Сертифицированная система обнаружения вторжений «Форпост»

Автор: Михаил Кондратьев, директор технологического департамента РНТ; Денис Шуплецов, начальник отдела разработки перспективных технологий РНТ
09.12.2013

СОВ «Форпост» может поставляться как в виде «коробочного» ПО, так и в виде готового программно-аппаратного комплекса (ПАК). Преимущество программной версии – гибкость при настройке. Преимущество ПАК – простота развертывания и быстрый ввод в эксплуатацию.

СОВ «Форпост» имеет распределенную многомодульную архитектуру и состоит из следующих элементов:

• сетевой датчик, который осуществляет анализ поступающего трафика на предмет наличия в нем компьютерных атак, используя сигнатурный метод;
• Центр управления, в который входят такие компоненты, как информационный фонд, координационный центр, консоль администратора, модуль интеграции с сетевым оборудованием, модуль почтовых уведомлений, агент, датчик контроля целостности.

Компоненты могут быть как установлены на один сервер, так и распределены по нескольким серверам. Если у вас всего одна точка встраивания СОВ, то лучше выбирать вариант в виде готового ПАК, в котором все компоненты уже предустановлены на один сервер. Если же у вас сложная система с множеством датчиков и вас не пугает сложность настройки, то рациональнее использовать вариант реализации СОВ в виде программного обеспечения.

ПАК «Форпост» выпускается в двух исполнениях.

ПАК «Форпост 2000» предназначен для информационных систем или их сегментов, включающих до 50 рабочих станций и серверов и имеет следующие технические характеристики:

• реализован на основе промышленного сервера форм-фактора 1U для монтажа в стойку 19”;
• имеет повышенную отказоустойчивость за счет резервирования ключевых компонентов сервера (отказоустойчивый RAID-массив с использованием SAS-дисков, два блока питания);
• производительность – до 2 Гбит/с в режиме Full Duplex (до 1 Гбит/с в режиме Half Duplex);
• при использовании опциональных сетевых карт 10 Гбит/с производительность до 6 Гбит/с в режиме Full Duplex (до 3 Гбит/с в режиме Half Duplex);
• имеется возможность установки опциональных оптических сетевых карт.

ПАК «Форпост 200» предназначен для информационных систем или их сегментов, включающих до 20 рабочих станций и серверов хостов. Это исполнение имеет такое же ПО, как ПАК «Форпост 2000», но значительно уступает ему по производительности.

Его особенности:

• реализован на основе компактного промышленного сервера форм-фактора 1U с возможностью установки на любую горизонтальную поверхность или в стойку 19”;
• низкий уровень шума;
• производительность – до 200 Мбит/с;
• более низкая цена.

Стоит отметить, что низкий уровень шума и нетребовательность к размещению позволяют использовать ПАК «Форпост 200» не в помещении серверной, а в тех же помещениях, где работают пользователи ИС.

Консоль администратора СОВ «Форпост» предоставляет графический интуитивно понятный пользовательский интерфейс. Слева на экране отображаются установленные компоненты системы с их состоянием. Справа – журналы системы:

• журнал модулей-датчиков, в котором регистрируются инциденты (обнаруженные атаки и действия, предшествующие атакам) от датчиков СОВ;
• журнал системных сообщений, в котором регистрируется служебная информация о работе компонентов СОВ;
• журнал сообщений сетевого оборудования, отображающий сведения о блокировке нарушителя администратором безопасности с использованием сетевого оборудования, а также журналы сетевого оборудования, принятые по протоколам SNMP, syslog.

На рис. 1 представлен графический интерфейс СОВ «Форпост», а именно журнал модулей-датчиков, на котором видно отображение инцидента безопасности – сканирование локальной сети, которое может являться началом компьютерной атаки.

Чтобы получить этот рисунок, мы взяли серийно выпускаемый ПАК «Форпост 2000», подключили его к тестовой сети и подали команду ping между двумя компьютерами тестовой сети. В данном случае выявление инцидента произошло по двум сигнатурам:

• " ICMP Ping" как реакция на сгенерированный ICMP-запрос;
• " ICMP Echo Reply" – как реакция на ICMP-ответ.

