APS - phát hiện các cuộc tấn công của hacker. Hệ thống phát hiện tấn công mạng thế hệ tiếp theo

Chương trình phát hiện tấn công mạng

Những kẻ tấn công hiếm khi xâm chiếm mạng một cách bừa bãi với “vũ khí” trên tay. Họ
muốn kiểm tra xem khóa cửa có an toàn không và tất cả các cửa sổ đều đóng. Họ lặng lẽ phân tích các mẫu lưu lượng truy cập vào và ra khỏi mạng của bạn từ các địa chỉ IP riêng lẻ và đưa ra các yêu cầu có vẻ trung lập hướng đến từng người dùng và thiết bị mạng.

Để phát hiện những kẻ thù ngụy trang khéo léo này, bạn cần cài đặt phần mềm phát hiện tấn công mạng thông minh có độ nhạy cao. Sản phẩm được mua phải cảnh báo người quản trị không chỉ về các trường hợp vi phạm rõ ràng hệ thống bảo mật thông tin mà còn về bất kỳ hành vi vi phạm nào.
những sự kiện đáng ngờ thoạt nhìn có vẻ hoàn toàn vô hại nhưng thực tế lại ẩn giấu một cuộc tấn công toàn diện của hacker. Không cần phải chứng minh rằng quản trị viên phải được thông báo ngay lập tức về bất kỳ nỗ lực nào nhằm bẻ khóa mật khẩu hệ thống.
Các tập đoàn hiện đại thực sự đang hứng chịu làn sóng tấn công từ những kẻ tấn công đang tìm cách đánh cắp thông tin có giá trị hoặc đơn giản là lừa gạt.
xây dựng Hệ thông thông tin. Các mục tiêu theo đuổi trong cuộc chiến chống lại tin tặc khá rõ ràng:
thông báo về việc cố gắng truy cập trái phép phải ngay lập tức;
đẩy lùi cuộc tấn công và giảm thiểu tổn thất (để chống lại kẻ tấn công, bạn nên chấm dứt ngay phiên liên lạc với hắn);
□ phát động một cuộc phản công (kẻ tấn công phải được xác định và
bị trừng phạt).
Đây chính xác là kịch bản được sử dụng để kiểm tra bốn hệ thống phát hiện tấn công mạng phổ biến nhất trên thị trường hiện nay: BlacklCE;
□ Cảnh báo kẻ xâm nhập; một Centrax;
□ Phát hiện xâm nhập eTrust.
Các đặc điểm của hệ thống phần mềm được chỉ định để phát hiện các cuộc tấn công mạng được đưa ra trong Bảng. 3.2.
Chương trình BlacklCE của Network ICE là một ứng dụng tác nhân chuyên dụng được thiết kế dành riêng cho việc xác định những kẻ xâm nhập. Sau khi phát hiện kẻ xâm nhập, nó sẽ gửi báo cáo về sự kiện này đến mô-đun điều khiển ICEcap, mô-đun này sẽ phân tích thông tin nhận được từ các tác nhân khác nhau và tìm cách khoanh vùng cuộc tấn công trên mạng.
Phần mềm Cảnh báo kẻ xâm nhập của Alert Technologies giống một bộ công cụ dành cho các chuyên gia bảo mật thông tin hơn vì nó mang lại sự linh hoạt tối đa trong việc xác định các chiến lược bảo vệ mạng.
Gói Centrax từ CyberSafe được thiết kế theo nguyên tắc tất cả trong một: nó chứa
Nó bao gồm các công cụ để giám sát hệ thống an ninh, giám sát lưu lượng truy cập, phát hiện các cuộc tấn công và đưa ra các thông báo cảnh báo.
Tính năng Phát hiện xâm nhập eTrust của Computer Associates đặc biệt mạnh mẽ trong việc giám sát an ninh thông tin và quản lý chiến lược, mặc dù nó cũng bao gồm khả năng cảnh báo theo thời gian thực, mã hóa dữ liệu và phát hiện tấn công.

Bảng 3.2. Đặc điểm của hệ thống phần mềm phát hiện tấn công mạng

Hệ thống phần mềm	nhà chế tạo	Đặc điểm hệ thống
BlacklCE (ứng dụng đại lý chuyên dụng)		Được cài đặt trên máy tính của người dùng từ xa hoặc trên máy chủ mạng công ty. Hiển thị cảnh báo về một cuộc tấn công trên màn hình điều khiển của người dùng. Báo cáo một giao dịch giả mạo đã cố gắng thực hiện trên quỹ giám sát mạng. Nó có khả năng tải xuống các chữ ký mới về các cuộc tấn công của hacker từ máy chủ. Xác định nguồn gốc của một cuộc tấn công mạng.
Cảnh báo kẻ xâm nhập (bộ công cụ phát hiện tấn công mạng)	Báo động Công nghệ	Lựa chọn chiến lược an ninh mạng. Hỗ trợ bộ quy tắc bảo vệ mạng ở mức độ cao. Tải chữ ký tin tặc tấn công. Yêu cầu kỹ thuật viên có kinh nghiệm để bảo trì.
trung tâm (công cụ phát hiện tấn công mạng)		Giám sát hệ thống an ninh mạng. Giám sát lưu lượng truy cập. Vấn đề cảnh báo về mạng tấn công. Yêu cầu kỹ thuật viên có kinh nghiệm để bảo trì.
Phát hiện xâm nhập eTrust (máy phân tích lưu lượng phân đoạn mạng)	Máy tính cộng sự	Quản lý các chiến lược phòng thủ. Cung cấp cảnh báo tấn công theo thời gian thực. Giám sát lưu lượng truy cập. Cảnh báo quản trị viên về các hành vi vi phạm chiến lược bảo mật. Báo cáo sự hiện diện của ngôn từ tục tĩu trong email. Có thông tin về kẻ tấn công.

Các cảnh báo do các đặc vụ BlacklCE tạo ra rất cụ thể. Nội dung của tin nhắn sẽ không khiến quản trị viên nghi ngờ về bản chất của sự kiện đã đăng ký và trong hầu hết các trường hợp, tầm quan trọng của nó. Ngoài ra, sản phẩm còn cho phép quản trị viên tùy chỉnh nội dung thông báo cảnh báo của riêng mình nhưng nhìn chung việc này là không cần thiết.
Một tính năng rất hữu ích của sự phát triển Network ICE, cũng như gói Cảnh báo kẻ xâm nhập, là khả năng tải xuống các dấu hiệu mới nhất về các cuộc tấn công của hacker từ máy chủ.
Cố gắng vô hiệu hóa máy chủ của công ty, do đó buộc phải từ chối các yêu cầu dịch vụ (từ chối dịch vụ), TaflT gây ra mối đe dọa khá nghiêm trọng đối với hoạt động kinh doanh của các công ty cung cấp dịch vụ cho khách hàng của họ mạng lưới toàn cầu. Bản chất của cuộc tấn công là kẻ tấn công tạo ra hàng nghìn yêu cầu (để thiết lập kết nối) gửi đến máy chủ bị tấn công. Mỗi yêu cầu được cung cấp một địa chỉ nguồn giả, điều này khiến việc xác định chính xác cuộc tấn công và truy tìm kẻ tấn công trở nên khó khăn hơn nhiều. Sau khi chấp nhận yêu cầu tiếp theo, máy chủ giả định rằng chúng ta đang nói về việc bắt đầu một phiên giao tiếp mới và chuyển sang chế độ chờ để truyền dữ liệu. Mặc dù thực tế là không có dữ liệu nào đến sau đó nhưng máy chủ vẫn phải đợi thời gian nhất định(tối đa 45 giây) trước khi kết thúc kết nối. Nếu vài ngàn sai lầm như vậy

các yêu cầu sẽ được gửi đến máy chủ trong vòng vài phút, nó sẽ bị quá tải, do đó sẽ không còn tài nguyên để xử lý các yêu cầu thực sự về việc cung cấp một dịch vụ cụ thể. Nói cách khác, kết quả sẽ là người dùng chân chính sẽ bị từ chối dịch vụ.
Tất cả các hệ thống được mô tả, ngoại trừ Hệ thống phát hiện xâm nhập eTrust của Computer Associates, đều sử dụng mô hình tác nhân phần mềm được cài đặt lần đầu trên các thiết bị mạng, sau đó thu thập thông tin về các cuộc tấn công tiềm ẩn và gửi đến bảng điều khiển. Các tác nhân phát hiện các hành vi vi phạm chiến lược bảo mật đã thiết lập và sau đó tạo ra các thông báo thích hợp.
Các hệ thống dựa trên tác nhân là giải pháp tốt nhất cho các mạng chuyển mạch vì trong các mạng như vậy không có điểm duy nhất mà qua đó
mọi giao thông đều phải đi qua. Thay vì giám sát một kết nối duy nhất, tác nhân sẽ giám sát tất cả các gói được nhận hoặc gửi bởi thiết bị nơi nó được cài đặt. Kết quả là những kẻ tấn công không thể “ngồi ngoài” đằng sau switch.
Điều này có thể được minh họa bằng ví dụ về các sản phẩm Network ICE. Chương trình được giao vai trò của một tác nhân được cài đặt hoàn toàn tự động.
môi trường hoạt động cụ thể, ví dụ: trên máy tính của người dùng từ xa hoặc trên một trong các nút của mạng dữ liệu công ty. Nếu tác nhân phát hiện hacker tấn công máy từ xa, nó sẽ hiển thị cảnh báo trực tiếp trên màn hình. Nếu như
một sự kiện tương tự sẽ được ghi lại trên mạng công ty, một thông báo về
cố gắng truy cập trái phép sẽ được chuyển sang một ứng dụng khác - ICEcap, chứa các công cụ giám sát mạng. Sau này thu thập và so sánh thông tin đến từ các tác nhân khác nhau cấp dưới của nó và điều này mang lại cho nó khả năng nhanh chóng xác định các sự kiện thực sự đe dọa đến an ninh của mạng.
Ngược lại, hệ thống eTrust dựa trên kiến ​​trúc tập trung. Nó được cài đặt trên nút trung tâm và phân tích lưu lượng trong phân đoạn mạng cấp dưới. Sự vắng mặt của các tác nhân không cho phép sản phẩm này giám sát tất cả các sự kiện trong mạng chuyển mạch, vì không thể chọn một “nền tảng xem” duy nhất mà từ đó có thể nhìn thấy toàn bộ mạng trong nháy mắt.
Gói Cảnh báo Kẻ xâm nhập và hệ thống Centrax do CyberSafe sản xuất giống như một bộ công cụ để xây dựng hệ thống phát hiện tấn công mạng của riêng bạn. Để tận dụng tối đa khả năng của mình, tổ chức
phải có đội ngũ nhân viên lập trình có trình độ phù hợp hoặc có ngân sách cho phép đặt hàng công việc đó.
Mặc dù tất cả các sản phẩm được mô tả đều dễ cài đặt nhưng việc quản lý
Hệ thống Cảnh báo xâm nhập và Centrax không thể gọi là đơn giản. Ví dụ: nếu Centrax đưa ra thông báo cảnh báo về nội dung không xác định hoặc không xác định (và tình huống này đã xảy ra nhiều lần trong các thử nghiệm của chúng tôi), quản trị viên khó có thể nhanh chóng xác định điều gì đã thực sự xảy ra, đặc biệt nếu anh ta phải tham khảo sự kiện log để làm rõ chẩn đoán. Các tệp này đã hoàn chỉnh một cách đầy đủ, nhưng các nhà phát triển dường như đã quyết định rằng một người bình thường chỉ cần gợi ý về những gì họ có thể đang nói đến và bản chất của câu chuyện.

