Meniu
AcasăExcela

IDS - ce este? Cum funcționează un sistem de detectare a intruziunilor (IDS)? Sisteme de detectare a intruziunilor

Serghei Grinyaev,
Candidat la Științe Tehnice, Cercetător Superior
[email protected]

Tehnologia sistemului de detectare a intruziunilor în rețele de calculatoare(OWL) este destul de tânăr și dinamic. Astăzi, există o formare activă a pieței în acest domeniu, inclusiv procese de achiziții și fuziuni de companii. Prin urmare, informațiile despre sistemele de detectare a intruziunilor devin rapid depășite, ceea ce face dificilă compararea caracteristicilor tehnice ale acestora. Lista de produse disponibilă online la SANS/NSA1 este mai fiabilă, deoarece este actualizată și actualizată continuu. În ceea ce privește informațiile în limba rusă, acestea sunt aproape complet absente. În acest articol, autorul a încercat să includă cât mai multe legături către resurse de informații de pe Internet pe tema detectării intruziunilor (o listă a acestor resurse este dată la sfârșitul articolului, iar linkurile către acestea sunt indicate prin numere în text ).

Detectarea intruziunilor rămâne o zonă cercetare activă de două decenii încoace. Se crede că începutul acestei direcții a fost stabilit în 1980 de articolul lui James Anderson „Monitoring Threats”. securitatea calculatorului„2. Ceva mai târziu, în 1987, această direcție a fost dezvoltată prin publicarea articolului „On the Intrusion Detection Model” de Dorothy Denning. 3 A oferit o abordare metodologică care a inspirat mulți cercetători și a pus bazele creării de produse comerciale. în domeniul detectării intruziunilor.

Sisteme experimentale

Cercetările de detectare a intruziunilor efectuate la începutul anilor 1990 au dat naștere și la o serie de instrumente noi4. Cu toate acestea, cele mai multe dintre ele au fost dezvoltate de studenți doar în scopul explorării conceptelor de bază ale abordării teoretice, iar după absolvirea autorilor, sprijinul și dezvoltarea au încetat. În același timp, aceste evoluții au influențat serios alegerea direcției pentru cercetările ulterioare. Evoluțiile timpurii ale sistemelor de detectare a intruziunilor s-au bazat în primul rând pe arhitecturi centralizate, dar din cauza exploziei numărului de rețele de telecomunicații pentru diverse scopuri, eforturile mai recente s-au concentrat asupra sistemelor cu arhitecturi de rețea distribuite.

Două dintre produsele descrise aici, EMERALD și NetStat, se bazează pe abordări similare. Al treilea sistem, Bro, vă permite să studiați problemele de intruziune în rețea folosind încercări de supraîncărcare sau dezinformare a sistemului de detectare a intruziunilor.

SMARALD

EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), cel mai avansat produs din clasa sa, a fost dezvoltat de SRI (http://www.sri.com).

Această familie de instrumente a fost creată pentru a studia problemele asociate cu detectarea anomaliilor (abateri ale utilizatorului de la comportamentul normal) și identificarea semnăturilor („modele” caracteristice unei intruziuni). Prima activitate a SRI în acest domeniu a început în 1983, când a dezvoltat un algoritm statistic care ar putea detecta diferențele în comportamentul utilizatorilor5. Puțin mai târziu, subsistemul de analiză a semnăturilor de intruziune a fost completat cu sistemul expert P-BEST6. Rezultatele cercetării au fost implementate într-una dintre primele versiuni ale sistemului IDES7. Acest sistem este capabil să monitorizeze în timp real acțiunile utilizatorilor conectați la mai multe servere. În 1992-1994. a fost creat un produs comercial NIDES8, de asemenea conceput pentru a proteja serverele individuale (bazate pe gazdă) și utilizarea sistem expert

P-BEST. Apoi, dezvoltatorii au adăugat în sistem o componentă Resolver, care a combinat rezultatele analizei statistice și ale analizei semnăturilor. Interfața cu utilizatorul din NIDES a fost, de asemenea, îmbunătățită semnificativ.

Apoi a fost creat sistemul EMERALD. S-a luat în considerare rezultatele experimentelor cu IDES/NIDES, dar acest sistem a fost destinat să asigure securitatea segmentelor de rețea (bazate în rețea). Scopul principal al dezvoltării sale este detectarea intruziunilor în rețele mari eterogene. Astfel de medii sunt mai dificil de controlat și analizat din cauza naturii distribuite a informațiilor primite.

Modelul ierarhic oferă trei niveluri de analiză, care sunt efectuate de monitoare de servicii, de domeniu și de mediu. Aceste blocuri au o arhitectură de bază comună, inclusiv un set de analizoare pentru detectarea anomaliilor, analiza semnăturii și o componentă resolver. Acesta din urmă combină rezultatele obținute de la analizatorii celor două niveluri anterioare. Fiecare modul conține o bibliotecă de obiecte de resurse, care vă permite să personalizați componentele sale aplicație specifică. Resursele în sine pot fi reutilizate pe mai multe monitoare EMERALD. Pe nivel inferior monitoarele de service lucrează pentru componente individualeŞi servicii de rețeaîn cadrul unui singur domeniu, analizează date (fișiere pentru înregistrarea acțiunilor, evenimentelor etc.), efectuează analize locale de semnătură și studii statistice. Monitorii de domeniu procesează informațiile primite de la monitorii de servicii, examinând situația mai detaliat pe întregul domeniu, iar monitorii de mediu efectuează analize pe mai multe domenii. Monitoarele de serviciu pot comunica între ele folosind canale de comunicare virtuale.

Experiența cu NIDES a demonstrat eficacitatea metodelor statistice atunci când lucrați cu utilizatori și programe de aplicație. Controlul programelor de aplicație (de exemplu, un server ftp anonim) a fost deosebit de eficient, deoarece au fost necesare mai puține profiluri de aplicație pentru analiză. Acesta este motivul pentru care EMERALD a implementat o metodologie care separă managementul profilului de analiză.

Analizatoarele de semnături la nivel de serviciu monitorizează componentele domeniului pentru a detecta secvențe pre-descrise de acțiuni care duc la situații anormale. Analizoare similare din monitoarele de nivel superior filtrează aceste informații și, pe baza acestora, evaluează dacă are loc un atac. Componenta resolver, pe lângă contabilizarea cuprinzătoare a rezultatelor analizei, oferă capacitatea de a integra analizoare terțe în EMERALD.

Un atacator sofisticat se va strădui să disperseze urmele prezenței sale în întreaga rețea, reducând la minimum posibilitatea de a fi detectat. În astfel de situații, principala proprietate a unui sistem de detectare a intruziunilor devine capacitatea de a colecta, rezuma și analiza informații provenind dintr-o varietate de surse în timp real.

Avantajele includ flexibilitatea și scalabilitatea, capacitatea de extindere funcţionalitate folosind instrumente externe EMERALD. Cu toate acestea, gestionarea și întreținerea infrastructurii sistemului și a acesteia baza de informatii sub forma unei baze de cunoștințe pentru un sistem expert necesită efort și cheltuieli semnificative.

NetStat

NetStat este cel mai recent produs din seria de instrumente STAT creată la Universitatea din California, Santa Barbara. Cercetările din proiectul STAT se concentrează pe detectarea intruziunilor în timp real. Pentru aceasta, se analizează starea sistemelor și procesele de tranziție din acestea9. Ideea de bază este că anumite secvențe de acțiuni care indică clar prezența unui intrus vor transfera sistemul din starea inițială (autorizată) într-una neautorizată.

Majoritatea sistemelor centralizate de detectare a intruziunilor determină dacă a avut loc o intruziune pe baza unei „piste de audit”. Modulul Analyzer Trace Audit din STAT filtrează și rezumă aceste informații (urmă). Rezultatele, transformate într-o formă convenabilă pentru analiză, se numesc semnături și reprezintă un element critic în abordarea STAT. Secvența de acțiuni descrisă de semnătură mută sistemul printr-o serie de stări într-o stare neautorizată. O intruziune este determinată de tranziții între stări, care sunt înregistrate în seturi de reguli de producție.

Metoda a fost implementată inițial în sistemul USTAT9 UNIX, conceput pentru a proteja serverele individuale. Blocurile principale ale USTAT sunt un preprocesor, o bază de cunoștințe (bază de fapte și bază de reguli), un bloc de inferență și un rezolvator. Preprocesorul filtrează și organizează datele într-o formă care acționează ca independent fisier de control sisteme. Baza de reguli stochează reguli pentru tranziția între stări care corespund unor secvențe de intruziune predefinite, iar baza de fapte stochează o descriere a stărilor în schimbare dinamică ale sistemului în raport cu posibilele intruziuni curente.

