Meniu
AcasăMicrosoft

Cum să alegi un sistem de prevenire a atacurilor. IDS - ce este? Sistemul de detectare a intruziunilor (IDS) cum funcționează

Sisteme de detectare a intruziunilor sau IDS (Intrusion Detection System)a apărut nu cu mult timp în urmă, cel puțin în comparație cu antivirusurile sau firewall-urile. Poate din acest motiv serviciile securitatea informatiei nu întotdeauna consideră necesară implementarea acestor soluții, concentrându-se pe alte sisteme din domeniul securității informațiilor. Dar există un beneficiu practic de la IDS și este destul de semnificativ.

Spre deosebire de firewall-urile, care funcționează pe baza unor politici predefinite, IDS sunt folosite pentru a monitoriza și identifica activitățile suspecte. Astfel, IDS poate fi numit un plus important la infrastructură securitatea rețelei. Este cu ajutorul luisistemele de detectare a intruziunilor, administratorul va putea detectaacces neautorizat (intruziune sau atac de rețea) la un sistem informatic sau la o rețea și luați măsuri pentru a preveni atacul.

În general, mulțumesc IDS, care este o soluție software sau hardware, administratorul va putea nu numai detectează o intruziune sau un atac de rețea, dar și previzionează posibile atacuri viitoare și găsește vulnerabilități pentru a preveni intruziunea acestora. La urma urmei, atacatorul efectuează mai întâi o serie de acțiuni, cum ar fi scanarea rețelei pentru a detecta vulnerabilitățile sistemului țintă. În plus, serviciul IT va putea să documenteze amenințările existente și să localizeze sursa atacului în raport cu retea locala: atacuri externe sau interne.

De la detectarea intruziunilor la prevenire

La rândul lor, sistemele de prevenire IPS (Intrusion Prevention System) au apărut pe baza IDS, adică fiecare IPS include un modul IDS. În ceea ce privește funcțiile lor, sunt destul de asemănătoare, dar există și o diferență, este că primul sistem esteo soluție „pasivă” care monitorizează pachetele de rețea, porturile, compară traficul cu un anumit set reguli și alerte atunci când este detectat malware, în timp ce IPS îl blochează atunci când încearcă să pătrundă în rețea. Dacă există riscul de intruziune, conexiunea la rețea este deconectată sau sesiunea utilizatorului este blocată, oprind accesul la adrese IP, cont, serviciu sau aplicație.

În plus, pentru a evita amenințarea unui atac, dispozitivele IPS sunt capabile să reconfigureze firewall-ul sau routerul. Unele soluții folosesc, de asemenea, lansarea de noi patch-uri atunci când vulnerabilitatea gazdei este crescută.Cu toate acestea, trebuie recunoscut că tehnologii IDS/IPS nu faceți sistemul absolut sigur.

Caracteristici de arhitectură

Există patru tehnologii principale utilizate la implementarea sistemelor IPS. Prima este instalarea de dispozitive dedicate în jurul perimetrului rețelei corporative, precum și în interiorul acesteia. De obicei, IPS este integrat în infrastructură, deoarece această opțiune este mult mai rentabilă decât o soluție independentă. În primul rând, pentru că costul unui dispozitiv integrat este mai mic decât prețul unui dispozitiv de sine stătător, iar costul implementării este mai mic. În al treilea rând, fiabilitatea este mai mare, deoarece nu există nicio verigă suplimentară în lanțul de trafic care să fie predispusă la eșecuri.

De regulă, IPS este integrat în router, apoi sistemul obține acces la traficul analizat. Aceasta este a doua tehnologie folosită. Totuși, această opțiune are un dezavantaj: IPS-ul integrat în router poate respinge doar atacurile din perimetrul rețelei. Prin urmare, pentru a proteja resursele interne, mecanismele de prevenire a atacurilor sunt implementate în comutatoarele de rețea locală.

Sistemele IDS/IPS sunt instalate de-a lungul perimetrului rețelei corporative

Al treilea avanpost al IPS este asociat cu popularitatea în creștere rapidă a tehnologiilor wireless. Prin urmare, sistemele IPS sunt acum echipate activ în puncte de acces wireless. Astfel de soluții, pe lângă detectarea și prevenirea diferitelor atacuri, sunt capabile să găsească puncte de acces și clienți neautorizați.

O altă linie de apărare este stația de lucru sau serverul. În acest caz, sistemul IPS este pornit statie de lucru sau serverul este instalat ca software de aplicație deasupra sistemului de operare și se numește Host IPS (HIPS). Soluții similare sunt produse de mulți producători. De exemplu, puteți marca produse , , , și altele.

Utilizarea Host IPS reduce frecvența instalării actualizărilor critice, ajută la protejarea datelor sensibile și vă ajută să îndepliniți cerințele și mandatele de reglementare. Combină sistemul de prevenire a intruziunilor (IPS) bazat pe comportament și pe semnătură, firewall-ul cu stare și blocarea aplicațiilor pentru a proteja toate punctele terminale - desktop-uri, laptopuri și servere - de amenințările cunoscute și necunoscute.

Principalele greșeli în timpul implementării

Sistemele IDS/IPS sunt un instrument destul de complex care necesită anumite calificări în timpul implementării și o atenție constantă în timpul funcționării. Dacă acest lucru nu se face, sistemele vor genera adesea un semnal fals, identificând incorect traficul ca fiind rău intenționat.

Pentru ca sistemele de prevenire a intruziunilor să funcționeze în mod fiabil, precizia trebuie ajustată. În plus, dispozitivul trebuie ajustat în mod constant atunci când configurația rețelei se modifică, precum și la noile amenințări care apar în rețea.

Experții numesc șapte greșeli principale atunci când implementează și operează sistemele Host IDS/IPS.

În primul rând, nu puteți bloca semnăturile cu risc mediu și ridicat fără analiză preliminară datele colectate. În schimb, vă recomandăm să blocați numai semnăturile de mare severitate. Acest lucru va oferi protecție împotriva celor mai grave vulnerabilități cu un număr mic de evenimente false. La rândul lor, semnăturile de nivel mediu de pericol funcționează conform unui algoritm comportamental și necesită, de obicei, o configurație preliminară obligatorie.

În al doilea rând, nu puteți utiliza aceleași politici în toate sistemele. În schimb, ar trebui să vă împărțiți PC-urile în grupuri în funcție de aplicații și privilegii, începând cu crearea de profiluri standard pentru cele mai simple sisteme.

În plus, sistemul Host IPS nu acceptă principiul „setează-l și uită-l”. Spre deosebire de un antivirus, monitorizarea regulată și întreținerea regulată a sistemului sunt necesare pentru a asigura acuratețea și eficacitatea protecției.

În plus, nu puteți activa IPS, firewall și modul de blocare a aplicațiilor în același timp. Se recomandă să începeți cu IPS, apoi să adăugați un firewall și apoi să activați modul de blocare a aplicațiilor, dacă este necesar.

De asemenea, nu ar trebui să lăsați IPS-ul, firewall-ul sau mecanismul de blocare a aplicațiilor în modul adaptiv pentru o perioadă nedeterminată. În schimb, ar trebui să activați modul adaptiv pentru perioade scurte de timp când administratorul IT are posibilitatea de a monitoriza regulile care sunt create.

În cele din urmă, nu puteți bloca imediat nimic pe care sistemul îl recunoaște ca o intruziune. În primul rând, ar trebui să vă asigurați că traficul observat este într-adevăr rău intenționat. Instrumente precum captura de pachete, IPS de rețea și altele vă vor ajuta în acest sens.

Publicații pe această temă

29 aprilie 2014 Multe companii achiziționează gadgeturi mobile pe cheltuiala lor pentru angajații care călătoresc adesea în călătorii de afaceri. În aceste condiții, serviciul IT are o nevoie urgentă de a controla dispozitivele care au acces la datele corporative, dar sunt situate în afara perimetrului rețelei corporative.

28 februarie 2014 După cum știți, acum zece ani era primul din lume virusul mobil Cabir. A fost conceput pentru a infecta telefoanele Nokia Series 60, atacul a constat în apariția cuvântului „Caribe” pe ecranele telefoanelor infectate. Virușii moderni pentru dispozitivele mobile sunt mult mai periculoși și diverși.

28 ianuarie 2014 Prin principiul funcționării lor, mașinile virtuale seamănă cu cele fizice. Prin urmare, pentru infractorii cibernetici care atacă rețelele corporative pentru a fura bani sau informații confidențiale Atât nodurile virtuale, cât și cele fizice sunt atractive.

30 decembrie 2013 Soluțiile de protecție endpoint au apărut pe piață nu cu mult timp în urmă, de fapt, după începerea implementării în masă a rețelelor locale în companii. Prototipul acestor produse a fost un antivirus obișnuit pentru protejarea unui computer personal.

