Меню
ГлавнаяMicrosoft

Как выбрать систему предотвращения атак. IDS - что это такое? Система обнаружения вторжений (IDS) как работает

Системы обнаружения вторжений или IDS (Intrusion Detection System) появились не так давно, по крайней мере если сравнивать их с антивирусами или файрволами. Возможно по этой причине службы информационной безопасности не всегда считают нужным внедрять эти решения, уделяя основное внимания другим системам в области ИБ. А ведь практическая польза от IDS существует и она довольно существенна.

В отличие от межсетевых экранов, которые функционируют на базе заранее определенных политик, IDS служат для мониторинга и выявления подозрительной активности. Таким образом, IDS можно назвать важным дополнением для инфраструктуры сетевой безопасности. Именно с помощью с истемы обнаружения вторжений администратор сможет детектировать неавторизованный доступ (вторжение или сетевую атаку) в компьютерную систему или сеть, и предпринять шаги по предотвращению атаки.

В целом, благодаря IDS, представляющем собой программное или аппаратное решение, администратор сможет не только о бнаружить вторжение или сетевую атаку, но и спрогнозировать возможные будущие атаки и найти уязвимости для предотвращения их вторжения. Ведь атакующий предварительно выполняет ряд действий, таких как сетевое сканирование для обнаружения уязвимостей целевой системы. Кроме того, служба ИТ сможет документировать существующие угрозы и локализировать источник атаки по отношению к локальной сети: внешние или внутренние атаки.

От обнаружения вторжений - к предотвращению

В свою очередь, системы предотвращения IPS (Intrusion Prevention System) появились на базе IDS, то есть каждая IPS включает в себя модуль IDS. По своим функциям они довольно схожи, но есть и отличие, оно состоит в том, что заключается в том, что первая система - это «пассивное» решение, которая занимается мониторингом сетевых пакетов, портов, сравнивает трафик с определенным набором правил и оповещением при обнаружении вредоносностей, в то время как IPS блокирует его при попытках проникновения в сеть. В случае риска вторжения сетевое соединение отключается, либо блокируется сессия пользователя с остановкой доступа к ІР-адресам, аккаунту, сервису или приложению.

Кроме того, чтобы отвести угрозу атаки, IPS-устройства способны провести перенастройку межсетевого экрана или маршрутизатора. Некоторые решения также используют накатывание новых патчей при повышенной уязвимости хоста. Тем не менее, необходимо признать, что технологии IDS/ IPS не делают систему абсолютно безопасной.

Особенности архитектуры

При развертывании систем IPS используется четыре основных технологии. Первая - это установка выделенных устройств по периметру корпоративной сети, а также внутри нее. Как правило, IPS интегрирована в инфраструктуру, поскольку такой вариант намного выгоднее автономного решения. Прежде всего, потому что стоимость интегрированного устройства ниже цены автономного (stand-alone) устройства, да и стоимость внедрения ниже. В-третьих, выше надежность, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам.

Как правило, IPS интегрируют в маршрутизатор, тогда система получает доступ к анализируемому трафику. Это вторая используемая технология. Однако у этого варианта есть недостаток: интегрированная в маршрутизатор IPS способна отражать атаки только на периметре сети. Поэтому, чтобы защитить внутренние ресурсы, механизмы предотвращения атак внедряют в коммутаторы локальной сети.

Системы IDS/IPS устанавливаются по периметру корпоративной сети

Третий форпост IPS связан с быстро растущей популярностью беспроводных технологий. Поэтому системами IPS сегодня активно оснащают и точки беспроводного доступа. Подобные решения, помимо обнаружения и предотвращения различных атак, способны находить несанкционированно установленные точки доступа и клиентов.

Еще одним рубежом обороны является рабочая станция или сервер. В этом случае система IPS на рабочей станции или сервере устанавливается как прикладное ПО поверх ОС и называется Host IPS (HIPS). Подобные решения выпускаются множеством производителей. Например , можно отметить продукты , , , и другие .

Использование системы Host IPS ведет к сокращению частоты установки критических обновлений, помогает защищать конфиденциальные данные и выполнять регулятивные требования и предписания. Она сочетает в себе систему предотвращения вторжений (IPS) на основе анализа поведения и сигнатур, брандмауэр, имеющий функцию отслеживания состояния соединений, и механизм блокирования приложений с целью защиты всех конечных точек — настольных ПК, ноутбуков и серверов — от известных и неизвестных угроз.

Основные ошибки при внедрении

Системы IDS/IPS - это довольно сложный инструмент, требующий определенной квалификации при внедрении и постоянного внимания во время эксплуатации. Если этого не делать, то системы часто будут генерировать ложный сигнал, ошибочно определяя трафик как вредоносный.

Чтобы системы предотвращения вторжений работала надежно, требуется произвести настройку точности. Кроме того, устройство необходимо перманентно подстраивать при изменении конфигурации сети, а также к новым угрозам, появившимся в сети.

Эксперты называют семь основных ошибок при развертывании и эксплуатации систем Host IDS/IPS.

Во-первых, нельзя блокировать сигнатуры среднего и высокого уровня опасности без предварительного анализа собранных данных. Вместо этого рекомендуется заблокировать только сигнатуры высокого уровня опасности. Это обеспечит защиту от наиболее серьезных уязвимостей при небольшом числе ложных событий. В свою очередь, сигнатуры среднего уровня опасности работают по поведенческому алгоритму и обычно требуют обязательной предварительной настройки.

Во-вторых, нельзя использовать во всех системах одни и те же политики. Вместо этого надо разделить ПК на группы по приложениям и привилегиям, начиная с создания стандартных профилей для самых простых систем.

Далее, система Host IPS не приемлет принципа «поставил и забыл». В отличие от антивируса, здесь для обеспечения точности и эффективности защиты требуется регулярный мониторинг и регулярное обслуживание системы.

Кроме того, нельзя одновременно включать IPS, брандмауэр и режим блокирования приложений. Рекомендуется начать с IPS, затем добавить брандмауэр, а потом при необходимости активировать режим блокирования приложений.

Также нельзя оставлять IPS, брандмауэр или механизм блокирования приложений в адаптивном режиме на неопределенный срок. Вместо этого надо включить адаптивный режим на короткие промежутки времени, когда у ИТ-администратора есть возможность отслеживать создаваемые правила.

И наконец, нельзя немедленно блокировать все, что система распознает как вторжение. Сначала стоит убедиться, что наблюдаемый трафик действительно является вредоносным. В этом помогут такие средства, как захват пакетов, сетевой IPS и другие.

Публикации по теме

29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.

28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.

28 января 2014 По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.

30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.