După prelucrare informații noi despre starea curentă a sistemului, blocul de ieșire identifică orice modificări semnificative de stare și actualizează baza de date. Blocul de ieșire notifică, de asemenea, rezolvatorul cu posibile încălcări de securitate. Rezolvatorul, la rândul său, anunță administratorul despre o situație de urgență sau inițiază el însuși acțiunile necesare.

Unul dintre avantajele acestei abordări este că un atac poate fi detectat înainte ca sistemul să fie compromis și, prin urmare, contracararea poate începe mai devreme.

USTAT folosește un tabel de blocuri de ieșire pentru a urmări fiecare posibilă intruziune, permițându-i să identifice un atac coordonat din mai multe surse (nu prin secvența de acțiuni ale atacatorului, ci prin secvența tranzițiilor între stările sistemului). Astfel, dacă două atacuri aduc sistemul în aceeași stare, fiecare dintre acțiunile lor ulterioare poate fi reflectată ca o ramură în secvența anterioară de stări. Această ramificare se realizează prin duplicarea rândurilor din tabelul blocului de ieșire, fiecare rând reprezentând o secvență diferită de atac.

NetStat10 este un produs de dezvoltare ulterioară al USTAT, axat pe sprijinirea detectării intruziunilor într-o rețea de servere cu un singur sistem de fișiere distribuit. În prezent, se fac o serie de modificări semnificative la arhitectura NetStat11, ceea ce va duce la o reorientare de la asigurarea de securitate pentru servere individuale la asigurarea de securitate pentru segmentele de rețea. În plus, NetStat include un set de sonde care sunt responsabile pentru detectarea și evaluarea intruziunilor în subrețelele în care operează.

frate

Bro este un instrument de cercetare dezvoltat de Laboratorul Național Lawrence Livermore (http://www.llnl.gov) al Departamentului de Energie al SUA. Este destinat studierii problemelor de toleranță la erori ale sistemelor de detectare a intruziunilor. Să luăm în considerare principalele caracteristici ale complexului Bro12.

Controlul suprasarcinii- capacitatea de a gestiona volume mari de transfer de date fără a reduce debitul. Un atacator poate încerca să supraîncarce rețeaua cu pachete străine pentru a dezactiva sistemul de detectare a intruziunilor.

În acest caz, IDS-ul va fi forțat să treacă unele pachete, care le pot include pe cele create de atacatori pentru a pătrunde în rețea. Notificare în timp real.

Este necesar pentru informarea în timp util și pregătirea acțiunilor de răspuns. Mecanism de separare.

Separarea politicilor de filtrare a datelor, de identificare a evenimentelor și de răspuns simplifică operarea și întreținerea sistemului. Scalabilitate.

Identificarea noilor vulnerabilități, precum și protejarea împotriva tipurilor cunoscute de atacuri, necesită abilitatea de a adăuga rapid noi scenarii de atac la o bibliotecă internă de scripturi. Abilitatea de a rezista la atacuri.

Sistemul are o arhitectură ierarhică cu trei niveluri de funcții. La nivelul de jos, Bro folosește utilitarul libpcap pentru a prelua pachetele de date din rețea. Acest bloc asigură independența principalelor blocuri de analiză față de caracteristicile tehnice ale rețelei de telecomunicații în care este implementat sistemul și, de asemenea, vă permite să filtrați o proporție semnificativă de pachete la nivelul inferior. Datorită acestui fapt, libpcap poate intercepta toate pachetele asociate cu protocoalele aplicației (ftp, telnet etc.).

Al doilea nivel (evenimente) verifică integritatea pachetului pe baza antetului. Dacă sunt detectate erori, este generată o posibilă notificare de problemă. Se rulează apoi o procedură de verificare pentru a determina dacă conținutul complet al pachetului a fost înregistrat.

Evenimentele generate de acest proces sunt plasate într-o coadă, care este interogata de interpretul de script de politică. Scriptul în sine se află la al treilea nivel al ierarhiei. Interpretul de script de politică este scris în limbajul intern Bro, care acceptă tastare puternică. Interpretul asociază valorile unui caz cu codul pentru a gestiona acel caz și apoi interpretează codul.

Executarea codului poate duce la generarea de evenimente suplimentare, înregistrarea unei notificări în timp real sau înregistrarea datelor. Pentru a adăuga caracteristică nouă la capacitățile lui Bro, trebuie să pregătiți o descriere a imaginii care identifică evenimentul și să scrieți gestionatorii de evenimente corespunzători. ÎN momentul prezent Bro controlează patru servicii de aplicație: finger, ftp, portmapper și telnet.

Bro rulează pe mai multe variante ale sistemului de operare UNIX și este folosit ca parte a sistemului de securitate al Laboratorului Național. Din 1998, Bro a avut ca rezultat raportarea a 85 de rapoarte de incident către organizațiile internaționale CIAC și CERT/CC. Dezvoltatorii notează în special performanța sistemului - nu întâmpină probleme cu pierderea pachetelor în rețeaua FDDI, cu performanțe de vârf de până la 200 de pachete pe secundă.

Produse Comerciale

Programele comerciale care vor fi discutate sunt mica parteîntreaga varietate de produse de pe piaţă1, 13-14. Evaluare comparativă produsele comerciale pot fi găsite într-un număr de rapoarte15-19. Sistemele descrise în articol pot fi considerate exemple clasice.

Spre deosebire de sistemele experimentale discutate mai sus, pentru produsele comerciale este destul de greu de găsit o descriere obiectivă a avantajelor și dezavantajelor, în special în ceea ce privește încercări de testare. În prezent, este în curs de dezvoltare un standard unificat pentru testarea sistemelor de detectare a intruziunilor20.

CMDS

CMDS21,22 a fost dezvoltat de Science Applications International (http://www.saic.com), dar acum este susținut și vândut de ODS Networks (http://www.ods.com)23. Acest produs este conceput pentru a asigura securitatea serverului și pentru a monitoriza o rețea ierarhică de mașini. Sunt acceptate metode statistice și de detectare a semnăturilor și pot fi generate rapoarte privind previziunile privind dezvoltarea intruziunilor. Pentru analiza anomaliilor, folosește CMDS analiza statistica . Sunt identificate modele de comportament care se abat de la practica normală a utilizatorului. Statisticile iau în considerare indicatorii de timp de conectare/deconectare, lansarea programelor de aplicație, numărul de programe deschise, modificate sau fișiere șterse

, utilizarea drepturilor de administrator, directoarele cele mai frecvent utilizate.

Profilurile de comportament ale utilizatorilor sunt actualizate la fiecare oră și sunt folosite pentru a identifica comportamentul îndoielnic în fiecare dintre cele trei categorii (conectarea la rețea, executarea programelor, citirea informațiilor). Sunt calculate abaterile de la comportamentul așteptat (în decurs de o oră), iar dacă sunt peste un prag, este generată o alertă.

Recunoașterea semnăturii este susținută de sistemul expert CLIPS24. Faptele derivate din descrierile evenimentelor, numele obiectelor utilizate și alte date sunt folosite pentru a reprezenta regulile CLIPS.

CMDS identifică semnăturile de atac pe sistemele UNIX asociate, de exemplu, cu încercări eșuate de a stabili privilegii de superutilizator, eșec de conectare, activitate absentă a utilizatorului și modificare critică a fișierului. Fiecare dintre aceste evenimente are un set echivalent de semnături pentru sistemul de operare Microsoft Windows NT.

NetProwler25-27 este produs de Axent (http://www.axent.com), care face parte din Symantec Corporation (http://www.symantec.com) de la sfârșitul anului 2000. Intruder Alert detectează atacurile asupra serverelor, iar NetProwler (cunoscut anterior ca ID-Track de la Internet Tools) acceptă detectarea intruziunilor în segmentele de rețea. În centrul NetProwler este procesul de analiză dinamică a semnăturii complete. Această metodă permite integrarea unor bucăți mici de informații extrase din rețea în evenimente mai complexe, ceea ce permite verificarea evenimentelor pentru potriviri cu semnături predefinite în timp real și generarea de noi semnături. NetProwler are o bibliotecă de semnături pentru diferite sisteme de operare și tipuri de atac, permițând utilizatorilor să-și construiască propriile profiluri de semnătură utilizând expertul pentru definirea semnăturii. Acest lucru permite utilizatorilor să descrie atacuri care constau în evenimente unice, repetate sau o serie de evenimente. O semnătură de atac include patru elemente: o primitivă de căutare (model de șir), o primitivă valoare (valoarea sau intervalul de valori ), salvat cuvânt cheie

(numele protocolului) și sistemul de operare (sau aplicația asociată atacului). NetProwler acceptă, de asemenea, capabilități de răspuns automat. În acest caz, au loc înregistrarea și încetarea sesiunii, expediind prin e-mail

informații despre eveniment către consola administratorului, precum și informarea altor personal prin diverse mijloace.