Detectările intruziunilor sunt instrumente software sau hardware pentru detectarea atacurilor și acțiuni rău intenționate. Ele ajută rețelele și sistemele informatice să lupte corect. Pentru a atinge acest obiectiv, IDS colectează informații din numeroase surse de sistem sau de rețea. IDS îl analizează apoi pentru atacuri. Acest articol va încerca să răspundă la întrebarea: „IDS – ce este și pentru ce este?”

Pentru ce sunt sistemele de detectare a intruziunilor (IDS)?

Sistemele și rețelele informaționale sunt supuse în mod constant atacurilor cibernetice. Firewall-urile și antivirusurile nu sunt în mod clar suficiente pentru a respinge toate aceste atacuri, deoarece sunt capabile să protejeze doar „ușa din față” a sistemelor și rețelelor de computere. Diverși adolescenți care își imaginează că sunt hackeri scrutează în mod constant internetul în căutarea unor fisuri în sistemele de securitate.

Datorită world wide web Au la dispoziție o mulțime de software rău intenționat complet gratuit - tot felul de slammers, blinders și programe dăunătoare similare. Companiile concurente folosesc serviciile hackerilor profesioniști pentru a se neutraliza reciproc. Deci sistemele care detectează intruziunile (sisteme de detectare a intruziunilor) sunt o nevoie urgentă. Nu este surprinzător faptul că acestea devin din ce în ce mai utilizate pe scară largă în fiecare zi.

elemente IDS

Elementele IDS includ:

  • subsistem detector, al cărui scop este acumularea de evenimente de rețea sau de sistem informatic;
  • un subsistem de analiză care detectează atacurile cibernetice și activitatea îndoielnică;
  • stocare pentru acumularea de informații despre evenimente, precum și rezultatele analizei atacurilor cibernetice și acțiunilor neautorizate;
  • consola de management, cu ajutorul căreia puteți seta parametri IDS, puteți monitoriza starea rețelei (sau a sistemului informatic), aveți acces la informații despre atacurile detectate de subsistemul de analiză și abatere.

Apropo, mulți s-ar putea întreba: „Cum este tradus IDS?” Traducerea din engleză sună ca „un sistem care prinde în flagrant oaspeții neinvitați”.

Principalele sarcini pe care le rezolvă sistemele de detectare a intruziunilor

Un sistem de detectare a intruziunilor are două sarcini principale: analiza și un răspuns adecvat bazat pe rezultatele acestei analize. Pentru a efectua aceste sarcini, sistemul IDS efectuează următoarele acțiuni:

  • monitorizează și analizează activitatea utilizatorului;
  • auditează configurația sistemului și punctele slabe ale acestuia;
  • verifică integritatea fișierelor de sistem critice, precum și a fișierelor de date;
  • conduce analiza statistica stări ale sistemului, bazate pe comparație cu acele stări care au apărut în timpul atacurilor deja cunoscute;
  • auditează sistemul de operare.

Ce poate oferi un sistem de detectare a intruziunilor și ce nu

Cu ajutorul lui, puteți realiza următoarele:

  • îmbunătățirea parametrilor de integritate;
  • urmăriți activitatea utilizatorului din momentul în care acesta se conectează la sistem și până în momentul în care îi provoacă prejudicii sau efectuează orice acțiuni neautorizate;
  • recunoaște și notifică modificările sau ștergerea datelor;
  • automatizați sarcinile de monitorizare a Internetului pentru a găsi cele mai recente atacuri;
  • identificarea erorilor în configurația sistemului;
  • detectează începutul unui atac și anunță despre acesta.

Sistemul IDS nu poate face acest lucru:

  • completați deficiențele în protocoalele de rețea;
  • joacă un rol compensator în cazul unor mecanisme slabe de identificare și autentificare în rețelele sau sistemele informatice pe care le monitorizează;
  • De asemenea, trebuie remarcat faptul că IDS nu face întotdeauna față problemelor asociate cu atacurile la nivel de pachete.

IPS (sistem de prevenire a intruziunilor) - continuarea IDS

IPS înseamnă Sistem de prevenire a intruziunilor. Acestea sunt soiuri avansate, mai funcționale de IDS. Sistemele IPS IDS sunt reactive (spre deosebire de cele convenționale). Aceasta înseamnă că nu numai că pot detecta, înregistra și raporta un atac, ci pot îndeplini și funcții de protecție. Aceste caracteristici includ resetarea conexiunilor și blocarea pachetelor de trafic de intrare. încă unul trăsătură distinctivă IPS este că funcționează online și pot bloca automat atacurile.

Subtipuri de IDS după metoda de monitorizare

NIDS (adică IDS care monitorizează întreaga rețea) analizează traficul întregii subrețele și sunt gestionate centralizat. Cu plasarea corectă a mai multor NIDS, se poate realiza monitorizarea unei rețele destul de mari.

Aceștia funcționează în modul promiscuu (adică verifică toate pachetele primite în loc să o facă selectiv), comparând traficul de subrețea cu atacurile cunoscute din biblioteca lor. Când este identificat un atac sau este detectată o activitate neautorizată, administratorului este trimisă o alertă. Cu toate acestea, trebuie menționat că într-o rețea mare cu mult trafic, NIDS uneori nu reușește să verifice toate pachetele de informații. Prin urmare, există posibilitatea ca în timpul orelor de vârf să nu poată recunoaște atacul.

NIDS (network-based IDS) sunt acele sisteme care sunt ușor de integrat în noile topologii de rețea, deoarece nu au un impact deosebit asupra funcționării lor, fiind pasive. Ele doar captează, înregistrează și alertează, spre deosebire de tipul reactiv de sisteme IPS discutate mai sus. Cu toate acestea, trebuie spus și despre ID-urile bazate pe rețea că acestea sunt sisteme care nu pot analiza informațiile care au fost criptate. Acesta este un dezavantaj semnificativ, deoarece din ce în ce mai mult implementare pe scară largă Informațiile criptate din rețelele private virtuale (VPN) sunt din ce în ce mai folosite de infractorii cibernetici pentru atacuri.

De asemenea, NIDS nu poate determina ce s-a întâmplat în urma atacului, dacă a provocat sau nu un rău. Tot ce pot face este să-i înregistreze începutul. Prin urmare, administratorul este obligat să verifice independent fiecare caz de atac pentru a se asigura că atacatorii și-au atins obiectivul. O altă problemă semnificativă este că NIDS are dificultăți în detectarea atacurilor folosind pachete fragmentate. Sunt deosebit de periculoase deoarece pot interfera cu funcționarea normală a NIDS. Ce ar putea însemna acest lucru pentru o întreagă rețea sau sistem informatic nu trebuie explicat.

HIDS (sistem de detectare a intruziunilor gazdă)

HIDS (ID-uri de monitorizare a gazdei) servesc doar un anumit computer. Acest lucru oferă în mod natural o eficiență mult mai mare. HIDS analizează două tipuri de informații: jurnalele de sistem și rezultatele auditului sistemului de operare. Ei fac un instantaneu al fișierelor de sistem și îl compară cu un instantaneu anterior. Dacă fișierele critice pentru sistem au fost modificate sau șterse, atunci o alarmă este trimisă administratorului.

Un avantaj semnificativ al HIDS este capacitatea de a-și îndeplini activitatea în situații în care traficul de rețea poate fi criptat. Acest lucru este posibil datorită faptului că sursele de informații bazate pe gazdă pot fi create înainte ca datele să poată fi criptate sau după ce sunt decriptate pe gazda de destinație.

Dezavantajele acestui sistem includ posibilitatea de a-l bloca sau chiar de a-l interzice folosind anumite tipuri de atacuri DoS. Problema aici este că senzorii și unele dintre analizele HIDS sunt pe gazda care este atacată, adică sunt și ei atacați. Faptul că HIDS utilizează resursele gazdelor a căror activitate le monitorizează este, de asemenea, greu de numit un plus, deoarece acest lucru le reduce în mod natural performanța.

Subtipuri IDS bazate pe metode de detectare a atacurilor

Metoda anomaliilor, metoda analizei semnăturii și metoda politicii - acestea sunt subtipurile de metode de detectare a atacurilor pe care le are sistemul IDS.

Metoda de analiză a semnăturii

În acest caz, pachetele de date sunt verificate pentru semnături de atac. O semnătură de atac este un eveniment care se potrivește cu unul dintre modelele care descriu un atac cunoscut. Această metodă este destul de eficientă deoarece reduce numărul de rapoarte de atacuri false.

Metoda anomaliilor

Ajută la detectarea activităților ilegale în rețea și pe gazde. Bazat pe istorie funcţionare normală gazdă și rețea, sunt create profiluri speciale cu date despre aceasta. Apoi intră în joc detectoare speciale și analizează evenimentele. Folosind diverși algoritmi, ei analizează aceste evenimente, comparându-le cu „norma” din profiluri. Absența necesității de a acumula un număr mare de semnături de atac este un avantaj clar al acestei metode. Cu toate acestea, un număr considerabil de semnale false despre atacuri în timpul evenimentelor atipice, dar complet legale din rețea este dezavantajul său fără îndoială.