người khởi tạo sẽ được xác định rõ ràng. Nhật ký của hệ thống này chứa các mô tả về các cảnh báo được đưa ra nhưng không chứa thông tin nhận dạng của chúng. Quản trị viên nhìn thấy các địa chỉ cổng có liên quan đến các yêu cầu đáng ngờ hoặc các tham số của các hoạt động khác nhưng không nhận được bất kỳ thông tin nào về
tất cả điều này có thể có nghĩa là gì?
Tình huống này làm giảm đáng kể giá trị của các thông báo được đưa ra trong thời gian thực, vì không thể hiểu ngay liệu mô tả sự kiện có phản ánh mối đe dọa thực sự đối với hệ thống bảo mật hay đó chỉ là một nỗ lực nhằm tiến hành phân tích lưu lượng truy cập kỹ lưỡng hơn. Nói cách khác, chỉ nên mua những sản phẩm này nếu tổ chức của bạn có
chuyên gia bảo mật thông tin giàu kinh nghiệm.
Phần mềm phát hiện xâm nhập eTrust của Computer Corporation
Associates không chỉ là một hệ thống giám sát hoạt động mạng và phát hiện các cuộc tấn công của hacker. Sản phẩm này không chỉ có khả năng giải mã các gói có nhiều giao thức và lưu lượng dịch vụ khác nhau mà còn chặn chúng để xuất ra bảng điều khiển quản lý sau này. định dạng gốc. Hệ thống giám sát tất cả lưu lượng TCP/IP và cảnh báo cho quản trị viên trong trường hợp vi phạm các chiến lược bảo mật thông tin đã thiết lập.
Tuy nhiên, sự phát triển này không hỗ trợ mức độ chi tiết trong bộ quy tắc như Cảnh báo kẻ xâm nhập.
Tuy nhiên, việc phát hiện các nỗ lực truy cập trái phép và đưa ra thông báo cảnh báo chỉ là một nửa trận chiến. Phần mềm an ninh mạng phải ngăn chặn hành động của hacker và có biện pháp đối phó. Theo nghĩa này, ấn tượng tốt nhất được tạo ra bởi các gói Cảnh báo kẻ xâm nhập và Centrax, cũng chính là những gói đã gây ra những chỉ trích đáng kể về cài đặt cấu hình. Nếu phần mềm Network ICE và eTrust đóng ngay lập tức các phiên giao tiếp đe dọa thì hệ thống Cảnh báo kẻ xâm nhập và Centrax còn tiến xa hơn nữa. Ví dụ: một ứng dụng từ Axent Technologies
có thể được cấu hình theo cách nó sẽ khởi chạy lệnh này hoặc lệnh khác
tùy thuộc vào bản chất của các sự kiện được ghi lại, chẳng hạn như khởi động lại máy chủ đã bị tấn công từ chối dịch vụ.
Sau khi đẩy lùi cuộc tấn công, bạn muốn ngay lập tức phản công. Các ứng dụng Black-ICE và Centrax duy trì các bảng có ID hacker. Các bảng này được điền sau khi lần theo toàn bộ đường dẫn đến “hang ổ” nơi kẻ thù đang ẩn náu. Những cơ hội phần mềmĐặc biệt ấn tượng khi xác định nguồn gốc của một cuộc tấn công, nằm bên trong hoặc bên ngoài mạng: mặc dù có nhiều thao tác thông minh, chúng tôi không bao giờ có thể duy trì trạng thái ẩn danh.
Nhưng hệ thống eTrust gây ấn tượng ở mức độ thâm nhập vào bản chất hoạt động của từng người dùng mạng, thậm chí thường không nghi ngờ rằng mình đang bị giám sát chặt chẽ. Đồng thời, gói này cung cấp thông tin đầy đủ nhất (và có lẽ là chính xác nhất) về những kẻ tấn công, ngay cả những kẻ tấn công.
Họ đang ở đâu.
Ứng dụng Centrax có khả năng tạo cái gọi là tệp mồi nhử, đặt cho tệp phụ một cái tên có ý nghĩa như “Vedo-MocTb.xls” và do đó đánh lừa những người dùng tò mò quá mức. Thuật toán này có vẻ quá đơn giản đối với chúng tôi nhưng nó cũng có thể phục vụ khá tốt.

dịch vụ kém: với sự trợ giúp của nó, có thể “bắt” nhân viên “chải”
mạng công ty để xác định thông tin bí mật.
Mỗi sản phẩm phần mềm được xem xét đều tạo ra các báo cáo về hoạt động mạng đáng ngờ. Chất lượng cao Các ứng dụng Phát hiện xâm nhập ICEcap và eTrust nổi bật nhờ các báo cáo như vậy và sự dễ dàng khi làm việc với chúng. Gói thứ hai đặc biệt linh hoạt, có lẽ vì nó bắt nguồn từ bộ giải mã giao thức. Đặc biệt, quản trị viên có thể phân tích các sự kiện mạng theo từng tài nguyên riêng lẻ, có thể là giao thức, trạm khách hoặc máy chủ. eTrust đi kèm với nhiều định dạng báo cáo được thiết kế sẵn. Cấu trúc được cân nhắc kỹ lưỡng của chúng giúp phát hiện những kẻ xâm nhập dễ dàng hơn nhiều và cho phép bạn trừng phạt những người dùng có tội.
Mỗi sản phẩm đều có điểm mạnh và điểm yếu riêng nên chỉ có thể khuyên dùng để giải quyết một số vấn đề nhất định. Khi nói đến việc bảo vệ các mạng chuyển mạch, Network ICE, Axent Technologies và CyberSafe là những lựa chọn tốt. eTrust Intrusion Development là giải pháp lý tưởng để thông báo kịp thời các hành vi vi phạm đạo đức kinh doanh, chẳng hạn như việc sử dụng ngôn từ tục tĩu trong email. Hệ thống Cảnh báo xâm nhập và Centrax là những công cụ tuyệt vời dành cho các nhà tư vấn và tổ chức bảo mật thông tin có đội ngũ chuyên gia trong lĩnh vực này. Tuy nhiên, đối với những công ty không đủ khả năng sử dụng dịch vụ của các chuyên gia được trả lương cao, chúng tôi khuyên bạn nên cài đặt các sản phẩm Network ICE. Những ứng dụng này sẽ thay thế một chuyên gia an ninh mạng thực thụ tốt hơn bất kỳ hệ thống nào khác mà chúng ta từng thấy.
Máy quét như một phương tiện kiểm tra an ninh mạng
Ngày xửa ngày xưa (hoặc cách đây không lâu) Đĩa cứng máy tính cá nhân chỉ có kích thước 10 MB và RAM của chúng không vượt quá 640 KB. Modem hoạt động ở tốc độ từ 300 đến 1200 bps và rất ít người dùng đã nghe nói đến mạng máy tính toàn cầu Internet. Tất nhiên, mạng này đã tồn tại vào thời điểm đó, nhưng nó chỉ được sử dụng cho mục đích quân sự và chỉ có thể làm việc với nó bằng dòng lệnh. Nhưng đây không phải là trở ngại chính cho việc truy cập Internet rộng rãi. Máy tính, có thể được sử dụng làm máy chủ, rất đắt tiền - chi phí của chúng lên tới hàng triệu đô la. Và bản thân máy tính cá nhân hồi đó rất đắt và chỉ có giá phải chăng
những người giàu có.
Nhưng ngay cả khi đó vẫn có những người săn lùng bí mật của người khác. Hãy tưởng tượng một thanh niên 15-17 tuổi ngồi trước máy tính cá nhân và sử dụng modem để gọi đến số điện thoại mà một người bạn đã chỉ cho anh ta. Trong hầu hết các trường hợp, có một modem khác ở đầu dây bên kia và trên màn hình điều khiển xuất hiện lời mời đăng ký, tức là nhập tên và mật khẩu.

Mỗi lần nhận được lời mời đăng ký như vậy, chàng trai bắt đầu sốt sắng thử nhiều cặp tên và mật khẩu tương ứng. Cuối cùng, một cặp đôi xuất hiện và hacker trẻ tuổi có cơ hội điều khiển máy tính từ xa mà không cần rời khỏi nhà.
Bây giờ thật khó để tin rằng những hacker máy tính đầu tiên đã phải làm việc chăm chỉ đến vậy. Rốt cuộc, người ta biết rằng họ thực sự không thích biểu diễn công việc thường ngày và ở mọi cơ hội, họ đều cố gắng ép máy tính của mình làm công việc đó. Vì vậy, không có gì đáng ngạc nhiên khi các hacker máy tính đã sớm tạo ra một công cụ phần mềm đặc biệt để không phải gõ hàng tá lệnh theo cách thủ công. Công cụ phần mềm này được gọi là trình quay số chiến đấu.
Trình quay số chiến đấu là một chương trình gọi đến các số điện thoại do người dùng chỉ định để tìm kiếm máy tính, để đáp lại cuộc gọi đến, sẽ đưa ra lời mời đăng ký. Chương trình cẩn thận lưu tất cả các số điện thoại như vậy vào một tệp trên ổ cứng của bạn, cùng với dữ liệu về tốc độ kết nối với chúng. Một trong những trình quay số chiến đấu tiên tiến và nổi tiếng nhất là TONELOC, được thiết kế để hoạt động trong môi trường hệ điều hành DOS (nó có thể chạy dưới Kiểm soát cửa sổ 95/98 ở chế độ dòng lệnh).
Sự cải tiến hơn nữa của trình quay số chiến đấu đã dẫn đến việc tạo ra máy quét. Các máy quét đầu tiên rất thô sơ và chỉ khác với các trình quay số chiến đấu ở chỗ chúng chuyên xác định các máy tính được kết nối với Internet hoặc các mạng khác bằng giao thức
TCP/IP. Chúng được viết bằng ngôn ngữ kịch bản shell của hệ điều hành UNIX. Những máy quét như vậy đã cố gắng kết nối với máy chủ từ xa thông qua cổng TCP/IP, gửi tất cả thông tin được xuất ra thiết bị đầu ra tiêu chuẩn của máy chủ đó tới màn hình điều khiển của máy tính nơi máy quét đang chạy.
Ngày nay, máy quét đã trở thành một vũ khí đáng gờm cả về tấn công và phòng thủ trên Internet. Máy quét hiện đại là gì?
Máy quét là một chương trình được thiết kế để tự động hóa quá trình tìm kiếm điểm yếu trong việc bảo vệ các máy tính được kết nối mạng theo giao thức
TCP/IP. Các máy quét tiên tiến nhất truy cập vào cổng TCP/IP của máy tính từ xa và đăng nhập chi tiết phản hồi mà chúng nhận được từ máy tính đó. Bằng cách khởi chạy máy quét trên máy tính của mình, người dùng, thậm chí không cần rời khỏi nhà, có thể tìm thấy những lỗ hổng trong cơ chế bảo mật của máy chủ, chẳng hạn như ở bên kia địa cầu.
Hầu hết các máy quét được thiết kế để hoạt động trong môi trường UNIX, mặc dù các chương trình như vậy hiện có sẵn cho hầu hết mọi hệ điều hành. Khả năng chạy máy quét trên một máy tính cụ thể phụ thuộc vào hệ điều hành mà máy tính đang chạy và cài đặt kết nối Internet. Có những máy quét chỉ hoạt động trong môi trường UNIX và không tương thích với các hệ điều hành khác. Những người khác từ chối hoạt động bình thường trên các máy tính Windows lỗi thời có truy cập Internet quay số chậm (lên đến 14.400 bps). Những máy tính như vậy sẽ bị làm phiền bởi các thông báo về lỗi tràn ngăn xếp, vi phạm quyền truy cập hoặc đơn giản là bị treo.