NetRanger NetRanger28-31 de la Cisco Systems (http://www.cisco.systems) - un sistem de detectare a intruziunilor în segmente de rețea. Din noiembrie 1999, produsul a fost numit Cisco Secure Intrusion Detection System. Sistemul NetRanger funcționează în timp real și este scalabil la nivelul sistemului informațional. Este format din două componente - Senzori senzori

și Directori; Senzorii sunt implementați în hardware, iar directorul este implementat în software. Senzorii sunt plasați în puncte strategice ale rețelei și monitorizează traficul care trece. Ei pot analiza anteturile și conținutul fiecărui pachet și pot potrivi pachetele selectate cu un model. Ei folosesc un sistem expert bazat pe reguli de producție pentru a determina tipul de atac. NetRanger are trei categorii de descrieri de atac: de bază, numite (care generează multe alte evenimente) și extraordinare (care au o semnătură foarte complexă). Pentru a asigura compatibilitatea cu majoritatea standardelor de rețea existente, este posibil autoconfigurare

Atunci când este detectat un atac, senzorul inițiază o serie de acțiuni - pornirea unei alarme, înregistrarea unui eveniment, distrugerea unei sesiuni sau întreruperea completă a conexiunii. Directorul asigură managementul centralizat al sistemului NetRanger. Aceasta include instalarea de la distanță a noilor semnături în senzori și colectarea și analiza datelor de securitate.

Starea obiectelor din sistem (mașini, programe de aplicații, procese etc.) se reflectă pe consola administratorului sub formă de text sau pictograme, iar starea fiecărui dispozitiv este reprezentată de o anumită culoare: verde este normal, galben este limită, iar roșul este critic. Senzorii pot fi gestionați din consola directorului, iar informațiile despre atac pot fi exportate într-o bază de date relațională pentru analiză ulterioară.

Centrax

Pana de curand, sistemul de protectie impotriva manipularii de la Centrax (http://www.centraxcorp.com) era vandut sub numele de Entrax. Cu toate acestea, în martie 1999, Centrax a fost achiziționat de Cybersafe (http://www.cybersafe.com), care a făcut modificări tehnice semnificative la Entrax și a redenumit produsul Centrax32-34. Entrax a fost conceput inițial pentru a oferi securitate pentru serverele individuale. Centrax monitorizează și evenimentele din segmentul de rețea. Sistemul constă din două tipuri de componente - panouri de control și agenți țintă, care sunt similare cu directorii și senzorii din NetRanger. Agenții țintă, la rândul lor, vin și în două tipuri: pentru colectarea informațiilor bazate pe o arhitectură centralizată sau de rețea (distribuită). Agenții țintă locuiesc în mod constant pe mașinile pe care le controlează (PC-uri individuale, servere de fișiere sau servere de imprimare), transmitând informații către panoul de control pentru procesare.

Pentru o funcționare mai eficientă, agentul țintă al rețelei este implementat pe o mașină autonomă. Agenții de primul tip acceptă peste 170 de semnături (pentru viruși, troieni, vizualizarea obiectelor și modificările parolei), în timp ce agenții de rețea acceptă doar 40.

Panoul de control este format din mai multe blocuri. Administratorul țintă descarcă politicile de colectare și audit pentru agenții țintă, administratorul de evaluare examinează serverele pentru vulnerabilități de securitate, iar administratorul de urgență afișează informații despre amenințările detectate și poate răspunde la acestea prin încheierea sesiunii de comunicare. Panoul de control rulează pe Windows NT, în timp ce agenții țintă rulează pe Windows NT sau Solaris.

RealSecure19, 35-37 de la Internet Security Systems (http://www.iss.net) este un alt produs de detectare a intruziunilor în timp real. De asemenea, are arhitectura pe trei niveluriși constă din module de recunoaștere pentru segmente de rețea și servere individuale și un modul de administrator. Modulul de recunoaștere a segmentelor funcționează pe stații de lucru specializate; este responsabil pentru detectarea și răspunsul la intruziuni. Fiecare astfel de modul monitorizează traficul într-un anumit segment de rețea pentru semnăturile de atac. După ce a detectat o acțiune neautorizată, modulul de rețea poate răspunde la aceasta întrerupând conexiunea, trimițând un mesaj prin e-mail sau pager sau alte acțiuni definite de utilizator.

De asemenea, transmite un semnal de alarmă către modulul de administrator sau panoul de control. Modulul de recunoaștere pentru servere este o completare la modulul de rețea. Analizează fișierele jurnal pentru a detecta un atac; determină dacă atacul a avut succes sau nu; oferă alte informații care nu sunt disponibile în timp real. Fiecare astfel de modul este instalat pe statie de lucru

sau server și examinează complet fișierele jurnal ale acestui sistem pentru modelele de control ale încălcărilor de securitate. Modulele de acest tip previn intruziunile ulterioare prin încheierea proceselor utilizatorului și suspendarea conturilor de utilizator. Modulul poate trimite alarme, înregistra evenimente și poate efectua alte acțiuni definite de utilizator. Toate modulele de recunoaștere sunt combinate și configurate de modulul administrativ dintr-o singură consolă.

Sisteme publice

Pe lângă sistemele comerciale și de cercetare, există programe de detectare a intruziunilor disponibile în mod gratuit și disponibile public. Luați în considerare, de exemplu, două programe - Shadow și Network Flight Recorder, care sunt susținute de eforturile comune ale Centrului de operațiuni terestre din SUA, Network Flight Recorder, Agenției Naționale de Securitate a SUA și Institutul SANS38, precum și utilitarul Tripwire. . Nivelul lor de suport este mult mai scăzut decât cel al sistemelor comerciale, dar pentru mulți utilizatori vor ajuta să înțeleagă și să evalueze principiile de funcționare IDS, capacitățile și limitările lor. Astfel de sisteme sunt de asemenea interesante pentru că codul lor sursă este disponibil.

Sistemul Shadow39, 40 conține așa-numitele stații de senzori și analizoare. Senzorii sunt de obicei amplasați în puncte sensibile ale rețelei, cum ar fi exteriorul firewall-urilor, în timp ce analizoarele sunt amplasate în interiorul segmentului de rețea protejat. Senzorii extrag anteturile pachetelor și le salvează într-un fișier special. Analizorul citește aceste informații din oră, le filtrează și generează următorul jurnal. Logica din spatele Shadow este că, dacă evenimentele au fost deja identificate și există o strategie de răspuns pentru ele, nu sunt generate mesaje de avertizare. Acest principiu vine din experiența cu alte IDS-uri, care aveau multe avertismente false care i-au distras inutil pe utilizatori.

Senzorii folosesc utilitarul libpcap dezvoltat de Lawrence Berkeley Laboratories Network Research Group41 pentru a extrage pachetele. Stația nu preprocesează datele, fără a forța atacatorul să-și verifice pachetele. Analiza principală are loc în modulul tcpdump, care conține filtre de pachete. Filtrele pot fi simple sau constau din mai multe filtre simple. Un filtru simplu, cum ar fi tcp_dest_port_23, selectează pachetele de protocol TCP cu portul de destinație 23 (telnet). Unele tipuri de intruziuni sunt destul de greu de detectat cu filtrele tcpdump (în special cele care utilizează sondarea rețelei rare). Pentru acestea, Shadow folosește un instrument bazat pe perl - modulul one_day_pat.pl.

Shadow rulează pe multe sisteme UNIX, inclusiv FreeBSD și Linux, și folosește o interfață Web pentru a afișa informații.

Network Flight Recorder

Network Flight Recorder (NFR) de la compania cu același nume a existat inițial atât în ​​versiunea comercială, cât și în versiunea publică42-44. Apoi politica sa de distribuție s-a schimbat: NFR a retras accesul la codul sursă al versiunii gratuite pentru că era mai puțin eficient decât produsul comercial și utilizatorii l-ar putea confunda cu versiunea comercială. Cu toate acestea, NFR încă plănuiește să păstreze produsul comercial disponibil pentru studiu, dar cel mai probabil nu mai codurile sursă.

La fel ca Shadow, NFR folosește o versiune ușor modificată a utilitarului libpcap pentru a extrage pachete aleatorii din rețea (pe lângă anteturi, poate extrage și corpul pachetului). Baza de date și motorul de analiză rulează de obicei pe aceeași platformă în afara firewall-urilor. Copii ale NFR pot fi plasate și în locații interne strategice rețeaua corporativă pentru a detecta potențialele amenințări venite de la propriii utilizatori ai companiei.

NFR conține propriul său limbaj de programare (N) pentru analiza pachetelor. Filtrele scrise în N sunt compilate în bytecode și interpretate de modulul de rulare.

