злоумышленника и позволить скрытно изучать его действия, а так же отработать эффективные способы автоматического реагирования на атаки с обманом злоумышленника.

) По уровню введения в заблуждение (обмана) злоумышленника (рис. 1.11):

уровень сегмента;

уровень узла;

уровень сервиса /приложения.

На уровне сегмента ЛИС имитирует целевую систему. При обнаружении атаки нарушитель перенаправляется с целевой АС на ЛИС.

На уровне узла ЛИС имитирует хост целевой АС (рабочую станцию, сервер) и размещается в ее сети.

Рисунок 1.11 - Обобщенная архитектура ЛИС и реализуемые уровни введения в заблуждение


На уровне сервиса/приложения в рамках узла целевой АС каждое приложение/сервис формируется следующим образом: целевой модуль сервиса/приложения вместе с модулем обмана (ложным модулем) вкладывается в обертку, в режиме санкционированного использования при вызове сервиса/приложения управление передается целевому модулю. При обнаружении несанкционированного обращения управление передается модулю обмана.

1.3.4 Варианты применения современных ЛИС

Существует множество вариантов применения ЛИС в целях прямого или опосредованного повышения безопасности защищаемых ресурсов.

Повышение безопасности ЛВС

В сетях, где внутренняя защищенность с технической стороны оставляет желать лучшего, для пресечения возможных сетевых инцидентов, может успешно использоваться ЛИС (искусственная сеть, honeynet), которая позволит [15]:

выявить узлы, с которых происходит сканирование сети;

выявить узлы, с которых происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети;

выявить узлы, с которых происходят попытки или предпосылки для проведения DOS атаки;

выявить узлы, с которых происходит атака типа brute-force (подбор пароля методом перебора);

выявить узлы, с которых происходят попытки несанкционированной отправки писем;

выявить узлы, с которых происходят несанкционированные обращения к ресурсам сети;

выявить узлы, с которых происходит целенаправленная атака на ресурсы сети.

Такие узлы могут управляться как сотрудником организации, пренебрегающим политикой безопасности, так и сетевым червем, проникшим в них. В первом случае, собранные данные могут быть предъявлены в качестве доказательства неправомерных действий сотрудника в сети, во втором - поможет вовремя устранить возникшую проблему, которая еще не успела перерости в вирусную эпидемию. В любом случае, при использовании ЛИС в качестве своеобразной системы ловушки для СОА, можно косвенно повысить уровень информационной безопасности в сети, при чем затратами станут: не самый мощный компьютер и время администратора на обслуживание данного ресурса.

Идея построения ЛИС заключается в следующем. В сети выделяются свободные IP-адреса с различной степенью удаленности друг от друга (например, для сети класса C из диапазона 10.10.0.0/24 могут быть зарезервированы 10.10.0.15, 10.10.0.94, 10.10.0.212). С помощью, например, того же программного продукта honeyd создаются виртуальные узлы сети с ложными сервисами. Весь трафик на выделенные IP-адреса перенаправляется на один mac-адрес, на котором установлен honeyd. В базе DNS за выделенными IP-адресами, прописываются «красивые» имена (типа banks, zarplata, money и т.д.), на ресурсы которых, может позариться злоумышленник. Любая сетевая активность, направленная к выделенным IP-адресам, кроме широковещательных запросов, расценивается как атака. Это связано с тем, что, если данные IP-адреса не используются легальными ресурсами, то к ним не должны осуществляться запросы.

Наглядно, описанная схема ЛИС показана на рис 1.12.

Рисунок 1.12 - Схема ЛИС, повышающей безопасность ЛВС


Обнаружение узлов, участвующих в ботсетях

Одним из вариантов применения ЛИС является описанный в [16] способ обнаружения узлов, участвующих в ботсетях (botnet) [17].

Контроль DNS трафика - эффективный подход для выявления деятельности ботсетей. Выявление DNS трафика содержащего запросы доменных имен из черного списка, которые связаны с активностью ботсетей, позволяет обнаружить инфицированные узлы, входящие в ботсеть (рис. 1.13).

Рисунок 1.13 - Способ обнаружения узлов, участвующих в ботсетях


В докладе на конференции Black Hat Briefings in Europe (2004) была представлена идея проекта создания «Системы раннего предупреждения в сетях Провайдеров услуг Интернет» [18].

Отличие идеи проекта от вышеописанной заключается, в основном, в применении не только оконечных узлов, но и специализированного сетевого оборудования. Заявляется возможность раннего обнаружения этой системой с целью своевременного принятия мер:атак;

известных и неизвестных сетевых червей;

спама;

скрытых каналов передачи информации;

взломанных узлов;

открытых прокси-серверов;

попыток сканирования сетей.

Еще одним вариантом применения ЛИС в современных телекоммуникационных системах является борьба со спамом.

На практике эта возможность использовалась в исследовании описанном в [19]. В этом исследовании применяется известный программный инструмент для развертывания ЛИС Honeyd. С его помощью осуществляется наблюдение за открываемыми спамерами почтовыми релеями. Архитектура ЛИС представлена на рис. 1.14.

