1.6. Механизм функционирования обманных систем в системе защиты информации в вычислительных сетях

В условиях информационного противоборства, когда цена информации весьма высока, становится очевидным, что для обеспечения успешного противодействия атаке необходимо, чтобы нарушитель действовал в условиях априорной неопределенности (1 k  K, где К достаточно велико).

Этого добиваются введением в контур защиты обманной системы (ОБС), целью которой является вовлечение нарушителя в своего рода «игру», тем самым увеличивается время, необходимое на обход СЗИ.

Работа обманных систем заключается в том, что они эмулируют те или иные известные  уязвимости, которых в реальности не существует.

Исходя из названия видно, что обманные системы используют в качестве защитного механизма методы обмана. Естественно это требует ресурса аппаратных и программных средств, что на современном этапе развития вычислительной техники не представляет собой экзотической задачи, но теория вопроса разработана недостаточно и ждет своих исследователей.

Необходимо отметить, что обман, по указанной выше причине, очень редко используется в качестве защитного механизма. Существует множество различных вариантов использования обмана в благих целях. Вкратце перечислим некоторые механизмы обмана, основываясь на классификации Даннигана (Dunnigan) и Ноуфи (Nofi): сокрытие, камуфляж, дезинформация.    К этому целесообразно добавить методы провокаций (подталкивания).

В области информационной безопасности наибольшее распространение получил первый метод – сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT. Это существенно увеличит время, необходимое для «успешной» реализации атаки.

Как правило, каждая операционная система обладает присущим только ей представлением механизма идентификации пользователя, отличающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение; текстом самого приглашения, местом его расположения и т.д. Камуфляж позволяет защититься от такого рода атак.

И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система уязвима.

          Использование средств (deception systems), реализующих камуфляж и дезинформацию, приводит к следующему:

-        увеличение числа выполняемых нарушителем операций и действий. Чтобы заранее определить, является ли обнаруженная нарушителем уязвимость истинной или нет, злоумышленнику приходится выполнять определенный объем дополнительных операций. Например, попытка запустить программу подбора паролей (например, Crack для Unix или L0phtCrack для Windows) на сфальсифицированный и несуществующий в реальности файл, приведет к бесполезной трате времени без какого-либо видимого результата. Нападающий с определенной долей вероятности будет предполагать, что он не смог подобрать пароли, в то время как на самом деле программа «взлома» была просто обманута;

-        получение возможности для идентификации нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администраторы безопасности в состоянии проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры.

Обычно в информационной системе используются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т. д.  Если обманные системы (например, RealSecure компании ISS) эмулируют использование еще 100 и более портов, то работа нападающего увеличивается в сто раз. Теперь злоумышленник обнаружит не 5-10, а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т. д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под присмотром администраторов безопасности.

Есть и другая особенность использования обманных систем. По умолчанию обращение ко всем неиспользуемым портам игнорируется. Тем самым попытки сканирования портов могли быть пропущены используемыми защитными средствами. В случае же использования обманных систем все эти действия будут сразу же обнаружены при первой попытке обращения к ним.

Обманная система  может быть реализована двумя способами. Первый вариант представляет собой эмуляцию некоторых сервисов или уязвимостей только на том компьютере, на котором запущена обманная система (The Deception Toolkit; DTK). В этом случае никаких проблем с размещением обманной системы не возникает, так как она устанавливается на защищаемый узел.

Набор инструментальных обманных средств DTK является первым средством, предназначенным для реализации механизма обмана злоумышленников, пытающихся проникнуть в вычислительную сеть. Данное средство разработано с той целью, чтобы ввести в заблуждение автоматизированные средства анализа защищенности путем создания ложных уязвимостей, что позволит своевременно обнаружить попытки НСД и противопоставить им эффективные средства защиты и, возможно, обнаружить атакующего.

DTK представляет собой набор программ на языке C и Perl, реализующих описанные выше механизмы обмана злоумышленников. Эти программы могут быть модифицированы под конкретные нужды пользователей. DTK может функционировать под управлением любой ОС, поддерживающей стек протоколов TCP/IP и имеющей реализацию транслятора с языка Perl. В частности под управлением большого числа различных Unix'ов.

А вот со вторым классом систем иногда может возникнуть некоторое недопонимание из-за того, что они эмулируют не отдельные сервисы, а сразу целые компьютеры и даже сегменты, содержащие виртуальные узлы (CyberCop Sting, ManTrap).

CyberCop Sting «создает» виртуальную сеть на выделенном узле, работающем под управлением Windows NT. Каждый из виртуальных узлов имеет один или несколько IP-адресов, на которые можно посылать сетевой трафик и получать вполне «реальный» ответ. В более сложных случаях виртуально созданных узел может выступать в роли ретранслятора пакетов на невидимый, но реальный компьютер, который и отвечает на все запросы злоумышленника.