Modulele pentru generarea de avertismente și rapoarte sunt utilizate după operațiunile de filtrare și generarea formularelor de ieșire. Modulul de alarmă poate trimite informații despre eveniment prin e-mail sau fax.

Tripwire

Tripwire este un instrument de evaluare a integrității fișierelor dezvoltat inițial la Purdue University (Indiana, SUA). La fel ca NFR, acest program este inclus atât în ​​sistemele publice, cât și în cele comerciale. Codul sursă pentru versiunea publică pentru sistemul de operare UNIX este distribuit gratuit. Tripwire diferă de majoritatea altor instrumente IDS prin faptul că detectează modificările aduse unui sistem de fișiere deja verificat.

Tripwire calculează sumele de verificare sau semnăturile criptografice pe fișiere. Dacă astfel de semnături au fost calculate în siguranță și garantate pentru a fi stocate (de exemplu, stocate offline offline pe suporturi care nu pot fi scrise), ele pot fi utilizate pentru a detecta posibile modificări. Tripwire poate fi configurat să raporteze administratorului toate modificările aduse sistemului de fișiere auditat. Poate efectua verificări de integritate în anumite momente din timp și poate raporta rezultatele administratorilor, pe baza cărora aceștia le pot restaura sistem de fișiere. Spre deosebire de majoritatea IDS-urilor, Tripwire permite recuperarea împreună cu detectarea intruziunilor.

Logica Tripwire este independentă de tipul de eveniment, dar nu detectează intruziunile care nu modifică fișierele verificate.

Cea mai recentă versiune comercială a Tripwire este 2.X pentru platformele UNIX și Windows NT 4.0. Versiunea 2.0 pentru Red Hat Linux 5.1 și 5.2 este distribuită gratuit. Versiunea 1.3 este disponibilă în codul sursă și reprezintă starea programului din 1992.

Potrivit dezvoltatorilor, toate versiunile comerciale care încep cu 2.0 includ capacitatea de a furniza semnături criptografice ascunse, limbaj îmbunătățit al politicii și capacitatea de a trimite mesaje către administratorul de sistem prin e-mail.

Programe guvernamentale SUA

Diferențele față de sistemele comerciale

IDS ar trebui să identifice în primul rând activitățile suspecte în rețea, să emită avertismente și, dacă este posibil, să ofere opțiuni pentru a opri o astfel de activitate. La prima vedere, cerințele pentru sistemele comerciale și guvernamentale ar trebui să fie aceleași; cu toate acestea, există diferențe importante între ele.

În februarie 1999, Departamentul de Energie al SUA, Consiliul de Securitate Națională și Biroul de Politică Știință și Tehnologică al Administrației SUA au organizat un simpozion intitulat „Detectarea codului ostil, a intruziunilor și a comportamentului anomal”. La aceasta au participat reprezentanți ai sectorului comercial și public. Documentul adoptat la simpozion a identificat caracteristici care nu ar trebui incluse în produsele comerciale. Cert este că companiile sunt interesate să protejeze informațiile confidențiale doar în scopuri comerciale. Guvernul este, de asemenea, interesat să-și protejeze propriile rețele, dar sarcina principală pentru el nu înseamnă a face profit, ci a proteja securitatea națională. Acesta este un punct foarte important. Organizațiile guvernamentale trebuie mai întâi să se asigure că sunt detectate intruziunile guvernamentale. retele de informatii de la serviciile de informații străine. Resursele și capacitățile unui adversar susținut de străini le pot depăși pe cele ale celui mai bun IDS comercial.

Există o altă diferență importantă. Companiile trebuie doar să primească descriere generală activitate suspectă pentru a preveni cât mai curând posibil impactul acesteia; De asemenea, este important ca organizațiile guvernamentale să afle motivele care l-au ghidat pe infractor. În unele situații, guvernul poate intercepta în mod selectiv informații în scopuri de informații sau pentru a respecta o hotărâre judecătorească. Produsele software comerciale, nici astăzi, nici în viitorul apropiat, nu se vor integra cu sisteme guvernamentale specializate de interceptare a informațiilor (cum ar fi Carnivore).

Simpozionul a declarat că producătorii de produse comerciale nu vor dezvolta metode de evaluare obiectivă a programelor de detectare a intruziunilor. Prin urmare, nu există metode general acceptate pentru evaluarea programelor din această clasă. Această configurație se potrivește în general oamenilor de afaceri, dar organizațiile guvernamentale a căror misiune principală este să protejeze securitatea națională trebuie să știe ce face IDS și cum funcționează.

O altă problemă este că IDS-urile comerciale sunt vândute liber. Dacă sunt folosite pentru nevoi guvernamentale, atunci un potențial contravenient, după ce a aflat ce sisteme sunt utilizate în organizațiile guvernamentale, ar putea cumpăra același produs și, după ce l-a studiat amănunțit, ar putea descoperi vulnerabilități. Pentru a preveni astfel de situații, agențiile guvernamentale ar trebui să utilizeze produse necomerciale special dezvoltate. Astăzi, Statele Unite au dezvoltat cerințe guvernamentale speciale pentru programele de detectare a intruziunilor pe care IDS-urile comerciale existente nu le îndeplinesc.

CIDDS

CIDDS (Common Intrusion Detection Director System, cunoscut și sub numele de CID Director) este un mediu de operare hardware și software specializat, dezvoltat ca parte a proiectului instrumentelor de detectare a intruziunilor (IDT) al Centrului. război informaţional Forțele Aeriene ale SUA (Centrul Războiului Informațional al Forțelor Aeriene, AFIWC). Centrul AFIWC este structura responsabilă cu dezvoltarea IDS pentru rețelele US Air Force. Acesta include Echipa de securitate a computerelor a forțelor aeriene (AFCERT), care este responsabilă de dezvoltarea operațiunilor de zi cu zi pentru administrarea și securizarea rețelelor de informații.

CIDDS primește date de conexiune și performanță în timp real de la Măsurarea automată a incidentelor de securitate (ASIM), sistemul de senzori și alte IDS instrumentale. Este posibil să se analizeze datele colectate atât automat, cât și cu implicarea analiștilor experți.

Software-ul CID Director constă din programe în C, C++ și Java, precum și din scripturi și interogări de baze de date SQL Date Oracle. Director stochează informații într-o bază de date locală Oracle și oferă utilizatorului capacitatea de a analiza indicatorii activităților potențial periculoase întâlnite în rețelele USAF. Este acceptabil să a) detectăm activități potențial periculoase, rău intenționate sau neautorizate care apar în timp; b) detectarea activităților care vizează anumite calculatoare sau tipuri de rețele; c) detectarea acțiunilor care tranzitează sau implică mai multe rețele; d) analiza tendințelor și a obiectivelor globale. CIDDS include, de asemenea, capacitatea de a reda datele conexiunii în timp real pentru a analiza modelele de apăsare a tastei.

CIDDS asigură stocarea și analiza centralizată a datelor pentru sistemul ASIM. Director primește date de la diverși senzori care monitorizează starea de sănătate a tuturor rețelelor Air Force. Aceste rețele pot fi omogene sau eterogene și servesc diferite misiuni ale Forțelor Aeriene. CIDDS servește ca bază de date centrală și punct de analiză pentru toate rețelele enumerate.

Planurile de dezvoltare viitoare cer ca CIDDS să fie instalat la diferite niveluri în cadrul Forțelor Aeriene. Toate sistemele vor trimite informații de bază către o singură bază de date AFCERT.

Fiecare computer CID Director este conectat la un sistem de senzori ASIM. Software-ul senzorului constă din module C și Java, scripturi shell UNIX (Bourne) și fișiere de configurare care filtrează împreună pachetele și analizează condițiile rețelei. În esență, acesta este un utilitar pentru interceptarea și analiza pachetelor de date eterogene. Software-ul său monitorizează traficul IP, TCP, UDP și ICMP pentru a identifica activitățile suspecte. Există două moduri posibile de funcționare a senzorului - lot și în timp real.

ASIM în timp real folosește același lucru modul software, ca în modul batch. Cu toate acestea, evenimentele care pot indica încercări de acces neautorizat sunt identificate în timp real, iar atunci când au loc, se generează imediat un proces de urgență pe serverul senzorului și se trimite un avertisment administratorului. Alertele în timp real conțin de obicei doar informații de bază. Informații suplimentare despre acțiunile atacatorului pot fi obținute din transcrierea ulterioară a acțiunilor.

Senzorul ASIM în modul Burst colectează trafic de rețea pe o perioadă de timp cu o durată configurabilă, de obicei 24 de ore Odată agregate, datele sunt analizate și, dacă este necesar, pot fi vizualizate de pe consola locală sau transferate la sediul central AFIWC/AFCERT. La fiecare 24 de ore, datele colectate sunt criptate și transmise către AFIWC/AFCERT pentru analiza de către un analist de specialitate care stabilește dacă activitățile identificate sunt rău intenționate, neautorizate sau normal autorizate.

