Datrosistēmu apsardze

Datoru sistēmas apsardzes pakalpojums tiek nodrošināts ar dažādiem moduļiem, serveriem, filtriem un citiem tehniskiem risinājumiem. Lai līdz minimumam samazinātu uzbrukuma riskus, publiski netiek izpausta konkrētā specifikācija, izmantojamā aparatūra, programmatūra un metodes. Sistēmas kodols atrodas novērošanas centrā, kura funkcijas ir savākt un analizēt informāciju par potenciālajiem uzbrukumiem, kā arī veikt nepieciešamās darbības, lai nepieļautu datorsistēmu uzlaušanu. Datoru uzbrukumu identificēšanu un pierādījumu savākšanu un uzbrukuma bloķēšanu veic klienta modulis, kas novietots starp klienta tīklu un izeju uz "ārpasauli". Atkarībā no konkrētam tīklam izstrādātiem drošības kritērijiem, daļēji vai pilnībā tiek ierobežota piekļuve apsargājamai sistēmai. Ierīkotā sistēma sevī ietver "ugunssienas" funkcijas, "Ielaušanās atklāšanas sistēmu" kā arī "Ielaušanās novēršanas sistēmu". Šajā sistēmā ir iekļauts dinamiskais pakešu filtrs, kas apvienots ar pārraides kontroles protokola vārteju, kā arī iespēju to padarīt par aplikāciju vārteju noteiktiem protokoliem. Dinamiskais pakešu filtrs izmanto arī statiskā pakešu filtra principus, abi ir apvienoti vienā veselā. Dinamiskais pakešu filtrs nodrošina:

  • Dinamisku portu atvēršanu pēc pieprasījuma;
  • Dinamisku portu aizvēršanu pēc pilnīgas datu apmaiņas;
  • Iespēju dinamiski atvērt portus jau līdzīgi atvērtām konekcijām, piemēram, ftp protokols, kurš izmanto 2 portus uzreiz - vienu komandām, otru datu pārraidei.

Dinamiskas pakešu filtrēšanas galvenā priekšrocība ir tā, ka nav nepieciešams "uz aklo" atvērt visus nepriviliģētos portus (>=1024), lai tīkla lietotāji bez problēmām varētu izmantot interneta resursus. Protams, dinamisko pakešu filtru ir iespējams apvienot ar statisko pakešu filtru, tādējādi panākot vēl interesantākas un sarežģītākas filtrēšanas iespējas. Piemēram, tā kā statiskais pakešu filtrs nodrošina pilnīgi visu pakešu pārbaudi, ir iespējams liegt pieeju publiskiem resursiem no/uz konkrētām ip adresēm, portiem u.tml.
Statiskā pakešu filtra galvenā priekšrocība ir tā, ka nevienai caur filtru neizgājušai pakete netiek ļauts turpināt ceļu. Tālāk uzskaitītas iespējas, kuras tiek piedāvātas kā "ugunssienas" sistēmas komponentes:

  • Iespēja filtrēt pēc jebkura no IP protokola laukiem:
    • IP versijas numura;
    • IP Paketes garuma;
    • DSCP (TOS);
    • Kopējā pakas lieluma (IP sākums (header) un dati (payload);
    • IP fragmentācijas noteikumiem, DF un MF laukiem;
    • Paketes atlikušā derīguma laika (TTL);
    • Protokola;
    • Sūtītāja adreses (source address);
    • Saņēmēja adreses (destination address);
    • IP protokola opcijas.
  • Iespēja filtrēt pēc jebkura no TCP protokola laukiem:
    • Saņēmēja porta (source port);
    • Sūtītāja porta (destination port);
    • Rezervētajiem, neizmantotajiem, laukiem;
    • URG, ACK, PSH, RST, SYN, FIN TCP paketes statusa laukiem;
    • TCP protokola loga (window) apmēra;
    • TCP protokola opcijām.
  • Iespēja filtrēt pēc jebkura no UDP protokolu laukiem:
    • Saņēmēja porta (source port);
    • Sūtītāja porta (destination port);
    • UDP paketes apmēra.
  • Iespēja filtrēt pēc jebkura no ICMP protokolu laukiem:
    • ICMP tipa;
    • ICMP koda;
    • ICMP satura.
  • Iespēja ar U32 pakešu apstrādes papildizvēli izpētīt jebkuru no citu protokolu laukiem, veicot dažādas loģiskās binārās operācijas (AND, OR, NOT, XOR) un definējot bitu pārbīdes operācijas (SHL, SHR, SAL, SAR, ROL, ROR). Lai apskatītu kādu citu, ne tik bieži izmantotu protokolu pēc tā specifikācijas, ir iespējams sastādīt operācijas, kas pārbaudīs attiecīgos protokola laukus.
  • Papildus iespējas:
    • Iespēja izmantot pilnvērtīgu adrešu translāciju (NAT);
    • Iespēja izmantot pilnvērtīgu port pāradresāciju (port forwarding);
    • Iespēja pilnvērtīgi pārbaudīt IP protokola fragmentāciju;
    • Iespēja ar vienu kritēriju definēt noteiktu adrešu apgabalu, neizmantojot CIDR (Classless Internet Domain Resolution);
    • Iespēja ar vienu kritēriju definēt portu apgabalus, neizmantojot loģiskās OR un/vai AND operācijas un maskas;
    • Iespēja noteikt paketes tipu - broadcast, unicast, multicast;
    • Iespēja, nemainot kritērijus, atslēgt un pieslēgt konkrētus filtrus;
    • Aizsardzība pret pieprasījumu atteikumu uzbrukumiem (DOS).
      Piemēram, kā aizsardzība pret publiska pasta servera pieprasījumu atteikumu tiek noteikts ierobežojums ne vairāk kā 30 pieprasījumi sekundē.
    • Iespēja filtrēt vēl aizvien ISO OSI modeļa 3. slānī - Tīkla slānī, taču nolaisties tajā mazliet zemāk - filtrēt ARP (Address Resolution Protocol) pieprasījumus no blakus tīklā esošajām Ethernet iekārtām;
    • Iespēja filtrēt protokolus atkarībā no laika - dienas, datuma un gada. Piemēram, darbiniekiem atļaut izmantot interneta resursus tikai pēc darbdienas beigām - pulksten 17:00. Laika ierobežojumi ir pielāgoti Latvijas laika zonas izmaiņām;
    • Iespēju izveidot perfektu slodzes izlīdzinātāju (load balancer), kurš spēj izsūtīt paketes vienlaicīgi uz vairākiem servisiem, kuri sniedz vienādus pakalpojumus.
    • Iespēja ierobežot savienojumu sesiju daudzumu kādam resursam. Piemēram, ne vairāk kā 20 vienlaicīgas datu pārraides uz/no web servera.
    • Iespēju aizliegt/slēpt ECN (Explicit Congestion Notification) TCP paketes sākuma daļā (header).

    Svarīgākā no komponentēm ir Ielaušanās Atklāšanas Sistēma (IAS), kas kontrolē apsargājamā datortīkla atļauto servisu datu plūsmu pēc iepriekš izstrādātajiem kritērijiem. Ar dažādām parakstu salīdzināšanas metodēm IAS spēj pat no vienas datu paketes fiksēt tuvojošās briesmas, ģenerēt paziņojumu un bloķēt pieeju no šīs adreses automātiski. Viena no IAS raksturīgākām problēmām ir precīzi atšķirt neesošas briesmas (false positives). Mūsu sistēma šādus gadījumus ir samazinājusi līdz minimumam IAS sistēmas izstrādes procesā. Tas panākts, izstrādājot speciālus filtrus, kas kontrolē datu plūsmu tikai uz konkrētiem resursiem - uz tiem, kuriem "ugunssiena" ir atļāvusi plūst datiem. Kā arī, pēc izvēles tiek kontrolēta visa datu plūsma no apsargājamā datortīkla, tādējādi dodot iespēju atklāt, gan privātā tīkla darbstaciju inficēšanos ar datoru vīrusiem, Trojas zirgiem, utml.
    IAS pamatfunkcijas:

    • Portu skanēšanas identificēšana:
      • Atklāt portu skanēšanas sākšanas un beigu laika noteikšanu
      • 90% portu skanēšanas metožu noteikšanu:
        • XMAS metodi
        • Pilno XMAS metodi
        • SAPU metodi
        • FIN metodi
        • SYN FIN metodi
        • NULL metodi
        • Vecna metodi
        • (citas portu skanēšanas metodes)
    • HTTP protokola anomālijas un to dekodēšana:
      • Pārmērīgi lielu HTTP metožu saņemšanu;
      • HTTP protokola pieprasījumus bez URI;
      • HTTP pieprasījuma dekodēšanu no HEX URI kodēšanas metodes (iekļauj UNICODE multibaitu kodēšanas metodes);
      • Nelegālu kodētu pieprasījumu dekodēšanu.
    • IP fragmentācijas uzbrukumu identificēšana:
      • Pārklājošās offset vērtības, dublicētiem fragmentiem;
      • IP opcijām pie fragmetētām paketēm;
      • Neturpinoši fragmenti;
      • Pārmērīgi lieli fragmenti;
      • Teardrop uzbrukumi.
    • ARP viltošanas atklāšana:
      • Unicast ARP pieprasījumi;
      • Neparedzētu Sūtītāja/Saņēmēja ARP adreses mainīšana;
      • ARP keša (cache) pārrakstīšanas mēģinājumi.
    • Anomālijas IP protokola datagrammās atklāšana:
      • Viltotas IPv4 paketes ar ne-IPv4 identifikatoru;
      • Pārmērīgu sākuma daļas (header) izmērs;
      • Nepietiekošs sākuma daļas izmērs;
      • Neeksistējošu IPv4 opciju eksistence
      • Saraustītas IPv4 opcijas
    • Anomālijas TCP protokolā un tā sesijās atklāšana:
      • Atkārtojošas ACK paketes;
      • Datu eksistence paketēs ar SYN flangu;
      • Nmap portu skanēšanas, operētājsistēmas noteikšanas mēģinājumi;
      • Iespējamu RST viltošana un slēpšana;
      • TTL vērtības pārsniegšana;
      • Iespējamu pakešu retranslācija;
      • TCP window vērtības izkropļošana;
      • TCP čeksummas mainīšanās pie identiskām paketēm;
      • Padošanas (forward) pārklāšanās;
      • Identisku datu retranslācija ar dažādu saturu;
      • TCP sākuma daļas (header) samazināšanās zem 20 baitiem;
      • Offset vērtība mazāka par 5;
      • TCP sākuma daļas izmēra paketes izmēra pārsniegšana;
      • TCP opcijas ar nepareiziem izmēriem;
      • Saīsinātas vai izkropļotas opcijas;
      • Novecojušu opciju izmantošana;
      • Eksperimentālu opciju izmantošana;
    • Anomāliju atklāšana ICMP/UDP protokolos:
      • Saraustītas UDP protokola sākuma daļas;
      • Nepietiekošs UDP protokola paketes garums;
      • Saraustīta ICMP protokola sākuma daļa;
      • Izkropļoti ICMP dati.
    • Anomāliju atklāšana RPC protokolā:
      • Fragmentēi RPC ieraksti;
      • Pārmērīgi lieli RPC ieraksti;
      • Nepabeigti RPC ieraksti;
      • Pārmērīgi, atkārtoti RPC ieraksti.

    Papildus pieejamas arī šādas iespējas:

    • Izmantojot mūsu dinamisko kritēriju izveides sistēmu izveidot un papildināt ar dinamiskām un statiskiem kritērijiem, kuri ir spējīgi:
      • Atklāt attālinātus mēģinājumus izmantot formatētu tekstu/bufera pārpildīšanās uzbrukumus, kuri noved pie pilnas pieejas resursdatoram;
      • Atklāt aizdomīgus datus, kuriem nekādā ziņā nebūtu jāplūst no resursdatora (vīrusus, trojas zirgus u. tml.);
      • Aizliegt izmantot konkrētus HTTP resursus - erotiska satura lapas, lapas, kas satur diskrimināciju u. tml.;
      • Aizliegt izmantot konkrētas FTP protokola komandas, iespējams aizliegt jebkuram protokolam izmantot jebkurus tam piemītošas datu apmaiņas metodes;
      • Klasificēt datus un, izmantojot reaģēšanas sistēmu, bloķēt turpmākos mēģinājumus "ugunssienas" līmenī uz noteiktu laiku.

    Jebkura komponente var tikt pievienota un/vai noņemta atkarībā no konkrētā lietotāja datorsistēmas īpatnībām. Katrai datorsistēmai tiek izstrādāti savi specializēti kritēriji, lai garantētu maksimālu drošību.
    Izveidotā sistēma īpaši citu sistēmu vidū izceļas ar iespēju dinamiski uzkrāt informāciju katalogā, kurā arī tiek apkopota informācija par visiem uzbrukumiem no visām apsargātajām datorsistēmām. Šādam informācijas uzkrāšanas veidam ir lielas priekšrocības - uzbrucējs visbiežāk nenojaušs, ka viņa mēģinājumi tiek novēroti un ierakstīti katalogā un tiek analizēti.
    Sistēmas lietotājam ir iespēja saņemt visu nepieciešamo statistiku, tai skaitā arī konkrētu informāciju, piemēram, par to kas un kādā laikā ir veicis datorsistēmas uzlaušanas mēģinājumu un kādi mēģinājumi ir izpildīti.