Обнаружения вторжений - это программные или аппаратные средства обнаружения атак и вредоносных действий. Они помогают сетям и компьютерным системам давать им надлежащий отпор. Для достижения этой цели IDS производит сбор информации с многочисленных системных или сетевых источников. Затем система IDS анализирует ее на предмет наличия атак. В данной статье будет предпринята попытка ответить на вопрос: "IDS - что это такое и для чего она нужна?"

Для чего нужны системы обнаружения вторжения (IDS)

Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров и антивирусов для отражения всех этих атак оказывается явно недостаточно, поскольку они лишь способны защитить «парадный вход» компьютерных систем и сетей. Разные подростки, возомнившие себя хакерами, беспрерывно рыщут по интернету в поисках щелей в системах безопасности.

Благодаря всемирной паутине в их распоряжении очень много совершенно бесплатного вредоносного софта - всяких слеммеров, слепперов и тому подобных вредных программ. Услугами же профессиональных взломщиков пользуются конкурирующие компании для нейтрализации друг друга. Так что системы, которые обнаруживают вторжение (intrusion detection systems), - насущная необходимость. Неудивительно, что с каждым днем они все более широко используются.

Элементы IDS

К элементам IDS относятся:

  • детекторная подсистема, цель которой - накопление событий сети или компьютерной системы;
  • подсистема анализа, которая обнаруживает кибер-атаки и сомнительную активность;
  • хранилище для накопления информации про события, а также результаты анализа кибер-атак и несанкционированных действий;
  • консоль управления, при помощи которой можно задавать параметры IDS, следить за состоянием сети (или компьютерной системы), иметь доступ к информации про обнаруженные подсистемой анализа атаки и неправомерные действия.

Кстати, многие могут спросить: "Как переводится IDS?" Перевод с английского звучит как "система, которая застает на горячем незваных гостей".

Основные задачи, которые решают системы обнаружения вторжений

Система обнаружения вторжений имеет две основные задачи: анализ и адекватная реакция, основанная на результатах этого анализа. Для выполнения этих задач система IDS осуществляет следующие действия:

  • мониторит и анализирует активность пользователей;
  • занимается аудитом конфигурации системы и ее слабых мест;
  • проверяет целостность важнейших системных файлов, а также файлов данных;
  • проводит статистический анализ состояний системы, основанный на сравнении с теми состояниями, которые имели место во время уже известных атак;
  • осуществляет аудит операционной системы.

Что может обеспечить система обнаружения вторжений и что ей не под силу

С ее помощью можно добиться следующего:

  • улучшить параметры целостности ;
  • проследить активность пользователя от момента его вхождения в систему и до момента нанесения ей вреда или произведения каких-либо несанкционированных действий;
  • распознать и оповестить про изменение или удаление данных;
  • автоматизировать задачи мониторинга интернета с целью поиска самых последних атак;
  • выявить ошибки в конфигурации системы;
  • обнаружить начало атаки и оповестить об этом.

Система IDS это сделать не может:

  • восполнить недостатки в сетевых протоколах;
  • сыграть компенсаторную роль в случае наличия слабых механизмов идентификации и аутентификации в сетях или компьютерных системах, которые она мониторит;
  • также следует заметить, что IDS не всегда справляется с проблемами, связанными с атаками на пакетном уровне (packet-level).

IPS (intrusion prevention system) - продолжение IDS

IPS расшифровывается как "предотвращение вторжения в систему". Это расширенные, более функциональные разновидности IDS. IPS IDS системы реактивны (в отличие от обычной). Это означает, что они могут не только выявлять, записывать и оповещать об атаке, но также и выполнять защитные функции. Эти функции включают сброс соединений и блокировку поступающих пакетов трафика. Еще одной отличительной чертой IPS является то, что они работают в режиме онлайн и могут автоматически заблокировать атаки.

Подвиды IDS по способу мониторинга

NIDS (то есть IDS, которые мониторят всю сеть (network)) занимаются анализом трафика всей подсети и управляются централизованно. Правильным расположением нескольких NIDS можно добиться мониторинга довольно большой по размеру сети.

Они работают в неразборчивом режиме (то есть проверяют все поступающие пакеты, а не делают это выборочно), сравнивая трафик подсети с известными атаками со своей библиотеки. Когда атака идентифицирована или же обнаружена несанкционированная активность, администратору посылается сигнал тревоги. Однако следует упомянуть, что в большой сети с большим трафиком NIDS иногда не справляются с проверкой всех информационных пакетов. Поэтому существует вероятность того, что во время «часа пик» они не смогут распознать атаку.

NIDS (network-based IDS) - это те системы, которые легко встраивать в новые топологии сети, поскольку особого влияния на их функционирование они не оказывают, являясь пассивными. Они лишь фиксируют, записывают и оповещают, в отличие от реактивного типа систем IPS, о которых речь шла выше. Однако нужно также сказать о network-based IDS, что это системы, которые не могут производить анализ информации, подвергнутой шифрованию. Это существенный недостаток, поскольку из-за все более широкого внедрения виртуальных частных сетей (VPN) шифрованная информация все чаще используется киберпреступниками для атак.

Также NIDS не могут определить, что случилось в результате атаки, нанесла она вред или нет. Все, что им под силу, - это зафиксировать ее начало. Поэтому администратор вынужден самостоятельно перепроверять каждый случай атаки, чтобы удостовериться в том, что атакующие добились своего. Еще одной существенной проблемой является то, что NIDS с трудом фиксирует атаки при помощи фрагментированных пакетов. Они особенно опасны, поскольку могут нарушить нормальную работу NIDS. Что это может означать для всей сети или компьютерной системы, объяснять не нужно.

HIDS (host intrusion detection system)

HIDS (IDS, мониторящие хост (host)) обслуживают лишь конкретный компьютер. Это, естественно, обеспечивает намного более высокую эффективность. HIDS анализируют два типа информации: системные логи и результаты аудита операционной системы. Они делают снимок системных файлов и сравнивают его с более ранним снимком. Если критично важные для системы файлы были изменены или удалены, то тогда администратору посылается сигнал тревоги.

Существенным преимуществом HIDS является способность выполнять свою работу в ситуации, когда сетевой трафик поддается шифровке. Такое возможно благодаря тому, что находящиеся на хосте (host-based) источники информации можно создавать перед тем, как данные поддаются шифрованию, или после их расшифровки на хосте назначения.

К недостаткам данной системы можно отнести возможность ее блокирования или даже запрещения при помощи определенных типов DoS-атак. Проблема здесь в том, что сенсоры и некоторые средства анализа HIDS находятся на хосте, который подвергается атаке, то есть их тоже атакуют. Тот факт, что HIDS пользуются ресурсами хостов, работу которых они мониторят, тоже сложно назвать плюсом, поскольку это, естественно, уменьшает их производительность.

