Методы тестирования систем обнаружения вторжений (IDS)

реклама
МЕТОДЫ ТЕСТИРОВАНИЯ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ (IDS)
А.В. Гуляев, С.В. Зарецкий
МГУ, г.Москва
Вместе с развитием сетевых технологий и способов ведения электронного бизнеса возрастают требования
к безопасности. Взломщики сетей становятся все более изощренными, усложнение программного обеспечения приводит к увеличению в нем количества ошибок и уязвимых мест. Поэтому системы обнаружения вторжений – необходимая часть современных сетевых комплексов. Их создание – наиболее перспективная ветвь развития компьютерных технологий.
Но пока эти системы несовершенны и таят в себе множество проблем, связанных с их развертыванием,
управлением, масштабированием и поддержкой. Велико число ложных срабатываний систем. Часто проблема заключается в том, что не выделяется достаточное количество ресурсов на настройку и поддержку системы. Без правильной настройки невозможно добиться эффективной работы. Опыт пользователей показывает, что установка системы – это всего лишь 10 процентов от ресурсов, потраченных на обеспечение реальной безопасности.
Системы обнаружения вторжений требуют постоянного административного контроля. Все изменения в
конфигурации сети и сетевого программного обеспечения должны постоянно учитываться в IDS. Несоответствие в
конфигурации может привести к увеличению количества ложных срабатываний, а также к появлению дыр в безопасности. Основным методом работы системы является анализ сетевого трафика, использования метода сигнатур
(шаблонов нападения). Поэтому достаточно остро встает другая проблема поддержки, которая подразумевает постоянное обновление базы сигнатур.
Таким образом, система обнаружения вторжений имеет смысл, только тогда, когда она сама развивается
вместе с сетью, которую она защищает. Такое развитие подразумевает периодическое тестирование.
Оценка эффективности систем обнаружения вторжений – непростая задача. Во-первых, число возможных
способов вторжения достаточно велико, не все эти способы известны. В программном обеспечении находят новые
ошибки, которые можно использовать для несанкционированного доступа. Во-вторых, условия работы IDS всегда
различны. К примеру, при низкой загрузке сети, система способна выявить вторжение, а при увеличении трафика,
либо при большей процессорной загрузке то же самое вторжение останется незамеченным.
Для решения задачи тестирования используем следующие критерии оценки производительности IDS:
- объем выявляемых типов вторжения
- требовательность к ресурсам системы обнаружения вторжений
- устойчивость работы при большой сетевой или процессорной загрузке Качество системы должно оцениваться исходя из этих критериев.
Идея тестирования заключается в эмуляции доступа к сети, как взломщиков, так и обычных пользователей.
Для этой эмуляции используется средство, управляемое скриптовым языком и имитирующее работу пользователя.
В качестве атомарного теста возьмем моделирование пользовательской сессии. Сессии можно классифицировать
следующим образом:
- обычный пользователь, не ставящий целей взлома
- взломщик.
Для имитации сессии взломщика используется набор известных способов вторжения. Дополнительно к
этим способам используются методы взлома, специфические для данной системы.
Сами тесты могут классифицироваться следующим образом:
- тесты, проводимые с одного хоста
- тесты, проводимые с нескольких хостов, требующие одновременного доступа к тестируемой системе
- тесты, проводимые с нескольких хостов, требующие последовательного доступа к тестируемой системе.
Также, для оценки сформулированных критериев применяются следующие методики:
1) проверка IDS на определение известного вторжения
2) 1 метод с одновременной нагрузкой на систему, на которой установлена IDS
3) 1 метод с одновременной имитацией обычной работы пользователей в защищаемой сети
4) 1 метод, но запросы в тесте к проверяемой системе выдаются с задержкой.
Т.е. между шагами вторжения ставится задержка. Все эти тесты должны проводится с изменяемой интенсивностью и произвольно комбинироваться.
Тестирование в первую очередь нацелено на точную настройку систем обнаружения вторжений. Также оно
необходимо для выбора системы, соответствующей поставленным задачам в защищаемой сети.
3
Скачать