Рисунок 1.14 - Применение Honeyd для борьбы со спамом


Созданы сети с открытыми почтовыми релеями и прокси. В этих сетях осуществляется перехват всей электронной почты, относящейся к спаму, после чего проводится анализ причин получения спама. Один узел под управлением Honeyd способен одновременно моделировать несколько сетей C-класса. Он моделирует машины, на которых запущены почтовые серверы, прокси-серверы и веб-серверы. Захваченную электронную почту посылают в совместный спамфильтр, который позволяет другим пользователям избегать прочтения уже известного спама.                 

При проведении этого исследования дополнительно была осуществлена попытка определить типы ОС, которые наиболее часто используются для рассылки спама. Для этого проверялся тип ОС каждого узла, который устанавливал соединение с ЛИС. В 53% тип ОС установить не удалось. Однако среди остальных изученных узлов 43% были под управлением ОС Linux. Из результатов исследования был сделан вывод, что ОС Solaris, Windows и FreeBSD редко используются для рассылки спама.

Еще один пример исследования, направленного на использование ЛИС для защиты от спама представлен в [20].

ЛИС в беспроводных сетях

Исследование, описанное в [21], сосредоточено на обнаружении беспроводных атак, осуществляемых на втором уровне ЭМВОС, то есть, атак заключающихся в организации несанкционированного доступа в безопасную беспроводную сеть, построенную на стандарте 802.11. Это исследование проходит в рамках одного из направлений деятельности испанского отделения проекта Honeynet [22].

Описываемая беспроводная ЛИС названа HoneySpot. Параллельно в исследовании участнвую два типа HoneySpot:HoneySpot - моделирует общественную беспроводную сеть передачи данных (хотспот). Такие хотспоты обычно размещают в общественных местах для свободного доступа в сеть.HoneySpot - моделирует закрытую (частную) беспроводную сеть передачи данных, такую как доступные в корпорациях или дома. Как правило, частная сеть предлагает защищенный доступ к сети (корпоративной или домашней).

непосредственные атаки клиентов сети, заключающиеся в использовании уязвимостей на уровне ОС, таких как уязвимости администрирующего ПО или драйверов беспроводного интерфейса;

атаки, сосредоточенные на беспроводной инфраструктуре (например, точке беспроводного доступа);

атаки, направленные на обход средств защиты (например, МЭ), с целью незаконного получения полного доступа к сети.

С помощью Private HoneySpot обнаруживают:

непосредственные атаки клиентов сети, заключающиеся в использовании уязвимостей на уровне ОС, таких как уязвимости администрирующего ПО или драйверов беспроводного интерфейса;

атаки, сосредоточенные на беспроводной инфраструктуре (например, точке беспроводного доступа);

атаки, направленные на эксплуатацию уязвимостей на уровне протоколов, такие как слабость протоколов WEP или WPA/2, или механизмов аутентификации, предлагаемых WEP, WPA/2 WPA/2 pre-shared keys, или 802.1X/EAP;

атаки, направленные на обход других механизмов безопасности, используемые в беспроводных сетях, такие как фильтрация по MAC адресу, отключение SSID broadcast (широковещательная информация о зоне обслуживания) и т.д, с целью получения доступа к сети на 2 уровне ЭМВОС.

Архитектура беспроводной ЛИС HoneySpot представлена на рис. 1.15. Основными элементами ЛИС являются:

беспроводная точка доступа (WAP) как средство организации беспроводной инфраструктуры (может использоваться от одной до нескольких штук);

модуль беспроводного клиента (WC), выполняющий симуляцию трафика в беспроводной сети, который обеспечивает необходимый минимум информации злоумышленнику для  осуществления атак, характерных для беспроводных сетей, таких как взлом ключей протокола WEP методом повторной отправки перехваченных пакетов сообщений;

беспроводной регистратор (WMON), осуществляющий перехват и регистрацию всего трафика в сети для его анализа в режиме реального времени и анализа в последующем;

модуль анализа данных (WDA), выполняющий функцию анализа трафика, получаемого от регистратора, и выявления несанкционированной активности;

модуль проводной архитектуры (WI), выполняющий функции имитации проводной сети, к которой подключена беспроводная (может понадобиться еще и в случае, когда атака на беспроводную сеть привела к нарушению ее функционирования).

Известны еще, по крайней мере, два проекта, осуществляющие исследования атак в беспроводных сетях с помощью ЛИС [23,24].

Отлов вредоносного программного обеспечения

Наверное наиболее широко распространенным является вариант применения ЛИС для отлова нового вредоносного ПО [25,26].

Корпорация Microsoft развернула проект Strider Honeymonkey Exploit Detection System (SHEDS). Речь идёт об автоматической системе поиска сайтов, распространяющих программы с потенциально опасными последствиями, например, трояны или эксплоиты.

Рисунок 1.15 - Архитектура беспроводной ЛИС HoneySpot


Отличие SHEDS от проекта Honeynet состоит в следующем. «Пассивная» сеть Honeynet работает как приманка - пассивно дожидается заражения. Узлы «активной» сети SHEDS сами «ищут неприятности». Эти узлы в автоматическом режиме просматривают «сомнительные» ресурсы сети Интернет пытаясь найти сайты, заражающие компьютеры.

Основная идея проекта состоит в том, чтобы обнаруживать новые эксплойты, трояны и spyware до того, как те получат изрядное распространение.