Главное достоинство системы CyberCop Sting в том, что для моделирования «приманки» для нарушителя не требуется большого количества компьютеров и маршрутизаторов, все реализуется на единственном компьютере    (рис. 1.13).

Рис. 1.13.  Применение системы CyberCop Sting для создания виртуального сегмента сети

Для таких систем предложено два варианта их размещения.

Суть первого варианта заключается в том, что обманная система размещается в отдельном сегменте корпоративной сети.

Рис. 1.14. Размещение обманной системы в сегменте корпоративной сети

по первому варианту

Другим способом размещения ОБС является размещение такой системы  в контролируемом сегменте сети. Узел с обманной системой подключается к тому же коммутатору или концентратору, что и рабочие узлы сегмента, и имеет адрес, незначительно отличающийся от адресов рабочих узлов. Например, IP – адреса сервера баз данных, файлового сервера и контроллера доменов – 200.0.0.100,  200.0.0.254, и 200.0.0.1 соответственно, а 200.0.0.200 – адрес обманной системы. Злоумышленник, определяя цель атаки путем сканирования узлов, попадает в созданную ловушку, давая сигнал администратору безопасности. Помимо схожего с рабочими IP-адреса, обманная система может иметь и близкое по звучанию DNS-имя, вводящее в заблуждение нарушителя. Например, main.infosec.ru или fw.infosec.ru. При этом  на одну обманную систему могут указывать несколько различных имен или IP-адресов, что реализуется путем использования псевдонимов (рис. 1.15).

Рис. 1.15. Размещение обманной системы в  сегменте корпоративной сети

по второму варианту

Рассмотренные выше и другие существующие на сегодня ОБС работают с различными операционными системами, что наглядно демонстрирует таблица 1.3.

Таблица 1.3

Операционные системы, используемые обманными системами

Для описания такой СЗИ предлагается вербальная модель, смысл которой поясняется схемой, представленной на рис. 1.16.

Рис. 1.16. Вербальная модель СЗИ с обманной системой

С помощью обманных систем против злоумышленников применяют их же оружие, и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите.

Выполняющий все инструкции пользователь преодолевает все области О1 с наименьшими временными затратами. Нарушитель, пытаясь определить уязвимые места в СЗИ, сканирует поверхность упругого экрана, в результате чего он либо отражается от защитного экрана, либо поглощается областями О2 или О3. Так как площади эмулированных уязвимостей О3 значительно больше, чем реально существующих, то нарушитель с большей вероятностью попадает именно в «муляж». При этом до некоторого момента времени нарушитель не подозревает, что работает с обманной системой. Пытаясь закрепиться в системе и найти слабое место в следующей ступени защиты, он проявляет себя.

В момент работы обманной системы, настоящая система продолжает функционировать и успешно решать возложенные на нее задачи, а система «предупреждения НСД» принимает меры по вычислению нарушителя и формирует стратегию и тактику предупреждения НСД.

С развитием  информационных технологий и вовлечением в них все большего числа пользователей увеличивается число уязвимостей вычислительных сетей, что приводит к росту числа угроз, которым может быть подвергнута система.

Проведенный анализ проблемы защиты информации показывает, что с ростом числа угроз безопасности ИРК необходимо совершенствование механизмов защиты.

1.   В условиях применения концепции вычислительных сетей для обеспечения, например, управления банковскими структурами, информация, обрабатываемая в них, становится первостепенным объектом воздействия со стороны противника, что подтверждается анализом последних десятилетий. При этом основная масса нарушений политики безопасности исходит от пользователей информационной системы.

2.   Рост угроз приводит к необходимости совершенствования принятой политики безопасности, поиску технических (программных) средств защиты, не зависящих от квалификации персонала и повышения уровня трудозатрат администраторов безопасности. Существует реальная угроза несанкционированного изменения хода выполнения прикладных программ, защита от которой существующими средствами защиты информации не обеспечивается в полной мере.

3.   Многие известные и широко распространенные способы защиты довольно статичны, они могут быть изучены за конечный интервал времени и успешно преодолены за конечный интервал времени, кроме того, квалифицированному нарушителю могут быть известны приемы оказания адекватного противодействия и обнаружения каналов  НСД,  что естественным образом ослабляет систему защиты.

4.   Применение обманных систем не требует участия  в ее работе легального пользователя и поэтому не усложняет правил его поведения в системе, не требуется специальная подготовка, повышение квалификации и     т. п. Управление такой системой ведет узкий круг специалистов по политике безопасности.

5.   Использование таких систем целесообразно основывать на разрешении игровых ситуаций, т. к. такая система не должна быть статичной, в случае необходимости желательно ее внезапное применение. Эти факторы носят негативный характер, они усложняют применение обманных систем в реальных СЗИ, но с учетом развития средств ВТ и определенному оживлению рынка такой продукции они вполне преодолимы.

6.   Использование  методов обмана позволяет в большей или меньшей мере ввести в заблуждение нарушителей и с некоторой долей вероятности отвести угрозу от реально работающей вычислительной сети.