Еще недавно безопасность была уделом корпоративных заказчиков. А сейчас все изменилось — массированные атаки (эпидемии червей, спам или DDoS) наносят ущерб и самим операторам связи. В прошлом операторы связи обеспечивали безопасность своей сети, опираясь на собственноручно написанные утилиты и таланты собственной инженерной команды, действующей преимущественно “руками”. Сегодня этот подход применим далеко не всегда. И хотя талантливые инженеры по-прежнему в цене, действовать дедовскими методами сейчас невозможно.


Фильтрация в “черную дыру”
Фильтрация в “черную дыру”

Как и в любой другой области, в деле обеспечения безопасности оператора существуют правила хорошего тона, следование которым влечет за собой и существенное повышение уровня защищенности инфраструктуры оператора связи. Конечно, 100%-я защита невозможна, но и 80% лучше, чем 0%. А если следовать описанным ниже правилам, то значение термометра информационной безопасности приблизится к максимальной отметке:

1. Создание OPSEC или SOC.
2. Организация взаимодействия с другими операторами.
3. Использование встроенных механизмов защиты.
4. Использование дополнительных средств защиты.
5. Расследование инцидентов.

Команда

Безопасность оператора связи начинается не с применения технических средств и механизмов. Так же, как театр начинается с вешалки, так и безопасность оператора начинается с понимания проблемы и формирования соответствующей команды, на плечи которой ляжет основной груз забот по обеспечению устойчивости и защищенности своей сети.

У многих операторов есть NOC, но... в нем, как правило, отсутствуют регламентирующие документы и руководства по защите, инструменты, нет или катастрофически не хватает квалифицированных специалистов в области информационной безопасности и т.д. Необходимо иметь либо OPSEC Team (operational security team), либо создавать у оператора Security Operations Center (SOC). Второе предпочтительнее. На OPSEC Team или SOC ложатся не только оперативные вопросы реагирования на атаки и расследование инцидентов, но и взаимодействие с производителями используемого сетевого оборудования, соседними операторами, разработка организационно-распорядительных документов по вопросам обеспечения защищенности и устойчивости деятельности оператора связи и контроль за их исполнением.

Каким бы мощным не был SOC/OPSEC, он не может контролировать все и вся  — ему необходима помощь других аналогичных команд/центров. К сожалению, в нашей стране пока не так хорошо обстоит дело с взаимодействием между операторами. Конечно, операторы контактируют между собой, но зачастую это происходит на неформальном уровне. Пока же остается только брать пример с наших западных коллег. Например, с группы североамериканских операторов связи (http://www.nanog.org/) и других. Еще один пример  — закрытый список рассылки для инженеров интернет-провайдеров, активно участвующих в расследовании инцидентов с безопасностью, — NSP-SEC. Именно NSP-SEC первым уведомил CERT и другие группы реагирования на инциденты альянса FIRST о начале эпидемии Slammer.

Встроенные методы защиты

Защита инфраструктуры оператора строится из 4-х элементов: защита оборудования, маршрутизации, передаваемого трафика и управляющих команд. Рассмотрим данные элементы более подробно на примере механизмов, уже встроенных в установленное оборудование.

Фильтрация

Самый первый, самый важный и самый простой метод защиты — фильтрация трафика. При правильном использовании он позволяет отсеять очень многое из того, что не должно попадать в сеть оператора или покидать ее пределы. Эффективная фильтрация в сети оператора позволяет защитить весь интернет в целом, т.к. интернет — это и есть объединение операторов. Следуя этому принципу, можно локализовать любую угрозу в рамках сети одного клиента, защищая тем самым всех остальных.

На сегодняшний день лучшим руководством по фильтрации для операторов связи является BCP38/RFC2827 “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”.

Правила фильтрации достаточно простые:

Ограничьте список протоколов, которые могут пропускаться на периметре сети оператора (например, протоколы BGP, OSPF, EIGRP, Telnet, SSH, GRE, IPSec, IKE, SNMP, NTP и т.п.). Зачем давать злоумышленнику лишний канал проникновения в сеть?

Определите адресное пространство оператора. Это позволит блокировать пакеты с подменными адресами, исходящими из сетей клиентов.

Создайте фильтры для частных, зарезервированных и немаршрутизируемых адресов. Эти адреса описаны в RFC1918 “Address Allocation for Private Internets”, а также в RFC3330 “Special-Use IPv4 Addresses”.

Фильтровать необходимо и входящий, и исходящий трафик — это позволит защитить от возможных проблем себя и сети клиентов.

Списки контроля доступа (ACL)

Какие существуют методы для реализации фильтрации? Первый из них — списки контроля доступа (access control list, ACL), которые позволяют фильтровать исходящий и входящий трафик на основе IP-адресов получателя и отправителя, портов получателя и отправителя, а также типа сервиса/протокола.