ЛИС в SCADA системах

Известны также исследования направленные на создание ЛИС для автоматизированных систем управления технологическими процессами (SCADA systems) [27]. Целью проекта является сбор информации об уязвимостях и недостатках архитектуры современных SCADA систем с точки зрения безопасности. В рамках работы ведтуся работы по созданию инструментов, позволяющих имитировать клиент-серверные АСУ ТП (SCADA), распределенные АСУ ТП (DCS), и программируемые логические контроллеры (PLC). Работу над проектом ведут специалисты Cisco Systems, Inc.

.4 Роль и место ЛИС в защите ИВС. Постановка задачи

Из проведенного в п. 1.2 анализа можно сделать вывод, что направление защиты информации развития объекта защиты в современных ИВС практически не реализовано, решаются лишь задачи блокирования несанкционированного доступа к обрабатываемой информации и к элементам ИВС.

В то же время анализ возможностей существующих ЛИС показывает, что ЛИС могли бы взять на себя функции предупреждения атак на элементы ИВС, существенно повысив таким образом их безопасность.

Таким образом, результаты анализа условий функционирования современных ИВС, проведенного в первом разделе работы, позволили сформулировать следующую задачу на дипломное проектирование: разработка методов и алгоритмов функционирования ложных информационных систем.

Выводы по разделу

. Рассмотрена структура типовой ИВС и структурная модель угроз информации в ИВС.

. Проведенный анализ современных подходов к защите ИВС показал, что большинство средств защиты направлены решение задачи управления доступом к информации, в то же время направление предупреждения угроз методами введения нарушителей в заблуждение не развиты.

. Анализ современных ложных информационных систем показал, что они могли бы решать задачи защиты ИВС методами введения в заблуждение, однако на сегодняшний день им, как правило, отводится роль приманок, применяемых в целях изучения возможностей злоумышленников.

. Сделаны выводы о необходимости разработки методов и алгоритмов функционирования ложных информационных систем.

2. РАЗРАБОТКА АЛГОРИТМОВ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ МЕТОДАМИ ВВЕДЕНИЯ НАРУШИТЕЛЕЙ В ЗАБЛУЖДЕНИЕ

Реализация предлагаемого подхода требует, чтобы ЛИС были неотъемлемой частью системы защиты ИВС. Их роль должна заключаться в заблаговременном формировании в ИВС обстановки, которая позволит минимизировать потери на этапе осуществления нарушителем деструктивных воздействий на элементы ИВС.

Тесное взаимодействие системы защиты и ЛИС должно позволить выявить активность противника и направить ее на ложные объекты.

Далее, когда речь уже идет о реализации атаки на реальные или ложные элементы системы, роль ЛИС заключается в том, что система защиты должна выявлять атаки или разведку и переводить их в ЛИС, снижая их эффективность для нарушителя и предоставляя дополнительное время для формирования модели поведения защиты.

.1 Методы введения нарушителей в заблуждение

На рис. 2.1 проиллюстрован пример реализации угроз распределенной ИВС в которую входят три ЛВС, состоящих из оборудования связи и автоматизации управления, а также оконечного телекоммуникационного оборудования, обеспечивающего доступ к ССОП. ССОП представляет собой совокупность транзитных узлов (маршрутизаторов), образующих единую инфраструктуру.

Из рисунка видно, что внешний нарушитель или внутренний нарушитель, находящийся в одной из ЛВС распределенной ИВС, имеют возможность:

осуществления НСД в ЛВС1 и дальнейшего ее исследования;

удаленного доступа в ЛВС1 из доверенной ЛВС;

осуществления различных несанкционированных воздействий (НСВ) на элементы ЛВС1 (НСД, компьютерные атаки и вирусные воздействия).

Рисунок 2.1 - Пример угроз ИВС


Для реализации целей предупреждения НСВ на элементы ЛВС целесообразно использовать ЛИС, которые будут при попытках обращения создавать видимость доступа к ресурсам. Нарушителей, которых можно вводить в заблуждение таким образом можно разделить на три категории.

. Внешний нарушитель. Определив своей целью ЛВС1 осуществляет действия по более глубокому ее изучению.

. Внутренний нарушитель. Санкционированный либо несанкционированный пользователь ЛВС1, изучающий ее структуру при помощи специализированного ПО, либо осуществляющий стихийные попытки доступа к ресурсам ЛВС1.

. Внутренний нарушитель. Санкционированный либо несанкционированный пользователь другой ЛВС, имеющий доступ в защищаемую ЛВС, но также несанкционированно изучающий ее структуру или осуществляющий попытки несанкционированного доступа к ресурсам.

Выявление НСВ всех категорий нарушителей должно приводить к перенаправлению их запросов на ЛИС, которые в дальнейшем будут имитировать взаимодействие с ними. При этом необходимо учесть, что когда нарушитель внутренний, необходимо принять меры не только по пресечению его действий, но и по его выявлению.

На рис. 2.2 представлена схема информационных потоков нарушителей всех описанных выше категорий. Несанкционированные ИП нарушителей должны выявляться модулем обнаружения несанкционированных воздействий (МОНСВ). В МОНСВ реализован механизм перенаправления несанкционированных ИП на модуль введения в заблуждение (МВВЗ) ЛИС, вместо их блокирования, осуществляемого традиционными средствами защиты.

Рисунок 2.2 - Схема информационных потоков нарушителей при использовании ЛИС


МОНСВ как составная часть системы защиты ЛВС может быть выполнен в виде распределенной системы агентов с единым сервером безопасности - сервером ЛИС (рис. 2.3). При этом агенты выделяют идентификационные признаки из ИП, а все решения принимаются сервером безопасности.