Concluzie

În prezent, în domeniul IDS are loc o tranziție către crearea de sisteme axate pe protejarea segmentelor de rețea. Piața americană se caracterizează prin următoarea situație: sistemele comerciale diferă semnificativ de produse software, care sunt recomandate pentru utilizare în agențiile guvernamentale. Rețineți că aceasta este o tendință generală în domeniul IT - pentru a asigura securitatea agentii guvernamentale Trebuie utilizate numai sisteme special concepute care nu sunt disponibile pe piață. Aceştia din urmă au diferenta caracteristica: nu vizează algoritmi automati de recunoaștere a semnelor de intruziune, ci analiști experți care evaluează zilnic datele transmise.

Dezvoltatorii autohtoni ar trebui să acorde atenție sistemelor distribuite gratuit, disponibile în codul sursă. În condițiile în care practic nu există dezvoltări interne în acest domeniu, disponibilitatea codurilor sursă pentru programe va face posibilă studierea proprietăților produselor din această clasă și începerea propriilor dezvoltări.

Sursele de informații menționate în articol

  1. Stocksdale, Gregory. (Agenția Națională de Securitate). Inventarul instrumentelor de detectare a intruziunilor SANS/NSA. WWW: http://www.sans.org/NSA/idtools.htm.
  2. Anderson, James P. Monitorizarea și supravegherea amenințărilor la securitatea computerelor.
  3. Fort Washington, PA: James P. Anderson Co.
  4. Denning, Dorothy E. (SRI International). Un model de detectare a intruziunilor.
  5. IEEE Transactions on Software Engineering (SE-13), 2 (februarie 1987): 222-232.
  6. Mukherjee, Biswanath; Heberlein, L.Todd; & Levitt, Karl N. (Universitatea din California, Davis). Detectarea intruziunilor în rețea. IEEE Network 8, 3 (mai/iunie 1994): 26-41. WWW: http://seclab.cs.ucdavis.edu/papers.html.
  7. Anderson, Debra și colab. (SRI International). Detectarea comportamentului neobișnuit al programului utilizând componenta statistică a NextGeneration Intrusion Detection Expert System (NIDES) (SRICSL-95-06). Menlo Park, CA: Computer Science Laboratory, SRI International, mai 1995. WWW: http://www.sdl.sri.com/nides/index5.html.
  8. Lindqvist, Ulf & Porras, Phillip A. Detectarea utilizării greșite a computerelor și a rețelei prin intermediul setului de instrumente de sistem expert bazat pe producție (P-BEST).
  9. Proceedings of the 1999 IEEE Symposium on Security and Privacy. Oakland, CA, 9-12 mai 1999. WWW: http://www2.csl.sri.com/emerald/pbest-sp99-cr.pdf.
  10. Kemmerer, Richard A. (Universitatea din California, Santa Barbara). NSTAT: Un sistem de detectare a intruziunilor în rețea în timp real bazat pe model (TRCS97-18).
  11. noiembrie 1997.WWW: .
  12. Vigna, Giovanni & Kemmerer, Richard A. (Universitatea din California, Santa Barbara). NetSTAT: O abordare de detectare a intruziunilor bazată pe rețea.
  13. Proceedings of the 14th Annual Computer Security Applications Conference.
  14. Scottsdale, AZ, Dec. 1998. Disponibil WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html.
  15. Paxson, Vern. (Laboratorul Național Lawrence Berkeley). Bro: A System for Detecting Network Intruders in Real-Time, Proceedings of the 7th USENIX Security Symposium. San Antonio, TX, ianuarie 1998. WWW: http://www.aciri.org/vern/papers.html.
  16. Sobirey, Michael. Pagina de sisteme de identificare a lui Michael Sobirey. WWW: http://www-rnks.informatik.tucottbus.de/~sobirey/ids.html.
  17. Centrul de analiză a tehnologiei de asigurare a informației. Raport Instrumente de asigurare a informațiilor. WWW: http://www.iatac.dtic.mil/iatools.htm.
  18. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Sisteme de detectare a intruziunilor: descoperiri suspecte. WWW: http://www.data.com/lab_tests/intrusion.html.
  19. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Sisteme de detectare a intruziunilor: descoperiri suspecte-II. WWW: http://www.data.com/lab_tests/intrusion2.html.
  20. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Sisteme de detectare a intruziunilor: descoperiri suspecte-III. WWW: http://www.data.com/lab_tests/intrusion3.html.
  21. Scambray, Joel; McClure, Stuart; & Broderick, John. (InfoWorld Media Group Inc.). Soluții de detectare a intruziunilor în rețea. InfoWorld 20, 18 (4 mai 1998). WWW: http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm.
  22. Phillips, Ken. (Săptămâna PC). Unul dacă prin net, doi dacă prin sistemul de operare. WWW: http://www.zdnet.com/products/stories/reviews/0,4161,389071,00.html.
  23. Laboratorul MIT Lincoln. Evaluarea detectării intruziunilor DARPA. WWW: http://www.ll.mit.edu/IST/ideval/index.html.
  24. Van Ryan, Jane. Centrul SAIC pentru Tehnologia Securității Informației lansează CMDS Versiunea 3.5 .WWW: http://www.saic.com/news/may98/news05-15-98.html.
  25. AXENT Technologies, Inc. NetProwler-Detecție avansată a intruziunilor în rețea.
  26. WWW: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html.
  27. AXENT Technologies, Inc. Netprowler. WWW: http://www.axent.com/product/netprowler/default.htm.
  28. AXENT Technologies, Inc. Netprowler-II. WWW: http://www.axent.com/product/netprowler/npbrochure.htm.
  29. Cisco. NetRanger.WWW: http://www.cisco.com/warp/public/778/security/netranger.
    Cisco. Sistemul de detectare a intruziunilor NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/prodlit
  30. /netra_ov.htm.
  31. Cisco. Sistemul de detectare a intruziunilor NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_ds.htm.
  32. Cisco. NetRanger - Concepte generale. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm.
  33. CyberSafe Corporation. Întrebări frecvente Centrax. WWW: http://www.centraxcorp.com/faq.html.
  34. CyberSafe Corporation. Centrax: Caracteristici noi și îmbunătățiri în Centrax 2.2. WWW: http://www.centraxcorp.com/centrax22.html.
  35. CyberSafe Corporation. Întrebări frecvente Centrax .WWW: http://www.centraxcorp.com/faq.html.
  36. Sisteme de securitate pe internet. Real sigur. WWW: http://www.iss.net/prod/realsecure.pdf.
  37. Sisteme de securitate pe internet. Cerințe de sistem RealSecure. WWW: RS%20sys%20reqs">http://www.iss.net/reqspec/reqDisplay.php3?pageToDisplay=RS%20sys%20reqs .
  38. Sisteme de securitate pe internet. Semnături RealSecure Attack. WWW: http://www.iss.net/reqspec/linkDisplay.php3?pageToDisplay=RS%20a.s.%20from%20DB.
  39. Stocksdale, Greg. Documente CIDR. WWW: http://www.nswc.navy.mil/ISSEC/CID/.
  40. Irwin, Vicki; Northcutt, Stephen; și Ralph, Bill. (Centrul de război de suprafață naval). Construirea unei capacități de monitorizare și analiză a rețelei - pas cu pas. WWW: http://www.nswc.navy.mil/ISSEC/CID/step.htm.
  41. Northcutt, Stephen. (Naval Surface Warfare Center, Dahlgren). Detectarea intruziunilor: Ghid pas cu pas pentru stilul umbrei. Raportul Institutului SANS (noiembrie 1988).
  42. Floyd, Sally și colab. (Laboratorul Național Lawrence Berkeley). Grupul de cercetare în rețea LBNL: http://ftp.ee.lbl.gov/.
  43. Network Flight Recorder, Inc. Monitorizarea pas cu pas a rețelei folosind NFR. WWW: http://www.nswc.navy.mil/ISSEC/CID/nfr.htm.
  44. Ranum, Marcus J., şi colab. (Network Flight Recorder, Inc.). Implementarea unui instrument generalizat pentru monitorizarea rețelei. WWW: http://www.nfr.net/forum/publications/LISA-97.htm.
În esență, aceste programe sunt analizoare modificate care văd toate fluxurile de date din rețea, încearcă să identifice traficul de rețea potențial dăunător și te avertizează când apare. Principala lor metodă de acțiune este studierea traficului care trece și compararea acestuia cu baza de date șabloane celebre activitate rău intenționată, numită semnături. Utilizarea semnăturilor este foarte asemănătoare cu modul în care funcționează programe antivirus. Cele mai multe tipuri de atacuri la nivel TCP/IP au caracteristici caracteristice. Un sistem de detectare a intruziunilor poate detecta atacuri pe baza adreselor IP, numerelor de port, continutul informativși un număr arbitrar de criterii. Există o altă modalitate de a detecta intruziunile la nivel de sistem, care constă în monitorizarea integrității fișiere cheie. În plus, sunt dezvoltate noi tehnici care combină conceptele de detectare a intruziunilor și firewall sau care fac pași suplimentari dincolo de simpla detectare (vezi bara laterală „Următoarea generație de sisteme de detectare a intruziunilor”). Cu toate acestea, această prelegere se concentrează pe cele două metode cele mai populare pentru detectarea intruziunilor în rețele și sisteme: descoperirea rețelei invazii şi controlul integritatii fișiere.

