Безопасность и Internet - статьи
       

В качестве исследуемых IDS выбирались


В качестве исследуемых IDS выбирались наиболее популярные системы. Факт наличия в них уязвимостей позволяет говорить о том, что и в остальных доступных инструментах ситуация будет не лучше.
С точки зрения возможности применения методов вставки и уклонения, самыми уязвимыми оказались Dragon 5.0 и eTrust 1.0. Поэтому, если нарушитель знает, что сегмент сети защищен системой обнаружения вторжений Dragon 5.0, то он имеет возможность провести сигнатурную атаку, скрыв ее, например, при помощи модификации потока TCP-фрагментов.
eTrust 1.0 оказалась лучше Dragon 5.0 с точки зрения уязвимостей, позволяющих скрыть атаку, но и здесь имеется семь различных способов скрыть факт проведения сигнатурной атаки (таблица 4). В том случае, если нарушитель не знает, как работает целевая система, он может провести межсегментную атаку, скрыв ее при помощи посылки частично перекрывающихся IP-фрагментов.
Среди коммерческих систем RealSecure 6.0 оказалась наиболее стойкой к методу сокрытия, однако у нарушителя все же имеется пять различных способов скрыть атаку, один из которых позволяет провести межсегментную атаку (таблица 5).
Несмотря на то, что система Snort является бесплатной, она показала достойные результаты. Нет недоработок, связанных, например, с обработкой фрагментированного трафика.
Осталось непонятным, зачем разработчики изменили порядок обработки одинаковых TCP-фрагментов при переходе на платформу Win32. Операционные системы этого класса обрабатывают перекрывающиеся пакеты не так, как Linux, однако, в новой версии Snort, работающей и на платформе Win32, и для Linux имеется уязвимость, связанная с обработкой таких фрагментов.
Надеюсь, разработчики IDS впредь будут уделять больше внимания не только удобству работы с системой, но попытаются по максимуму приблизить логику работы IDS к защищаемым операционным системам.
Литература
  • Ptacek T., Newsham T. Insertion, evasion, and denial of service: eluding network intrusion detection. Secure Networks, 1998.
  • RFC 791 - IP.
  • RFC 793 - TCP.
  • Snort. The Open Source Network Intrusion Detection System. http://www.snort.org.
  • eTrust Intrusion Detection, http://www3.ca.com/Solutions/Overview.asp?ID=163.
  • Dragon IDS. Intrusion Detection Solutions, http://www.enterasys.com/ids/dragonids.html.

    • Евгений Жульков (ezhulkov@openwaygroup.com) — магистр кафедры «Информационная безопасность компьютерных систем» Санкт-Петербургского государственного политехнического университета.

    Содержание раздела