  Рисунок 2.3 - Пример реализации МОНСВ, основанного  на распределенной сети агентов


Другим вариантом решения проблемы может быть сегментирование ЛВС и установка между сегментами единого МОНСВ, перенаправляющего несанкционированные ИП на подключенный к нему МВВЗ (рис. 2.4), либо выполнение сервером ЛИС всех функций в одном месте. Это решение однако обладает недостатком, заключающимся в том, что несанкционированные ИП, не выходящие за пределы сегмента ЛВС не могут быть выявлены таким образом. Но при этом в случае, когда опасность НСВ заключается именно в доступе в другой сегмент, может быть использован и этот подход. Кроме того, в этом случае невозможно выявлять неуспешные попытки доступа к ресурсам ЛВС.

Далее необходимо разработать алгоритмы функционирования ЛИС.

Рисунок 2.4 - Пример реализации МОНСВ, основанного на сегментировании ЛВС


.2 Алгоритмы функционирования ЛИС

На рис. 2.5 представлена блок-схема обобщенного алгоритма функционирования ЛИС. На начальном этапе в ЛИС необходимо сформировать базу исходных данных об эмулируемых ресурсах. В этой базе должны быть заданы:

­- перечень эмулируемых операционных систем;

перечень эмулируемых сетевых сервисов для каждой из эмулируемых операционных систем;

перечень уязвимостей для каждого из эмулируемых сетевых сервисов;

перечень эмулируемых прикладных систем;

перечень других эмулируемых ресурсов.

Должны быть также предварительно заданы ресурсы, необходимые для эмуляции (средства эмуляции, алгоритмы эмуляции, алгоритмы выбора эмулируемых ресурсов).

Сложность этого этапа зависит от применяемой технологии ЛИС (от способа эмуляции ресурсов) и вида ресурса, который необходимо эмулировать. Некоторые ресурсы, такие как файлы с данными или базы данных прикладных систем эмулировать слишком сложно, поэтому задача сводится к предварительному формированию базы готовых ресурсов, которые будут использоваться на этапе эмуляции.


Когда все исходные данные сформированы и ЛИС готова к использованию, переходят к этапу выявления попыток осуществления несанкционированных воздействий злоумышленниками.

выявление нарушений политики межсетевых экранов ИВС;

выявление попыток сканирования состава ИВС;

выявление попыток сканирования портов узлов ИВС;

выявление попыток осуществления компьютерных атак на узлы ИВС (в том числе воздействий вредоносного ПО, такого как сетевые черви, эксплоиты);

выявление несанкционированных попыток осуществления доступа к узлам ИВС;

выявление неуспешных попыток подключения к любым ресурсам (файлы и папки в сетевом доступе, базы данных, прикладные системы), требующим прохождения процедуры аутентификации.

Попытки действий, нарушающих политику межсетевого экрана однозначно указывают на несанкционированную деятельность в сети, будь то реальные действия злоумышленника, случайные или преднамеренные действия сотрудника организации, поэтому при их выявлении МОНСВ должно приниматься решение о введении такого нарушителя в заблуждении, т.е. перенаправления его запросов в ЛИС. То же самое касается и политик персональных межсетевых экранов, которые могут также входить в систему элементов МОНСВ. Межсетевые экраны повсеместно используются для контроля межсетевого взаимодействия, поэтому описывать суть их политик здесь нет необходимости. В данном случае важно лишь предусмотреть взаимодействие межсетевого экрана и ЛИС.

Сканирование состава ЛИС может не противоречить напрямую политике межсетевых экранов, однако в большинстве случаев не может рассматриваться как санкционированная деятельность. В связи с этим должны быть предусмотрены механизмы выявления попыток сканирования. Как правило, сканирование диапазона сетевых адресов в большинстве средств сканирования по умолчанию осуществляется по возрастанию адресов начиная с 1 (например, с IP адреса 192.168.0.1 по адрес 192.168.0.255). При этом первый адрес обычно резервируется под сервер. Таким образом, если оставить этот адрес в сети пустым, остается лишь предусмотреть выявление попыток обращения к первому адресу сети и воспринимать его как попытку сканирования. В специализированных сканерах безопасности в связи с тем, что сканирование диапазона адресов подряд может быть воспринято системой обнаружения атак как атака, предусмотрены механизмы сканирования всего диапазона, но по случайному алгоритму. В этом случае сканирование не будет начинаться с первого адреса в сети. В связи с этим в СОА можно предусмотреть перечень адресов, существующих в сети, а все попытки обращения к адресам, которых в этом перечне нет рассматривать как попытки сканирования сети.

Сканирование портов также является признаком несанкционированной деятельности в сети, и также может осуществляться как последовательным, так и случайным образом. Необходимо предусмотреть аналогичные механизмы выявления сканирования портов узлов ИВС.

Для выполнения двух указанных выше задач в составе МОНСВ должны быть предусмотрены сенсоры СОА на сетевом и/или узловом уровнях, которые должны осуществлять взаимодействие с МВВЗ.

Компьютерные атаки и другие деструктивные воздействия также должны обнаруживаться СОА. Задача также должна решаться сенсорами.

