DoS атаки

Современная сетевая атака зачастую предполагает использование уязвимых мест в программном обеспечении, к которому злоумышленник имеет доступ из-за периметра сети. Еще десять лет назад такие попытки носили единичный характер, так как информация о таких слабостях не была широко доступна, как сейчас. Наличие своевременно и достаточно полно обновляемой базы с описаниями уязвимостей для информирования администраторов о существующих угрозах нередко оборачивается против тех, для кого она создана.

Казалось бы, от ошибок в программном обеспечении клиенту защититься невозможно, поскольку идеального ПО не существует. На практике же разработчики приложений не только оперативно выпускают пакеты исправлений к своим продуктам, но и предлагают специальные средства (порой бесплатные) для их автоматической установки, управления обновлениями, а также для аудита имеющейся инфраструктуры ИТ на предмет наличия соответствующих исправлений. Таким образом, если сегодня хакеру удастся воспользоваться обнаруженной и опубликованной уязвимостью, взломать корпоративную сеть и причинить ущерб, то в 99% случаев ответственность за это должен нести тот администратор, в чьи обязанности входит своевременная установка обновлений на узлы корпоративной сети.

С того момента, как информация об уязвимости появилась в Internet, и до выпуска разработчиком необходимой «заплаты» проходит от нескольких дней до нескольких недель. За это время злоумышленник теоретически может воспользоваться опубликованными сведениями и взломать сеть предприятия, но на практике этого чаще всего не происходит: если уязвимость действительно критическая, исправление выпускается очень быстро, а незначительная ошибка потребует много времени для реализации успешного взлома.

Еще одним видом сетевой атаки является атака по типу «отказ в обслуживании» (Dental of Service, DoS). По некоторым сведениям, подобные атаки появились в 1999 г. (см., например, книгу Стивена Норткатта и Джуди Новак «Обнаружение вторжений в сеть»). Впрочем, одна из самых массовых атак DoS была осуществлена вовсе не злоумышленниками: некоторые предприятия настолько боялись пресловутой проблемы Y2K (2000 г.), что просто отключили свои информационные системы на рубеже тысячелетия и таким способом сами лишили себя обслуживания. Любопытно, что сама концепция этой атаки была разработана отнюдь не для злонамеренных действий: инженеры пытались найти способ тестирования узлов сети и определения пороговых нагрузок, которые те способны выдержать.

Особое место занимают распределенные атаки по типу «отказ в обслуживании» (Distributed DoS, DDoS). В таких атаках принимают участие несколько тысяч компьютеров, подключение которых в Internet осуществляется, как правило, по широкополосному соединению. Сегодня атаки DDoS являются излюбленным техническим средством шантажа владельца сетевого ресурса с целью вымогания у него денег. По данным исследования Института компьютерной безопасности (Computer Security Institute) и ФБР под названием CSI/FBI Computer Crime and Security Survey, атаки DDoS заняли второе место по величине причиненного ущерба (64 млн долларов).

Для борьбы с современными сетевыми атаками применяются межсетевые экраны, которые часто оснащаются еще и функциями систем обнаружения вторжений. Основная технология, используемая в современных брандмауэрах, называется Deep Packet Inspection (DPI). За последние полтора года она превратилась в стандарт де-факто для мощных корпоративных брандмауэров и реализована в продуктах самых крупных разработчиков: Microsoft, Cisco, Check Point, Symantec, Nortel, SonicWall, NAI, Juniper/ Netscreen и др. DPI позволяет заглянуть внутрь каждого пакета (включая поле данных). Решение «разрешить» или «блокировать» принимается на основе правил, которые задает администратор. Сам же механизм DPI использует правила на основе сигнатурного сравнения, эвристических и статистических технологий, а также определения аномалий.

Благодаря DPI брандмауэр в состоянии анализировать и фильтровать SOAP и другие документы XML, динамически открывать и закрывать порты для трафика VoIP, осуществлять сканирование вирусов и фильтрацию спама, динамически пропускать трафик мгновенных сообщений, противостоять атакам на службы NetBIOS, обрабатывать трафик P2P (около 35% всего трафика в Internet), проверять сеансы SSL и т. д. Применение DPI делает излишней функциональность систем обнаружения вторжений (Intustion Detection System, IDS): по сути, брандмауэр с DPI включает в себя и IDS.

Однако DPI появилась далеко не сразу. Первой технологией была Shallow Packet Inspection. Такой межсетевой экран отделял две и более сетей друг от друга, мог разрешать или запрещать трафик на основании протокола передачи, вел журнал событий, обеспечивал трансляцию адресов (Network Address Translation, NAT), играл роль конечной точки в VPN, а в случае проблем блокировал абсолютно весь трафик. (К этому же классу относится технология контекстной проверки Stateful Inspection, появившаяся на рынке благодаря компании Check Point Software Technologies.)

Следующей технологией стала Medium Depth Packet Inspection, суть которой сводилась к введению proxy-сервера приложений. Другими словами, приложение не могло установить прямое соединение с сервером, а сервер — с приложением, поскольку между ними всегда находился посредник в лице proxy-сервера. Ряд компаний (Check Point, Cisco, Symantec, Netscreen и NAI) начали встраивать в свои приложения фильтры для анализа трафика приложений (конечно, не всех, а только некоторых, работающих по нескольким основным протоколам).

Далее наступило время технологии DPI. Анализ полей данных в передаваемом трафике требует значительных вычислительных мощностей, поэтому он часто реализуется аппаратно. При всех перечисленных выше достоинствах DPI межсетевой экран с этой технологией подвержен атакам переполнения буфера, атакам DoS, более изощренным вторжениям, а также уязвим для некоторых «червей». Сложность механизма DPI привела к появлению большого числа эксплоитов для конкретных моделей брандмауэров.

Теперь брандмауэры признаны обязательным средством защиты — по данным ФБР, их используют 98% компаний, но при этом 56% по-прежнему страдают от вторжений. DPI — многообещающая технология, которая, возможно, решит эти проблемы. Новые реализации брандмауэров с DPI способны анализировать пакеты на гигабитных скоростях, а объединение систем обнаружения вторжений с межсетевым экраном упрощает настройку и управление решением.

Тем не менее у нее есть и минусы. Независимая реализация брандмауэра или IDS, как нескольких автономных компонентов, позволяет избежать ситуации, когда сеть оказывается незащищенной в случае выхода из строя одного из них. К тому же такой подход делает возможным покупку различных частей решения у разных поставщиков. Между тем применение DPI увеличивает сложность и без того не простых продуктов — брандмауэров, IDS, серверов и сетей приманок, а кроме того, требует постоянного наблюдения, изменения настроек и анализа журнала.