Metoda politicii

O altă metodă de detectare a atacurilor este metoda politicii. Esența sa este de a crea reguli de securitate a rețelei, care, de exemplu, pot indica principiul interacțiunii dintre rețele și protocoalele utilizate. Această metodă este promițătoare, dar dificultatea constă în procesul destul de complicat de creare a unei baze de politici.

ID Systems va oferi o protecție fiabilă pentru rețelele și sistemele dvs. informatice

Grupul de companii ID Systems este astăzi unul dintre liderii de piață în domeniul creării de sisteme de securitate pentru rețele de calculatoare. Vă va oferi protecție fiabilă împotriva răufăcătorilor cibernetici. Cu sistemele de protecție ID Systems, nu va trebui să vă faceți griji cu privire la datele dvs. importante. Datorită acestui lucru, te vei putea bucura mai mult de viață pentru că vei avea mai puține griji în minte.

Sisteme de identificare - recenzii ale angajaților

O echipă minunată, iar principalul lucru, desigur, este atitudinea corectă a conducerii companiei față de angajații săi. Toată lumea (chiar și începătorii) are ocazia de a crește profesional. Adevărat, pentru aceasta, în mod firesc, trebuie să vă dovediți, iar apoi totul va funcționa.

În echipă este o atmosferă sănătoasă. Începătorilor li se va învăța întotdeauna totul și li se va arăta totul. Nu există niciun sentiment de concurență nesănătoasă. Angajații care lucrează în companie de mulți ani sunt bucuroși să împărtășească toate detaliile tehnice. Ei răspund cu amabilitate, chiar și fără o umbră de condescendență, la cel mai mult intrebari stupide muncitori neexperimentati. În general, lucrul la ID Systems nu aduce decât emoții plăcute.

Atitudinea conducerii este plăcut plăcută. De asemenea, este îmbucurător faptul că, evident, știu să lucreze cu personalul de aici, deoarece echipa pe care au ales-o este cu adevărat profesionistă. Părerea angajaților este aproape clară: se simt ca acasă la serviciu.

Dmitri Kostrov,
SA „Ekvant”
[email protected]

Nu înălțime și putere, ci inteligență
Promite victoria în război.
William Shakespeare

Sisteme de detectare atacuri informatice(IDS - Intrusion Detection Systems) este unul dintre cele mai importante elemente ale sistemelor de securitate a informațiilor de rețea ale oricărei întreprinderi moderne, având în vedere modul în care aceasta se dezvoltă în ultimii ani număr de probleme legate de securitatea calculatorului (Fig. 1). Deși tehnologia IDS nu oferă securitate completă a informațiilor, ea joacă totuși un rol foarte important în acest domeniu. Scurt istoric problema, precum și unele sisteme experimentale și comerciale au fost discutate în articol ("BYTE / Rusia", nr. 10 "2001). Aici vom discuta mai detaliat produsele moderne de pe piață și direcțiile de dezvoltare ulterioară a IDS.

Piața sistemelor IDS se dezvoltă rapid din 1997. În acest moment, ISS (http://www.iss.com) și-a oferit produsul numit Real Secure. Un an mai târziu, Cisco Systems (http://www.cisco.com), realizând fezabilitatea dezvoltării IDS, a cumpărat produsul NetRanger împreună cu compania Wheel Group. Este imposibil să nu menționăm aici fuziunea SAIC și Haystack Labs în Centrax Corporation (http://www.centrax.com).

Trebuie remarcat faptul că IDS convențional detectează în timp util doar tipurile cunoscute de atacuri. Ele funcționează în același mod ca și programele antivirus: cele cunoscute sunt prinse, cele necunoscute nu. Detectarea unui atac necunoscut este o sarcină dificilă care se învecinează cu domeniul sistemelor de inteligență artificială și al managementului adaptiv al securității. ID-urile moderne sunt capabile să controleze operațiunea dispozitive de rețeași sistemul de operare, detectează acțiunile neautorizate și răspunde automat la acestea în timp aproape real. Atunci când se analizează evenimentele curente, pot fi luate în considerare cele care au avut deja loc, ceea ce face posibilă identificarea atacurilor separate în timp și, prin urmare, prezicerea evenimentelor viitoare.

În anii 80, cei mai mulți atacatori erau experți în hacking și ei înșiși creau programe și metode pentru intrarea neautorizată în computere. rețele de calculatoare; instrumentele automate erau rareori folosite. Acum există un număr mare de „amatori”, cu nivel slab cunoștințe de domeniu care utilizează instrumente automate de intruziune și exploatări (exploat - cod rău intenționat, folosind erori cunoscute în software și utilizate de către un atacator pentru a perturba funcționarea normală a complexului software și hardware). Cu alte cuvinte, pe măsură ce ne îmbunătățim mijloace automate intruziune, nivelul de cunoștințe și calificări ale majorității atacatorilor a scăzut.

Există multe tipuri diferite de atacuri și pot fi clasificate în ordinea crescătoare a severității, după cum urmează:

  • ghicirea parolei
  • cod de replicare
  • hacking parole
  • exploatarea vulnerabilităților cunoscute
  • dezactivarea/ocolirea sistemelor de audit
  • furtul de date
  • ușile din spate (intrări speciale la un program care apar din cauza erorilor la scrierea acestuia sau lăsate de programatori pentru depanare)
  • utilizarea sniffer-urilor și a măturatoarelor (sisteme de control al conținutului)
  • folosind programe de diagnosticare a rețelei pentru a obține datele necesare
  • folosind scanere automate de vulnerabilitate
  • falsificarea datelor în pachete IP
  • atacuri de denial of service (DoS).
  • atacuri asupra serverelor web (scripturi CGI)
  • tehnologii de scanare sub acoperire
  • mijloace de atac distribuite.

Acum atacul nu durează mai mult de câteva secunde și poate provoca daune foarte sensibile. De exemplu, un atac de refuzare a serviciului poate dezactiva un magazin web sau un schimb online pentru o lungă perioadă de timp. Aceste atacuri sunt cele mai frecvente, iar apărarea împotriva lor evoluează rapid.

Scopul oricărui IDS este de a detecta un atac cu cele mai puține erori posibile. În acest caz, ținta atacului (victima) dorește de obicei un răspuns la următoarele întrebări.

  • Ce sa întâmplat cu sistemul meu?
  • Ce a fost atacat și cât de periculos a fost atacul?
  • Cine este atacatorul?
  • Când a început atacul și de unde?
  • Cum și de ce a avut loc invazia?

Atacatorul, la rândul său, încearcă de obicei să afle următoarele. ·

  • Care este ținta atacului?
  • Există vulnerabilități și care sunt acestea?
  • Ce rău se poate face?
  • Ce exploit-uri sau instrumente de penetrare sunt disponibile?
  • Există riscul de a fi descoperit?

Tipuri de IDS

Speranța de a câștiga aduce victoria mai aproape,
încrederea în victorie ne lipsește de ea.
Titus Livy

În primul rând, IDS utilizează diverse metode pentru a detecta activitatea neautorizată. Problemele asociate cu atacurile printr-un firewall sunt bine cunoscute. Firewall-ul permite sau interzice accesul la anumite servicii (porturi), dar nu verifică fluxul de informații care trece prin ele portul deschis. IDS-ul, la rândul său, încearcă să detecteze un atac asupra sistemului sau a rețelei în ansamblu și să alerteze administratorul de securitate despre acesta, în timp ce atacatorul crede că a rămas nedetectat.

Aici putem face o analogie cu protejarea unei case de hoți. Ușile și ferestrele încuiate sunt un firewall. Iar sistemul de alarma antiefractie corespunde IDS.

Există diferite moduri de a clasifica IDS. Astfel, după metoda de răspuns, IDS pasiv și activ se disting. Cei pasivi pur și simplu înregistrează faptul unui atac, scriu date într-un fișier jurnal și emit avertismente. IDS-urile active încearcă să contracareze atacul, de exemplu, reconfigurând firewall-ul sau generând liste de acces la router. Continuând analogia, putem spune că dacă sistemul de alarmă din casă pornește o sirenă sonoră pentru a speria un hoț, acesta este analog cu un IDS activ, iar dacă trimite un semnal poliției, acesta corespunde unui IDS pasiv. .

Pe baza metodei de detectare a unui atac, se face o distincție între sistemele bazate pe semnătură și cele bazate pe anomalii. Primul tip se bazează pe compararea informațiilor cu o bază de date predefinită de semnături de atac. La rândul lor, atacurile pot fi clasificate după tip (de exemplu, Ping-of-Death, Smurf). Cu toate acestea, sistemele de acest tip nu poate prinde tipuri noi, necunoscute de atacuri. Al doilea tip se bazează pe monitorizarea frecvenței evenimentelor sau detectarea anomaliilor statistice. Un astfel de sistem este axat pe identificarea de noi tipuri de atacuri. Cu toate acestea, dezavantajul său este necesitatea unui antrenament constant. În exemplul securității acasă, un analog al unui astfel de sistem IDS mai avansat sunt vecinii care știu cine a venit la tine și urmăresc cu atenție străiniși colectează informații despre situațiile de urgență de pe stradă. Aceasta corespunde tipului IDS anormal.