Попытки несанкционированного осуществления доступа к узлам ИВС и их ресурсам традиционно блокируются в результате непрохождения нарушителем процедуры аутентификации. Необходимо предусмотреть идентификацию таких событий и реализовать механизмы перенаправления нарушителя в МВВЗ. Идентификация указанных событий традиционно реализуется средствами защиты информации от несанкционированного доступа.

Еще одним методом выявления несанкционированных действий является анализ регистрационной информации в журналах аудита безопасности всех устройств и средств защиты в ИВС и ее сопоставление. События, зарегистрированные на одном узле сети могут не классифицироваться как несанкционированные действия, но в совокупности с событиями другого узла могут говорить об атаке. Например, ICMP-запрос Echo-Reply (ping-запрос) к одному узлу ИВС еще не атака, но последовательная отправка такого запроса ко всем узлам сети уже говорит о сканировании состава ИВС.

Запоминание злоумышленника - этап, необходимый для того, чтобы выявив несанкционированные воздействия и их источник, в дальнейшем система расценивала все его действия как несанкционированные и осуществляла введение его в заблуждение. Это позволяет не допустить дальнейших действий нарушителя, даже если они не будут распознаны системой как враждебные.

На следующем этапе система уведомляет администратора ИБ об инциденте для того, чтобы он начал предпринимать действия по выявлению источника атаки и предотвращению потерь в результате ее осуществления.

После того, как факт несанкционированного воздействия или попытки его осуществления установлен, вступает в игру МВВЗ, который, во-первых, позволяет минимизировать потери в реальной системе за счет отвлечения злоумышленника на эмулируемые ресурсы, а во-вторых, позволяет выиграть время, необходимое администратору ИБ на расследование зарегистрированного инцидента. Алгоритмы функционирования ЛИС при эмуляции некоторых ресурсов представлены ниже.

Вся деятельность злоумышленника по отношению к эмулируемым ресурсам должна быть зарегистрирована. Для этого применяются усиленные механизмы аудита событий и скрытая передача регистрируемой информации из ложных объектов в защищенное хранилище, которое не может быть выявлено и вскрыто злоумышленником.

Таким образом, ЛИС позволяет достичь основной цели - предупреждения атаки, путем заблаговременного формирования среды, позволяющей при выявлении несанкционированных действий нарушителя направлять их на ложные объекты ИВС, а также предоставления администратору ИБ временных ресурсов и необходимых улик для расследования инцидента.

.2.1 Алгоритм эмуляции узлов ИВС

На рис. 2.6 представлена блок-схема алгоритма эмуляции узлов ИВС.

Средствами МОНСВ отслеживается все сетевая активность. При приеме каждого очередного запроса система анализирует его на предмет того, не является ли источник этой активности уже зарегистрированным в системе злоумышленником.

В случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней.

В случае если признаков несанкционированного воздействия в анализируемом запросе не выявлено, он передается дальше к элементам ИВС.

В соответствии с описанным выше обобщенным алгоритмом функционирования ЛИС при выявлении признаков несанкционированных воздействий в анализируемом запросе адрес источника активности запоминают и оповещают об инциденте администратора ИБ.

Далее идентифицируется тип несанкционированного воздействия. В случае, если выявляется попытка сканирования сети, принимается решение о введении нарушителя в заблуждение относительно состава ИВС. Для этого случайным образом формируется перечень адресов, на которых будут эмулироваться ложные объекты ИВС, после чего переходят к приему очередного запроса.

Рисунок 2.6 - Блок схема алгоритма эмуляции узлов ИВС


В случае если выявленная активность не является сканированием сети, происходит эмуляция узлов сети, для того, чтобы осуществляя анализ узла ИВС, злоумышленник убедился в его наличии.

Эмуляция узлов сети выполняется последовательно (рис. 2.7). Случайным образом из предварительно заданного перечня эмулируемых ресурсов выбирается операционная система. Далее для эмуляции выбираются сервисы, которые присущи выбранной операционной системе, и эмулируются в рамках того же узла, после чего из перечня известных уязвимостей каждого сервиса выбираются уязвимости (или наборы уязвимостей) и также эмулируются.

Рисунок 2.7 - Пространство эмулируемых признаков узла ИВС


Далее запрос злоумышленника направляется в эмулированный узел ИВС, а его деятельность в системе в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС осуществляется регистрация действий нарушителя.

.2.2 Алгоритм эмуляции прикладных систем

На рис. 2.8 представлена блок-схема алгоритма эмуляции прикладных систем.

Активность пользователей также как и в предыдущем случае отслеживается средствами МОНСВ, а именно компонентами, отвечающими за аутентификацию пользователей в прикладных системах.

В случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней, а именно: определяется правильные ли аутентификационные данные введены пользователем.

Рисунок 2.8 - Блок схема алгоритма эмуляции прикладных систем


При нормальном прохождении процедуры аутентификации пользователем ему предоставляется обычный доступ к прикладной системе.

В случае если пользователь вводит неправильные аутентификационные данные, его адрес запоминают и оповещают об инциденте администратора ИБ. На самом деле однократная ошибка пользователя при вводе логина и пароля - обычное дело, всего лишь опечатка. Поэтому в системе должен быть предусмотрен счетчик неудачных попыток аутентификации и система должна принимать решение о введении пользователя в заблуждение лишь с третьей или пятой неудачной попытки аутентификации, т.е. в случае, когда явно осуществляется попытка подбора пароля.