Dung lượng RAM của máy tính cũng rất quan trọng. Máy quét được điều khiển bằng dòng lệnh có xu hướng yêu cầu RAM thấp hơn. Và “háu ăn” nhất là những máy quét được trang bị giao diện người dùng đồ họa dạng cửa sổ.
Viết một máy quét không phải là rất khó khăn. Để làm được điều này, chỉ cần có kiến ​​thức tốt về các giao thức TCP/IP, có thể lập trình bằng C hoặc Perl và bằng ngôn ngữ kịch bản, đồng thời hiểu phần mềm socket. Nhưng ngay cả trong trường hợp này, bạn cũng không nên mong đợi rằng máy quét do bạn tạo ra sẽ mang lại lợi nhuận lớn, vì hiện tại nguồn cung trên thị trường máy quét đang vượt quá đáng kể nhu cầu về chúng. Do đó, lợi ích lớn nhất từ ​​nỗ lực đầu tư vào việc viết một chiếc máy quét sẽ mang tính đạo đức hơn (từ kiến ​​thức về một công việc được hoàn thành tốt) hơn là vật chất.
Đừng đánh giá quá cao những kết quả tích cực có thể đạt được thông qua việc sử dụng máy quét. Thật vậy, máy quét có thể giúp xác định các lỗ hổng trong quá trình bảo vệ máy chủ, nhưng trong hầu hết các trường hợp, máy quét cung cấp thông tin về sự hiện diện của các lỗ hổng này ở dạng bị che giấu và bạn vẫn cần có khả năng diễn giải thông tin đó một cách chính xác. Máy quét hiếm khi có hướng dẫn sử dụng đầy đủ. Ngoài ra, máy quét không thể tạo tập lệnh từng bước để hack hệ thống máy tính. Do đó, để sử dụng hiệu quả máy quét trong thực tế, trước tiên bạn cần học cách diễn giải chính xác dữ liệu được thu thập với sự trợ giúp của chúng và điều này chỉ có thể thực hiện được khi có kiến ​​​​thức sâu rộng về lĩnh vực an ninh mạng và kinh nghiệm sâu rộng.
Thông thường, máy quét được tạo ra và sử dụng bởi các chuyên gia an ninh mạng. Thông thường chúng lây lan qua Mạng internet, để với sự trợ giúp của họ, quản trị viên hệ thống có thể kiểm tra lỗi của mạng máy tính. Vì vậy, việc sở hữu máy quét cũng như công dụng thực tế của chúng là hoàn toàn hợp pháp. Tuy nhiên, người dùng thông thường (không phải quản trị viên hệ thống) nên chuẩn bị cho thực tế rằng nếu họ sử dụng máy quét để khảo sát mạng của người khác, họ có thể gặp phải sự phản đối quyết liệt từ quản trị viên của các mạng này.
Hơn nữa, một số máy quét, trong quá trình tìm kiếm các lỗ hổng trong việc bảo vệ mạng máy tính, thực hiện các hành động có thể được phân loại hợp pháp là truy cập trái phép vào thông tin máy tính hoặc tạo, sử dụng và phân phối phần mềm độc hại hoặc vi phạm chính sách các quy định về vận hành máy tính, hệ thống máy tính và mạng. Và nếu hậu quả của những hành vi này là sự phá hủy, ngăn chặn, sửa đổi hoặc sao chép thông tin,
được lưu trữ dưới dạng điện tử, thủ phạm sẽ bị truy tố hình sự theo luật pháp Nga. Điều này có nghĩa là trước khi bạn bắt đầu sử dụng cái đầu tiên có trong tay máy quét miễn phíđối với nền tảng UNIX, bạn nên đảm bảo rằng máy quét này không vô tình sao chép bất kỳ tệp nào cùng lúc
từ đĩa của máy chủ mà anh ta đang kiểm tra (ví dụ: tệp mật khẩu từ thư mục /ETC).
Các tiện ích như máy chủ, người dùng, ngón tay, Traceroute, Showmount thường bị phân loại nhầm là máy quét. Điều này là do, giống như máy quét, những tiện ích này cho phép bạn thu thập thông tin thống kê hữu ích về các dịch vụ mạng trên máy tính từ xa. Thông tin này sau đó có thể được phân tích để xác định lỗi trong cấu hình của chúng.

Thật vậy, các tiện ích mạng thực hiện một số chức năng điển hình của máy quét. Tuy nhiên, không giống như chúng, việc sử dụng các tiện ích này ít gây ra sự nghi ngờ hơn trong cộng đồng. quản trị viên hệ thống. Chạy hầu hết các tiện ích mạng trên
máy chủ từ xa hầu như không ảnh hưởng gì đến hoạt động của nó. Máy quét thường hoạt động như một con bò đực trong cửa hàng đồ sứ, để lại dấu vết khó bỏ sót. Ngoài ra, một máy quét tốt là khá hiếm và các tiện ích mạng luôn trong tầm tay. Nhược điểm của các tiện ích mạng bao gồm việc bạn phải thực hiện thủ công quá nhiều. Bạn đã làm rất tốtđể đạt được kết quả tương tự thu được tự động bằng máy quét.

Hệ thống phát hiện tấn công mạng

Tổng quan về các hệ thống phát hiện tấn công mạng bao gồm mô tả về các SOA thương mại phổ biến nhất và được phân phối tự do. Mỗi hệ thống được xem xét theo các chỉ số chính sau:

Kiến trúc SOA - cấu trúc của hệ thống, mô tả các thành phần của nó, cũng như các phương thức tương tác giữa chúng;

Đặc điểm của nền tảng phần mềm và phần cứng mà SOA vận hành trên đó;

Chức năng SOA về mặt xác định và ngăn chặn các cuộc tấn công thông tin;

Các tính năng chính và sự khác biệt so với các sản phẩm khác có mặt trên thị trường an toàn thông tin trong nước.

1. Hệ thống Radware DefensePro

SOA "Radware DefensePro" được phát triển bởi Radware và là một tổ hợp phần mềm và phần cứng được thiết kế để bảo vệ chống lại các cuộc tấn công mạng. SOA bao gồm các cảm biến được cài đặt trong khoảng trống kênh liên lạc của AS, cũng như chương trình điều khiển được cài đặt trên máy trạm của quản trị viên bảo mật. Cảm biến SOA

Cơm. 1 Cấu trúc logic của cảm biến hệ thống Radware DefensePro

được triển khai dưới dạng các đơn vị phần cứng chuyên dụng (còn gọi là “thiết bị”), bao gồm các thành phần sau (Hình 6.1):

Bộ xử lý mạng thực hiện các chức năng chuyển mạch gói dữ liệu, quản lý băng thông và lọc dữ liệu. Một số bộ xử lý có thể được cài đặt đồng thời trong một cảm biến;

Bộ tăng tốc phần cứng “StringMatch Engine”, được thiết kế để phân tích chữ ký các gói dữ liệu dựa trên phương pháp tìm kiếm theo ngữ cảnh. Bộ tăng tốc này bao gồm tám chip ASIC chuyên dụng cho phép tìm kiếm chuỗi song song với hơn 250 nghìn chữ ký;

Một bus dữ liệu cung cấp các chức năng nhận và gửi các gói dữ liệu qua mạng. Tổng băng thông bus là 44 Gbit/s, trong đó bạn có thể kết nối một giao diện 10 Gigabit, bảy giao diện 1 Gigabit và 16 giao diện Fast Ethernet;

Bộ xử lý RISC trung tâm Power PC của Motorola, được thiết kế để điều khiển hoạt động của bộ tăng tốc phần cứng StringMatch Engine của các bộ xử lý mạng. Cảm biến Radware DefensePro có thể được quản lý cục bộ bằng giao diện dòng lệnh hoặc từ xa bằng giao diện Web, giao thức telnet hoặc SSH và giao thức quản lý SNMP. Một bảng điều khiển quản lý có thể giao tiếp đồng thời với nhiều cảm biến SOA của Radware.

Ngoài chức năng phát hiện và ngăn chặn các cuộc tấn công, SOA có thể được sử dụng để cân bằng tải, định hình lưu lượng dựa trên cơ chế Chất lượng dịch vụ (QoS) và giám sát các luồng thông tin mạng. Radware DefensePro cũng có thể được sử dụng một cách hiệu quả để bảo vệ chống lại các cuộc tấn công từ chối dịch vụ phân tán nhờ khả năng xử lý chính xác các luồng yêu cầu SYN đạt tốc độ lớn hơn 1 triệu/s.

SOA triển khai các phương pháp chữ ký và hành vi để phát hiện các cuộc tấn công mạng hoạt động trong thời gian thực. Phương pháp chữ ký dựa trên việc tìm kiếm các biểu thức chuỗi nhất định trong các gói dữ liệu đã xử lý. Mỗi chữ ký có một trong ba mức độ ưu tiên - thấp, trung bình hoặc cao. Cơ sở dữ liệu chữ ký có thể được cập nhật thường xuyên thông qua trang web của nhà sản xuất. Ngoài ra, quản trị viên bảo mật có thể thêm chữ ký tấn công mới một cách độc lập bằng cách sử dụng giao diện hệ thống hiện có. Phương pháp hành vi phát hiện các loại tấn công đã biết và mới bằng cách xác định các điểm bất thường trong các gói. SOA cũng cho phép bạn phát hiện các nỗ lực che giấu các hoạt động trái phép bằng cách bỏ qua các cơ chế phát hiện.

Nếu phát hiện một cuộc tấn công, hệ thống sẽ cho phép bạn quay số ngẫu nhiên từ các phương pháp phản hồi sau:

Chặn gói dữ liệu trong đó tìm thấy dấu hiệu tấn công cụ thể;

Bỏ qua gói dữ liệu đã phát hiện chữ ký;

Ghi lại thông tin về cuộc tấn công được phát hiện vào nhật ký kiểm tra;

Tạo thông báo bẫy SNMP về cuộc tấn công và gửi nó đến địa chỉ được chỉ định;

Gửi tin nhắn về một cuộc tấn công được phát hiện qua email;

Hiển thị thông báo tấn công trên thiết bị đầu cuối cục bộ;

Gửi tin nhắn về cuộc tấn công được phát hiện tới máy chủ dịch vụ Syslog. SOA hỗ trợ hai chế độ hoạt động - chủ động và thụ động.

Ở chế độ thụ động, các cảm biến của hệ thống sẽ phân tích tất cả lưu lượng truy cập đi qua chúng nhưng không chặn các gói dữ liệu. Chế độ này cho phép bạn định cấu hình các tham số SOA và điều chỉnh nó cho phù hợp với đặc điểm của hệ thống được bảo vệ. Chế độ hoạt động cung cấp khả năng chặn các gói nguy hiểm tiềm tàng và từ đó ngăn chặn các cuộc tấn công mạng.

Radware DefensePro SOA hỗ trợ chế độ nhiều người dùng, cho phép nhiều quản trị viên làm việc với hệ thống cùng một lúc. Đồng thời, hệ thống cho phép phân biệt quyền truy cập của quản trị viên ở cấp độ cảm biến khác nhau.