Cea mai populară clasificare se bazează pe metoda de colectare a informațiilor despre atac: bazată pe rețea, bazată pe gazdă, bazată pe aplicație. Primul tip de sistem funcționează ca un sniffer, „ascultând” traficul din rețea și determinând posibilele acțiuni ale atacatorilor.

Căutarea unui atac urmează principiul „gazdă la gazdă”. Până de curând, operarea unor astfel de sisteme era dificilă în rețelele care foloseau comutare, criptare și protocoale de mare viteză (mai mult de 100 Mbit/s). Dar recent au apărut soluții de la NetOptics (http://www.netoptics.com) și Finisar (http://www.finisar.com) pentru lucrul într-un mediu comutat, în special, tehnologiile portului SPAN (Switched Port Analyzer) și Atingeți rețea (Testează portul de acces). Network Tap (fie ca dispozitiv independent, fie ca unitate încorporată în comutator) vă permite să monitorizați întregul trafic de pe comutator. În același timp, Cisco și ISS au obținut un oarecare succes în implementarea unor astfel de sisteme în rețele de mare viteză.

Sistemele de al doilea tip, bazate pe gazdă, sunt concepute pentru a monitoriza, detecta și răspunde la acțiunile intrușilor pe o anumită gazdă. Sistemul, situat pe gazda protejată, verifică și identifică acțiunile îndreptate împotriva acestuia. Al treilea tip de IDS, bazat pe aplicație, se bazează pe găsirea problemelor într-o anumită aplicație. Există, de asemenea, IDS-uri hibride, care sunt o combinație de diferite tipuri de sisteme.

Schema generală de funcționare a IDS este prezentată în Fig. 2. Recent, au apărut multe publicații despre sisteme numite Distributed IDS (dIDS). dIDS constă din mai multe IDS-uri care sunt situate în diferite părți ale unei rețele mari și sunt conectate între ele și la un server de management central. Un astfel de sistem îmbunătățește securitatea subrețelei corporative prin centralizarea informațiilor de atac de la diferite IDS. dIDS constă din următoarele subsisteme: un server central de analiză, agenți de rețea și un server de colectare a informațiilor de atac.

Orez. 2. Schema generală de funcționare a IDS.

Serverul central de analiză constă de obicei dintr-o bază de date și un server Web, care permite stocarea informațiilor despre atacuri și manipularea datelor folosind o interfață Web convenabilă.

Agentul de rețea este una dintre cele mai importante componente ale dIDS. Este un program mic al cărui scop este raportarea unui atac către un server central de analiză.

Serverul de colectare a informațiilor de atac face parte din sistemul dIDS, bazat logic pe serverul central de analiză. Serverul determină parametrii după care sunt grupate informațiile primite de la agenții de rețea. Gruparea poate fi efectuată în funcție de următorii parametri:

  • adresa IP a atacatorului;
  • port destinatar;
  • numărul agentului;
  • data, ora;
  • protocol;
  • tip de atac etc.

În ciuda numeroaselor reproșuri și îndoieli cu privire la performanța IDS, utilizatorii folosesc deja pe scară largă atât instrumente comerciale, cât și instrumente distribuite gratuit. Dezvoltatorii își echipează produsele cu capacitatea de a răspunde activ la un atac. Sistemul nu numai că detectează, dar încearcă și să oprească atacul și poate, de asemenea, să efectueze un atac de represalii asupra atacatorului. Cele mai comune tipuri de răspuns activ sunt terminarea sesiunii și reconfigurarea firewall-ului.

Terminarea sesiunii este cea mai populară deoarece nu utilizează drivere dispozitive externe, cum ar fi un firewall. De exemplu, pachetele TCP RESET sunt pur și simplu trimise la ambele capete ale conexiunii (cu număr corect succesiune/confirmare). Cu toate acestea, există deja modalități descrise prin care atacatorii să ocolească o astfel de protecție (de exemplu, utilizând steag-ul PUSH într-un pachet TCP/IP sau folosind trucul pointer curent).

A doua metodă, reconfigurarea firewall-ului, permite unui atacator să afle despre prezența unui firewall în sistem. Trimițând un flux mare de pachete ping către o gazdă și văzând că după un timp accesul încetează (ping-ul nu trece), atacatorul poate concluziona că IDS-ul a reconfigurat firewall-ul, stabilind noi reguli pentru a interzice ping-ul gazdei. Cu toate acestea, există modalități de a ocoli această protecție.

Una dintre ele este utilizarea exploit-urilor înainte de a reconfigura firewall-ul. Există o cale mai ușoară. Un atacator, atunci când atacă o rețea, poate seta adrese IP ale unor companii binecunoscute ca adresă de expeditor (ipspoofing). Ca răspuns la aceasta, mecanismul de reconfigurare a firewall-ului blochează în mod regulat accesul la site-urile acestor companii (de exemplu, ebay.com, cnn.com, cert.gov, aol.com), după care numeroase apeluri de la utilizatori indignați către serviciul de asistență a companiilor „închise” încep, iar administratorul este obligat să dezactiveze acest mecanism. Acest lucru amintește foarte mult de oprirea alarmei auto pe timp de noapte, ale cărei alarme constante îi împiedică pe locuitorii caselor din jur să doarmă. După aceasta, mașina devine mult mai accesibilă hoților de mașini. Trebuie reținut că există deja instrumente de identificare a IDS care funcționează în modul de „ascultare” a traficului (http://www.securitysoftwaretech.com/antisniff/download.html);în plus, multe IDS sunt susceptibile la atacuri

tip DoS

(negarea serviciului).

Cei mai avansați în acest domeniu sunt dezvoltatorii „liberi” ai lumii posix. Cele mai simple atacuri exploatează vulnerabilitățile asociate cu utilizarea IDS-urilor bazate pe semnături. De exemplu, utilizarea unei versiuni a produsului gratuit Snort poate fi redusă la zero în următorul mod. Când încearcă să acceseze fișierul /etc/passwd, unde UNIX stochează nume de utilizator, apartenență la grup și shell-uri, Snort folosește următoarea semnătură pentru a detecta această activitate:

Alertă tcp $EXTERNAL_NET orice -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";steaguri: A+; conținut:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev: 1;)

Cu toate acestea, puteți schimba pur și simplu caracterele din cerere - GET /etc//\//passwd sau /etc/rc.d/.././\passwd și ocoliți această semnătură. Desigur, dezvoltatorii de sisteme IDS au luat în considerare aceste modificări și au capturat atacuri de mult timp, dar semnăturile de atac prost scrise sunt încă întâlnite. Există atacuri bazate pe codul shell polimorf. Această tehnologie mai eficient împotriva sistemelor bazate pe semnătură decât împotriva sistemelor bazate pe analize de anomalii sau protocol. Codul polimorf folosește diferite tehnici pentru a ocoli sistemele de potrivire a șirurilor (găsit la http://cansecwest.com/noplist-v1-1.txt).

De asemenea, puteți reaminti atacuri folosind fragmentarea pachetelor, eșecul serviciului IDS, împărțirea atacului între mai mulți utilizatori, codificarea atacului în codificare „ebcdic” cu schimbarea tipului terminalului în „ebcdic”, implementarea unui atac pe un canal criptat, suprimarea modulului de urmărire port, schimbarea tabelului de rutare, pentru a evita ca traficul să ajungă la sistemul de detectare a intruziunilor etc.

Sistemele IDS sunt folosite pentru a identifica nu numai infractorii externi, ci și interni. După cum arată practica, uneori există mult mai multe decât cele externe. Atacurile interne nu sunt un tip comun de atac. Spre deosebire de intrușii externi, unul intern este un utilizator autorizat care are acces oficial către resursele intranet, inclusiv cele pe care circulă informații confidențiale. Practica comună este utilizarea serviciilor de securitate a informațiilor pentru a proteja perimetrul intranetului, în timp ce protejării împotriva amenințărilor interne i se acordă mult mai puțină atenție. Aici intervine IDS. Configurarea IDS pentru a proteja împotriva atacurilor interne - nu este o sarcină ușoară

; necesită o muncă minuțioasă cu reguli și profiluri de utilizator.

Pentru a combate atacurile interne, este necesar să folosiți o combinație de IDS diferite. Companii și produse Pe piață există câteva zeci de sisteme IDS comerciale, ceea ce asigură alegerea celei mai potrivite soluții. Din păcate, nu există încă produse autohtone, deși două

companiile rusești

se pregătesc să-și lanseze sistemele de detectare a atacurilor până la sfârșitul acestui an.