Подвиды IDS по методам выявления атак

Метод аномалий, метод анализа сигнатур и метод политик - такие подвиды по методам выявления атак имеет система IDS.

Метод анализа сигнатур

В этом случае пакеты данных проверяются на наличие сигнатур атаки. Сигнатура атаки - это соответствие события одному из образцов, описывающих известную атаку. Этот метод достаточно эффективен, поскольку при его использовании сообщения о ложных атаках достаточно редки.

Метод аномалий

При его помощи обнаруживаются неправомерные действия в сети и на хостах. На основании истории нормальной работы хоста и сети создаются специальные профили с данными про это. Потом в игру вступают специальные детекторы, которые анализируют события. При помощи различных алгоритмов они производят анализ этих событий, сравнивая их с «нормой» в профилях. Отсутствие надобности накапливать огромное количество сигнатур атак - несомненный плюс этого метода. Однако немалое количество ложных сигналов про атаки при нетипичных, но вполне законных событиях в сети - это несомненный его минус.

Метод политик

Еще одним методом выявления атак является метод политик. Суть его - в создании правил сетевой безопасности, в которых, к примеру, может указываться принцип взаимодействия сетей между собой и используемые при этом протоколы. Этот метод перспективен, однако сложность заключается в достаточно непростом процессе создания базы политик.

ID Systems обеспечит надежной защитой ваши сети и компьютерные системы

Группа компаний ID Systems на сегодняшний день является одним из лидеров рынка в области создания систем безопасности для компьютерных сетей. Она обеспечит вас надежной защитой от кибер-злодеев. С системами защиты ID Systems вы сможете не переживать за важные для вас данные. Благодаря этому вы сможете больше наслаждаться жизнью, поскольку у вас на душе будет меньше тревог.

ID Systems - отзывы сотрудников

Прекрасный коллектив, а главное, конечно, - это правильное отношение руководства компании к своим сотрудникам. У всех (даже неоперившихся новичков) есть возможность профессионального роста. Правда, для этого, естественно, нужно проявить себя, и тогда все получится.

В коллективе здоровая атмосфера. Новичков всегда всему обучат и все покажут. Никакой нездоровой конкуренции не ощущается. Сотрудники, которые работают в компании уже многие годы, с радостью делятся всеми техническими тонкостями. Они доброжелательно, даже без тени снисходительности отвечают на самые глупые вопросы неопытных работников. В общем, от работы в ID Systems одни приятные эмоции.

Отношение руководства приятно радует. Также радует то, что здесь, очевидно, умеют работать с кадрами, потому что коллектив действительно высокопрофессиональный подобрался. Мнение сотрудников практически однозначно: они чувствуют себя на работе как дома.

Дмитрий Костров ,
ЗАО "Эквант"
[email protected]

Не рост и мощь, а разум
Сулит в войне победу.
Уильям Шекспир

Системы обнаружения компьютерных атак (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия, учитывая, как растет в последние годы число проблем, связанных с компьютерной безопасностью (рис. 1). Хотя технология IDS не обеспечивает полную защиту информации, тем не менее она играет весьма заметную роль в этой области. Краткая история вопроса, а также некоторые экспериментальные и коммерческие системы были рассмотрены в статье ("BYTE/Россия", № 10"2001). Здесь же мы подробнее обсудим современные представленные на рынке продукты и направления дальнейшего развития IDS.

Рынок систем IDS бурно развивается с 1997 г. Именно в это время компания ISS (http://www.iss.com) предложила свой продукт под названием Real Secure. Год спустя Cisco Systems (http://www.cisco.com), осознав целесообразность разработки IDS, купила продукт NetRanger вместе с компанией Wheel Group. Нельзя не упомянуть здесь и объединение SAIC и Haystack Labs в Centrax Corporation (http://www.centrax.com).

Необходимо отметить, что обычные IDS своевременно обнаруживают только известные типы атак. Они работают в том же режиме, что и антивирусные программы: известные - ловятся, неизвестные - нет. Обнаружение неизвестной атаки - трудная задача, граничащая с областью систем искусственного интеллекта и адаптивного управления безопасностью. Современные IDS способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий могут учитываться уже произошедшие, что позволяет идентифицировать атаки, разнесенные во времени, и тем самым прогнозировать будущие события.

В 80-е годы большинство злоумышленников были экспертами в части взлома и сами создавали программы и методы несанкционированного проникновения в компьютерные сети; автоматизированные средства использовались редко. Сейчас появилось большое число "любителей", со слабым уровнем знаний в данной области, которые используют автоматические средства вторжения и эксплойты (exploit - вредоносный код, использующий известные ошибки в ПО и применяемый злоумышленником для нарушения нормальной работы программно-аппаратного комплекса). Иными словами, по мере усовершенствования автоматических средств вторжения снижались уровень знаний и квалификация большинства злоумышленников.

Существует много различных типов атак, и их можно ранжировать в соответствии с возрастанием возможной опасности следующим образом:

  • угадывание паролей
  • репликационный код
  • взлом паролей
  • использование известных уязвимых мест
  • отключение/обход систем аудита
  • воровство данных
  • back doors (специальные входы в программу, возникающие из-за ошибок при ее написании или оставленные программистами для отладки)
  • использование снифферов и sweepers (систем контроля содержимого)
  • использование программ диагностики сети для получения необходимых данных
  • использование автоматизированных сканеров уязвимостей
  • подмена данных в IP-пакетах
  • атаки типа "отказ в обслуживании" (DoS)
  • атаки на Web-серверы (CGI-скрипты)
  • технологии скрытого сканирования
  • распределенные средства атаки.

Теперь атака длится не больше нескольких секунд и может нанести очень чувствительный вред. Например, атака типа "отказ в обслуживании" может вывести из строя Web-магазин или online-биржу на длительное время. Такие атаки наиболее распространены, и способы защиты от них развиваются быстрыми темпами.

Цель любой IDS - обнаружить атаку с наименьшими ошибками. При этом объект атаки (жертва) обычно хочет получить ответ на следующие вопросы.

  • Что случилось с моей системой?
  • Что подверглось нападению, и насколько опасна атака?
  • Кто злоумышленник?
  • Когда атака началась и откуда?
  • Как и почему произошло вторжение?

Злоумышленник, в свою очередь, как правило, пытается узнать следующее. ·

  • Что представляет собой цель атаки?
  • Есть ли уязвимости и какие?
  • Какой вред можно нанести?
  • Какие эксплойты или средства проникновения имеются?
  • Есть ли риск быть раскрытым?