Далее осуществляют эмуляцию интерфейса прикладной системы. Осуществление взаимодействия пользователя с ложным интерфейсом прикладной системы  которая может быть реализовано двумя способами:

предоставлением доступа ложного интерфейса прикладной системы к ложной базе данных, сформированной на предварительном этапе в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС;

выдача сообщения о неизвестной ошибке, произошедшей при подключении к БД.

Первый вариант взаимодействия достаточно сложен в реализации, к тому же с одной стороны нарушитель будет считать, что получил доступ в систему, но с другой стороны он может определить, что база данных является ложной. Далее все возможные действия злоумышленника в системе регистрируются.

Второй вариант взаимодействия с одной стороны не позволяет надолго привлечь внимание злоумышленника, а с другой стороны две-три попытки доступа к системе, приводящие к такому результату явно указывают на несанкционированную активность.

.2.3 Алгоритм эмуляции файловых ресурсов

Блок схема алгоритма эмуляции файловых ресурсов представлена на рис. 2.9.

Активность пользователей также как и в предыдущих случаях отслеживается средствами МОНСВ, а именно компонентами, отвечающими за защиту информации от несанкционированного доступа.

Рисунок 2.9 - Блок схема алгоритма эмуляции файловых ресурсов


В случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней, а именно: определяется имеет ли пользователь, обращающийся к ресурсу, соответствующие права доступа.

При наличии у пользователя прав доступа ему предоставляется возможность работы с файлом.

В обратном случае адрес нарушителя запоминают и оповещают об инциденте администратора ИБ.

Далее осуществляют эмуляцию доступа нарушителя к файлу, которая может быть выполнена двумя способами:

предоставление доступа к ложному файлу, предварительно созданному в базе данных ЛИС в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС, при этом ложному файлу присваивают имя файла, к которому злоумышленник запросил доступ;

формирование файла такого же размера с таким же названием и расширением, который при этом не будет открываться, т.е. формирование случайного массива данных с расширением запрашиваемого файла.

Первый вариант сложнее в реализации в связи с тем, что необходимо достаточно быстро сгенерировать (найти) файл такого же объема и с таким же расширением в базе данных ЛИС, что практически невозможно без снятия какого либо из ограничений.

Второй вариант намного проще в реализации и позволяет зафиксировать неоднократную попытку пользователя открыть файл в ответ на сообщение об ошибке при открытии, а это указывает на несанкционированную деятельность пользователя.

.3 Разработка требований к реализации базовых функций ЛИС

Базовые функции ЛИС должны включать в себя:

прослушивание сетевого трафика и захват данных  для последующего анализа (фиксация действий нарушителя);

сбор и объединение данных от различных программных  и аппаратных компонентов целевой АС;

переадресация несанкционированных запросов на компоненты ЛИС;

контроль действий нарушителя, в том числе оповещение администратора о компрометации, блокирование действий  нарушителя;

обнаружение несанкционированных запросов и атак, включая  атаки, осуществляемые по криптографическим соединениям;

заманивание и автоматическое реагирование на действия  нарушителя с введением его в заблуждение (обмана).

Прослушивание сетевого трафика и захват данных для последующего анализа (фиксация действий нарушителя).

Для прослушивания и захвата сетевого трафика целесообразно использовать программу типа tcpdump [Tcpdump] (для Unix-платформы), либо ее аналог windump [Windump] (для Windows-платформы). Для более детального анализа трафика необходимо применять : несколько сенсоров, производящих «прослушивание» сети, например: один перед граничным хостом, второй - в демилитаризованной зоне (ДМЗ). третий - в локальной вычислительной сети. Для создания модулей формирования, обработки и отправки пакетов требуется использование библиотеки типа Libnet (для UNIX-платформ). либо ее аналога libnelNT (для Windows-платформы) Последняя для своей работы требует наличие Winpcap.

Для создания модулей «прослушивания» и захвата сетевых пакетом можно применить библиотеку типа Libpcap (для Unix-платформы) или Winpcap (для Windows-платформы).

Сбор и объединение данных от различных программных и аппаратных компонентов целевой АС.

дамп сетевого трафика (из нескольких источников);

журналы регистрации событий операционных систем;

журналы регистрации событий различных приложений (систем  обнаружения вторжений, межсетевых экранов, баз данных и др.).

Для обеспечения эффективной фиксации действий нарушителей необходимо использовать несколько различных уровней сбора данных.

Первый уровень - это шлюз на границе периметра защищаемой сети.
Сетевые пакеты на данном уровне могут отслеживаться с использованием
МЭ и СОА. Здесь пассивно просматривается сетевой трафик, который поступает в сеть, идентифицируются и блокируют удаленные атаки. Использование данного уровня обеспечивает запись и регистрацию всех
действий нарушителей для последующего анализа. В частности, шлюз позволяет восстанавливать такие данные, как учетные записи и пароли к примеру, из открытых протоколов, таких как IRC, НTTP или telnet.

По журналу регистрации, содержащему информацию о передаче файлов, можно восстановить, какой инструментарий применялся нарушителем. Даже при использовании зашифрованных протоколов, с помощью пассивного анализа характерных признаков пакетов возможно определить тип атакующей системы и ее возможное местонахождение.