Produsele de la peste douăzeci de companii sunt descrise mai jos. Potrivit autorului, ordinea aranjamentului lor în articol corespunde aproximativ cu gradul de faimă din Rusia.

Cisco Systems

Seria de produse Cisco IDS conține soluții la diferite niveluri. Include trei sisteme 42xx versiunea v.2.2.1 (bazate în rețea), printre care 4210 (Fig. 3) este optimizat pentru un mediu 10/100Base-T (45 Mbit/s), 4235 este optimizat pentru un mediu 10/100 Mediu /1000Base -TX, (200 Mbit/s) și 4250 - pentru 10/100/1000Base-TX (500 Mbit/s). Subsistemul IDS este disponibil în comutatorul Catalyst - Modulul sistem de detectare a intruziunilor Catalyst 6000 (bazat în rețea integrată)., dezvoltat de Entercept, oferă protecție bazată pe gazdă. IDS la nivel de router (Setul de caracteristici Firewall 12.1(4)T) este capabil să reflecte cele mai multe 59 specii periculoase atacuri (sistem bazat pe rețea). Când utilizați IDS la nivel de firewall PIX 535, 525, 515E, 506E, 501 (v.6.2.2), sunt reflectate mai mult de 55 dintre cele mai periculoase tipuri de atacuri (sistem bazat pe rețea). Sistemele de securitate sunt gestionate folosind CiscoWorks VPN/Security Management Solution (VMS) sau software Cisco IDS versiunea 3.1(2). Orez. Figura 4 ilustrează funcționarea senzorului de rețea Cisco atunci când încercați să aflați nume de gazdă.


 Orez. 4. Funcționarea senzorului de rețea Cisco atunci când încercați să aflați nume de gazdă.

Sisteme de securitate pe internet

Compania ISS a făcut la un moment dat un salt brusc în acest domeniu și ocupă o poziție de lider în implementarea sistemelor de detectare a atacurilor. De asemenea, oferă o întreagă familie de soluții pentru diferite niveluri.

Senzor de rețea RealSecure - soluție software, destinat instalării pe un computer dedicat într-un segment critic de rețea. Analizând traficul de rețea și comparându-l cu o bază de date de semnături de atac, senzorul detectează diverse încălcări ale politicii de securitate (Fig. 5).

Sistemul RealSecure Gigabit Sensor procesează peste 500 de mii de pachete pe secundă, folosind un algoritm de analiză patentat pe șapte niveluri, detectează un număr mare de atacuri ratate de alte sisteme. Folosit în principal în rețele care funcționează sub sarcină mare.

RealSecure Server Sensor vă permite să detectați atacuri la toate nivelurile care vizează un anumit nod de rețea. În plus, poate efectua analize de securitate și poate detecta vulnerabilități pe nodul controlat.

RealSecure Desktop Protector (denumit anterior BlackICE Agent) este conceput pentru a detecta în timp real atacurile care vizează stațiile de lucru dintr-o rețea corporativă.

RealSecure pentru Nokia este o soluție software și hardware dezvoltată de ISS și Nokia. Acesta combină toate funcționalitățile RealSecure Network Sensor și Nokia IP Network Security Solutions. Sistemul funcționează sub sistemul de operare IPSO securizat, bazat pe FreeBSD.

RealSecure Guard este o soluție software care combină capacitățile unui firewall și a unui sistem de detectare a atacurilor în timp real. Este instalat între segmentele protejate și deschise ale rețelei (așa-numitele IDS inline) și analizează tot traficul care trece prin ea în căutarea pachetelor interzise sau periculoase. Sistemul poate detecta atacuri atât asupra segmentelor de rețea, cât și asupra nodurilor individuale, cele mai importante.

Pentru a gestiona sistemele RealSecure enumerate, se folosește modulul RealSecure SiteProtector, care servește ca componentă principală management centralizatși pentru sistemele Internet Scanner și System Scanner. Este destinat utilizării în larg, geografic rețele distribuite sau în organizații care utilizează mai multe soluții ISS simultan.

Modulul mai simplu RealSecure WorkGroup Manager este conceput pentru a gestiona numai RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor și RealSecure pentru Nokia. Poate fi folosit în absența altor soluții ISS și cu un număr mic de senzori în rețea (până la cinci).

Interfața pentru linia de comandă RealSecure este proiectată numai pentru controlul liniei de comandă a senzorului de rețea RealSecure și a senzorului Gigabit. Acest modul de control este orientat pentru uz local.

Symantec

Produsele Intruder Alert și NetProwler (versiunile lansate în prezent 3.6 și, respectiv, 3.5.1) sunt descrise suficient de detaliat în recenzia menționată mai sus ("BYTE / Rusia", nr. 10" 2001, p. 14).

Rețelele Enterasys

Enterasys Networks face parte din fosta companie Cabletron Systems. Produce IDS Dragon (tip bazat pe rețea). Arhitectura interioara A șasea versiune a sistemului are o scalabilitate crescută. Sistemul include componente Network Sensor, Squire Host Sensor, un modul de control cu ​​o interfață web Dragon Policy Manager și un sistem centralizat de monitorizare a securității rețelei în timp real Dragon Security Information Manager.

Asociații de calculatoare

eTrust Intrusion Detection (fost SessionWall) oferă securitate locală și capabilități de monitorizare a rețelei. Acest produs software extrem de eficient și destul de simplu oferă capabilități de monitorizare, detectarea atacurilor, controlul traficului WWW și înregistrarea în jurnal. Biblioteca extinsă de modele de atac a eTrust Intrusion Detection este actualizată în mod regulat și identifică automat atacurile care se potrivesc cu tiparele.

Sistemul poate fi folosit ca un sniffer în plus, vă permite să restricționați accesul la site-uri de Internet folosind reguli care conțin cuvinte cheie. eTrust păstrează, de asemenea, înregistrări cantitative ale traficului de rețea.

Sunt detectați viruși și componente Java/ActiveX periculoase. Încercările utilizatorilor de a ghici o parolă pentru a se conecta în sistem sunt identificate și înregistrate, ceea ce poate fi ulterior util pentru deciziile organizaționale ale conducerii companiei.

eTrust Intrusion Detection oferă vizualizarea contextuală a tuturor pachetelor care circulă în rețeaua locală și blocarea acestora dacă există cuvinte cheie definite de administrator.

Securitate NFR

Compania a fost fondată în 1996 cu scopul de a se dezvolta sisteme promițătoare IDS.

Sistemul NFR NID asigură monitorizarea în timp real a traficului în rețea, identificarea activităților suspecte, a diferitelor atacuri, a comportamentului interzis al utilizatorilor în rețea și a diverselor anomalii statistice. Senzorii utilizați pot funcționa la viteze de 1 Gbit/s și 100 Mbit/s fără pierderi de pachete. Spre deosebire de sistemele IDS tradiționale (compararea traficului cu semnăturile de atac), NFR NID utilizează o bază de cunoștințe specializată, verifică activitatea rețelei folosind exploit-uri cunoscute, ceea ce face posibilă identificarea unor noi tipuri de atacuri în trafic, precum Code Red și Nimda.

NFR HID funcționează la nivel de gazdă, vă permite să identificați vulnerabilitățile și politicile de securitate slabe, să identificați activitățile suspecte ale utilizatorilor și să monitorizați gazda protejată la nivelul atacurilor de rețea. Capabil să suporte până la 10 mii de gazde, ceea ce este foarte convenabil rețele mari. Sistemul utilizează două tipuri de programe agent: Agentul de analiză a jurnalului monitorizează nucleul și fișierele jurnalele de rețea, inclusiv syslog-uri. Network Node Agent monitorizează traficul de rețea și detectează atacurile DoS asupra gazdei protejate (denial of service), atacurile de preluare a parolelor FTP, atacurile Web phf, scanările CGI, scanările BackOrifice etc. Este potrivit pentru lucrul în rețele cu criptare și rețele comutate.

Tripwire

Istoria dezvoltării Tripwire și NFR, precum și unele dintre caracteristicile funcționale ale produselor lor, sunt prezentate în aceeași recenzie în. Rețineți că există trei produse principale ale acestei companii, ale căror nume vorbesc de la sine (pentru servere, pentru dispozitive de rețea și pentru pagini web). Caracteristica lor tehnologică principală este calcularea sumelor de control ale fișierelor și modulelor principale.

Sforâie

Snort este un sistem ușor de detectare a intruziunilor. Programul analizează protocolul de transmisie, detectează diverse atacuri, de exemplu, depășiri de buffer, scanare, atacuri CGI, încercări de a detecta sistemul de operare etc. Snort folosește reguli speciale pentru a căuta atacuri în trafic. Sistemul este ușor de configurat și întreținut, dar destul de mult trebuie configurat manual, fără o interfață grafică convenabilă.