Trong quá trình vận hành hệ thống, nhật ký kiểm tra chi tiết được duy trì, ghi lại các thông tin sau:

Ngày và giờ của cuộc tấn công được phát hiện;

Tên và mô tả chung cuộc tấn công được phát hiện. Tất cả các cuộc tấn công được phát hiện có thể được tự động phân loại thành một trong các loại sau:

sự bất thường của mạng, nỗ lực quét, xâm nhập hoặc tấn công từ chối dịch vụ;

Địa chỉ IP của nguồn và mục tiêu của cuộc tấn công đã xác định;

Số cổng của các gói TCP và UDP được phát hiện có dấu hiệu tấn công mạng;

Số lượng gói được xác định là một phần của cuộc tấn công mạng;

Trạng thái của một cuộc tấn công mạng là giai đoạn ban đầu, giai đoạn thực hiện và cuộc tấn công đã được thực hiện;

Các tham số của phương pháp phản hồi được áp dụng để xác định cuộc tấn công.

Hệ thống được trang bị các công cụ nâng cao để tạo báo cáo bằng đồ họa và văn bản dựa trên các thông số do quản trị viên bảo mật đặt ra. Radware DefensePro cung cấp một số mẫu dựng sẵn, dựa vào đó người vận hành có thể tạo các tài liệu báo cáo làm sẵn.

Tính năng đặc biệt Hệ thống Radware DefensePro có thể phát hiện các cuộc tấn công trong các kênh liên lạc tốc độ cao, tốc độ truyền tải là vài Gbit/s.

2. Hệ thống "ISS RealSecure"

Hệ thống RealSecure được phát triển bởi Internet Security Systems (năm 2006, ISS được IBM mua lại và hiện tại các sản phẩm RealSecure và Proventia được bán trên thị trường dưới thương hiệu IBM). Hệ thống bao gồm các thành phần sau:

Cảm biến mạng được thiết kế để phát hiện các cuộc tấn công mạng trong một phân đoạn mạng nhất định. Cảm biến mạng được cài đặt trên một máy tính chuyên dụng, được kết nối với phân đoạn AC được bảo vệ bằng cổng hub hoặc cổng SPAN của bộ chuyển mạch.

Cảm biến máy chủ cung cấp khả năng bảo vệ cho các máy chủ cụ thể trong AS. cảm biến thuộc loại này là một mô-đun phần mềm được cài đặt trên máy tính được bảo vệ. Cảm biến máy chủ có thể được sử dụng để bảo vệ máy chủ chạy các hệ điều hành khác nhau.

Bảng điều khiển quản lý SiteProtector, được thiết kế để xem kết quả của hệ thống và quản lý các tham số hoạt động của nó. Bảng điều khiển dành cho quản trị viên chỉ tương tác với máy chủ ứng dụng SOA.

Cơ sở dữ liệu chứa thông tin về tất cả các cuộc tấn công được phát hiện. Cơ sở dữ liệu được triển khai dựa trên Hệ quản trị cơ sở dữ liệu của Microsoft Máy chủ SQL.

Máy chủ ứng dụng cung cấp quyền truy cập vào bảng điều khiển dành cho quản trị viên để quản lý cảm biến và chức năng xem cơ sở dữ liệu.

Trình quản lý sự kiện (Trình thu thập sự kiện), cung cấp bản ghi thông tin do cảm biến tạo ra vào cơ sở dữ liệu sự kiện. Để tăng khả năng chịu lỗi, AS có thể sử dụng đồng thời hai trình quản lý sự kiện sao chép lẫn nhau trong trường hợp một trong số chúng bị lỗi.

Một số thành phần có thể được cài đặt đồng thời trên một máy tính. Ví dụ: một nút có thể lưu trữ bảng điều khiển dành cho quản trị viên cũng như cơ sở dữ liệu sự kiện và nội dung. Sơ đồ chung về sự tương tác của các thành phần có trong Realsecure SOA được hiển thị trong Hình 2. 2.

Các cảm biến mạng RealSecure SOA hoạt động thụ động và thực hiện chức năng ghi lại các cuộc tấn công cùng với phản hồi có thể xảy ra sau đó đối với chúng. Cảm biến máy chủ không chỉ cho phép phát hiện mà còn ngăn chặn cuộc tấn công được phát hiện bằng cách lọc các gói dữ liệu nguy hiểm tiềm tàng.

Các thông số hoạt động của cảm biến mạng và máy chủ được xác định bằng các chính sách bảo mật. Mỗi chính sách bảo mật bao gồm một bộ chữ ký cụ thể cho phép cảm biến phát hiện các cuộc tấn công của kẻ xâm nhập dựa trên tìm kiếm thông tin theo ngữ cảnh. Tất cả các chữ ký hệ thống được nhóm thành nhiều loại khác nhau, giúp đơn giản hóa rất nhiều khi làm việc với chúng. Hệ thống RealSecure không cung cấp ngôn ngữ tích hợp để tạo chữ ký của riêng bạn mà thay vào đó, gói SOA bao gồm mô-đun phần mềm TRONS, cho phép bạn nhập chữ ký của sản phẩm phần mềm Snort, điều này sẽ được thảo luận thêm. SOA cũng hỗ trợ khả năng cập nhật từ xa cơ sở dữ liệu dấu hiệu tấn công từ trang Web của nhà sản xuất hệ thống. Dấu hiệu tấn công cho hệ thống RealSecure được phát triển bởi phòng thí nghiệm chuyên ngành X-Force, một phần của công ty ISS. Nếu phát hiện một cuộc tấn công, cảm biến SOA có thể thực hiện một hoặc nhiều phương pháp phản hồi, được mô tả trong Bảng. 1

Cơm. 2. Kiến trúc SOA RealSecure

Bàn 1. Mô tả các phương pháp phản hồi của RealSecure SOA

№	Phương pháp phản hồi	Mô tả phương pháp phản hồi
	NGỌN CỜ	Phương thức gửi tin nhắn cảnh báo đến người vi phạm tin nhắn văn bản, được xác định bởi quản trị viên SOA
	KHỐI	Phương thức này cho phép bạn chặn (lọc) lưu lượng truy cập đến từ nút mà cuộc tấn công được phát hiện
	VÔ HIỆU HÓA	Phương pháp này cho phép bạn chặn tài khoản người dùng có hành động kích hoạt chữ ký tấn công
	TRƯNG BÀY	Phương thức hiển thị trên bảng điều khiển quản lý thông tin về sự kiện được phát hiện do chữ ký được kích hoạt
	E-MAIL	Phương thức này thông báo cho quản trị viên bảo mật qua email về một sự kiện được phát hiện do kích hoạt chữ ký
	LOGDB	Phương thức ghi thông tin về sự kiện được phát hiện nhờ chữ ký vào cơ sở dữ liệu
	AN TOÀN-LOGIC	Phương pháp này cho phép bạn chạy một chương trình nhất định được viết bằng ngôn ngữ kịch bản đặc biệt TCL. Trình thông dịch của ngôn ngữ này được tích hợp vào RealSecure SOA
	SNMP	Phương pháp này nhằm mục đích gửi tin nhắn kiểm soát bẫy SNMP đến địa chỉ IP được chỉ định
	ĐÌNH CHỈ	Tạm thời chặn tài khoản người dùng có hành động kích hoạt chữ ký. Thời gian chặn được thiết lập bởi nhà điều hành
	NGƯỜI DÙNG ĐÃ CHỈ ĐỊNH	Phương thức này cho phép bạn chạy một chương trình tùy ý với các tham số cuộc gọi được chỉ định

Việc xem kết quả hoạt động của SOA cũng như quản lý các tham số vận hành hệ thống được thực hiện bằng bảng điều khiển dành cho quản trị viên. Theo mặc định, giao diện bảng điều khiển dành cho quản trị viên được chia thành nhiều phần, mỗi phần hiển thị một loại thông tin cụ thể. Ngoài thông tin về các cuộc tấn công được phát hiện, bảng điều khiển còn hiển thị thông tin về cài đặt hệ thống hiện tại, cũng như trạng thái hoạt động của các thành phần SOA. Bảng điều khiển dành cho quản trị viên RealSecure SOA có thể được sử dụng để quản lý các sản phẩm bảo mật ISS khác.

Bảng điều khiển dành cho quản trị viên cung cấp khả năng tạo báo cáo văn bản và đồ họa dựa trên kết quả của hoạt động SOA. Các báo cáo đã tạo có thể được xuất sang các tệp PDF, Word, RTF, v.v. Quản trị viên cũng có khả năng đặt định dạng báo cáo của riêng mình dựa trên các mẫu Crystal Reports.

SOA triển khai chế độ làm việc nhiều người dùng cho quản trị viên với khả năng phân biệt quyền truy cập dựa trên vai trò. Ví dụ: trong một hệ thống, một quản trị viên có thể có độc quyền xem kết quả công việc, trong khi người dùng khác có thể có thêm quyền quản lý các cảm biến SOA. Trong trường hợp này, hành động của tất cả người dùng sẽ được ghi lại vào nhật ký hệ thống.

3. Hệ thống "ISS Proventia"

Hệ thống Proventia được Internet Security Systems phát triển dựa trên sản phẩm phần mềm RealSecure và cũng được thiết kế để bảo vệ chống lại các cuộc tấn công mạng. Hệ thống này là một tổ hợp phần mềm và phần cứng được cài đặt trong khoảng cách kênh liên lạc và cho phép bạn chặn các gói dữ liệu độc hại. Sự khác biệt chính giữa Proventia SOA và hệ thống RealSecure được thảo luận ở trên là khả năng không chỉ phát hiện mà còn ngăn chặn các cuộc tấn công ở cấp độ mạng.

Hệ thống có thể có từ hai đến tám giao diện mạng và xử lý lưu lượng mạng đạt tốc độ lên tới 2 Gbit/s. Sau khi cài đặt, hệ thống Proventia có thể hoạt động ở hai chế độ chính:

Chế độ giám sát thụ động, trong đó SOA phân tích các gói dữ liệu đi qua nó mà không chặn lưu lượng truy cập trái phép. Chế độ này được sử dụng ở giai đoạn đào tạo hệ thống;

Chế độ bảo vệ, cho phép SOA hoạt động như một tường lửa và chặn các cuộc tấn công mạng được xác định.

Để phát hiện các cuộc tấn công, Proventia SOA sử dụng các phương pháp chữ ký dựa trên các cơ chế được triển khai trong hệ thống RealSecure được mô tả ở trên. Hệ thống hỗ trợ khả năng cập nhật chữ ký từ xa bằng dịch vụ X-Force. Việc quản lý SOA có thể được thực hiện bằng bảng điều khiển dòng lệnh cục bộ, giao diện Web thông qua Giao thức SSL hoặc sử dụng bảng điều khiển SiteProtector.

SOA “Proventia” triển khai công nghệ độc quyền của công ty ISS, được gọi là “Mô-đun cập nhật phần mềm ảo” (Bản vá ảo). Trong trường hợp này, mô-đun cập nhật ảo có nghĩa là một tập hợp các cài đặt SOA giúp bảo vệ hệ thống khỏi các cuộc tấn công cho đến thời điểm bản cập nhật phần mềm thực sự (bản vá, hotfix, v.v.) được cài đặt trên hệ thống, loại bỏ các lỗ hổng hệ thống. Trên thực tế, công nghệ này đảm bảo rằng những kẻ tấn công chặn các nỗ lực khai thác các lỗ hổng chưa được khắc phục bằng các bản cập nhật phần mềm thích hợp.