Типы IDS

Надежда победить приближает победу,
уверенность в победе лишает нас ее.
Тит Ливий

В первую очередь в IDS используются различные способы определения несанкционированной активности. Хорошо известны проблемы, связанные с атаками через межсетевой экран (брандмауэр). Межсетевой экран разрешает или запрещает доступ к определенным сервисам (портам), но не проверяет поток информации, проходящий через открытый порт. IDS, в свою очередь, пытается обнаружить атаку на систему или на сеть в целом и предупредить об этом администратора безопасности, в то время как атакующий полагает, что он остался незамеченным.

Здесь можно провести аналогию с защитой дома от воров. Закрытые на замок двери и окна - это межсетевой экран. А сигнализация для оповещения о взломе соответствует IDS.

Для классификации IDS существуют различные способы. Так, по способу реагирования различают пассивные и активные IDS. Пассивные просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, переконфигурируя межсетевой экран или генерируя списки доступа маршрутизатора. Продолжая аналогию, можно сказать, что если сигнализация в доме включает звуковую сирену для отпугивания вора - это аналог активной IDS, а если подает сигнал в милицию - это соответствует пассивной IDS.

По способу выявления атаки различают системы signature-based и anomaly-based. Первый тип основан на сравнении информации с предустановленной базой сигнатур атак. В свою очередь, можно классифицировать атаки по типу (например, Ping-of-Death, Smurf). Однако системы данного типа не могут отлавливать новые, неизвестные виды атак. Второй тип основан на контроле частоты событий или обнаружении статистических аномалий. Такая система ориентирована на выявление новых типов атак. Однако недостаток ее - необходимость постоянного обучения. В примере с охраной дома аналогом такой более продвинутой системы IDS выступают соседи, которые знают, кто приходил к вам, внимательно смотрят за незнакомыми людьми и собирают информацию о нештатной ситуации на улице. Это соответствует типу anomalous IDS.

Наиболее популярна классификация по способу сбора информации об атаке: network-based, host-based, application-based. Система первого типа работает по типу сниффера, "прослушивая" трафик в сети и определяя возможные действия злоумышленников. Поиск атаки идет по принципу "от хоста до хоста". Работа таких систем до последнего времени была затруднена в сетях, где использовались коммутация, шифрование и высокоскоростные протоколы (более 100 Мбит/с). Но недавно появились решения компаний NetOptics (http://www.netoptics.com) и Finisar (http://www.finisar.com) для работы в коммутируемой среде, в частности, технологии SPAN-портов (Switched Port Analyzer) и Network Tap (Test Access Port). Network Tap (в виде отдельного устройства или встроенного в коммутатор блока) позволяет проводить мониторинг всего трафика на коммутаторе. В то же время фирмы Cisco и ISS добились определенных успехов в реализации таких систем в высокоскоростных сетях.

Системы второго типа, host-based,предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Система, располагаясь на защищаемом хосте, проверяет и выявляет направленные против него действия. Третий тип IDS, application-based, основан на поиске проблем в определенном приложении. Существуют также гибридные IDS, представляющие собой комбинацию различных типов систем.

Работа современных IDS и различные виды атак

Общая схема функционирования IDS приведена на рис. 2. В последнее время появилось много публикаций о системах, называемых distributed IDS (dIDS). dIDS состоит из множества IDS, которые расположены в различных участках большой сети и связаны между собой и с центральным управляющим сервером. Такая система усиливает защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS. dIDS состоит из следующих подсистем: центральный анализирующий сервер, агенты сети, сервер сбора информации об атаке.

Рис. 2. Общая схема функционирования IDS.

Центральный анализирующий сервер обычно состоит из базы данных и Web-сервера, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса.

Агент сети - один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой - сообщать об атаке на центральный анализирующий сервер.

Сервер сбора информации об атаке - часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируется информация, полученная от агентов сети. Группировка может осуществляться по следующим параметрам:

  • IP-адресу атакующего;
  • порту получателя;
  • номеру агента;
  • дате, времени;
  • протоколу;
  • типу атаки и т. д.

Несмотря на многочисленные упреки и сомнения в работоспособности IDS, пользователи уже широко применяют как коммерческие средства, так и свободно распространяемые. Разработчики оснащают свои продукты возможностями активного реагирования на атаку. Система не только определяет, но и пытается остановить атаку, а также может провести ответное нападение на атакующего. Наиболее распространенные типы активного реагирования - прерывание сессии и переконфигурирование межсетевого экрана.

Прерывание сессии наиболее популярно, потому что для этого не используются драйверы внешних устройств, таких, как межсетевой экран. В оба конца соединения, например, просто посылаются пакеты TCP RESET (с корректным номером sequence/acknowledgement). Однако уже существуют и описаны способы обхода такой защиты злоумышленниками (например, использование флага PUSH в пакете TCP/IP или использование трюка с current pointer).

Второй способ - переконфигурирование межсетевого экрана, позволяет злоумышленнику узнать о наличии экрана в системе. Посылая большой поток ping-пакетов на хост и видя, что через некоторое время доступ прекратился (ping не проходит), атакующий может сделать вывод, что IDS провела переконфигурацию межсетевого экрана, установив новые правила запрета ping на хост. Однако есть способы обойти и эту защиту. Один из них заключается в применении эксплойтов до переконфигурирования межсетевого экрана. Существует и более простой путь. Злоумышленник, атакуя сеть, может задавать в качестве адреса отправителя IP-адреса известных фирм (ipspoofing). В ответ на это механизм переконфигурирования межсетевого экрана исправно закрывает доступ на сайты этих компаний (к примеру, ebay.com, cnn.com, cert.gov, aol.com), после чего начинаются многочисленные звонки возмущенных пользователей в службу поддержки "закрытых" компаний, и администратор вынужден отключить данный механизм. Это очень напоминает отключение ночью автомобильной сигнализации, постоянные срабатывания которой не дают уснуть жителям окрестных домов. После этого машина становится намного доступнее для автомобильных воров.

При этом необходимо помнить, что уже существуют средства для выявления IDS, работающих в режиме "прослушивания" трафика (http://www.securitysoftwaretech.com/antisniff/download.html); кроме того, многие IDS подвержены атакам типа DoS (отказ в обслуживании).

Наиболее продвинулись в этой области "вольные" разработчики мира posix. Простейшие атаки используют уязвимости, связанные с использованием signature-based IDS. Например, использование одной из версий свободно распространяемого продукта Snort может быть сведено к нулю следующим образом. При попытке доступа к файлу /etc/passwd, где в UNIX хранятся имена пользователей, принадлежность к группам и shell, Snort использует следующую сигнатуру для выявления данной активности:

Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev:1;)

Однако можно просто поменять символы в запросе - GET /etc//\//passwd или /etc/rc.d/.././\passwd и обойти эту сигнатуру.