Programul funcționează în trei moduri: sniffer, packet logger și sistem de detectare a intruziunilor în rețea. În primul caz, sistemul vizualizează pachetele la nivel de rețea și afișează informații despre acestea pe consolă, în al doilea, scrie fișiere jurnal pe disc, în al treilea, analizează traficul de rețea pentru potrivirea semnăturilor de atac și a semnalelor despre acestea.

Grupul de cercetare Internetwork, BBN Technologies

Seria de produse NIDS, SecureNet, include dispozitive concepute pentru rețele de mare viteză (SecureNet 5000 și 7000), protecție computer personal (SecureNet 2000), precum și sistemul de monitorizare SecureNet Provider și software-ul special SecureNet Pro.

Sistemul SecureHost (IDS bazat pe gazdă) este conceput pentru a proteja PC-urile și serverele prin introducerea de senzori speciali - programe agent. Agenții se asigură că deciziile sunt luate atunci când un atac are loc în timp real, în conformitate cu politica de protecție adoptată. Suita software Intrusion SecureHost constă dintr-o consolă de management bazată pe Microsoft Windows 2000 Server și agenți care rulează pe sisteme care rulează Microsoft Windows NT, Windows 2000 sau Sun Solaris 2.8.

Furtună de foc

NIDS Firestorm de mare viteză, dezvoltat de Giani Tedesco și distribuit gratuit, este prezentat în prezent în principal ca un senzor care rulează Linux. Caracteristicile sistemului sunt:

  • informațiile sunt colectate folosind bibliotecile libpcap, care vă permit să interceptați pachete din traficul de rețea;
  • sistemul acceptă reguli scrise pentru Snort;
  • ușor de configurat prin editarea fișierului firestorm.conf;
  • înțelege modul de funcționare a inspecției cu stare (tehnologia de inspecție a pachetelor ținând cont de starea protocolului);
  • pregătește fișierele jurnal în format ASCII sau tcpdump;
  • corelează evenimentele;
  • emite semnale despre un atac asupra unui dispozitiv la distanță - consola.

Cu toate acestea (cum este adesea cazul cu programe gratuite) acest sistem este susceptibil la atacuri. Există posibilitatea unui atac asupra acestui sistem care va determina înghețarea NIDS. Atacul a fost deja descris în fluxurile de știri, problema sa dovedit a fi o eroare în modulul de procesare a memoriei.

Tehnologii psionice

Produsul TriSentry (fost instrumente Abacus Project) este conceput pentru a îmbunătăți securitatea rețelei unei companii prin identificarea diferitelor atacuri. Sistemul este format din trei componente de bază: PortSentry, HostSentry și LogSentry. IDS este proiectat să funcționeze într-un mediu UNIX.

PortSentry este un detector simplu de scanare care oprește comunicarea dintre gazda victimă și atacator. Gazda „resetează” rutele locale, stabilește reguli de acces dinamic și adaugă gazda la fișierele speciale TCP wrappers hosts.deny, totul în timp real.

HostSentry permite administratorului de securitate să detecteze activitatea neobișnuită a utilizatorului (Detecție anomalii de conectare, LAD).

LogSentry (fost Logcheck) monitorizează automat fișierele jurnal de sistem pentru incidente de securitate în sistemele de e-mail. Acest set de programe, furnizat anterior cu firewall-ul TIS Gauntlet, a fost reproiectat semnificativ pentru a audita o gamă mai largă de sisteme.

Lancope

Sistemul hardware și software StealthWatch este un sistem puternic pentru monitorizarea, detectarea și răspunsul la atacuri într-un mediu de mare viteză. Spre deosebire de sistemele tradiționale, are o arhitectură bazată pe flux, care vă permite să identificați noi atacuri fără a accesa baza de date a semnăturilor existente. Arhitectură nouă oferă detectarea în profunzime a atacurilor bazate pe activitate anormală, operare într-un mediu de mare viteză (de la full duplex 100 Mbps la 1 Gbps) și este semnificativ mai puțin sensibil la atacurile false.

OneSecure

În sistemul OneSecure Intrusion Detection and Prevention (IDP), compania a propus un mecanism special - Multi-Method Detection (MMD), care combină cele mai multe metode cunoscute identificarea vulnerabilităților.

Tehnologii de recurs

Compania oferă două produse: ManTrap oferă protecție pentru cele mai critice servere, ManHunt detectează atacuri la nivel de rețea, inclusiv într-un mediu gigabit. Se folosesc senzori distribuiți și un server central de procesare și luare a deciziilor. În același timp, metodologia dezvoltată de companie (zero-day) detectează nu doar atacuri cunoscute, ci și noi.

Produsele Emerald, NetStat, Shadow și Bro sunt discutate în detaliu în „BYTE/Russia”, nr. 10”2001.

Noi tendințe

Switch-urile sunt din ce în ce mai folosite în rețelele de întreprindere, deoarece oferă mai mult debituluiîn comparație cu hub-uri și protejează împotriva atacurilor folosind programe sniffer pentru a intercepta informații confidențiale. Cu toate acestea, problemele cu utilizarea NIDS rămân. Există switch-uri cu port mirroring (porturi SPAN), care copiază datele care trec prin switch într-un port dedicat. Teoretic, folosind un port SPAN, este posibil să se verifice întregul flux de date, dar dacă volumul traficului în oglindă depășește limita permisă, atunci începe pierderea pachetelor.

Există deja soluții pentru rețelele gigabit, dar există o altă problemă - criptarea. Astăzi, niciun administrator care se respectă nu lucrează de la distanță cu sistemele lor fără SSH sau SSL și, deoarece transferul de date este criptat, problema utilizării IDS rămâne. Constă în imposibilitatea decriptării întregului trafic și, ca urmare, a verificării semnăturilor de atac. În viitorul apropiat, aproape toți producătorii (dacă doresc să ocupe un loc demn pe piața IDS) își vor finaliza produsele pentru a fi utilizate într-o rețea gigabit.

O altă problemă este colectarea informațiilor și analizarea acestora. Chiar și cel mai serios specialist în securitate este și el o persoană și s-ar putea să nu observe unele detalii care îi vor ascunde pregătirea sau executarea unui atac asupra gazdei companiei. Proiectele Spice și Spade au fost lansate pentru a dezvolta tehnologie pentru detectarea activității anormale și ar trebui să ajute la rezolvarea acestei probleme.

Nu există nicio îndoială că IDS evoluează în direcția colectării și corelării informațiilor. În acest caz, informațiile trebuie să provină dintr-o varietate de surse (senzori). Cel mai probabil, diferențele dintre NIDS și HIDS vor dispărea treptat, iar în viitor vor fi create sisteme de management centralizate cu capacități decizionale (cel puțin în cazuri simple), ceea ce va reduce semnificativ sarcina administratorilor responsabili cu securitatea computerului. retelelor.

Lucrări de laborator Nr._ . Sisteme de detectare a atacurilor în timp real.

Scopul lucrării: Familiarizarea cu principiile de funcționare a sistemelor de detectare a atacurilor care funcționează în timp real. Instalarea și configurarea unui sistem real de detectare a atacurilor Negru GHEAŢĂ Apărător.

    CONCEPTE DE BAZĂ

Sistemele și rețelele sunt ținta atacurilor. Din ce în ce mai des se înregistrează atacuri asupra resurselor de internet care vizează încălcarea politicilor de securitate existente. Sistemele de analiză de securitate (scanere de securitate) examinează sistemele și rețelele în căutarea unor probleme în implementarea și configurarea lor care duc la aceste încălcări. Sisteme de detectare a atacurilor (denumite în continuare IDS-sisteme, Intruziune Detectare Sisteme) colectează diverse informatii dintr-o varietate de surse și analizați-l pentru diverse încălcări ale politicii de securitate. Atât analiza de securitate, cât și detectarea atacurilor permit organizațiilor să se protejeze de pierderile asociate cu încălcările de securitate.

IDS-sistemele colectează informații despre utilizarea unei game de resurse de sistem și rețea, apoi analizează informațiile pentru intruziuni (atacuri care vin din afara organizației) și abuz (atacuri care vin din interiorul organizației). Detectarea atacurilor este procesul de evaluare a activităților suspecte care au loc într-o rețea corporativă. Detectarea atacurilor este implementată prin analiza fie a sistemului de operare și a jurnalelor de aplicații, fie a traficului de rețea în timp real. Componentele de detectare a atacurilor situate pe noduri sau segmente de rețea evaluează diverse acțiuni, inclusiv. și exploatarea vulnerabilităților cunoscute.

Există mai multe clasificări IDS-sisteme Una dintre ele se bazează pe principiul implementării:

    gazdă-bazat- detectează atacuri care vizează un anumit nod de rețea,

    Reţea- bazat- detectează atacuri care vizează întreaga rețea sau segmentul de rețea.