Un sistem de detectare a intruziunilor în rețea poate proteja împotriva atacurilor care trec prin ele firewall către rețeaua LAN internă. Firewall-urile pot fi configurate greșit, permițând trafic nedorit în rețea. Chiar și atunci când funcționează corect, firewall-urile permit de obicei un anumit trafic de aplicații în interior, care poate fi periculos. Porturile sunt adesea redirecționate de la firewall servere interne cu trafic destinat unui mail sau altui server public. Un sistem de detectare a intruziunilor în rețea poate monitoriza acest trafic și poate semnaliza pachetele potențial periculoase. Un sistem de detectare a intruziunilor în rețea configurat corespunzător poate verifica încrucișat regulile firewall și poate furniza protectie suplimentara Pentru servere de aplicații.

Sistemele de detectare a intruziunilor în rețea sunt utile în protejarea împotriva atacurilor externe, dar unul dintre principalele lor avantaje este capacitatea de a detecta atacurile interne și activitate suspectă utilizatorii. Firewall va proteja împotriva multor atacuri externe, dar atunci când atacatorul este în retea locala, firewall este puțin probabil să poată ajuta. Vede doar traficul care trece prin el și este, de obicei, orb la activitatea din rețeaua locală. Luați în considerare un sistem de detectare a intruziunilor în rețea și firewall dispozitive de securitate complementare, cum ar fi o încuietoare sigură a ușii și un sistem de alarmă de securitate în rețea. Unul dintre ele vă protejează marginea exterioară, celălalt vă protejează partea interioară (Fig. 7.1).


Orez. 7.1.

Există motive întemeiate pentru a monitoriza îndeaproape traficul rețelei interne. Statisticile FBI arată că peste 70% dintre crimele informatice provin dintr-o sursă internă. Deși avem tendința de a crede că colegii noștri nu vor face nimic care să ne facă rău, dar uneori nu este cazul. Atacatorii din interior- nu întotdeauna hackeri de noapte. Aceștia ar putea fi ofensați administratori de sistem sau angajați neglijenți. Simplul act de a descărca un fișier sau de a deschide un fișier atașat la un mesaj de e-mail poate introduce un cal troian în sistemul tău, lăsând o gaură în firewall-ul tău pentru tot felul de răutăciuni. Cu ajutorul unui sistem de detectare a intruziunilor în rețea, puteți opri o astfel de activitate, precum și alte posibile intrigi informatice. Un sistem de detectare a intruziunilor în rețea bine configurat poate acționa ca un „sistem de alarmă” electronic pentru rețeaua dumneavoastră.

Noua generație de sisteme de detectare a intruziunilor

Sisteme de detectare a intruziunilor bazate pe detectarea activității anormale

În loc să utilizeze semnături statice care pot detecta doar activități clar rău intenționate, sistemele de generație următoare monitorizează nivelurile normale pentru diferite tipuri de activitate în rețea. Dacă există o creștere bruscă a traficului FTP, sistemul vă va avertiza despre aceasta. Problema cu aceste tipuri de sisteme este că ele sunt foarte predispuse la fals pozitive - adică trag alarme atunci când în rețea are loc o activitate normală, valabilă. Deci, în exemplul de trafic FTP, descărcarea unui fișier deosebit de mare ar declanșa o alarmă.

De asemenea, trebuie luat în considerare faptul că un sistem de detectare a intruziunilor bazat pe detectarea activității anormale necesită timp pentru a se construi model exact retelelor. La început, sistemul generează atât de multe alarme încât este de puțin folos. În plus, astfel de sisteme de detectare a intruziunilor pot fi păcălite cunoscând bine rețeaua. Dacă hackerii sunt suficient de ascunși și folosesc protocoale care sunt utilizate activ în rețea, ei nu vor atrage atenția acestor tipuri de sisteme. Pe de altă parte, un avantaj important sisteme similare- nu este nevoie să actualizați constant setul de semnături. Odată ce această tehnologie va ajunge la maturitate și o inteligență suficientă, va deveni probabil o metodă comună de detectare a intruziunilor.

Sisteme de prevenire a intruziunilor

Un nou tip de sistem de detectare a intruziunilor în rețea, denumit sisteme de prevenire a intruziunilor, este declarat ca soluție la toate problemele de securitate corporative. Ideea de bază este de a lua măsuri de răspuns atunci când sunt generate alarme, cum ar fi scrierea regulilor de firewall personalizate din mers și routere, blocând activitatea adreselor IP suspecte, solicitări sau chiar contraatacuri ale sistemelor ofensive.

Deși aceasta tehnologie nouă este în continuă evoluție și îmbunătățire, este încă prea departe de a analiza și de a lua decizii la nivel uman. Faptul rămâne că orice sistem care este 100% dependent de mașină și software poate fi întotdeauna înșelat de o persoană dedicată (deși unii maeștri de șah eșuați ar putea să nu fie de acord). Un exemplu de sistem de prevenire a intruziunilor cu sursă deschisă este Inline Snort al lui Jed Hale, un modul gratuit pentru sistemul de detectare a intruziunilor în rețea Snort discutat în această prelegere.

În revizuirea soluțiilor IPS corporative de pe piața rusă de la Anti-Malware, publicată săptămâna trecută, totul este bine, cu excepția, de fapt, revizuirea în sine a soluțiilor rusești. Permiteți-mi să-mi completez puțin colegii.

La fel ca majoritatea produselor de pe piața noastră de securitate a informațiilor, sistemele de detectare/prevenire a atacurilor pot fi clasificate în funcție de următoarele două criterii:

  • certificare:
    • absent
    • făcut minim „pentru spectacol”
    • nivel ridicat de certificare
  • recunoașterea (prevalența) produsului:
    • cunoscut și folosit în lume
    • prezent doar pe piața regională

În funcție de combinația acestor doi parametri, tipul de vânzător poate fi descris astfel, ținând cont, desigur, că în practică, situația va fi cel mai adesea mixtă.

Acum, de fapt, să trecem la IPS/IDS naționale, a cărui existență este în mare măsură determinată de prezența cerințelor de reglementare relevante. FSB are cerințe oficializate pentru această clasă de soluții de destul de mult timp (din 2002), iar FSTEC a apărut și anul trecut.

FSB numește această clasă de dispozitive SOA (sisteme de detectare a atacurilor) și distinge 4 clase - de la G la A (de la cel mai mic la cel mai mare), fiecare clasă ulterioară incluzând toate funcționalitățile celor anterioare. Cerințele FSB sunt marcate „Pentru utilizare oficială„Și nu le poți obține pur și simplu.

FSTEC numește astfel de sisteme IDS (sisteme de detectare a intruziunilor), ceea ce este incredibil de convenabil, deoarece certificările FSB și FSTEC nu pot fi niciodată confundate =) Esența cerințelor FSTEC este puțin mai ușoară: există cel puțin informații generale într-o scrisoare despre Site-ul FSTEC, care explică că În total, sunt stabilite șase clase de protecție IDS (a șasea este cea mai scăzută). Nu există profiluri de protecție corespunzătoare pentru clasele șase până la patru pe site-ul web FSTEC (deși scrisoarea spune altceva), dar le puteți găsi pe Internet dacă doriți.

În total, conform cerințelor FSB, șase produse (toate interne) sunt certificate, iar conform noilor cerințe ale FSTEC, doar patru sunt până acum (două interne și două importate). Totodată, există și IDS-uri certificate de FSTEC pentru conformitatea cu specificațiile tehnice (TU) încă înainte de intrarea în vigoare a noilor cerințe pentru IDS, dar astăzi ne interesează doar producătorii autohtoni, iar dintre aceste soluții doar două sunt.

Lista finală a ID-urilor naționale și a certificatelor acestora arată astfel:

Puteți să vă certați cu mine, dar, în opinia mea, toate aceste produse se încadrează în mod clar în categoria „Făcători de hârtie”, indiferent cât de jignitoare ar suna o astfel de definiție pentru ei.