Hệ thống Proventia hỗ trợ các loại phản ứng thụ động và chủ động chính sau đây đối với các cuộc tấn công:

Thông báo cho quản trị viên bảo mật về một cuộc tấn công được phát hiện qua email. SOA cho phép bạn chỉ định địa chỉ của máy chủ mà thư sẽ được gửi qua đó, cũng như thành phần thông tin được gửi đến quản trị viên;

Ghi vào cơ sở dữ liệu nội dung của gói dữ liệu đã kích hoạt chữ ký tấn công;

Đặt một nút AS cụ thể vào vùng cách ly. Phương thức phản hồi này cho phép bạn cách ly các máy tính là nguồn hoặc mục tiêu của cuộc tấn công;

Tạo các tin nhắn SNMP chứa thông tin cụ thể về các cuộc tấn công mạng được phát hiện;

Chạy một chương trình được xác định bởi quản trị viên bảo mật. Một tính năng đặc biệt của Proventia SOA là khả năng hoạt động trong các hệ thống có tính sẵn sàng cao, cung cấp khả năng dự phòng cho tất cả các nút hệ thống. Trong trường hợp này, hai đơn vị phần cứng và phần mềm SOA được cài đặt trong AS, chúng sẽ sao chép lẫn nhau trong trường hợp xảy ra lỗi (Hình 3). Một số mẫu thuộc dòng Proventia, ngoài chức năng phát hiện tấn công, còn có chức năng bảo vệ chống lại virus máy tính và thư rác.

Cơm. 3 Sơ đồ cài đặt SOA trong hệ thống có tính sẵn sàng cao

4. Hệ thống IDP của Juniper Networks

Hệ thống IDP được phát triển bởi Juniper Networks và được thiết kế để phát hiện và ngăn chặn các cuộc tấn công mạng (trước đây là hệ thống này do NetScreen sản xuất). COA "IDP" có kiến ​​trúc ba lớp và bao gồm các thành phần sau:

Cảm biến “IDP”, được thiết kế để bảo vệ các đoạn loa mà chúng được lắp đặt; Chúng là các đơn vị phần cứng và phần mềm gắn trên giá có thể được cài đặt trong kênh liên lạc hoặc kết nối với cổng SPAN của bộ chuyển mạch;

Máy chủ quản lý “IDP”, thực hiện các chức năng lưu trữ thông tin dịch vụ, cũng như quản lý các cảm biến SOA;

Bảng điều khiển dành cho quản trị viên được thiết kế để quản lý SOA.

Tùy thuộc vào sửa đổi, SOA cho phép bạn xử lý lưu lượng truy cập có tốc độ từ 50 Mbit/s đến 1 Gbit/s. Giống như SOA đã thảo luận trước đó, hệ thống IDP có thể hoạt động ở chế độ thụ động và chủ động. Khi đặt SOA vào khoảng trống kênh liên lạc, quản trị viên có thể định cấu hình cảm biến hệ thống làm cầu nối hoặc bộ định tuyến. Trong trường hợp đầu tiên, việc lắp đặt cảm biến sẽ không yêu cầu thực hiện bất kỳ thay đổi bổ sung nào đối với cấu hình của thiết bị liên lạc AC, điều này khiến thiết bị này “vô hình” đối với các máy chủ hệ thống. Việc cài đặt SOA làm bộ định tuyến sẽ đòi hỏi phải thay đổi sơ đồ địa chỉ IP trong AS. Việc lựa chọn phương án lắp đặt này hay phương án lắp đặt khác được xác định tùy thuộc vào cấu trúc liên kết của hệ thống loa.

Để phát hiện các cuộc tấn công, SOA sử dụng hệ thống chuyên gia, bao gồm cơ sở dữ liệu các quy tắc trên cơ sở đó việc phát hiện xâm nhập trong AS được thực hiện. SOA cung cấp các loại quy tắc sau:

Các quy tắc được thiết kế để xác định các kiểu tấn công dựa trên chữ ký đã biết. SOA có một ngôn ngữ tích hợp cho phép quản trị viên tạo chữ ký của riêng mình. Ngôn ngữ này dựa trên các biểu thức chính quy của ngôn ngữ Perl.

Quy tắc để đảm bảo phát hiện sự bất thường trong các giao thức mạng. Trong trường hợp này, sự bất thường được hiểu là sự khác biệt giữa định dạng gói dữ liệu và các yêu cầu được mô tả trong tiêu chuẩn RFC hoặc các thông số kỹ thuật khác. SOA hỗ trợ khả năng phát hiện các điểm bất thường trong hơn 60 loại giao thức.

Quy tắc để xác định sự hiện diện của phần mềm độc hại loại Trojan horse trong hệ thống. Các quy tắc thuộc loại này sử dụng thuật toán heuristic để xác định các tương tác mạng, đây có thể là dấu hiệu cho thấy sự hiện diện của mã Trojan.

Các quy tắc được sử dụng để phát hiện các nỗ lực quét cổng AC.

Quy tắc dự định để phát hiện các cuộc tấn công giả mạo IP, nhằm mục đích thay thế địa chỉ IP thực của người gửi gói dữ liệu.

Quy tắc để xác định sự từ chối của dịch vụ tấn công,được triển khai bằng cách gửi một số lượng lớn yêu cầu SYN để thiết lập kết nối TCP.

Quy tắc xác định các cuộc tấn công được thực hiện ở cấp độ thứ hai của ngăn xếp TCP/IP. Hầu hết các cuộc tấn công này đều liên quan đến giao thức ARP và nhằm mục đích chặn trái phép thông tin được truyền qua mạng.

Quy định đảm bảo khả năng tạo mục tiêu giả để tấn công, từ đó xác định những người vi phạm AS tiềm năng.

SOA có các mẫu quy tắc tiêu chuẩn tích hợp sẵn có thể được sử dụng làm cơ sở để tạo chính sách bảo vệ cho máy chủ Web, máy chủ thư, máy chủ tệp và các đối tượng AS khác. Nếu phát hiện một cuộc tấn công, COA có khả năng thực hiện cả phương pháp phản ứng thụ động và chủ động. Các phương thức hoạt động bao gồm chặn gói dữ liệu độc hại cũng như đóng kết nối TCP. Các phương pháp phản ứng thụ động bao gồm:

Thông báo cho quản trị viên bảo mật qua email;

Tạo thông báo bẫy SNMP cho hệ thống quản lý;

Tạo và gửi tin nhắn tấn công qua giao thức Syslog;

Khởi chạy một chương trình cụ thể;

Ghi lại vào cơ sở dữ liệu nội dung của các gói dữ liệu trong đó phát hiện dấu hiệu tấn công.

Các cảm biến SOA “IDP” có thể được kết hợp thành một cụm duy nhất, có thể được sử dụng để tăng khả năng chịu lỗi của hệ thống cũng như phân phối tải giữa các cảm biến. Nếu chức năng của một trong các cảm biến bị gián đoạn, các gói dữ liệu sẽ tự động được chuyển hướng đến một cảm biến khác trong cụm. Để phát hiện những lỗi như vậy, tất cả các cảm biến của một cụm sẽ trao đổi thông tin dịch vụ với nhau, dựa vào đó xác định trạng thái hoạt động hiện tại của thiết bị. Trong trường hợp này, từ hai đến mười sáu cảm biến có thể được kết hợp thành một cụm.

Máy chủ quản lý SOA hoạt động trên hệ điều hành Sun Solaris 8/9 (dành cho nền tảng SPARC), cũng như Linux RedHat 7.2, 8 hoặc RedHat Enterprise Linux 3.0 (dành cho Nền tảng Intel). Máy chủ cung cấp khả năng lưu trữ tập trung các tham số cấu hình SOA, cũng như thông tin đến từ cảm biến IDP. Để tương tác giữa máy chủ điều khiển và cảm biến IDP, một giao thức bảo mật bằng mật mã chuyên dụng được sử dụng, được tạo trên cơ sở phiên bản sửa đổi của UDP. Để lưu trữ kết quả hoạt động của SOA trên máy chủ, một DBMS chuyên biệt do chúng tôi sản xuất sẽ được sử dụng. Hệ thống hỗ trợ hoạt động của nhiều người dùng, nhưng mỗi lần chỉ có một quản trị viên có thể làm việc trong hệ thống.

Để quản lý SOA, bảng điều khiển dành cho quản trị viên được sử dụng, được triển khai dưới dạng ứng dụng Java. Bảng điều khiển dành cho quản trị viên cho phép bạn cấu hình linh hoạt các tham số để xem kết quả của hoạt động SOA. Bảng điều khiển cũng được trang bị khả năng tạo báo cáo về kết quả hoạt động của SOA dựa trên một bộ mẫu được chỉ định.

5. Hệ thống Cisco IDP 4200

Các hệ thống dòng Cisco IDP 4200 được Cisco Systems phát triển và được thiết kế để phát hiện và chặn các cuộc tấn công mạng. SOA loại này được triển khai dưới dạng thiết bị gắn trên giá chuyên dụng, có thể cài đặt trong kênh liên lạc hoặc kết nối với cổng SPAN của switch. Cisco cũng cung cấp các mô-đun COA tùy chỉnh có thể được cài đặt trong thiết bị chuyển mạch Catalyst 6500. trường hợp chung Hệ thống Cisco IDP bao gồm hai loại thành phần - cảm biến được thiết kế để bảo vệ khỏi các cuộc tấn công bằng cách phân tích lưu lượng mạng và bảng điều khiển quản lý quản trị viên bảo mật.

Cảm biến IDP của Cisco có thể hoạt động ở chế độ thụ động hoặc chủ động và xử lý các gói dữ liệu đạt tốc độ lên tới 1 Gbit/s. Để phát hiện các cuộc tấn công SOA, các phương pháp chữ ký được sử dụng. Một tính năng đặc biệt của cảm biến là sự hiện diện của cơ chế tương quan sự kiện bảo mật tích hợp, Meta Event Generator (MEG). Cơ chế này cho phép phân tích tự động các sự kiện bảo mật được ghi lại bởi các cảm biến SOA để tạo ra các siêu sự kiện. Vì vậy, ví dụ: nếu năm sự kiện cụ thể liên quan đến việc sử dụng lỗ hổng trong máy chủ Web Microsoft IIS được đăng ký trong AS trong vòng ba giây, cảm biến sẽ có thể tạo ra một siêu sự kiện cho biết hoạt động trái phép của sâu Internet Nimda (Hình 4). Việc sử dụng cơ chế MEG có thể đơn giản hóa đáng kể quy trình phân tích thông tin được thu thập bởi các cảm biến Cisco IDP SOA.

Cisco IDP SOA có thể được quản lý bằng một trong các phương pháp sau:

Dựa trên giao diện dòng lệnh CLI có thể được sử dụng từ xa bằng SSH hoặc cục bộ bằng cách kết nối bàn phím và màn hình trực tiếp với cảm biến. Giao diện dòng lệnh tương tự như giao diện quản lý cục bộ của các thiết bị Cisco khác dựa trên Cisco IOS.