Конечно, разработчики систем IDS уже давно учитывают эти изменения и отлавливают атаки, однако все еще встречаются плохо написанные сигнатуры атак.

Существуют атаки, основанные на полиморфном shell code. Данный код был разработан автором http://ktwo.ca / и основан на использовании вирусов. Данная технология более эффективна против систем signature-based, чем против anomaly- или protocol analysis-based. Полиморфный код использует различные способы для обхода систем на базе string-matching (их можно найти по адресу http://cansecwest.com/noplist-v1-1.txt).

Можно также вспомнить атаки, использующие фрагментацию пакетов, отказ сервиса IDS, разделение атаки между несколькими пользователями, кодировку атаки в кодировке "ebcdic" с изменением типа терминала на "ebcdic", реализацию атаки по зашифрованному каналу, подавление порта модуля слежения, изменение таблицы маршрутизации, чтобы избежать попадания трафика к системе обнаружения атак, и т. п.

Системы IDS используются для выявления не только внешних, но и внутренних нарушителей. Их, как показывает практика, порой гораздо больше, чем внешних. Внутренние атаки не относятся к общим типам атак. В отличие от внешних нарушителей, внутренний - это авторизованный пользователь, имеющий официальный доступ к ресурсам интрасети, в том числе к тем, на которых циркулирует конфиденциальная информация. Общая же практика состоит в использовании служб информационной безопасности для защиты периметра интрасети, при этом защите от внутренних угроз уделяется гораздо меньше внимания. Здесь-то и помогают IDS. Настройка IDS для защиты от внутренних атак - непростая задача; она требует кропотливой работы с правилами и профилями пользователей. Для борьбы с внутренними атаками необходимо использовать комбинацию различных IDS.

Компании и продукты

На рынке представлено несколько десятков коммерческих систем IDS, что обеспечивает выбор наиболее приемлемого решения. К сожалению, отечественные продукты пока отсутствуют, хотя две российские компании к концу этого года готовят выпуск своих систем обнаружения атак.

Ниже описаны продукты более двадцати компаний. По мнению автора, порядок их расположения в статье примерно соответствует степени известности в России.

Cisco Systems

Серия продуктов Cisco IDS содержит решения для различных уровней. В нее входят три системы 42xx версии v.2.2.1 (network-based), среди которых 4210 (рис. 3) оптимизирована для среды 10/100Base-T (45 Мбит/с), 4235 - для среды 10/100/1000Base-TX, (200 Мбит/с) и 4250 - для 10/100/1000Base-TX (500 Мбит/с).

Подсистема IDS имеется в коммутаторе Сatalyst - Catalyst 6000 Intrusion Detection System Module (swithed-integrated network-based).

Cisco IDS Host Sensor 2.0 и Cisco IDS Host Sensor Web Server, разработанные компанией Entercept, обеспечивают защиту на уровне хоста (host-based). IDS на уровне маршрутизатора (Firewall Feature Set 12.1(4)T) способна отражать 59 наиболее опасных видов атак (система network-based). При использовании IDS на уровне межсетевого экрана PIX 535, 525, 515Е, 506Е, 501 (v.6.2.2) отражается более 55 наиболее опасных видов атак (система network-based). Управление системами защиты осуществляется с помощью CiscoWorks VPN/Security Management Solution (VMS) или Cisco IDS software version 3.1(2). Рис. 4 иллюстрирует работу сетевого сенсора Сisco при попытке узнать имена хостов.


 Рис. 4. Работа сетевого сенсора Сisco при попытке узнать имена хостов.

Internet Security Systems

Компания ISS в свое время совершила резкий скачок в данной области и занимает ведущие позиции в части реализации систем обнаружения атак. Она также предлагает целое семейство решений для различных уровней.

RealSecure Network Sensor - программное решение, предназначенное для установки на выделенный компьютер в критичном сегменте сети. Анализируя сетевой трафик и сопоставляя его с базой сигнатур атак, сенсор обнаруживает различные нарушения политики безопасности (рис. 5).

Система RealSecure Gigabit Sensor обрабатывает более 500 тыс. пакетов в секунду, используя запатентованный алгоритм семиуровневого анализа, обнаруживает большое число атак, пропускаемых другими системами. Применяется главным образом в сетях, работающих с большой нагрузкой.

RealSecure Server Sensor позволяет обнаруживать атаки на всех уровнях, направленные на конкретный узел сети. Кроме того, может проводить анализ защищенности и обнаружения уязвимостей на контролируемом узле.

Программа RealSecure Desktop Protector (ранее называвшаяся BlackICE Agent) предназначена для обнаружения в реальном режиме времени атак, направленных на рабочие станции корпоративной сети.

RealSecure for Nokia - программно-аппаратное решение, разработанное компаниями ISS и Nokia. Оно объединяет все функциональные возможности RealSecure Network Sensor и Nokia IP Network Security Solutions. Система функционирует под управлением защищенной ОС IPSO, базирующейся на FreeBSD.

RealSecure Guard - программное решение, совмещающее в себе возможности межсетевого экрана и системы обнаружения атак в реальном режиме времени. Она устанавливается между защищаемым и открытым сегментами сети (так называемая inline-IDS) и анализирует весь проходящий через нее трафик в поисках запрещенных или опасных пакетов. Система может обнаруживать атаки как на сегменты сети, так и на отдельные, наиболее важные узлы.

Для управления перечисленными системами RealSecure используется модуль RealSecure SiteProtector, который служит основным компонентом централизованного управления и для систем Internet Scanner и System Scanner. Он ориентирован на применение в крупных, территориально распределенных сетях или в организациях, использующих одновременно несколько решений компании ISS.

Более простой модуль RealSecure WorkGroup Manager предназначен для управления только RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor и RealSecure for Nokia. Он может использоваться в отсутствие других решений ISS и при небольшом числе сенсоров в сети (до пяти).

RealSecure Command Line Interface предназначен для управления из командной строки только RealSecure Network Sensor и Gigabit Sensor. Этот модуль управления ориентирован на локальное использование.

Symantec

Продукты Intruder Alert и NetProwler (в настоящее время выпущены версии 3.6 и 3.5.1 соответственно) достаточно подробно описаны в упоминавшемся выше обзоре ("BYTE/Россия", № 10"2001, с.14).

Enterasys Networks

Enterasys Networks - часть бывшей компании Cabletron Systems. Она выпускает IDS Dragon (типа network-based). Внутренняя архитектура шестой версии системы обладает повышенной масштабируемостью. Система включает компоненты Network Sensor, Squire Host Sensor, управляющий модуль с Wеb-интерфейсом Dragon Policy Manager и систему централизованного мониторинга безопасности сети в реальном масштабе времени Dragon Security Information Manager.