Din păcate, pentru unele soluții există doar informații fragmentare disponibile publicului, ceea ce aparent se datorează domeniului lor foarte specific de aplicare. În ceea ce privește sistemele de detectare a atacurilor interne, poate cea mai informativă sursă a fost această prezentare a reprezentantului FSB D.N. Satana. Am adaugat descrieri ale tuturor produselor gasite pe internet si pentru a nu dubla informatiile din Catalog in postare, ofer doar link-uri catre produse.

proces activ , în care un hacker este detectat atunci când încearcă să pătrundă în sistem. În mod ideal, un astfel de sistem va emite o alarmă numai atunci când se încearcă să pătrundă. Detectarea intruziunilor ajută la identificarea proactivă amenințări active prin alerte și avertismente că un atacator colectează informații necesare pentru a efectua un atac. În realitate, așa cum se va arăta în materialul de curs, acest lucru nu este întotdeauna cazul. Înainte de a discuta detaliile asociate cu detectarea intruziunilor, să definim ce este de fapt.

Sistemele de detectare a intruziunilor (IDS) există de foarte mult timp. Primul dintre aceștia poate fi considerat câini de pază și de pază de noapte. Câinii santinelă și de pază au îndeplinit două sarcini: au identificat acțiuni suspecte inițiate de cineva și au împiedicat pătrunderea în continuare a intrusului. De regulă, tâlharii evitau întâlnirile cu câinii și, în cele mai multe cazuri, încercau să evite clădirile păzite de câini. Același lucru se poate spune despre ceasul de noapte. Tâlharii nu au vrut să fie observați de polițiști înarmați sau de agenții de securitate care ar putea chema poliția.

Alarmele din clădiri și mașini sunt, de asemenea, un tip de sistem de detectare a intruziunilor. Dacă sistem de avertizare detectează un eveniment care trebuie observat (de exemplu, o fereastră spartă sau o ușă deschisă), o alarmă este emisă prin aprinderea lămpilor, pornirea semnalelor sonore sau semnalul de alarmă este transmis la panoul de control al secției de poliție . Funcția de descurajare a efracției se realizează prin intermediul unui autocolant de avertizare pe geam sau a unui semn amplasat în fața casei. În mașini, de regulă, când alarma este pornită, o lumină roșie este aprinsă, avertizând despre starea activă a sistemului de alarmă.

Toate aceste exemple se bazează pe același principiu: detectarea oricăror încercări de pătrundere în perimetrul protejat al unui obiect (birou, clădire, mașină etc.). În cazul unui autoturism sau al unei clădiri, perimetrul de protecție este relativ ușor de determinat. Pereții unei clădiri, gardurile din jurul proprietății private și ușile și ferestrele mașinilor definesc clar perimetrul protejat. O altă caracteristică comună tuturor acestor cazuri este un criteriu clar a ceea ce constituie exact o tentativă de intruziune și ce anume constituie perimetrul protejat.

Dacă transferați conceptul de sistem de alarmă în lumea computerelor, obțineți conceptul de bază al unui sistem de detectare a intruziunilor. Este necesar să se determine care este de fapt perimetrul de securitate al unui sistem informatic sau al unei rețele. Evident, perimetrul de protecție în acest caz nu este un zid sau un gard. Perimetrul de protecție a rețelei este un perimetru virtual în care există sisteme informatice. Acest perimetru poate fi definit de firewall-uri, puncte de separare a conexiunilor sau computere desktop cu modemuri. Acest perimetru poate fi extins pentru a conține computerele de acasă ale angajaților cărora li se permite să se conecteze între ei sau parteneri de afaceri cărora li se permite să se conecteze la rețea. Odată cu apariția rețelelor wireless în interacțiunile de afaceri, perimetrul de securitate al organizației se extinde la dimensiunea rețelei wireless.

O alarmă de intruziune este concepută pentru a detecta orice încercare de a intra într-o zonă protejată atunci când zona nu este utilizată. Sistemul de detectare a intruziunilor IDS este conceput pentru a diferenția autentificare autorizatăși intrarea neautorizată, care este mult mai dificil de implementat. Iata un exemplu de magazin de bijuterii cu alarma antiefractie. Dacă cineva, chiar și proprietarul magazinului, deschide ușa, alarma se va declanșa. Proprietarul trebuie să anunțe apoi firma de alarmă că el este cel care a deschis magazinul și că totul este în regulă. Sistemul IDS, dimpotrivă, poate fi comparat cu un agent de pază care monitorizează tot ce se întâmplă în magazin și detectează acțiuni neautorizate (cum ar fi aducerea armelor de foc). Din păcate, în lumea virtuală, „armele de foc” rămân foarte des invizibile.

A doua problemă de luat în considerare este determinarea evenimentelor care constituie o încălcare perimetrul de securitate. Este ilegal să încerci să identifici computerele care rulează? Ce să faci în cazul unui atac cunoscut asupra unui sistem sau rețea? Pe măsură ce aceste întrebări sunt adresate, devine clar că răspunsurile nu sunt ușor de găsit. Mai mult, ele depind de alte evenimente și de starea sistemului țintă.

Definirea tipurilor de sisteme de detectare a intruziunilor

Există două tipuri principale de IDS: bazat pe hub (HIDS) și bazat pe rețea (NIDS). Sistemul HIDS este situat pe un nod separat și monitorizează semnele atacurilor asupra acestui nod. Sistemul NIDS este situat la sistem separat, care monitorizează traficul de rețea pentru semne de atacuri efectuate în segmentul de rețea controlat. Figura 13.1 prezintă două tipuri de IDS care pot fi prezente într-un mediu de rețea.


Orez. 13.1.

ID-ul nodului

IDS bazat pe noduri (HIDS) sunt un sistem de senzori încărcat pe diverse servere dintr-o organizație și gestionat de un dispecer central. Senzorii monitorizează diferite tipuri de evenimente (o discuție mai detaliată a acestor evenimente este oferită în secțiunea următoare) și iau măsuri. anumite actiuni pe server sau transmite notificări. Senzorii HIDS monitorizează evenimentele legate de serverul pe care sunt încărcați. Senzorul HIDS vă permite să determinați dacă un atac a avut succes dacă atacul a avut loc pe aceeași platformă pe care este instalat senzorul.

După cum va fi discutat mai târziu, diferite tipuri de senzori HIDS pot efectua diferite tipuri de sarcini de detectare a intruziunilor. Nu orice tip de senzor poate fi utilizat într-o organizație și chiar și servere diferite din cadrul aceleiași organizații pot necesita senzori diferiți. Trebuie remarcat faptul că sistemul

Detectarea intruziunilor este o altă sarcină îndeplinită de personalul de securitate a informațiilor dintr-o organizație pentru a proteja împotriva atacurilor. Detectarea intruziunilor este un proces activ care detectează un hacker în timp ce încearcă să pătrundă într-un sistem. În mod ideal, un astfel de sistem va emite o alarmă numai atunci când se încearcă să pătrundă. Detectarea intruziunilor ajută la identificarea amenințărilor active prin alerte și avertismente că un atacator adună informații necesare pentru a efectua un atac. În realitate, acest lucru nu este întotdeauna cazul.

Sistemele de detectare a intruziunilor (IDS) există de mult timp. Primul dintre aceștia poate fi considerat câini de pază și de pază de noapte. Câinii santinelă și de pază au îndeplinit două sarcini: au identificat acțiuni suspecte inițiate de cineva și au împiedicat pătrunderea în continuare a intrusului. De regulă, tâlharii evitau întâlnirile cu câinii și, în cele mai multe cazuri, încercau să evite clădirile păzite de câini. Același lucru se poate spune despre ceasul de noapte. Tâlharii nu au vrut să fie observați de polițiști înarmați sau de agenții de securitate care ar putea chema poliția.

Alarmele din clădiri și mașini sunt, de asemenea, un tip de sistem de detectare a intruziunilor. Dacă sistemul de avertizare detectează un eveniment care trebuie observat (de exemplu, o fereastră spartă sau o ușă deschisă), o alarmă este emisă prin aprinderea lămpilor, activarea semnalelor sonore sau alarma este transmisă la panoul de control al secției de poliție. . Funcția de descurajare a efracției se realizează printr-un autocolant de avertizare pe geam sau un semn plasat în fața casei. În mașini, de regulă, când alarma este pornită, o lumină roșie este aprinsă, avertizând despre starea activă a sistemului de alarmă.

Toate aceste exemple se bazează pe același principiu: detectarea oricăror încercări de pătrundere în perimetrul protejat al unui obiect (birou, clădire, mașină etc.). În cazul unui autoturism sau al unei clădiri, perimetrul de protecție este relativ ușor de determinat. Pereții unei clădiri, gardurile din jurul proprietății private și ușile și ferestrele mașinilor definesc clar perimetrul protejat. O altă caracteristică comună tuturor acestor cazuri este un criteriu clar a ceea ce constituie exact o tentativă de intruziune și ce anume constituie perimetrul protejat.

