В даний час системи виявлення вторгнень (intrusion detection systems, IDS) набувають все більшого поширення серед компаній різного масштабу. Однак, на жаль, ці системи, покликані ідентифікувати і відбивати напади хакерів, самі можуть бути схильні до несанкціонованим діям, які можуть порушити працездатність цієї системи, що не дозволить їй виконувати поставлені перед нею завдання. Знати про такі атаки треба кожному фахівцю з інформаційної безпеки і в своїй статті я хотів би систематизувати ці знання і привести єдину класифікацію (таксономії) атак на системи виявлення вторгнення.

Призи для переможців конкурсу надав комп'ютерний інтернет магазин

Олексій Леонов, [email protected]

В даний час системи виявлення вторгнень (intrusion detection systems, IDS) набувають все більшого поширення серед компаній різного масштабу. Вони бувають різні - мережеві і хостової, для серверів і робочих станцій, для архітектур Fast Ethernet і Gigabit Ethernet, для виявлення і запобігання атак. Найпопулярнішими по праву вважаються мережеві рішення, контролюючі відразу безліч вузлів в мережі. Саме ці системи мають широкий спектр можливих застосувань - їх використовують на периметрі і в демілітаризованій зоні, в сегменті IP-телефонії і в бездротових мережах, для захисту баз даних і Web-серверів, і т.д. Але всі ці варіанти об'єднані однією метою - виявлення і запобігання атак. Однак, на жаль, ці системи, покликані ідентифікувати і відбивати напади хакерів, самі можуть бути схильні до несанкціонованим діям, які можуть порушити працездатність цієї системи, що не дозволить їй виконувати поставлені перед нею завдання. Знати про такі атаки треба кожному фахівцю з інформаційної безпеки і в своїй статті я хотів би систематизувати ці знання і привести єдину класифікацію (таксономії) атак на системи виявлення вторгнення.

Що зазвичай атакують в першу чергу? Зрозуміло сенсор. Тому почнемо з нього. З яких основних компонентів складається сенсор системи виявлення атак? Підсистема, яка отримує доступ до якогось джерела інформації, в якості якого може виступати мережевий трафік, журнал реєстрації або системні виклики. Потім дані потрапляють на механізм попередньої фільтрації, що відсіває те, що сенсор не може аналізувати. Наприклад, якщо мова йде про мережевому сенсорі, то відсіюватися може трафік IPX / SPX, який не підвладний сучасним системам виявлення атак. Після фільтра в ланцюжок включається модуль розпізнавання атак і потім модуль реагування. Але сенсор цими компонентами не обмежується. Адже сенсор - це не просто софт, що встановлюється на комп'ютер з якоюсь віссю. Сенсор - це та ж вісь, і залізо комп'ютера. А, отже, робота сенсора неможлива без ОС, мережевого драйвера і мережевої карти.

Отже, розглянемо можливі атаки на сенсор, починаючи з самого «низу».

1. Мережева карта. Цей компонент задіюється для двох цілей - отримання доступу до мережевого трафіку, в якому шукаються сліди атак (якщо мова не йде про спеціальні платах виявлення атак, що вставляються в шасі комутатора або маршрутизатора, або спеціальному ПО виявлення атак для маршрутизатора), а також для передачі на консоль управління сигналів тривоги. У загальному випадку ці 2 мережевих інтерфейсу відрізняються один від одного для реалізації так званого stealth-режиму, що підвищує захищеність сенсора. Якщо мова йде про хостовой системі виявлення атак, то в ній задіюється тільки одна мережева карта - для отримання керуючих команд і сигналізації про атаки. Чи можна реалізувати атаки на мережеву карту? Теоретично, так. На практиці я про таких атаках не чув, але це не означає, що їх бути не може. А з огляду на різні можливості з віддаленого управління мережевими картами (RMON, DMI, ACPI, WfM і т.д.) можна припустити, що атаки дуже навіть можливі.
2. Мережевий драйвер. Ну з цим компонентів все зрозуміло без слів. Неправильна реалізація мережевого стека, яким страждала свого часу Microsoft, дозволяє посилати на сенсор певним чином сформовані пакети, що призводить до падіння «в синій екран».
3. ОС. Про діри в ОС написано не мало - тому я цю тему опускаю. Зауважу тільки, що через цей компонент атаки на IDS більш ніж реальні.
4. Модуль захоплення даних.
   1. Якщо він оперує мережевими пакетами, то достатньо надіслати на нього або нестандартні (тобто не відповідають RFC) пакети, або організувати лавину трафіку, яку нездатний обробити сенсор.
   2. Якщо він оперує журналом реєстрації, то і тут не все гладко - можна переповнити цей журнал і старі події будуть перезаписані новими. Хоча для систем аналізу журналів реєстрації на даному рівні «боятися» треба менше, ніж мережевим IDS.
   3. З системними викликами теж є свої проблеми. Опосум на сторінках сайту вже торкався цієї теми.
5. Фільтр. Я не чув про атаки на цьому рівні, але теоретично це можливо. Досить увімкнути фільтрування тих атак, які реалізує зловмисник, і вони не будуть виявлені, чого і хоче домогтися порушник.
6. Підсистема виявлення атак. Тут якраз все просто - у «сигнатурних» IDS (а саме їх на ринку більшість) є одне серйозне обмеження - варто змінити один байт в коді атаки і вона вже не буде виявлена. Цій темі я сподіваюся присвятити окрему статтю; тому зараз її докладно розписувати не буду. Крім нескінченного числа модифікацій атак, можна направити свою увагу на шаблон, який використовується системою виявлення атак в своїй роботі. У ньому прописані як атаки, які будуть виявлятися сенсором, так і варіанти реагування на них. А тому зазвичай цей шаблон представлений у вигляді якогось текстового файлу, то можна спробувати змінити окремі рядки і поля в ньому. І ось вже сенсор або не «ловить» потрібні порушнику атаки, або в шаблоні відключені «правильні» варіанти реагування. Нарешті, можна очистити лог сенсора і йому нема чого буде передавати на консоль.
7. Підсистема реагування. Навіть якщо IDS виявила атаку, то досить не дати їй прореагувати на напад і ефективність системи виявлення вторгнень буде зведена до нуля. Які варіанти реагування існують в сучасних IDS? Посилати повідомлення на консоль, генерація SNMP або e-mail, призвести до втрати з'єднання, реконфігурація МСЕ або роутера, ну і ще по дрібниці. В принципі всі ці варіанти реагування можна заблокувати «затопивши» порт, з якого він реалізується, або «підвісити» сервіси, що здійснюють відправлення пошти або SNMP. А можна, отримавши доступ до ОС, задіяти вбудований в неї персональний міжмережевий екран. Є й інші варіанти, але їх ми розглянемо нижче.