Для блокирования выявленных компьютерных атак можно выбрать как автоматический, так и ручной режим. В автоматическом режиме СОВ «Форпост» блокирует развитие компьютерной атаки, генерируя правила по заранее сформированному шаблону для определенной категории событий (например, имеющих высокую степень критичности).

Однако в случае, когда необходимо обеспечить высокую доступность информационных ресурсов, решение о блокировке компьютерной атаки должно приниматься администратором безопасности. Для этого существует ручной режим управления блокированием компьютерных атак. Для ручной блокировки компьютерной атаки администратор может воспользоваться как полуавтоматическим режимом, так и режимом непосредственного управления активного сетевого оборудования.

В полуавтоматическом режиме правило для сетевого оборудования будет сформировано на основе заранее сформированного шаблона, а управление происходит с помощью графического интерфейса СОВ «Форпост» (всплывающее окно, предлагающее заблокировать выявленную компьютерную атаку, показано на рис. 2).

В режиме непосредственного управления активным сетевым оборудованием администратор безопасности с помощью защищенной консоли управления активным сетевым оборудованием, реализованной в СОВ «Форпост», управляет сетевым оборудованием самостоятельно. С помощью консоли можно не только заблокировать компьютерную атаку, но и настроить сетевое оборудование.

Собранные с помощью СОВ «Форпост» данные о компьютерных атаках могут быть переданы в SIEM-системы (которые в последнее время становятся все более популярными) для дальнейшего комплексного анализа совместно с событиями безопасности, полученными из других источников (от антивирусных средств, журналов ОС и пр.).

На рис. 3 приведена типовая схема применения СОВ «Форпост» в автоматизированной информационной системе, которая предполагает выделение компонентов СОВ в изолированный сегмент. Взаимодействие компонентов СОВ с защищаемой системой осуществляется лишь посредством зеркалирующих портов, передающих входящий трафик для выявления в нем компьютерных атак на сетевые датчики СОВ. Обратное сетевое взаимодействие сетевых датчиков СОВ с защищаемой системой не предусмотрено. Это позволяет ограничить возможности проведения несанкционированного воздействия на компоненты СОВ, поэтому такая схема интеграции в структуру автоматизированной системы характеризуется высокой защищенностью, обеспечивая целостность и конфиденциальность данных, передаваемых в сегменте ответственности СОВ «Форпост».

Предполагается, что защищаемая сеть имеет несколько функциональных сегментов, разделенных между собой межсетевым экраном и соединенных с внешними сетями. Таким образом, в типовой информационной сети имеются следующие сегменты:

• сегмент серверов;
• сегмент пользователей;
• сегмент подключения к открытым сетям передачи данных;
• сегмент СОА «Форпост» (изолированный сегмент).

С точки зрения защиты информации в контролируемой ИС сетевые датчики СОВ целесообразно расставить следующим образом:

• на границе периметра сети (точка 1) для анализа информационного потока между защищаемой сетью и открытыми сетями передачи данных с целью защиты от внешнего нарушителя;
• в сегменте серверов (точка 2) для защиты информационных ресурсов защищаемой сети от внешних и внутренних нарушителей;
• в сегменте пользователей (точка 3) для защиты от внутреннего нарушителя.

В качестве точки подключения сетевого датчика могут выступать следующие порты.

• зеркалирующий порт коммутатора (SPAN-порт) (точки 2 и 3 на рис. 3);
• контролирующий порт (Monitor port) специализированного ответвителя трафика (Tap) (точка 1 на рис. 3), который устанавливается «в разрыв» канала связи, подлежащего контролю с помощью сетевого датчика СОВ;
• зеркалирующий порт межсетевого экрана.