Sử dụng bảng điều khiển IPS Quản lý thiết bị, được triển khai dưới dạng ứng dụng Java được lưu trữ trực tiếp trên cảm biến. Bảng điều khiển này có thể được truy cập bằng bất kỳ trình duyệt Internet nào dựa trên giao thức mã hóa TLS. Bảng điều khiển này cho phép bạn chỉ điều khiển một cảm biến tại một thời điểm và thường được sử dụng cho thay đổi hoạt động vào một trong các cảm biến SOA.

Cơm. 4 Ví dụ về tương quan sự kiện bảo mật dựa trên cơ chế MEG

Thông qua hệ thống quản lý CiscoWorks VMS, hệ thống này cung cấp khả năng quản lý và giám sát tập trung nhiều công cụ bảo mật khác nhau của Cisco, bao gồm SOA, tường lửa, công cụ bảo mật riêng tư ảo Mạng VPN v.v. Để sử dụng CiscoWorks VMS, bạn cần một máy chủ quản lý chuyên dụng thực hiện các chức năng lưu trữ thông tin cấu hình và kết quả của hoạt động SOA.

Nếu phát hiện một cuộc tấn công, COA có thể thực hiện một trong các phương pháp phản hồi sau:

Chặn các gói dữ liệu được phát hiện có dấu hiệu tấn công thông tin;

Sửa đổi nội dung của gói dữ liệu mà cuộc tấn công được phát hiện;

Đóng kết nối TCP nơi phát hiện cuộc tấn công;

Thông báo cho quản trị viên bảo mật về cuộc tấn công được phát hiện bằng cách gửi tin nhắn đến bảng điều khiển hoặc tạo thông báo bẫy SNMP.

Đối với mỗi sự kiện phát hiện cuộc tấn công, COA chỉ định một mức độ rủi ro nhất định, dựa vào đó chọn phương pháp phản ứng thích hợp. Giá trị rủi ro được tính toán dựa trên bốn thông số chính:

Tỷ lệ rủi ro sự kiện(Xếp hạng mức độ nghiêm trọng của cảnh báo). Tham số này xác định mức độ ưu tiên của các sự kiện dựa trên thiệt hại tiềm ẩn có thể gây ra cho hệ thống do hoàn thành thành công một cuộc tấn công được phát hiện. Theo thông số này, một sự kiện có thể được phân thành bốn loại chính: thông tin và các sự kiện có mức độ ưu tiên thấp, trung bình hoặc cao. Quản trị viên bảo mật có thể chỉnh sửa giá trị hệ số nguy hiểm.

Tỷ lệ chính xác của chữ ký tấn công(Xếp hạng độ trung thực của chữ ký), xác định mức độ áp dụng chữ ký vào môi trường hiện tại của AS. Vì vậy, ví dụ, nếu một cuộc tấn công nhằm mục đích khai thác một lỗ hổng không có trong AS, thì hệ số chính xác của chữ ký của nó sẽ có xu hướng bằng 0. Giá trị của hệ số này được thiết lập bởi quản trị viên bảo mật.

Yếu tố liên quan đến tấn công(Xếp hạng mức độ liên quan đến cuộc tấn công), đó là tham số bên trong, được SOA tự động điều chỉnh dựa trên kết quả công việc của nó. Trong quá trình hoạt động, SOA nhận được dữ liệu bổ sung về bản chất của lưu lượng mạng lưu thông trong AS, trên cơ sở đó những thay đổi được thực hiện đối với giá trị hiện tại của hệ số liên quan.

Yếu tố đánh giá nút AC(Xếp hạng giá trị mục tiêu), được sử dụng để xác định mức độ quan trọng của một nút hệ thống cụ thể. Sử dụng hệ số này, quản trị viên có thể điều chỉnh giá trị rủi ro dựa trên nút nào đang bị tấn công. Vì vậy, ví dụ, nếu một máy chủ phục vụ các quy trình kinh doanh quan trọng của một công ty bị tấn công, thì cuộc tấn công như vậy sẽ có mức độ rủi ro cao. Và ngược lại, nếu kẻ tấn công tấn công máy chủ tập tin, trên đó không có thông tin quan trọng đối với công ty thì sự xâm nhập đó phải có cấp thấp rủi ro.

Để xử lý thông tin về các cuộc tấn công được phát hiện ở cấp bảng điều khiển dành cho quản trị viên, mô-đun phần mềm chuyên dụng MARS (Hệ thống giám sát, phân tích và phản hồi) được sử dụng, cho phép bạn tạo báo cáo và tiến hành phân tích tương quan các sự kiện bảo mật.

6. Hệ thống Symantec SNS 7100

Các hệ thống dòng SNS (Symantec Network Security) 7100 được Symantec phát triển và được thiết kế để phát hiện và ngăn chặn các cuộc tấn công ở cấp độ mạng. SOA bao gồm bảng điều khiển dành cho quản trị viên và các cảm biến, được triển khai dưới dạng các đơn vị phần cứng và phần mềm gắn trên giá hoạt động ở chế độ thụ động hoặc chủ động. Trong trường hợp đầu tiên, các cảm biến SOA được kết nối với cổng SPAN của bộ chuyển mạch và trong trường hợp thứ hai, chúng được lắp đặt trong khoảng trống kênh liên lạc AC. Các cảm biến có khả năng xử lý lưu lượng truy cập đạt tốc độ lên tới 1 Gbit/s.

SOA được trang bị hệ thống con bảo mật riêng, cung cấp khả năng xác thực của quản trị viên khi truy cập vào bảng điều khiển quản lý, cũng như bảo vệ bằng mật mã đối với tất cả thông tin dịch vụ được truyền giữa các cảm biến và bảng điều khiển. Thuật toán mã hóa AES được sử dụng để mã hóa dữ liệu được truyền.

Để phát hiện các cuộc tấn công, SOA có thể sử dụng các phương pháp chữ ký cũng như các phương pháp xác định các điểm bất thường trong giao thức mạng. SOA cung cấp cho quản trị viên khả năng tạo chữ ký của riêng mình dựa trên ngôn ngữ chuyên biệt.

Để cập nhật cơ sở dữ liệu chữ ký, SOA sử dụng cơ chế LiveUpdate, cơ chế này cũng được sử dụng trong các sản phẩm chống vi-rút của Symantec. Khi một cuộc tấn công được phát hiện, COA có thể thực hiện các kỹ thuật phản ứng chủ động hoặc thụ động tương tự như các kỹ thuật đã thảo luận trước đó.

Bảng điều khiển quản lý SNS SOA hỗ trợ hoạt động của nhiều người dùng. Trong trường hợp này, các nhóm người dùng sau có thể được phân biệt:

Superusers (SuperUsers) - quản trị viên có toàn quyền quản lý các tham số vận hành SOA, tạo tài khoản người dùng, v.v.;

Quản trị viên - quản trị viên có quyền hạn chế thay đổi các tham số nhất định trong hoạt động của SOA;

Người dùng Chuẩn - danh mục người dùng có quyền xem tất cả thông tin có thể được truy cập thông qua bảng điều khiển dành cho quản trị viên;

Người dùng bị hạn chế(Người dùng bị hạn chế) - người dùng có quyền truy cập hạn chế để xem thông tin thông qua bảng điều khiển dành cho quản trị viên.

Để lưu trữ thông tin dịch vụ trong SNS, các loại cơ sở dữ liệu sau được sử dụng:

Cơ sở dữ liệu cấu trúc liên kết chứa thông tin về cấu hình của AS được bảo vệ;

Cơ sở dữ liệu chính sách bảo mật chứa các tham số chữ ký trên cơ sở phát hiện các cuộc tấn công mạng;

Cơ sở dữ liệu các quy tắc ứng phó với các cuộc tấn công mạng được phát hiện;

Cơ sở dữ liệu cấu hình chứa thông tin về quyền truy cập của siêu người dùng và quản trị viên SOA;

Cơ sở dữ liệu về các sự kiện và sự cố lưu trữ thông tin về tất cả các cuộc tấn công mạng đã được xác định.

Cảm biến SOA có thể được kết hợp thành các nhóm chuyển đổi dự phòng để đảm bảo hệ thống hoạt động không bị gián đoạn. Tất cả các cảm biến trong nhóm như vậy đều xử lý cùng một lưu lượng truy cập, nhưng chỉ một trong các cảm biến thực hiện các phương pháp để phản ứng với các cuộc tấn công được phát hiện. Nếu cảm biến chính của nhóm bị lỗi, nó sẽ tự động được thay thế bằng cảm biến dự phòng.

SOA cho phép bạn kết hợp một số cảm biến thành một cụm logic để thực hiện phân tích tương quan các sự kiện đến từ các cảm biến khác nhau. Ví dụ: nếu phát hiện một cuộc tấn công từ chối dịch vụ phân tán, SOA có khả năng xác định nguồn gốc của cuộc xâm nhập dựa trên kết quả hoạt động của tất cả các cảm biến có trong một cụm.

Bảng điều khiển dành cho quản trị viên SOA được trang bị một hệ thống linh hoạt để lọc thông tin về các sự kiện liên quan đến các cuộc tấn công đã xác định, cũng như các công cụ để tạo báo cáo văn bản và đồ họa.

7. Hệ thống hít

Hệ thống Snort là một sản phẩm phần mềm phi thương mại được phân phối theo giấy phép GNU GPL cùng với các thử nghiệm ban đầu. Mặc dù là phần mềm phi thương mại, hệ thống Snort vẫn được sử dụng trong một số công ty Nga như một phương tiện cơ bản để phát hiện các cuộc tấn công mạng.

Hệ thống Snort có thể hoạt động ở ba chế độ:

Phân tích các gói dữ liệu (chế độ đánh hơi);

Đăng ký gói dữ liệu trong nhật ký kiểm tra (chế độ ghi nhật ký gói);

Phát hiện các cuộc tấn công (phát hiện xâm nhập).

Ở chế độ phân tích gói dữ liệu, hệ thống Snort chặn các gói dữ liệu được truyền qua mạng và hiển thị nội dung của chúng trên màn hình. Việc khởi chạy SOA “Snort” ở chế độ ghi nhật ký gói dữ liệu cho phép bạn ghi lại tiêu đề và trường của gói dữ liệu được truyền trong nhật ký, được trình bày dưới dạng tệp văn bản. Chế độ hoạt động thứ ba của SOA “Snort” - chế độ phát hiện các cuộc tấn công của kẻ xâm nhập - là chế độ chính và nhằm phát hiện các hành vi xâm nhập bằng cách phân tích nội dung của các gói dữ liệu được truyền đi. Để phát hiện các cuộc tấn công, SOA sử dụng phương pháp tìm kiếm ngữ cảnh dựa trên chữ ký. Kết quả hoạt động của hệ thống có thể được ghi lại trong tập tin văn bản hoặc đăng ký trong MySql DBMS.