Sisteme de clasă gazdă-bazat poate fi împărțit în încă trei subniveluri:

    Aplicație IDS- detectează atacuri care vizează aplicații specifice;

    OS IDS- detectează atacuri care vizează sistemul de operare;

    SGBD IDS- detectează atacuri care vizează SGBD.

Separarea detectării atacurilor asupra SGBD într-o categorie separată se datorează faptului că SGBD-urile moderne au părăsit deja categoria aplicațiilor obișnuite și în multe dintre caracteristicile lor, inclusiv. iar în complexitate, sunt aproape de sistemul de operare. Astfel, clasificarea IDS-sisteme bazate pe principiul implementării este după cum urmează:

Orez. 1. Clasificarea sistemelor de detectare a atacurilor după principiul implementării

IDS-sistemele îndeplinesc următorul număr de funcții:

    Monitorizarea și analiza activității utilizatorilor și a sistemului;

    Auditul configurației sistemului;

    Monitorizarea integrității fișierelor de sistem și a fișierelor de date;

    Recunoașteți modelele de acțiune care reflectă atacuri cunoscute;

    Analiza statistică a modelelor de acțiune anormale.

Este indicat să citați declarații de la experți cunoscuți în domeniu IDS-sisteme:

Marcus Ranum: IDS-sistemele detectează atacurile cunoscute în timp util. Nu trebuie să vă așteptați ca astfel de sisteme să detecteze atacuri necunoscute în prezent. Problema descoperirii a ceva necunoscut până acum este foarte dificilă și se învecinează cu domeniul inteligenței artificiale și al sistemelor experte. Mai probabil, IDS-sistemele sunt similare cu programele antivirus folosite pentru a căuta viruși pe hard disk sau rețele.

Lee Satterfield: Sistemele moderne de detectare a atacurilor sunt capabile să monitorizeze activitatea rețelei și a sistemului de operare în timp real, detectând acțiuni neautorizate și răspunzând automat la acestea. In plus, IDS-sistemele pot analiza evenimentele curente, ținând cont de evenimentele care au avut loc deja, ceea ce face posibilă identificarea atacurilor răspândite în timp și, prin urmare, prezicerea evenimentelor viitoare. Se poate aștepta ca tehnologia de detectare a intruziunilor să îmbunătățească semnificativ nivelul de securitate existent atins prin mijloace „standard” prin gestionarea acțiunilor neautorizate în timp real.

Din punct de vedere istoric, tehnologiile folosite pentru a construi IDS-sistemele sunt împărțite în mod convențional în două categorii: detectarea comportamentului anormal ( anomalie detectare) și detectarea abuzurilor ( abuz detectare). Cu toate acestea, în practică, clasificarea utilizată este cea care ține cont de principiile implementării practice a unor astfel de sisteme - detectarea atacurilor la nivel de rețea și la nivel de gazdă.

Sistemele bazate pe rețea analizează traficul de rețea, în timp ce sistemele bazate pe gazdă analizează sistemul de operare sau jurnalele aplicațiilor. Fiecare dintre clase are propriile sale avantaje și dezavantaje. Trebuie remarcat faptul că doar unele IDS-sistemele pot fi atribuite fără ambiguitate uneia dintre clasele numite. De obicei, acestea includ capabilități din mai multe categorii. Cu toate acestea, această clasificare reflectă capacitățile cheie care o disting IDS-sistem de la altul.

Avantajul fundamental al rețelei IDS-sisteme este că identifică atacurile înainte ca acestea să ajungă la nodul atacat. Aceste sisteme sunt mai ușor de implementat rețele mari, deoarece nu necesită instalare pe diferitele platforme utilizate în organizație. In plus, IDS-sistemele la nivel de retea practic nu reduc performanta retelei.

IDS-sistemele la nivel de gazdă au fost concepute pentru a rula un anumit sistem de operare, ceea ce le impune anumite restricții. Folosind cunoștințele despre modul în care ar trebui să se comporte sistemul de operare, instrumentele create cu această abordare pot detecta uneori intruziunile pe care instrumentele de detectare a intruziunilor în rețea le scapă. Cu toate acestea, acest lucru are adesea un cost ridicat, deoarece înregistrarea constantă necesară pentru a efectua acest tip de descoperire reduce semnificativ performanța gazdei protejate. Astfel de sisteme consumă mult procesor și necesită cantități mari de spațiu pe disc pentru a stoca jurnalele și, în principiu, nu sunt aplicabile sistemelor în timp real extrem de critice (de exemplu, sistemul de zi cu zi al unei bănci, un sistem de control al procesului, sau un sistem de control de supraveghere). Indiferent, ambele abordări pot fi folosite pentru a vă proteja organizația. Dacă doriți să protejați unul sau mai multe noduri, atunci IDS-Sistemele la nivel de gazdă pot fi o alegere bună. Dar, dacă vrei să protejezi cel mai mult noduri de rețea organizații, atunci IDS-sistemele la nivel de rețea sunt probabil o alegere mai bună, deoarece creșterea numărului de noduri din rețea nu va afecta nivelul de securitate atins cu IDS-sisteme. Acesta va putea proteja noduri suplimentare fără configurare suplimentară, în timp ce în cazul utilizării unui sistem care funcționează la nivel de gazdă, acesta va trebui să fie instalat și configurat pe fiecare gazdă protejată. Soluția ideală ar fi utilizarea IDS- un sistem care combină ambele abordări.

Tehnologia din spatele acestor sisteme se bazează pe ipoteza că comportamentul anormal al utilizatorului (adică un atac sau un fel de acțiune ostilă) se manifestă adesea ca o abatere de la comportamentul normal. Exemple de comportament anormal includ: un număr mare de conexiuni într-o perioadă scurtă de timp, încărcare mare a CPU sau utilizarea de dispozitive periferice care nu sunt utilizate în mod normal de către utilizator. Dacă am putea descrie profilul comportamentului normal al utilizatorului, atunci orice abatere de la acesta ar putea fi caracterizată drept comportament anormal. Cu toate acestea, comportamentul anormal nu este întotdeauna un atac. De exemplu, trimiterea simultană a unui număr mare de solicitări despre activitatea stației de la administratorul sistemului de management al rețelei. Multe IDS-sistemele identifică acest exemplu ca un atac de tip denial of service (" negare de serviciu"). Ținând cont de acest fapt, trebuie remarcat faptul că sunt posibile două cazuri extreme la operarea sistemului:

1. Detectarea comportamentului anormal care nu este un atac și clasificarea lui ca atac.

2. Lipsa unui atac care nu corespunde definiției comportamentului anormal. Acest caz este mult mai periculos decât clasificarea falsă a comportamentului anormal ca atac. Prin urmare, la configurarea și operarea sistemelor din această categorie, administratorii se confruntă cu următoarele probleme:

    Crearea unui profil de utilizator. O sarcină dificilă și care necesită timp de oficializat, care necesită multă muncă preliminară din partea administratorului.

    Determinarea valorilor limită ale caracteristicilor comportamentului utilizatorului pentru a reduce probabilitatea apariției unuia dintre cazurile extreme de mai sus.

Organizarea sistemului ID-uri

Toate sistemele de detectare a atacurilor pot fi construite pe baza a două arhitecturi: " agent autonom" Și " manager agent„În primul caz, agenții de sistem sunt instalați pe fiecare nod protejat sau segment de rețea, care nu pot face schimb de informații între ei și, de asemenea, nu pot fi gestionați centralizat dintr-o singură consolă. Arhitectura nu are aceste neajunsuri”. manager agent".

Mai jos este o listă de componente tipice IDS-sistem:

1. GUI . Inutil să spun că nici un instrument foarte puternic și eficient nu va fi folosit dacă nu are o interfață prietenoasă. În funcție de sistemul de operare sub care funcționează IDS-sistem, interfata grafica trebuie sa respecte standardele de facto pt WindowsŞi Unix.

2. Subsistemul de management al componentelor . Acest subsistem vă permite să controlați diferite componente IDS-sisteme. Managementul poate fi efectuat atât folosind protocoale și interfețe interne, cât și folosind standarde deja dezvoltate, de exemplu, SNMP. Termenul „control” este înțeles ca fiind capacitatea de a schimba politica de securitate pentru diferite componente IDS-sistem (de exemplu, module de urmărire) și obținerea de informații din aceste componente (de exemplu, informații despre un atac înregistrat).

3. Subsistemul de detectare a atacurilor . Componenta principala IDS- un sistem care analizează informațiile primite de la modulul de urmărire. Pe baza rezultatelor analizei, acest subsistem poate identifica atacurile, poate lua decizii cu privire la opțiunile de răspuns, poate stoca informații despre atac într-un depozit de date etc.

4. Subsistemul de răspuns . Un subsistem care răspunde la atacurile detectate și la alte evenimente controlate.

Opțiunile de răspuns vor fi descrise mai detaliat mai jos.

5. Modul de urmărire . O componentă care asigură colectarea datelor dintr-un spațiu controlat (înregistrare sau trafic de rețea). Diferiți producători îl pot numi: senzor ( senzor), monitor ( monitor), sonda ( sondă).