Многие управляемые коммутаторы поддерживают технологию зеркалирования трафика. Например, в коммутаторах Cisco настройка зеркалирующего порта производится следующим образом:

Monitor session 1 source interface fastethernet 0/1 , 0/2 , 0/3, 0/4 rx

Monitor session 1 destination interface gigabitethernet 0/24

В данном примере предполагается, что к портам 1, 2 и 3 подключены компьютеры пользователей, порт 4 – к сегменту серверов. Мы зеркалируем трафик, полученный портами 1, 2, 3 и 4 коммутатора, в порт 24. К порту 24 мы подключаем сетевой датчик СОВ.

Зеркалирующий порт так же можно настроить на некоторых моделях межсетевых экранов. Например, в отечественном межсетевом экране ССПТ-2 (производства «НПО РТК») настройка зеркалирующего порта производится с помощью следующей команды:

interface filter eth0 mirror eth2 all

В этом примере eth0 – порт-источник, eth2 – порт-приемник, к которому подключается сетевой датчик СОВ.

Специализированные ответвители трафика (Tap), как правило, не требуют специальных настроек, однако они имеют один существенный недостаток – сравнительно высокую стоимость.

Результаты выявления аномалий в сетевом трафике с сетевых датчиков СОВ поступают на центральный сервер СОВ, к которому подключается консоль администратора безопасности. На центральном сервере СОВ установлены следующие компоненты СОВ «Форпост»: информационный фонд, работающий под управлением СУБД MS SQL Server, и координационный центр.

Одновременно с этим проводится подключение по протоколу RS-232 к управляющим портам межсетевого экрана и сегментных коммутаторов. Подключение к межсетевому экрану обеспечивает возможность выполнения оперативной блокировки источника атаки в случае необходимости. Подключение к коммутатору особенно удобно использовать в сегменте пользователей. Удобство состоит в том, что у администратора сети имеется возможность оперативно выключить конкретный порт коммутатора, когда какой-нибудь пользователь «подхватил» очередного сетевого червя, который рассылает спам, и тем самым предотвратить его распространение в контролируемой ИС.

Интерфейс RS-232 в данном случае выбран преднамеренно, так как при этом компоненты СОВ не осуществляют сетевое взаимодействие с защищаемой сетью, что повышает защищенность самой СОВ. Однако при необходимости СОВ «Форпост» может управлять сетевым оборудованием по протоколу telnet.

Full Duplex

Как известно, суммарная скорость обмена информацией по каналу связи Gigabit Ethernet со скоростью 1 Гбит/с, работающем в режиме Full Duplex, может быть близка к 2 Гбит/с: 1 Гбит/с — передача и 1 Гбит/с — прием. Для полного съема сетевого трафика с такого канала необходимо использовать:

• 2 зеркалирующих сетевых интерфейса 1 Гбит/с (первый зеркалирует принимаемую информацию, второй – передаваемую) – рисунок 4, а);
• 1 зеркалирующий сетевой интерфейс 10 Гбит/с – рисунок 4, б).

Использовать зеркалирующий порт с меньшей пропускной способностью можно, если прогнозируемый объем трафика не превысит пропускную способность зеркалирующего порта коммутатора, но при этом следует учитывать, что в случае всплесков сетевой активности часть трафика все таки не будет попадать на датчик СОВ для анализа.

Сетевой датчик СОВ «Форпост» поддерживает подключение в режиме Full Duplex.

Зеркалирование трафика в два сетевых интерфейса с разделением по направлению («на прием» и «на передачу») доступно во многих моделях управляемых коммутаторов (Cisco начиная с модели 3560), а также в специализированных ответвителях трафика (Tap).

Рис. 1. Графический интерфейс СОВ «Форпост».


Рис. 2. Графический интерфейс СОВ «Форпост»: всплывающее окно блокировки компьютерной атаки.


Рис. 3. Типовая схема применения СОВ «Форпост» в ИС, с выделением компонентов СОВ в изолированный сегмент.

Рис. 4. Обеспечение съема сетевого трафика в режиме full duplex: а) при использовании двух сетевых портов; б) при использовании сетевого порта большей производительности. ИСТОЧНИК