SOA "Snort" không phải là một hệ thống đóng về mặt chức năng và có thể được mở rộng thông qua các mô-đun phần mềm plug-in, được gọi là bộ tiền xử lý. Theo mặc định, SOA bao gồm các bộ tiền xử lý sau:

“http_inspect” - bộ tiền xử lý này được thiết kế để phát hiện những điểm bất thường trong nội dung của các yêu cầu HTTP được truyền đi;

bộ tiền xử lý “portscan detector”, cho phép bạn phát hiện các nỗ lực quét cổng của máy chủ AS;

"frag2" là bộ tiền xử lý cho phép bạn chống phân mảnh các gói dữ liệu IP. Việc thực hiện quy trình này cho phép bạn xác định các cuộc tấn công từ chối dịch vụ được thực hiện dựa trên các gói dữ liệu IP được chống phân mảnh không đúng cách;

Bộ tiền xử lý “thuổng” cho phép bạn phát hiện các cuộc tấn công dựa trên phân tích thống kê;

Bộ tiền xử lý “stream4” được thiết kế để phân tích các phiên TCP và xác định các gói trái phép vi phạm thuật toán thiết lập kết nối TCP;

“arpspoof” là bộ tiền xử lý cho phép bạn xác định các cuộc tấn công mạng được thực hiện dựa trên các lỗ hổng giao thức ARP;

Bộ tiền xử lý “rpc_decode”, được sử dụng để xử lý các lệnh được truyền qua giao thức RPC;

“bo” là bộ tiền xử lý được thiết kế để phát hiện hoạt động mạng trái phép liên quan đến hoạt động của phần mềm độc hại Back Orifice.

Hệ thống Snort có thể được cài đặt trong kênh liên lạc hoặc kết nối với cổng SPAN của switch. Snort SOA không bao gồm các công cụ điều khiển từ xa nên cách duy nhất để thay đổi các thông số vận hành hệ thống là thông qua giao diện dòng lệnh. Hệ thống cũng không cung cấp phương tiện thông thườngđể tạo ra các báo cáo về kết quả của hoạt động SOA.

Các hệ thống đầu tiên có thể phát hiện hoạt động mạng đáng ngờ trên mạng nội bộ của công ty đã xuất hiện gần 30 năm trước. Ví dụ, chúng ta có thể nhớ lại hệ thống MIDAS được phát triển vào năm 1988. Tuy nhiên, nó giống một nguyên mẫu hơn.

Trở ngại cho sự sáng tạo các hệ thống hoàn chỉnh Lớp này từ lâu đã có sức mạnh tính toán yếu trên nền tảng máy tính đại chúng và các giải pháp thực sự hoạt động chỉ được trình bày 10 năm sau đó. Một thời gian sau, các mẫu thương mại đầu tiên của hệ thống phát hiện xâm nhập (IDS, hay IDS - Hệ thống phát hiện xâm nhập) đã được đưa vào thị trường...

Ngày nay, nhiệm vụ phát hiện các cuộc tấn công mạng là một trong những nhiệm vụ quan trọng nhất. Tầm quan trọng của nó đã tăng lên do sự phức tạp ngày càng tăng của cả hai phương pháp tấn công cũng như cấu trúc liên kết và thành phần của mạng nội bộ hiện đại. Trong khi những kẻ tấn công trước đây chỉ có thể sử dụng một ngăn xếp khai thác phổ biến để thực hiện một cuộc tấn công thành công thì giờ đây chúng sử dụng các phương pháp phức tạp hơn nhiều, cạnh tranh về kỹ năng với các chuyên gia ở phía phòng thủ.

Yêu cầu hiện đại đối với IDS

Các hệ thống phát hiện xâm nhập được đăng ký trong cơ quan đăng ký phần mềm của Nga chủ yếu sử dụng các phương pháp chữ ký. Hoặc họ tuyên bố xác định được các điểm bất thường, nhưng phân tích nhiều nhất chỉ hoạt động trên dữ liệu không chi tiết hơn loại giao thức. "Pluto" dựa trên phân tích sâu các gói bằng tính năng phát hiện phần mềm. "Pluto" chồng dữ liệu của gói đến lên các chi tiết cụ thể của dữ liệu máy chủ - phân tích chính xác và linh hoạt hơn.

Trước đây, các phương pháp phân tích và chữ ký bề ngoài đã thực hiện thành công chức năng của chúng (vào thời điểm đó, những kẻ tấn công đã cố gắng khai thác các lỗ hổng phần mềm đã biết). Nhưng trong điều kiện hiện đại, các cuộc tấn công có thể được kéo dài theo thời gian (được gọi là APT), khi lưu lượng truy cập của chúng bị che giấu bằng mã hóa và làm xáo trộn (obfuscation), khi đó các phương pháp chữ ký không còn hiệu quả. Ngoài ra, các cuộc tấn công hiện đại sử dụng nhiều cách khác nhau bỏ qua ID.

Do đó, nỗ lực cần thiết để định cấu hình và duy trì các hệ thống phát hiện xâm nhập truyền thống có thể vượt quá giới hạn hợp lý và các doanh nghiệp thường kết luận rằng việc thực hiện như vậy là lãng phí tài nguyên. Kết quả là IDS tồn tại một cách chính thức, chỉ thực hiện nhiệm vụ hiện diện và hệ thống thông tin của doanh nghiệp vẫn không có khả năng tự vệ. Tình trạng này thậm chí còn gây ra tổn thất lớn hơn.

ID thế hệ mới

SOV PAK "Pluto", được phát triển bởi Jet Infosystems, là tổ hợp hiệu suất cao thế hệ mới để phát hiện các cuộc tấn công mạng. Không giống như IDS truyền thống, Pluto kết hợp phân tích đồng thời các gói mạng bằng phương pháp chữ ký và chẩn đoán với việc lưu trữ dữ liệu môi trường, cung cấp các phân tích sâu và mở rộng bộ dữ liệu để điều tra. Các phương pháp nâng cao để xác định các mối đe dọa tiềm ẩn, được bổ sung bằng dữ liệu lịch sử về môi trường mạng, lưu lượng truy cập cũng như nhật ký hệ thống khiến Pluto trở thành một thành phần quan trọng trong hệ thống bảo mật thông tin của doanh nghiệp. Hệ thống có khả năng xác định các dấu hiệu tấn công máy tính và sự bất thường trong hoạt động của các nút mạng trong các kênh liên lạc có dung lượng lớn hơn 1 Gbit/s.

Ngoài việc phát hiện các dấu hiệu máy tính tấn công vào hệ thống thông tin, Pluto còn cung cấp khả năng bảo vệ nghiêm túc cho các thành phần của chính nó, cũng như bảo vệ các kênh liên lạc: trong trường hợp thiết bị bị lỗi, kết nối sẽ không bị gián đoạn. Tất cả các thành phần của Sao Diêm Vương hoạt động theo một vòng khép kín môi trường phần mềm— điều này làm cho mã chương trình của bên thứ ba không thể chạy được và đóng vai trò như một sự đảm bảo bổ sung chống lại sự lây nhiễm phần mềm độc hại. Do đó, bạn có thể chắc chắn rằng Sao Diêm Vương sẽ không trở thành “cửa sổ” vào mạng của bạn cho những kẻ tấn công và sẽ không trở thành “cơn đau đầu” cho các nhà mạng và chuyên gia bảo mật.

“Sao Diêm Vương” giám sát cẩn thận “sức khỏe” của nó, giám sát tính toàn vẹn cấu hình của các thành phần hệ thống, dữ liệu về các sự kiện bảo mật thông tin mạng được thu thập và lưu lượng mạng. Điều này đảm bảo hoạt động chính xác của các thành phần hệ thống và theo đó là sự ổn định trong hoạt động của nó. Và việc sử dụng đặc biệt card mạng Là một phần của các thành phần giải pháp, nó cho phép bạn loại bỏ sự cố của các kênh liên lạc ngay cả trong trường hợp thiết bị bị hỏng hoàn toàn hoặc mất điện.

Có tính đến sự phức tạp của việc triển khai các hệ thống phát hiện xâm nhập, cũng như sự gia tăng liên tục về dung lượng kênh liên lạc, chúng tôi đã cung cấp khả năng triển khai linh hoạt chia tỷ lệ ngang các thành phần của phức hợp. Nếu có nhu cầu kết nối thêm các cảm biến mạng với hệ thống, chỉ cần cài đặt thêm một máy chủ quản lý, liên kết nó thành một cụm với máy chủ hiện có là đủ. Trong trường hợp này, sức mạnh tính toán của cả hai máy chủ sẽ được kết hợp một cách hợp lý thành một tài nguyên duy nhất. Vì vậy, việc tăng hiệu suất hệ thống trở thành một nhiệm vụ rất đơn giản. Ngoài ra, hệ thống có kiến ​​trúc có khả năng chịu lỗi: nếu một trong các thành phần bị lỗi, luồng sự kiện sẽ tự động được chuyển hướng đến các thành phần dự phòng của cụm.

Pluto dựa trên hơn 20 năm kinh nghiệm của chúng tôi trong việc triển khai và vận hành các hệ thống phòng thủ phức tạp. Chúng tôi biết nhiều nhất những vấn đề chung khách hàng và nhược điểm giải pháp hiện đại lớp IDS. Chuyên môn của chúng tôi cho phép chúng tôi xác định những vấn đề cấp bách nhất và giúp chúng tôi tìm ra những cách tối ưu để giải quyết chúng.

Hiện tại, tổ hợp Sao Diêm Vương đang trải qua quá trình chứng nhận từng thành phần đối với các yêu cầu đối với hệ thống phát hiện xâm nhập cấp độ mạng (cấp bảo vệ thứ 2) và về việc không có các khả năng chưa được khai báo (cấp kiểm soát thứ 2).

Chức năng của sao Diêm Vương:

Xác định các dấu hiệu tấn công máy tính trong lưu lượng mạng, bao gồm cả các dấu hiệu được phân phối theo thời gian, sử dụng các phương pháp chữ ký và heuristic;

Giám sát hoạt động bất thường của các nút mạng và xác định các dấu hiệu vi phạm chính sách bảo mật của công ty;

. Tích lũy và lưu trữ:

— dữ liệu hồi cứu về các sự kiện an toàn thông tin được phát hiện với độ sâu lưu trữ có thể tùy chỉnh;

- thông tin kiểm kê về nút mạng(hồ sơ chủ nhà);

— thông tin về truyền thông mạng của các nút, bao gồm số liệu thống kê mức tiêu thụ lưu lượng (từ mạng đến cấp ứng dụng theo mô hình OSI);

— siêu dữ liệu về các tập tin được truyền giữa các nút mạng;

Chuyển kết quả phân tích lưu lượng mạng sang các hệ thống an ninh bên ngoài để tăng hiệu quả xác định các loại sự cố an toàn thông tin;

Cung cấp bằng chứng dựa trên thực tế về các cuộc tấn công máy tính và truyền thông mạng để điều tra sự cố.

Những kẻ tấn công hiếm khi xâm chiếm mạng một cách bừa bãi với “vũ khí” trên tay. Họ thích kiểm tra xem khóa cửa có an toàn không và tất cả các cửa sổ đã đóng chưa. Họ lặng lẽ phân tích các mẫu lưu lượng truy cập vào và ra khỏi mạng của bạn, các địa chỉ IP riêng lẻ và đưa ra các yêu cầu có vẻ trung lập hướng đến từng người dùng và thiết bị mạng.

Để phát hiện những kẻ thù ngụy trang khéo léo này, bạn cần cài đặt phần mềm phát hiện tấn công mạng thông minh có độ nhạy cao. Sản phẩm đã mua phải cảnh báo quản trị viên không chỉ về các trường hợp vi phạm hệ thống bảo mật thông tin rõ ràng mà còn về bất kỳ sự kiện đáng ngờ nào mà thoạt nhìn có vẻ hoàn toàn vô hại nhưng thực tế lại che giấu một cuộc tấn công toàn diện của hacker. Không cần phải chứng minh rằng quản trị viên phải được thông báo ngay lập tức về bất kỳ nỗ lực nào nhằm bẻ khóa mật khẩu hệ thống.