Dacă transferați conceptul de sistem de alarmă în lumea computerelor, obțineți conceptul de bază al unui sistem de detectare a intruziunilor. Este necesar să se determine care este de fapt perimetrul de securitate al unui sistem informatic sau al unei rețele. Evident, perimetrul de protecție în acest caz nu este un zid sau un gard.



Perimetrul de securitate al rețelei este un perimetru virtual în care sunt situate sistemele informatice. Acest perimetru poate fi definit de firewall-uri, puncte de separare a conexiunilor sau computere desktop cu modemuri. Acest perimetru poate fi extins pentru a conține computerele de acasă ale angajaților cărora li se permite să se conecteze între ei sau parteneri de afaceri cărora li se permite să se conecteze la rețea. Odată cu apariția rețelelor wireless în interacțiunile de afaceri, perimetrul de securitate al organizației se extinde la dimensiunea rețelei wireless.

O alarmă de intruziune este concepută pentru a detecta orice încercare de a intra într-o zonă protejată atunci când zona nu este utilizată.

Sistemul de detectare a intruziunilor IDS este conceput pentru a face distincția între intrarea autorizată și intrarea neautorizată, ceea ce este mult mai dificil de implementat. Iata un exemplu de magazin de bijuterii cu alarma antiefractie. Dacă cineva, chiar și proprietarul magazinului, deschide ușa, alarma se va declanșa. Proprietarul trebuie să anunțe apoi firma de alarmă că el este cel care a deschis magazinul și că totul este în regulă. Un sistem IDS, pe de altă parte, poate fi comparat cu un agent de securitate care monitorizează tot ce se întâmplă în magazin și detectează acțiuni neautorizate (cum ar fi transportul
non-arme de foc). Din păcate, în lumea virtuală, „armele de foc” rămân foarte des invizibile.

A doua problemă de luat în considerare este determinarea evenimentelor care constituie o încălcare a perimetrului de securitate. Este ilegal să încerci să identifici computerele care rulează? Ce ar trebui să faceți dacă există un atac cunoscut asupra unui sistem sau rețea? Pe măsură ce aceste întrebări sunt adresate, devine clar că răspunsurile nu sunt ușor de găsit. Mai mult, ele depind de alte evenimente și de starea sistemului țintă.

Există două tipuri principale de IDS: bazat pe hub (HIDS) și bazat pe rețea (NIDS).

Sistemul HIDS este situat pe un nod separat și monitorizează semnele atacurilor asupra acestui nod. Sistemul NIDS rezidă pe un sistem separat care monitorizează traficul de rețea pentru semne de atacuri efectuate pe segmentul controlat al rețelei.

IDS bazat pe noduri (H1DS) sunt un sistem de senzori încărcat pe diverse servere dintr-o organizație și gestionat de un dispecer central. Senzorii monitorizează diverse tipuri de evenimente și întreprind acțiuni specifice pe server sau transmit notificări. Senzorii HIDS monitorizează evenimentele legate de serverul pe care sunt încărcați. Senzorul HIDS vă permite să determinați
împărțiți dacă atacul a avut succes dacă atacul a avut loc pe aceeași platformă pe care este instalat senzorul.

Este probabil să existe fricțiuni de gestionare și configurare între administratorii de securitate (care administrează IDS) și administratorii de sistem. Deoarece procesul trebuie să fie constant activ, este necesară o bună coordonare în activitatea lor.

Există cinci tipuri principale de senzori HIDS: analizoare de log; senzori de caracteristici; analizoare de apeluri de sistem; analizoare de comportament al aplicațiilor; verificatoare de integritate a fișierelor.

Trebuie remarcat faptul că numărul de senzori HIDS este în creștere, iar unele produse oferă funcționalități care includ mai mult de cinci tipuri de senzori de bază.

Analizoare de jurnal. Analizorul de jurnal este exact ceea ce sugerează numele senzorului. Procesul rulează pe server și monitorizează fișierele jurnal corespunzătoare din sistem. Dacă în procesul senzorului HIDS este întâlnită o intrare de jurnal care corespunde unui anumit criteriu, se ia acțiunea specificată.

Majoritatea analizoarelor de jurnal sunt configurate pentru a monitoriza intrările de jurnal care pot indica un eveniment de securitate a sistemului. Administratorul de sistem poate identifica de obicei alte intrări de jurnal care prezintă un interes deosebit.

Analizatoarele de jurnal, în special, sunt potrivite pentru a urmări activitatea utilizatorilor autorizați sisteme interne. Astfel, dacă organizația dvs. se concentrează pe monitorizarea activității administratorilor de sistem sau a altor utilizatori ai sistemului, puteți utiliza un analizor de jurnal pentru a monitoriza activitatea și a muta o înregistrare a acelei activități într-o zonă care nu este la îndemâna administratorului sau utilizatorului. .

Caracteristici senzori. Aceste tipuri de senzori sunt colecții de semnături specifice ale evenimentelor de securitate care sunt corelate cu traficul de intrare sau intrările de jurnal. Diferența dintre senzorii de caracteristici și analizoarele de jurnal este capacitatea de a analiza traficul de intrare.

Analizoare de apeluri de sistem. Analizatorii de apeluri de sistem analizează apelurile dintre aplicații și sistemul de operare pentru a identifica evenimentele legate de securitate. Acest tip de senzor HIDS plasează o conexiune software între sistemul de operare și aplicații. Când o aplicație trebuie să efectueze o acțiune, sistemul de operare o apelează și o compară cu o bază de date de atribute. Aceste semne sunt exemple diverse tipuri comportament care constituie un atac sau este de interes pentru administratorul IDS.

Analizoare de comportament al aplicației. Analizatoarele de comportament ale aplicațiilor sunt similare cu analizoarele de apeluri de sistem prin faptul că sunt utilizate ca o conexiune software între aplicații și sistemul de operare. În analizoarele de comportament, senzorul verifică apelul pentru a vedea dacă aplicației i se permite să efectueze o anumită acțiune, în loc să determine dacă apelul se potrivește cu caracteristicile unui atac.

Controlere de integritate a fișierelor. Verificatorii de integritate a fișierelor monitorizează modificările aduse fișierelor. Acest lucru se realizează prin utilizarea unei sume de control criptografice sau a unei semnături digitale a fișierului. Semnătura digitală finală a fișierului va fi modificată dacă chiar și o mică parte a fișierului original este modificată (aceasta ar putea fi atribute ale fișierului, cum ar fi ora și data creării). Algoritmii utilizați pentru a efectua acest proces au fost proiectați pentru a minimiza posibilitatea de a face modificări la fișier, păstrând în același timp semnătura originală.

Când senzorul este configurat inițial, fiecare fișier care trebuie monitorizat este procesat de un algoritm pentru a crea o semnătură inițială. Numărul rezultat este stocat într-un loc sigur. Periodic, pentru fiecare dosar, această semnătură este recalculată și comparată cu originalul. Dacă semnăturile se potrivesc, înseamnă că fișierul nu a fost modificat. Dacă nu există nicio potrivire, atunci s-au făcut modificări fișierului.


ID-uri de rețea. NIDS este proces software, rulând pe un sistem dedicat. NIDS comută placa de rețea a sistemului în modul promiscuu, în care adaptorul de rețea transmite tot traficul de rețea (nu doar traficul destinat sistemului) către software-ul NIDS. Traficul este apoi analizat folosind un set de reguli și atribute de atac pentru a determina dacă traficul prezintă vreun interes. Dacă da, atunci evenimentul corespunzător este generat.

Pe în acest moment Majoritatea sistemelor NIDS se bazează pe semnături de atac. Aceasta înseamnă că sistemele au un set încorporat de indicatori de atac cu care se potrivește traficul din canalul de comunicație. Dacă are loc un atac pentru care nu există nicio indicație în sistemul de detectare a intruziunilor, sistemul NIDS nu va

observă acest atac. Sistemele NIDS vă permit să specificați traficul de interes după adresa sursă, adresa de destinație, portul sursă sau portul de destinație. Acest lucru face posibilă monitorizarea traficului care nu corespunde semnelor de atacuri.

Cel mai adesea, atunci când utilizați NIDS, sunt utilizate două plăci de rețea (Fig. 33). Un card este folosit pentru monitorizarea rețelei. Acest card funcționează în modul „stealth”, deci nu are adresă IP și, prin urmare, nu răspunde la conexiunile de intrare.

Cardul ascuns nu are o stivă de protocoale, așa că nu poate răspunde la pachetele de informații precum solicitările ping. A doua placă de rețea este utilizată pentru a se conecta la sistemul de management IDS și a trimite alarme. Acest card este atașat la o rețea internă care este invizibilă pentru rețeaua monitorizată.