Computer Associates

Система eTrust Intrusion Detection (прежнее название SessionWall) предоставляет средства для защиты и мониторинга локальной сети. Этот высокоэффективный и достаточно простой программный продукт предоставляет возможности мониторинга, обнаружения атак, контроля за WWW-трафиком, ведения журналов. Обширная библиотека шаблонов атак eTrust Intrusion Detection регулярно обновляется, и с ее помощью автоматически определяются атаки, соответствующие шаблонам.

Система может использоваться как сниффер, кроме того, позволяет ограничить доступ к узлам Интернета с помощью правил, содержащих ключевые слова. eTrust также ведет количественный учет трафика в сети.

Обнаруживаются вирусы и опасные компоненты Java/ActiveX. Идентифицируются и регистрируются попытки пользователей подобрать пароль для входа в систему, что может впоследствии пригодиться для организационных решений руководства компании.

eTrust Intrusion Detection обеспечивает контекстный просмотр всех циркулирующих в локальной сети пакетов и их блокировку при наличии определенных администратором ключевых слов.

NFR Security

Компания была основана в 1996 году с целью разработки перспективных систем IDS.

Система NFR NID обеспечивает мониторинг сетевого трафика в реальном масштабе времени, выявляя подозрительную активность, различные атаки, запрещенное поведение пользователей в сети и различные статистические отклонения. Используемые сенсоры могут работать со скоростями 1 Гбит/с и 100 Мбит/с без потерь пакетов. В отличие от традиционных систем IDS (сравнение трафика с сигнатурами атак), NFR NID использует специализированную базу знаний, проверяет активность в сети с использованием известных эксплойтов, что дает возможность выявлять в трафике новые виды атаки - такие, как Code Red и Nimda.

NFR HID работает на уровне хоста, позволяет идентифицировать уязвимости и слабые политики безопасности, выявлять подозрительную активность пользователей, проводить мониторинг защищаемого хоста на уровне сетевых атак. Способна поддерживать до 10 тыс. хостов, что очень удобно в больших сетях. В системе используются два типа программ-агентов: Log Analysis Agent проводит мониторинг ядра и файлов сетевых журналов, включая syslogs. Network Node Agent осуществляет мониторинг сетевого трафика и выявляет DoS-атаки на защищаемый хост (отказ в обслуживании), атаки FTP password grabbing, Web phf attacks, CGI scans, BackOrifice scans и т. п. Хорошо подходит для работы в сетях с шифрованием и в коммутируемых сетях.

Tripwire

История развития компаний Tripwire и NFR, а также некоторые функциональные особенности их продуктов изложены в том же обзоре в . Отметим, что существуют три основных продукта этой компании, названия которых говорят сами за себя (for Servers, for Network Devices и for Web Pages). Их главная технологическая особенность - вычисление контрольных сумм основных файлов и модулей.

Snort

Snort - облегченная система обнаружения вторжения. Программа анализирует протокол передачи, выявляет различные атаки, например, переполнение буфера, сканирование, CGI-атаки, попытки определения ОС и т. п. Snort использует специальные правила для поиска атак в трафике. Система проста в настройке и обслуживании, однако в ней довольно много приходится настраивать "руками", без удобного графического интерфейса.

Программа работает в трех режимах: sniffer, packet logger и network intrusion detection system. В первом случае система просматривает пакеты на сетевом уровне и выводит информацию о них на консоль, во втором - записывает файлы журнала на диск, в третьем - анализирует сетевой трафик на предмет совпадения сигнатур атак и сигнализирует о них.

Internetwork Research group, BBN Technologies

Продукты серии NIDS, SecureNet, включают устройства, предназначенные для высокоскоростных сетей (SecureNet 5000 и 7000), защиты персонального компьютера (SecureNet 2000), а также систему мониторинга SecureNet Provider и специальное ПО SecureNet Pro.

Система SecureHost (host-based IDS) разработана для защиты ПК и серверов с помощью внедрения специальных сенсоров - программ-агентов. Агенты обеспечивают принятие решения при возникновении атаки в реальном масштабе времени в соответствии с принятой политикой защиты. Набор программ Intrusion SecureHost состоит из управляющей консоли на базе ОС Microsoft Windows 2000 Server и агентов, работающих в системах с Microsoft Windows NT, Windows 2000 или Sun Solaris 2.8.

Firestorm

Высокоскоростная NIDS Firestorm, разработанная Джиани Тедеско и свободно распространяемая, пока представлена в основном в качестве сенсора, работающего под управлением ОС Linux. Особенности системы таковы:

  • сбор информации идет с помощью библиотек libpcap, позволяющих перехватывать пакеты из сетевого трафика;
  • система поддерживает правила, написанные для Snort;
  • легко настраивается путем редактирования файла firestorm.conf;
  • понимает режим работы stateful inspection (технология инспекции пакетов с учетом состояния протокола);
  • готовит файлы журналов в формате ASCII или tcpdump;
  • проводит корреляцию событий;
  • выдает сигналы об атаке на удаленное устройство - консоль.

Однако (как это часто бывает с бесплатными программами) данная система подвержена атакам. Существует возможность атаки на данную систему, которая приведет к "зависанию" NIDS. Атака уже описана в лентах новостей, проблема оказалась в ошибке модуля обработки памяти.

Psionic Technologies

Продукт TriSentry (ранее Abacus Project tools) предназначен для повышения защищенности сети компании путем выявления различных атак. Система состоит из трех базовых компонентов: PortSentry, HostSentry и LogSentry. IDS предназначена для работы в UNIX-окружении.

PortSentry - простой детектор сканирования, который прекращает связь между хостом-жертвой и атакующим. Хост "сбрасывает" локальные маршруты, устанавливает динамические правила доступа и добавляет хост в специальные файлы TCP wrappers hosts.deny, причем все это происходит в реальном времени.

Программа HostSentry позволяет администратору безопасности выявлять необычную активность пользователей (Login Anomaly Detection, LAD).

LogSentry (прежнее название Logcheck) автоматически проводит мониторинг файлов системных журналов нарушений безопасности в почтовых системах. Этот набор программ, ранее поставляемых с TIS Gauntlet firewall, был существенно переработан для аудита более широкого спектра систем.

Lancope

Программно-аппаратный комплекс StealthWatch - мощная система для мониторинга, детектирования и реагирования на атаки в высокоскоростной среде. В отличие от традиционных систем, имеет архитектуру flow-based, которая позволяет выявлять новые атаки без обращения к базе данных существующих сигнатур. Новая архитектура обеспечивает углубленное выявление атак на основе аномальной активности, работу в высокоскоростной среде (от полного дуплекса 100 Мбит/с до 1 Гбит/с), а также значительно меньше реагирует на ложные атаки.