Особенность работы списков контроля доступа заключается в последовательной проверке каждого пакета на соответствие правилу в ACL. А раз так, то в какой-то момент может наступить ситуация, когда большая часть ресурсов маршрутизатора вместо выполнения своей основной задачи будет тратиться на фильтрацию. Это необходимо учитывать при выборе данного метода фильтрации трафика и заранее учесть скорость обработки пакетов и время задержки. Разумеется, технологии не стоят на месте, и сегодня существуют различные методы повышения быстродействия списков контроля доступа, например, TurboACL, выделенные для фильтрации процессоры ASIC/TCAM и т.п.


Обнаружение аномалий в сети
Обнаружение аномалий в сети
В зависимости от стоящих задач и различных условий и требований оператора списки контроля доступа могут реализовываться как на маршрутизаторе оператора, так и на оборудовании, установленном у клиентов. Если же клиентов, а следовательно, и списков контроля доступа много, то с точки зрения производительности задачу фильтрации лучше переложить на маршрутизаторы, установленные у клиента (хотя все это весьма индивидуально). В этом случае усложняется процедура контроля, обновления и масштабирования данных ACL, но при наличии эффективной системы управления эта задача вполне решаемая.

Фильтрация в “черную дыру”

Следующим вариантом является фильтрация в “черную дыру” (blackhole), реализуемая путем передачи ненужного трафика на псевдоинтерфейс Null0, который всегда включен, но никогда не пересылает и не принимает трафик. Передача на Null0 трафика приводит к его сбросу, а процессор маршрутизатора при этом не перегружается, как в случае со списками контроля доступа. Однако и у данного метода есть свои ограничения. В отличие от ACL, позволяющего фильтровать трафик на основе конкретных протоколов и сервисов, метод “черной дыры” не обеспечивает такой же гибкости  — он позволяет отсеивать весь трафик, поступающий на конкретный адрес или подсеть.

Проверка обратного пути (uRPF)

По статистике, до 95% всех атак типа “отказ в обслуживании” (DoS) совершаются с подменой адреса. При этом фальсифицированные адреса могут принадлежать клиентам, а следовательно, списки контроля доступа или метод фильтрации в “черную дыру” будет малоэффективен. В такой ситуации возможно применение т.н. проверки обратного пути (Unicast Reverse Path Forwarding), которая позволяет проверять каждый пакет на предмет доступности адреса его источника по тому же интерфейсу. Если проверка завершается неудачей, то такой пакет отбрасывается.

Этот метод менее требователен к ресурсам процессора и более легок в настройке и поддержке — на маршрутизаторе достаточно ввести всего одну команду, которая позволит автоматически отсеивать все пакеты с поддельными адресами.

Защита от DoS-атак

Отдельным классом защитных механизмов можно выделить отражение DoS-атак, которые все чаще мешают и наносят урон операторам связи во всем мире. По статистике, каждые 5 минут в мире происходит 2 DoS-атаки, и это значение будет ухудшаться, что связано с существенным облегчением реализации этого типа несанкционированной активности. Следовательно, оператор связи должен иметь возможность защищать себя и своих клиентов. Одним из защитных механизмов является ограничение полосы пропускания с помощью Committed Access Rate (CAR), который позволяет ограничивать определенные виды трафика для заданных адресов источников или получателей. Основное преимущество CAR заключается в том, что он может работать с пакетами по мере того, как они поступают на интерфейс маршрутизатора,  — сбрасывая или ограничивая поток DoS-атаки еще до начала его обработки.

Другие методы защиты

Основные методы защиты, встроенные в сетевое оборудование:

Защита от навязывания ложных маршрутов.

Автоматическое отключение функций маршрутизатора, которые могут привести к снижению его защищенности AutoSecure.

Предотвращение подбора пароля на доступ к маршрутизатору.

Control Plane Policy.

NetFlow для анализа трафика и обнаружения отказов.

Регистрация событий в Syslog.

Использование протокола BGP для блокирования атак.

Маршрутизатор-поглотитель (sinkhole).

Network-based Application Recognition (NBAR).

Обнаружение аномалий путем контроля качества обслуживания (QoS).

Встроенные системы предотвращения атак и межсетевые экраны и т.д.

Встроенные методы или дополнительные средства защиты?

Основная цель маршрутизатора — маршрутизировать потоки. Перераспределение процессорных мощностей и выделение части из них на функции защиты приводит к снижению производительности маршрутизатора и снижает его пропускную способность. Конечно, производители сетевого оборудования прикладывают все усилия, чтобы не снижать производительность маршрутизатора, но до бесконечности этот процесс продолжаться не может, и чем-то приходится жертвовать — пропускной способностью или функциональностью с точки зрения сетевой безопасности. Из сложившейся ситуации существует выход — применение дополнительных средств защиты, которые берут на себя все функции по блокированию несанкционированной активности.