Второй уровень сбора данных - это журнал регистрации мостового (граничного) компонента второго уровня, реализуемого, например, на основе использования МЭ или СОА. Этот компонент должен иметь механизм фильтрации и модификации пакетов, позволяющий блокировать исходящие соединения при обнаружении определенной сигнатуры (например, достижении установленного предельного числа исходящих соединений) и (или) изменять содержимое сетевых пакетов, обезвреживая атаки. Тот же самый механизм может использоваться для регистрации всех входящих и исходящих соединений.

Входящие соединения содержат важную информацию, поскольку с их помощью, скорее всего, выполняется несанкционированная деятельность или атаки. Исходящие соединения имеют еще большее значение, поскольку могут свидетельствовать о проникновении нарушителя в ЛИС и поскольку исходящее соединение инициирует хакер.

Третий уровень предназначен для сбора информации о деятельности нарушителя в системе, в том числе о командах, инициированных нарушителем. Нарушители, чтобы скрыть свои действия, могут использовать шифрование и такие протоколы, как SSH и HTTPS. Например, как только нарушитель проник на узел ЛИС, он может осуществлять удаленное администрирование системы с помощью SSH. Для решения этой проблемы можно использовать специальные модули ядра ОС, устанавливаемые на хостах, которые могут стать объектами атак. Эти модули накапливают информацию обо всей деятельности нарушителей.

Информацию, которую собирают модули ядра, нельзя сохранять локально на хосте, поскольку нарушитель может обнаружить и удалить или изменить эту информацию. Поэтому указанную информацию необходимо удаленно собирать на защищенной системе, причем так, чтобы нарушитель об этом не знал. Это должны выполнять компоненты второго уровня. Они таким образом действуют как сетевой анализатор, накапливающий сведения и регистрирующий всю деятельность нарушителей, записывая в том числе все пакеты, сгенерированные модулями ядра.

Однако, нарушители могут проанализировать трафик в ЛИС и обнаружить, что в пересылаемых пакетах содержатся сведения об их собственной деятельности. Чтобы воспрепятствовать этому, модуль ядра должен маскировать пакеты, например, под трафик NetBIOS, передаваемый из других систем. Причем IP- и МАС-адреса отправителей и получателей могут маскироваться под адреса локального сервера Windows, а данные, содержащиеся в пакетах, - шифроваться. В этом случае, даже если нарушитель осуществляет перехват и анализ пакетов, то для него они будут выглядеть как обычный трафик.

Эти многочисленные уровни сбора данных гарантируют, что будет получено истинное представление о деятельности нарушителей. Важным аспектом в решении поставленной задачи является возможность использования стандартных средств операционных систем для сбора журналов регистрации событий. В качестве подобных средств можно использовать программный пакет такой как syslog-ng, способный собирать журналы регистрации событий с ОС Linux на одном выделенном сервере. Для операционных систем Windows существует несколько клиентов, работающих совместно с syslog-ng.

Подобная связка позволяет практически для любой конфигурации защищаемой сети использовать одинаковый механизм регистрации событий на уровне ОС. Необходимо также, чтобы такие компоненты ЛИС, как антивирусное ПО, сервисы и приложения, системы контроля целостности файлов и др. также записывали события, отражающие их работу, в журналы регистрации событий.

Таким образом, на одном выделенном сервере должны быть сосредоточены дампы сетевого трафика с нескольких хостов сети и общий для всей сети журнал регистрации событий, что позволит администратору иметь общую картину о состоянии сети на любой момент времени.

Контроль действий нарушителя, в том числе оповещение администратора о компрометации, блокирование действий нарушителя

Цель контроля действий нарушителя - снизить риск несанкционированного использования ЛИС. Для этого необходимо гарантировать, что после того, как нарушитель проник в ЛИС, он не сможет использовать ее ресурсы для реализации атак на другие системы. Поскольку необходимо предоставить нарушителям возможность попасть в ЛИС, но не позволить им проникнуть дальше и нанести вред другим системам, необходимо изолировать данные системы. Эта задача может быть выполнена с помощью дополнительного мостового (граничного) компонента ЛИС (сенсора ЛИС), реализуемого, например: на основе использования МЭ или СОА. Этот компонент реализует фильтрацию и модификацию исходящих сетевых пакетов, обеспечивая блокировку исходящих соединений при обнаружении определенной сигнатуры и (или) изменение содержимого сетевых пакетов для обезвреживания атак. Поскольку мост действует на втором уровне передачи пакетов, не происходит никакого замедления при маршрутизации пакетов или появления МАС-адресов, которые может идентифицировать нарушитель. Следовательно, мост позволяет злоумышленникам проникнуть в сеть, но и дает возможность контролировать их действия и исходящий трафик. Основной принцип реализации механизмов контроля данных состоит в предоставлении нарушителям свободы действий в ЛИС и в то же время недопущении нанесения вреда другим системам.

Заманивание и автоматическое реагирование на действия нарушителя с введением его в заблуждение (обмана).

При обмане нарушителя должно осуществляться его заманивание за счет имитации различных уязвимостей, сокрытие реальной структуры защищаемой АС и ее ресурсов, введение нарушителя в заблуждение и навязывание ему ложной информации за счет эмуляции несуществующих сетевых сегментов, серверов, рабочих станций, их уязвимостей, защищённости от НСД и передаваемого трафика.

Выводы по разделу

. Сформулированы методы введения нарушителей в заблуждение, определившие основные задачи ложных информационных систем.