OneSecure

В системе The OneSecure Intrusion Detection and Prevention (IDP) компания предложила специальный механизм - Multi-Method Detection (MMD), который объединяет наиболее известные способы выявления уязвимостей.

Recourse Technologies

Компания предлагает два продукта: ManTrap обеспечивает защиту наиболее критичных серверов, ManHunt выявляет атаки на уровне сети, в том числе в гигабитном окружении. Используются распределенные сенсоры и центральный сервер обработки и принятия решений. При этом разработанная компанией методика (zero-day) выявляет не только известные, но и новые атаки.

Продукты Emerald, NetStat, Shadow и Bro подробно рассмотрены в в "BYTE/Россия", № 10"2001.

Новые веяния

Коммутаторы все шире используются в корпоративных сетях, поскольку они обладают большей пропускной способностью по сравнению с концентраторами и защищают от атак с использованием программ-снифферов для перехвата конфиденциальной информации. Тем не менее проблемы с применением NIDS сохраняются. Существуют коммутаторы с зеркалированием портов (SPAN-порты), которые копируют данные, проходящие через коммутатор, на выделенный порт. Теоретически с помощью SPAN-порта возможно проверить весь поток данных, однако если объем зеркалируемого трафика превысит допустимый предел, то начинаются потери пакетов.

Сейчас уже существуют решения для гигабитной сети, но есть еще одна проблема - шифрование. Сегодня ни один уважающий себя администратор не работает удаленно со своими системами без SSH или SSL, а поскольку передача данных идет в шифрованном виде, проблема использования IDS остается. Она заключается в невозможности расшифровать весь трафик и, как следствие, проверить сигнатуры атак. В ближайшем будущем практически все производители (если они хотят занимать достойное место на рынке IDS) доработают свои продукты для применения в гигабитной сети.

Еще один вопрос - сбор информации и ее анализ. Даже самый серьезный специалист по безопасности - тоже человек и может не заметить некоторых деталей, которые скроют от него подготовку или проведение атаки на хост компании. Начаты проекты Spice и Spade, направленные на развитие технологии выявления аномальной активности, и они должны помочь в решении данной проблемы.

Несомненно, что IDS развиваются в направлении сбора и корреляции информации. При этом информация должна поступать от разнообразных источников (сенсоров). Скорее всего, различия между NIDS и HIDS постепенно исчезнут, и в дальнейшем будут созданы системы централизованного управления с возможностями принятия решения (хотя бы в простых случаях), что заметно снизит нагрузку на администраторов, ответственных за безопасность компьютерных сетей.

Лабораторная работа № _ . Системы обнаружения атак, работающие в режиме реального времени.

Цель работы : Ознакомление с принципами действия систем обнаружения атак, работающих в режиме реального времени. Установка и настройка реальной системы обнаружения атак Black ICE Defender .

    ОСНОВНЫЕ ПОНЯТИЯ

Системы и сети являются целями атак. Все чаще и чаще фиксируются атаки на ресурсы Internet с целью нарушения существующей политики безопасности. Системы анализа защищенности (сканер безопасности) проверяют системы и сети в поиске проблем в их реализации и конфигурации, которые приводят к этим нарушениям. Системы обнаружения атак (далее IDS -системы, Intrusion Detection Systems ) собирают различную информацию из разнообразных источников и анализируют ее на наличие различных нарушений политики безопасности. И анализ защищенности, и обнаружение атак позволяют организациям защитить себя от потерь, связанных с нарушениями системы защиты.

IDS -системы собирают информацию об использовании целого ряда системных и сетевых ресурсов, затем анализируют информацию на наличие вторжения (атак, идущих снаружи организации) и злоупотреблений (атак, идущих изнутри организации). Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации ОС и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости.

Существует несколько классификаций IDS -систем. Одна из них - по принципу реализации:

    host -based - обнаруживает атаки, направленные на конкретный узел сети,

    Network - based - обнаруживает атаки, направленные на всю сеть или сегмент сети.

Системы класса host -based можно разделить еще на три подуровня:

    Application IDS - обнаруживает атаки, направленные на конкретные приложения;

    OS IDS - обнаруживает атаки, направленные на ОС;

    DBMS IDS - обнаруживает атаки, направленные на СУБД.

Выделение обнаружения атак на СУБД в отдельную категорию связано с тем, что современные СУБД уже вышли из разряда обычных приложений и по многим своим характеристикам, в т.ч. и по сложности, приближаются к ОС. Таким образом, классификация IDS -систем по принципу реализации выглядит следующим образом:

Рис. 1. Классификация систем обнаружения атак по принципу реализации

IDS -системы выполняют следующий ряд функций:

    Мониторинг и анализ пользовательской и системной активности;

    Аудит системной конфигурации;

    Контроль целостности системных файлов и файлов данных;

    Распознавание шаблонов действий, отражающих известные атаки;

    Статистический анализ шаблонов аномальных действий.

Целесообразно привести высказывания известных специалистов в области IDS -систем:

Маркус Ранум : IDS -системы достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем. Скорее всего, IDS -системы похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.

Ли Саттерфилд : Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность ОС, обнаруживать несанкционированные действия, и автоматически реагировать на них. Кроме того, IDS -системы могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени.

Исторически сложилось, что технологии, по которым строятся IDS -системы, принято условно делить на две категории: обнаружение аномального поведения (anomaly detection ) и обнаружение злоупотреблений (misuse detection ). Однако в практической деятельности применяется именно классификация, учитывающая принципы практической реализации таких систем - обнаружение атак на уровне сети и на уровне хоста.

Network-based системы анализируют сетевой трафик, в то время как host-based - регистрационные журналы ОС или приложения. Каждый из классов имеет свои достоинства и недостатки. Необходимо заметить, что лишь некоторые IDS -системы могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее, эта классификация отражает ключевые возможности, отличающие одну IDS -систему от другой.

Принципиальное преимущество сетевых IDS -систем в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, IDS -системы на уровне сети практически не снижают производительности сети.

IDS -системы на уровне хоста были разработаны для работы под управлением конкретной ОС, что накладывает на них определенные ограничения. Используя знание того, как должна себя "вести" ОС, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается высокой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени (например, система "Операционный день банка", система управления технологической системой или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты Вашей организации. Если Вы хотите защитить один или несколько узлов, то IDS -системы на уровне хоста могут быть неплохим выбором. Но, если Вы хотите защитить большую часть сетевых узлов организации, то IDS -системы на уровне сети, вероятно, будут лучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи IDS -системы. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением было бы применение IDS -системы, объединяющей в себе оба эти подхода.