Архитектура сети-поглотителя
Архитектура сети-поглотителя
Собственно, это то, с чего начинался рынок средств информационной безопасности — отдельные защитные устройства, которые устанавливались в уже построенную сеть. К таким средствам можно отнести:

Межсетевые экраны, разграничивающие доступ к ресурсам сети оператора связи или клиента. Реализуя схожий со списками контроля доступа функционал, межсетевые экраны (firewall или брандмауэр) имеют также и другие защитные возможности. Например, более глубокий анализ трафика, учитывающий тип используемого сетевого приложения, состояние соединения и другие параметры.

Системы предотвращения атак, инспектирующие весь сетевой трафик с целью обнаружения в нем следов несанкционированной активности и ее блокирования. Это может осуществляться двумя путями — методом сравнивания сетевого трафика с базой сигнатур известных атак и методом обнаружения аномальной активности путем контроля отклонений от нормальной сетевой активности (по этому принципу можно обнаруживать DoS-атаки, червей и другие типы нападений).

Системы контроля содержимого, предназначенные для обнаружения спама и других нарушений политики безопасности. Установленные у клиентов данные средства могут быть также настроены на обнаружение фактов утечки конфиденциальной информации.

Реагирование на инциденты

Обнаружением и даже блокированием атаки роль OPSEC\SOC не ограничивается. Необходимо и впредь блокировать повторение аналогичных ситуаций. Это можно сделать благодаря не только изменению конфигурации сетевого оборудования и средств защиты, но и отслеживанию источника, с которого действует злоумышленник или начиналась DoS-атака. Сетевое оборудование предполагает наличие специальных механизмов, которые автоматизируют или серьезно облегчают процесс трассировки адреса нарушителя. К таким механизмам можно отнести NetFlow, IP Source Tracker, метод отслеживания по обратному распространению, трассировку с помощью ACL и т.д.

Управление

Изобилие средств защиты не только повышает уровень защищенности оператора связи, но и увеличивает нагрузку на администраторов безопасности, которым приходится оперировать огромными объемами данных, сигнализирующих о несанкционированной активности. В таблице 1 показан средний объем данных, с которыми приходится сталкиваться оператору средств защиты.

При этом анализ сигналов тревоги осложняется тем, что не все события представляют реальную опасность для инфраструктуры, а часть сигналов является следствием ложного срабатывания системы защиты. Поэтому одна из главных задач администратора безопасности — отделить “зерна от плевел” и определить, какие атаки требуют немедленной реакции, какие подождут своего часа, а какие можно спокойно проигнорировать. Эта задача не была бы столь сложна, если бы все сообщения, сгенерированные средствами защиты, соответствовали реальным атакам. Однако действительность такова, что атак, которые могут нанести ущерб ресурсам сети, несоизмеримо меньше, чем событий, фиксируемых защитными механизмами. Мнение о том, что ложное сообщение лучше, чем его отсутствие, далеко не всегда оправдано.

Найти реальную атаку в сотнях мегабайт фиксируемых событий — все равно, что искать иголку в стоге сена. Но даже если вы совершили невозможное и обнаружили угрозу вашей сети, то необходимо оповестить об этом и других заинтересованных лиц — владельцев атакуемой системы или ее администратора, группу реагирования на инциденты и т.п.

Решить все эти проблемы одиночными средствами защиты невозможно. У одной системы не хватает механизма сопоставления разнородных событий безопасности, у другой отсутствует эффективный механизм хранения гигабайт собранных данных, третья не обладает системой генерации высокоуровневых отчетов, понятных руководству, и т.п. Чтобы избежать описанных неприятностей, необходима эффективная система управления информационной безопасности, которая позволяет связать все используемые в сети защитные средства в единый управляемый комплекс. Такие системы известны под общим названием Security Information Management Systems (SIMS).

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems. С автором можно связаться по e-mail: alukatsk@cisco.com


Объем событий безопасности от средств защиты (средняя оценка)

 
Событий в секунду
Мегабайт в час
Гигабайт в день
• Маршрутизатор SOHO
• Небольшой VPN-шлюз
50
27,4
0,64
• Межсетевой экран начального уровня
• Маршрутизатор крупной компании
100
54,8
1,28
• Сетевая система обнаружения атак начального уровня
• Межсетевой экран средней компании
200
109,6
2,56
• Мощный сервер приложений
400
219,2
5,12
• Межсетевой экран крупной компании
• Система обнаружения атак средней компании
500
274,7
6,43
• Межсетевой экран и система обнаружения атак оператора связи
>2500
1375
32,2