. Разработан обобщенный алгоритм функционирования ложной информационной системы, подробно описывающий методы выявления несанкционированных воздействий.

. Разработаны алгоритмы эмуляции ложной информационной системой узлов информационно-вычислительной системы, прикладных систем и файловых ресурсов, позволяющие решать задачи введения противника в заблуждение и предупреждения таким образом несанкционированных воздействий на элементы информационно-вычислительной системы.

. Сформулированы требования к реализации базовых функций ложных информационных систем.

ЗАКЛЮЧЕНИЕ

В дипломном проекте была описана типовая структура вычислительной системы и структурная модель угроз информационным ресурсам информационно-вычислительных систем.

Проведен анализ современных подходов к защите информационно-вычислительных систем, который показывает, что большинство средств защиты направлены решение задачи управления доступом к информации. В то же время направление предупреждения угроз методами введения нарушителей в заблуждение не развиты.

Обширный анализ современных ложных информационных систем позволил выявить, что ложные информационные системы могли бы решать задачи защиты информационно-вычислительных систем методами введения в заблуждение, однако на сегодняшний день им, как правило, отводится роль приманок, применяемых в целях изучения возможностей злоумышленников.

Разработанный алгоритм функционирования ложной информационной системы и алгоритмы эмуляции ложной информационной системой узлов информационно-вычислительной системы, прикладных систем и файловых ресурсов, позволяют решать задачи введения противника в заблуждение и предупреждения таким образом несанкционированных воздействий на элементы информационно-вычислительной системы.

Экономическая эффективность применения предложенных технических решений обоснована.

Таким образом, поставленные на дипломное проектирование задачи выполнены, а цель дипломного проекта достигнута - разработаны алгоритмы защиты информационно-вычислительных систем методами введения нарушителей в заблуждение, применение которых позволяет снять ряд существенных противоречий в области защиты информации.

Список использованных источников

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. - СПб.: Питер, 2003.-864 с.: ил.

Лукацкий А. В. Обнаружение атак. - СПб. : БХВ - Петербург, 2001. - 624 с.: ил.

А.В.Лукацкий. Обман - прерогатива не только хакеров <http://bugtraq.ru/library/security/luka/dtk.html>

L.Spitzner, Honeypots: Tracking Hackers, Addison-Wesley, 2002 www.tracking-hackers.com/book <http://www.tracking-hackers.com/book>Diebold. Usage of Honeypots for Detection and Analysis of Unknown Security Attacks. <http://user.cs.tu-berlin.de/~dakkonbb/honeypot/diploma.pdf>Inc. VMware workstation. <http://www.vmware.com/support/>Dike. User-mode-linux. <http://user-mode-linux.sourceforge.net>project. Honeypot extensions for user-mode-linux. <http://user-modelinux.sourceforge.net/honeypots.html>Spitzner. Dynamic honeypots. http://www.tracking-hackers.com/-papers/, 2003Spitzner. Honeypot farms. <http://www.tracking-hackers.com/papers/>, 2003Gonzalez Jack Whitsitt. Bait’n’switch. Technical report, Team Violating. <http://baitnswitch.sf.net>Takemori, Rikitake and Nakao. Intrusion trap system: An efficient platform for gathering intrusion related information. Technical report, KDDI R and D Laboratories Inc., 2003Kreibich. Honeycomb - automated NIDS signature creation using honeypots. Technical report, 2003

Дмитрий Евтеев, Сергей Гордейчик. Защита Internet Explorer 8. Анализ эффективности. <http://www.interface.ru/home.asp?artId=18968>

Евтеев Дмитрий. Развертывание honeynet на FreeBSD. <http://www.securitylab.ru/contest/266417.php>Detection Combining DNS and Honeypot Data NTT Information Sharing Platform Labs. Keisuke ISHIBASHI, Tsuyoshi TOYONO, and Makoto IWAMURA <https://www.dns-oarc.net/files/workshop-2008/ishibashi.pdf>. Kristoff, “Botnets, detection and mitigation: DNS-based techniques,” Information Security Day, Northwestern University, July, 2005Fishbach. Building an Early Warning System in a Service Provider Network. <http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-fischbach-up.pdf>Research: Honeypots Against Spam <http://www.honeyd.org/spam.php>Marc Seigneur, Anselm Lambert, Patroklos G. Argyroudis, Christian D. JensenPR3 Email Honeypot. <https://www.cs.tcd.ie/publications/tech-reports/reports.03/TCD-CS-2003-39.pdf>: The Wireless Honeypot. Monitoring the Attacker’s Activities in Wireless Networks. A design and architectural overview <http://honeynet.org.es/papers/honeyspot/HoneySpot_20071217.pdf>Spanish Honeynet Project (SHP) <http://www.honeynet.org.es>

 

<http://www.blackalchemy.to/project/fakeap, http://www.securityfocus.com/infocus/1761>

Использование Nepenthes Honeypots для обнаружения злонамеренного ПО. <http://security.tsu.ru/?newsid=71>автоматизировала охоту на эксплойты. <http://www.xakep.ru/post/27699/default.asp>, 2005HoneyNet Project: Building Honeypots for Industrial Networks. <http://scadahoneynet.sourceforge.net>

1.      

Похожие работы на - Разработка алгоритмов защиты информационно-вычислительных систем методами введения нарушителей в заблуждение

 

Не нашли материал для своей работы?
Поможем написать уникальную работу
Без плагиата!