Наступним компонентом системи виявлення атак є сервер управління, на який і надходять сигнали тривоги від сенсора. До нього застосовні атаки, описані вище в перших 3-х пунктах. Оскільки сервер управління в свою чергу взаємодіє з рецептором, консоллю або базою даних, то якщо ми зможемо заблокувати ці канали, то IDS не зможе нормально функціонувати.

З базою, що зберігає події, теж все просто. Крім блокування її взаємодії з сервером управління, можна спробувати її переповнити, затопивши помилковими сигналами тривоги. А ще базу, як і будь-який інший компоненти IDS, можна спробувати просто «завалити» DoS-атакою.

На консолі, крім вже описаних варіантів, можна впливати на механізм візуалізації подій. Якщо включити фільтр, який забороняє показ певних подій, то адміністратор безпеки не зреагує на них.

Усе? Ні не все. Адже система виявлення атак - це не просто сенсор, сервер управління, база даних і консоль. Це і кабельна система (ну тут крім сокири придумати щось складно), і мережеве обладнання, і проміжні засоби захисту, і інфраструктура провайдера (якщо сенсор і інші компоненти взаємодію через Інтернет).

Мережеве обладнання теж може стати мішенню для хакерів, що призведе до порушення взаємодії між компонентами IDS. Наприклад, можна відключити порт, до якого підключений будь-який з компонентів системи виявлення атак. В організації, в якій я пропрацював довгий час, протягом останніх 7 з гаком років не змінювався пароль адміністратора комутатора (цей пароль було поставлено за замовчуванням виробником). Як наслідок, сенсор не зможе або сигналізувати про атаку, або на нього не потрапить трафік для аналізу. Отримавши доступ до мережного обладнання, можна реконфигурировать SPAN-порт, до якого підключений сенсор, а можна «рознести» компоненти IDS за різними VLAN, блокуючи можливість їх взаємодії.

Засоби захисту, покликані забезпечувати безпеку мережі, можуть служити і інструментом в руках кваліфікованого зловмисника. Наприклад, знаючи, що сенсор розриває з'єднання з атакуючим вузлом або реконфигурируется МСЕ або ACL роутера, можна реалізувати атаку, в адресі відправника якій вказати адресу будь-якого з компонентів IDS. Тим самим IDS сама виступить в якості засобу для реалізації DoS-атаки.

До речі, ще один момент, який можна використовувати для атак на систему виявлення вторгнень - механізм аутентифікації. Досить видалити ключ аутентифікації одного з компонентів IDS і процес аутентифікації вже не пройде. А, отже, компоненти не зможуть обмінюватися між собою інформацією. А якщо раптом так сталося і аутентифікація між компонентами взагалі не використовується, то зловмисник може створити помилковий сенсор, хто призводить до блуду консоль, або помилкову консоль, що дає «потрібні» команди існуючим сенсорам.

Ось в такому ось аспекті, як говорилося в якомусь художньому фільмі. А де приклади, - вигукне особливо запопадливий читач. А їх і не буде. Я не даю готових рецептів. І не збираюся показувати, як на практиці можна вивести системи виявлення вторгнення з ладу. У мене зворотна задача - показати можливі напрями докладання зусиль з боку «поганих хлопців». Стародавні латиняни говорили «Praemonitus praemunitus», що по-російськи буде звучати теж красиво «Хто попереджений, той озброєний». Тепер ви знаєте слабкі місця систем виявлення атак, які набувають все більшого поширення в Росії, а, отже, будуть все частіше і частіше атакували. І знаючи ці уразливості, можна заздалегідь передбачити і методи їх захисту. Описаної інформації досить для цього.

На закінчення можу додати тільки одне. Описана таксономія може використовуватися також і для troubleshooting'а, пов'язаного з системами виявлення атак. Виявивши, що на консолі не виникає повідомлень від сенсора, ви можете швидко «пробігтися» по зазначеним вище ключових точках і швидко визначити можливі причини невдач.