Технология, по которой построены данные системы, основана на гипотезе, что аномальное поведение пользователя (т.е. атака или какое-либо враждебное действие) часто проявляется как отклонение от нормального поведения. Примерами аномального поведения могут служить: большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора или использование периферийных устройств, которые обычно не задействуются пользователем. Если бы мы смогли описать профиль нормального поведения пользователя, то любое отклонение от него можно охарактеризовать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременная посылка большого числа запросов об активности станций от администратора системы сетевого управления. Многие IDS -системы идентифицируют этот пример, как атаку типа "отказ в обслуживании" ("denial of service "). С учетом этого факта необходимо отметить, что возможны два крайних случая при эксплуатации системы:

1. Обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак.

2. Пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай гораздо более опасен, чем ложное отнесение аномального поведения к классу атак. Поэтому при настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:

    Построение профиля пользователя. Трудно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы.

    Определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из вышеназванных крайних случаев.

Организация ids-системы

Все системы обнаружения атак могут быть построены на основе двух архитектур: "автономный агент " и "агент-менеджер ". В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура "агент-менеджер ".

Ниже приведен список компонент, из которых должна состоять типичная IDS -система:

1. Графический интерфейс . Не надо говорить, что даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружелюбный интерфейс. В зависимости от ОС, под управлением которой функционирует IDS -система, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix .

2. Подсистема управления компонентами . Данная подсистема позволяет управлять различными компонентами IDS -системы. Управление может осуществляться, как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например, SNMP . Под термином "управление" понимается как возможность изменения политики безопасности для различных компонентов IDS -системы (например, модулей слежения), так и получение информации от этих компонент (например, сведения о зарегистрированной атаке).

3. Подсистема обнаружения атак . Основной компонент IDS -системы, который осуществляет анализ информации, получаемой от модуля слежения. По результатам анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т. д.

4. Подсистема реагирования . Подсистема, осуществляющая реагирование на обнаруженные атаки и иные контролируемые события.

Более подробно варианты реагирования будут описаны ниже.

5. Модуль слежения . Компонент, обеспечивающий сбор данных из контролируемого пространства (регистрации или сетевого трафика). У разных производителей может называться: сенсором (sensor ), монитором (monitor ), зондом (probe ).

В зависимости от архитектуры построения IDS -системы может быть физически отделен (архитектура "агент-менеджер ") от других компонентов, т. е. находиться на другом компьютере.

6. База знаний . В зависимости от методов, используемых в IDS -системе, база знаний может содержать профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. Эта база может пополняться производителем IDS -системы, пользователем системы или третьей стороной, например, компанией, осуществляющей поддержку этой системы.

7. Хранилище данных . Обеспечивает хранение данных, собранных в процессе функционирования IDS -системы.

Методы реагирования ids-системы

Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование:

1. Уведомление . Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль IDS -системы. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону.

2. Сохранение . К категории "сохранение" относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени.

Первый вариант широко распространен во многих системах защиты.

Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

3. Активное реагирование . К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т. е. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.

активный процесс , при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. В действительности, как будет показано в материале лекции, это не всегда так. Перед обсуждением подробностей, связанных с обнаружением вторжений, давайте определим, что же это в действительности такое.

Системы обнаружения вторжений ( IDS ) появились очень давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли инициированные кем-то подозрительные действия и пресекали дальнейшее проникновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной здания, охраняемые собаками. То же самое можно сказать и про ночной дозор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

Сигнализация в зданиях и в автомобилях также является разновидностью системы обнаружения вторжений. Если система оповещения обнаруживает событие, которое должно быть замечено (например, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тревоги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклейки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

Все эти примеры основываются на одном и том же принципе: обнаружение любых попыток проникновения в защищенный периметр объекта ( офис , здание, автомобиль и т. д.). В случае с автомобилем или зданием периметр защиты определяется относительно легко. Стены строения, ограждение вокруг частной собственности, двери и окна автомобиля четко определяют защищаемый периметр. Еще одной характеристикой, общей для всех этих случаев, является четкий критерий того, что именно является попыткой проникновения, и что именно образует защищаемый периметр.

Если перенести концепцию системы сигнализации в компьютерный мир, то получится базовая концепция системы обнаружения вторжений. Необходимо определить, чем в действительности является периметр защиты компьютерной системы или сети. Очевидно, что периметр защиты в данном случае - это не стена и не ограждение. Периметр защиты сети представляет собой виртуальный периметр, внутри которого находятся компьютерные системы. Этот периметр может определяться межсетевыми экранами, точками разделения соединений или настольными компьютерами с модемами. Данный периметр может быть расширен для содержания домашних компьютеров сотрудников, которым разрешено соединяться друг с другом, или партнеров по бизнесу, которым разрешено подключаться к сети. С появлением в деловом взаимодействии беспроводных сетей периметр защиты организации расширяется до размера беспроводной сети.

Сигнализация, оповещающая о проникновении грабителя, предназначена для обнаружения любых попыток входа в защищаемую область, когда эта область не используется. Система обнаружения вторжений IDS предназначена для разграничения авторизованного входа и несанкционированного проникновения, что реализуется гораздо сложнее. Здесь можно в качестве примера привести ювелирный магазин с сигнализацией против грабителей. Если кто-либо, даже владелец магазина, откроет дверь, то сработает сигнализация. Владелец должен после этого уведомить компанию, обслуживающую сигнализацию, о том, что это он открыл магазин, и что все в порядке. Систему IDS , напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выявляющим несанкционированные действия (как, например, пронос огнестрельного оружия). К сожалению, в виртуальном мире "огнестрельное оружие" очень часто остается незаметным.

Вторым вопросом, который необходимо принимать в расчет, является определение того, какие события являются нарушением периметра безопасности . Является ли нарушением попытка определить работающие компьютеры? Что делать в случае проведения известной атаки на систему или сеть ? По мере того как задаются эти вопросы, становится понятно, что найти ответы на них не просто. Более того, они зависят от других событий и от состояния системы-цели.

Определение типов систем обнаружения вторжений

Существуют два основных типа IDS : узловые ( HIDS ) и сетевые ( NIDS ). Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети. На рисунке 13.1 показаны два типа IDS , которые могут присутствовать в сетевой среде.


Рис. 13.1.

Узловые IDS

Узловые IDS ( HIDS ) представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером. Датчики отслеживают различные типы событий (более детальное рассмотрение этих событий приводится в следующем разделе) и предпринимают определенные действия на сервере либо передают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.

Как будет показано далее, различные типы датчиков HIDS позволяют выполнять различные типы задач по обнаружению вторжений. Не каждый тип датчиков может использоваться в организации, и даже для различных серверов внутри одной организации могут понадобиться разные датчики. Следует заметить, что система