În funcție de arhitectura clădirii IDS-sistemele pot fi separate fizic (arhitectura " manager agent") de la alte componente, adică situate pe alt computer.

6. Baza de cunoștințe . În funcţie de metodele folosite în IDS-sistem, baza de cunoștințe poate conține profiluri de utilizator și de sistem informatic, semnături de atac sau șiruri suspecte care caracterizează activitatea neautorizată. Această bază de date poate fi actualizată de către producător IDS- sistemul, utilizatorul sistemului sau o terță parte, de exemplu, o companie care întreține sistemul.

7. Stocarea datelor . Oferă stocarea datelor colectate în timpul funcționării IDS-sisteme.

metodele de răspuns ale sistemului ids

Nu este suficient să detectezi un atac. De asemenea, trebuie să reacționăm la ea în timp util. Mai mult, reacția la un atac nu îl blochează doar. De multe ori este necesar să „lăsăm” un atacator în rețeaua unei companii pentru a-și înregistra toate acțiunile și, ulterior, a le utiliza în procesul de investigare. Prin urmare, sistemele existente folosesc o gamă largă de metode de răspuns, care pot fi împărțite în 3 categorii: notificare, stocare și răspuns activ:

1. Notificare . Cea mai simplă și comună metodă de notificare este trimiterea de mesaje către administratorul de securitate despre un atac asupra consolă IDS-sisteme. Deoarece o astfel de consolă nu poate fi instalată pentru fiecare angajat responsabil cu securitatea dintr-o organizație și, de asemenea, în cazurile în care acești angajați ar putea să nu fie interesați de toate evenimentele de securitate, trebuie utilizate alte mecanisme de notificare. Un astfel de mecanism este trimiterea de mesaje prin e-mail, pager, fax sau telefon.

2. Economisire . Categoria „conservare” include două opțiuni de răspuns: înregistrarea evenimentului într-o bază de date și reluarea atacului în timp real.

Prima opțiune este răspândită în multe sisteme de securitate.

A doua variantă este mai interesantă. Acesta permite administratorului de securitate să reproducă în timp real (la o viteză dată) toate acțiunile efectuate de atacator. Acest lucru vă permite nu numai să analizați atacurile „de succes” și să le preveniți în viitor, ci și să utilizați datele colectate pentru investigații.

3. Răspuns activ . Această categorie include următoarele opțiuni de răspuns: blocarea activității atacatorului, încheierea sesiunii cu nodul atacator, gestionarea echipamentelor de rețea și măsurile de securitate. Această categorie de mecanisme de răspuns, pe de o parte, este destul de eficientă, dar, pe de altă parte, trebuie utilizate cu mare atenție, adică funcționarea lor incorectă poate duce la perturbarea întregului sistem de calcul.

proces activ, în care un hacker este detectat atunci când încearcă să pătrundă în sistem. În mod ideal, un astfel de sistem va emite o alarmă numai atunci când se încearcă să pătrundă. Detectarea intruziunilor ajută la identificarea proactivă a amenințărilor active prin alerte și avertismente că un atacator adună informații necesare pentru a efectua un atac. În realitate, așa cum se va arăta în materialul de curs, acest lucru nu este întotdeauna cazul. Înainte de a discuta detaliile asociate cu detectarea intruziunilor, să definim ce este de fapt.

Sistemele de detectare a intruziunilor (IDS) există de foarte mult timp. Primul dintre aceștia poate fi considerat câini de pază și de pază de noapte. Câinii santinelă și de pază au îndeplinit două sarcini: au identificat acțiuni suspecte inițiate de cineva și au împiedicat pătrunderea în continuare a intrusului. De regulă, tâlharii evitau întâlnirile cu câinii și, în cele mai multe cazuri, încercau să evite clădirile păzite de câini. Același lucru se poate spune despre ceasul de noapte. Tâlharii nu au vrut să fie observați de polițiști înarmați sau de agenții de securitate care ar putea chema poliția.

Alarmele din clădiri și mașini sunt, de asemenea, un tip de sistem de detectare a intruziunilor. Dacă sistem de avertizare detectează un eveniment care trebuie observat (de exemplu, o fereastră spartă sau o ușă deschisă), o alarmă este emisă prin aprinderea lămpilor, pornirea semnalelor sonore sau semnalul de alarmă este transmis la panoul de control al secției de poliție . Funcția de descurajare a efracției se realizează prin intermediul unui autocolant de avertizare pe geam sau a unui semn amplasat în fața casei. În mașini, de regulă, când alarma este pornită, o lumină roșie este aprinsă, avertizând despre starea activă a sistemului de alarmă.

Toate aceste exemple se bazează pe același principiu: detectarea oricăror încercări de pătrundere în perimetrul protejat al unui obiect (birou, clădire, mașină etc.). În cazul unui autoturism sau al unei clădiri, perimetrul de protecție este relativ ușor de determinat. Pereții unei clădiri, gardurile din jurul proprietății private și ușile și ferestrele mașinilor definesc clar perimetrul protejat. O altă caracteristică comună tuturor acestor cazuri este un criteriu clar a ceea ce constituie exact o tentativă de intruziune și ce anume constituie perimetrul protejat.

Dacă transferăm conceptul de sistem de alarmă la lumea computerelor, atunci obțineți conceptul de bază al unui sistem de detectare a intruziunilor. Este necesar să se determine care este de fapt perimetrul de securitate al unui sistem informatic sau al unei rețele. Evident, perimetrul de protecție în acest caz nu este un zid sau un gard. Perimetrul de securitate al rețelei este un perimetru virtual în care sunt situate sistemele informatice. Acest perimetru poate fi determinat firewall-uri, puncte de separare a conexiunii sau computere desktop cu modemuri. Acest perimetru poate fi extins pentru a conține computerele de acasă ale angajaților cărora li se permite să se conecteze între ei sau parteneri de afaceri cărora li se permite să se conecteze la rețea. Odată cu apariția în interacțiunea de afaceri rețele fără fir Perimetrul de securitate al organizației se extinde la dimensiunea rețelei wireless.

O alarmă de intruziune este concepută pentru a detecta orice încercare de a intra într-o zonă protejată atunci când zona nu este utilizată. Sistemul de detectare a intruziunilor IDS este conceput pentru a diferenția autentificare autorizatăși intrarea neautorizată, care este mult mai dificil de implementat. Iata un exemplu de magazin de bijuterii cu alarma antiefractie. Dacă cineva, chiar și proprietarul magazinului, deschide ușa, alarma se va declanșa. Proprietarul trebuie să anunțe apoi firma de alarmă că el este cel care a deschis magazinul și că totul este în regulă. Sistemul IDS, dimpotrivă, poate fi comparat cu un agent de pază care monitorizează tot ce se întâmplă în magazin și detectează acțiuni neautorizate (cum ar fi aducerea armelor de foc). Din păcate, în lumea virtuală, „armele de foc” rămân foarte des invizibile.

A doua problemă de luat în considerare este determinarea evenimentelor care constituie o încălcare perimetrul de securitate. Este ilegal să încerci să identifici computerele care rulează? Ce să faci în cazul unui atac cunoscut asupra unui sistem sau rețea? Pe măsură ce aceste întrebări sunt adresate, devine clar că răspunsurile nu sunt ușor de găsit. Mai mult, ele depind de alte evenimente și de starea sistemului țintă.

Definirea tipurilor de sisteme de detectare a intruziunilor

Există două tipuri principale de IDS: bazat pe hub (HIDS) și bazat pe rețea (NIDS). Sistemul HIDS este situat pe un nod separat și monitorizează semnele atacurilor asupra acestui nod. Sistemul NIDS rezidă pe un sistem separat care monitorizează traficul de rețea pentru semne de atacuri efectuate pe segmentul controlat al rețelei. Figura 13.1 prezintă două tipuri de IDS care pot fi prezente într-un mediu de rețea.


Orez. 13.1.

ID-ul nodului

IDS bazat pe noduri (HIDS) sunt un sistem de senzori încărcat pe diverse servere dintr-o organizație și gestionat de un dispecer central. Senzorii monitorizează diferite tipuri de evenimente (mai mult considerație detaliată aceste evenimente sunt date în secțiunea următoare) și iau anumite actiuni pe server sau transmite notificări. Senzorii HIDS monitorizează evenimentele legate de serverul pe care sunt încărcați. Senzorul HIDS vă permite să determinați dacă un atac a avut succes dacă atacul a avut loc pe aceeași platformă pe care este instalat senzorul.

După cum va fi discutat mai târziu, diferite tipuri de senzori HIDS pot efectua diferite tipuri de sarcini de detectare a intruziunilor. Nu orice tip de senzor poate fi utilizat într-o organizație și chiar și servere diferite din cadrul aceleiași organizații pot necesita senzori diferiți. Trebuie remarcat faptul că sistemul