Các tập đoàn hiện đại thực sự đang hứng chịu làn sóng tấn công từ những kẻ tấn công đang tìm cách đánh cắp thông tin có giá trị hoặc đơn giản là vô hiệu hóa hệ thống thông tin. Các mục tiêu theo đuổi trong cuộc chiến chống lại tin tặc khá rõ ràng:

– thông báo về nỗ lực truy cập trái phép phải ngay lập tức;

– đẩy lùi một cuộc tấn công và giảm thiểu tổn thất (để chống lại kẻ tấn công, bạn nên chấm dứt ngay phiên liên lạc với hắn);

– chuyển sang phản công (kẻ tấn công phải được xác định và trừng phạt).

Đây chính xác là kịch bản được sử dụng để thử nghiệm bốn hệ thống phát hiện tấn công mạng phổ biến nhất trên thị trường hiện nay:

– Cảnh báo xâm nhập;

– Phát hiện xâm nhập eTrust.

Các đặc điểm của hệ thống phần mềm được chỉ định để phát hiện các cuộc tấn công mạng được đưa ra trong Bảng. 3.2.

Chương trình BlackICE của Network ICE là một ứng dụng tác nhân chuyên dụng được thiết kế dành riêng cho việc xác định những kẻ xâm nhập. Sau khi phát hiện một vị khách không mời, nó sẽ gửi báo cáo về sự kiện này đến mô-đun điều khiển ICEcap, mô-đun này sẽ phân tích thông tin nhận được từ các tác nhân khác nhau và tìm cách khoanh vùng cuộc tấn công trên mạng.

Phần mềm Cảnh báo kẻ xâm nhập của Alert Technologies giống một bộ công cụ dành cho các chuyên gia bảo mật thông tin hơn vì nó mang lại sự linh hoạt tối đa trong việc xác định các chiến lược bảo vệ mạng.

Gói Centrax của CyberSafe được thiết kế trên cơ sở tất cả trong một: nó bao gồm các biện pháp kiểm soát bảo mật, giám sát lưu lượng, phát hiện tấn công và các thông báo cảnh báo.

Tính năng Phát hiện xâm nhập eTrust của Computer Associates đặc biệt mạnh mẽ trong việc giám sát bảo mật và quản lý chiến lược, mặc dù nó cũng bao gồm cảnh báo thời gian thực, mã hóa dữ liệu và phát hiện tấn công.

Bảng 3.2. Đặc điểm của hệ thống phần mềm phát hiện tấn công mạng
Hệ thống phần mềm	nhà chế tạo	Đặc điểm hệ thống
BlackICE (ứng dụng đại lý chuyên dụng)	Mạng ICE	Được cài đặt trên máy tính của người dùng từ xa hoặc trên máy chủ mạng công ty. Hiển thị cảnh báo về một cuộc tấn công trên màn hình điều khiển của người dùng. Báo cáo nỗ lực truy cập trái phép vào các công cụ giám sát mạng. Có khả năng tải xuống các chữ ký mới về các cuộc tấn công của hacker từ máy chủ. Xác định nguồn gốc của một cuộc tấn công mạng.
Cảnh báo kẻ xâm nhập (bộ công cụ phát hiện tấn công mạng)	Công nghệ cảnh báo	Lựa chọn chiến lược an ninh mạng. Hỗ trợ bộ quy tắc bảo vệ mạng ở mức độ cao. Tải chữ ký của các cuộc tấn công của hacker. Yêu cầu kỹ thuật viên có kinh nghiệm để bảo trì.
Centrax (bộ công cụ phát hiện tấn công mạng)	An toàn mạng	Giám sát hệ thống an ninh mạng. Giám sát lưu lượng truy cập. Đưa ra các thông báo cảnh báo về một cuộc tấn công mạng. Yêu cầu kỹ thuật viên có kinh nghiệm để bảo trì.
Phát hiện xâm nhập eTrust (phân tích lưu lượng mạng phân đoạn)	Cộng tác viên máy tính	Quản lý các chiến lược phòng thủ. Cung cấp cảnh báo tấn công theo thời gian thực. Giám sát lưu lượng truy cập. Cảnh báo quản trị viên về các hành vi vi phạm chiến lược bảo mật. Báo cáo sự hiện diện của ngôn từ tục tĩu trong email. Có thông tin về kẻ tấn công

Các cảnh báo do các đặc vụ BlackICE tạo ra rất cụ thể. Nội dung của tin nhắn sẽ không khiến quản trị viên nghi ngờ về bản chất của sự kiện đã đăng ký và trong hầu hết các trường hợp, tầm quan trọng của nó. Ngoài ra, sản phẩm còn cho phép quản trị viên tùy chỉnh nội dung thông báo cảnh báo của riêng mình nhưng nhìn chung việc này là không cần thiết.

Một tính năng rất hữu ích của sự phát triển Network ICE, cũng như gói Cảnh báo kẻ xâm nhập, là khả năng tải xuống các dấu hiệu mới nhất về các cuộc tấn công của hacker từ máy chủ.

Nỗ lực vô hiệu hóa máy chủ của công ty, do đó buộc phải từ chối các yêu cầu dịch vụ (từ chối dịch vụ), gây ra mối đe dọa khá nghiêm trọng đối với hoạt động kinh doanh của các công ty cung cấp dịch vụ cho khách hàng của họ qua mạng toàn cầu. Bản chất của cuộc tấn công là kẻ tấn công tạo ra hàng nghìn yêu cầu SYN (để thiết lập kết nối) gửi đến máy chủ bị tấn công. Mỗi yêu cầu được cung cấp một địa chỉ nguồn giả, điều này khiến việc xác định chính xác cuộc tấn công và truy tìm kẻ tấn công trở nên khó khăn hơn nhiều. Sau khi nhận được yêu cầu SYN tiếp theo, máy chủ giả định rằng chúng ta đang nói về việc bắt đầu một phiên giao tiếp mới và chuyển sang chế độ chờ truyền dữ liệu. Mặc dù không nhận được dữ liệu nào sau đó, máy chủ phải đợi một thời gian nhất định (tối đa 45 giây) trước khi ngắt kết nối. Nếu hàng nghìn yêu cầu sai này được gửi đến máy chủ trong vòng vài phút, nó sẽ bị quá tải, do đó đơn giản là không còn tài nguyên để xử lý các yêu cầu thực sự về việc cung cấp một dịch vụ cụ thể. Nói cách khác, một cuộc tấn công SYN sẽ từ chối dịch vụ đối với người dùng chính hãng.

Tất cả các hệ thống được mô tả, ngoại trừ Hệ thống phát hiện xâm nhập eTrust của Computer Associates, đều sử dụng mô hình tác nhân phần mềm được cài đặt lần đầu trên các thiết bị mạng, sau đó thu thập thông tin về các cuộc tấn công tiềm ẩn và gửi đến bảng điều khiển. Các tác nhân phát hiện các hành vi vi phạm chiến lược bảo mật đã thiết lập và sau đó tạo ra các thông báo thích hợp.

Các hệ thống dựa trên tác nhân là giải pháp tốt nhất cho các mạng chuyển mạch vì trong các mạng như vậy không có một điểm duy nhất nào mà tất cả lưu lượng nhất thiết phải đi qua. Thay vì giám sát một kết nối duy nhất, tác nhân sẽ giám sát tất cả các gói được gửi hoặc nhận bởi thiết bị nơi nó được cài đặt. Kết quả là những kẻ tấn công không thể “ngồi ngoài” đằng sau switch.

Điều này có thể được minh họa bằng ví dụ về các sản phẩm Network ICE. Chương trình BlackICE được giao vai trò của một tác nhân được cài đặt trong môi trường hoạt động hoàn toàn tự chủ, chẳng hạn như trên máy tính của người dùng từ xa hoặc trên một trong các nút của mạng dữ liệu công ty. Nếu tác nhân phát hiện hacker tấn công máy từ xa, nó sẽ hiển thị cảnh báo trực tiếp trên màn hình. Nếu một sự kiện tương tự được phát hiện trên mạng công ty, thông báo về nỗ lực truy cập trái phép sẽ được truyền đến một ứng dụng khác - ICEcap, ứng dụng này chứa các công cụ giám sát mạng. Sau này thu thập và so sánh thông tin đến từ các tác nhân khác nhau cấp dưới của nó và điều này mang lại cho nó khả năng nhanh chóng xác định các sự kiện thực sự đe dọa đến an ninh của mạng.

Ngược lại, hệ thống eTrust dựa trên kiến ​​trúc tập trung. Nó được cài đặt trên nút trung tâm và phân tích lưu lượng trong phân đoạn mạng cấp dưới. Sự vắng mặt của các tác nhân không cho phép sản phẩm này giám sát tất cả các sự kiện trong mạng chuyển mạch, vì không thể chọn một “nền tảng xem” duy nhất mà từ đó có thể nhìn thấy toàn bộ mạng trong nháy mắt.

Gói Cảnh báo Kẻ xâm nhập và hệ thống Centrax do CyberSafe sản xuất giống như một bộ công cụ để xây dựng hệ thống phát hiện tấn công mạng của riêng bạn. Để tận dụng tối đa khả năng của họ, một tổ chức phải có đội ngũ nhân viên lập trình viên có trình độ phù hợp hoặc có ngân sách để đặt hàng công việc đó.

Mặc dù thực tế là tất cả các sản phẩm được mô tả đều dễ cài đặt, nhưng việc quản lý hệ thống Cảnh báo kẻ xâm nhập và Centrax không thể gọi là đơn giản. Ví dụ: nếu Centrax đưa ra thông báo cảnh báo về nội dung không xác định hoặc không xác định (và tình huống này đã xảy ra nhiều lần trong các thử nghiệm của chúng tôi), quản trị viên khó có thể nhanh chóng xác định điều gì đã thực sự xảy ra, đặc biệt nếu anh ta phải tham khảo sự kiện log để làm rõ chẩn đoán. Các tệp này đã hoàn chỉnh một cách đầy đủ, nhưng các nhà phát triển dường như đã quyết định rằng một người bình thường chỉ cần gợi ý về những gì họ có thể đang nói đến và bản chất của những gì đang xảy ra sẽ được xác định rõ ràng. Nhật ký của hệ thống này chứa các mô tả về các cảnh báo được đưa ra nhưng không chứa thông tin nhận dạng của chúng. Quản trị viên nhìn thấy các địa chỉ cổng có liên quan đến các yêu cầu đáng ngờ hoặc các tham số của các hoạt động khác, nhưng không nhận được bất kỳ thông tin nào về ý nghĩa của tất cả những điều này.

Tình huống này làm giảm đáng kể giá trị của các thông báo được đưa ra trong thời gian thực, vì không thể hiểu ngay liệu mô tả sự kiện có phản ánh mối đe dọa thực sự đối với hệ thống bảo mật hay đó chỉ là một nỗ lực nhằm tiến hành phân tích lưu lượng truy cập kỹ lưỡng hơn. Nói cách khác, việc mua những sản phẩm này chỉ có ý nghĩa nếu tổ chức của bạn có đội ngũ chuyên gia bảo mật thông tin giàu kinh nghiệm.

Phần mềm Phát hiện xâm nhập eTrust của Computer Associates không chỉ là một hệ thống giám sát hoạt động mạng và phát hiện các cuộc tấn công của hacker. Sản phẩm này không chỉ có khả năng giải mã các gói thuộc nhiều giao thức và lưu lượng dịch vụ khác nhau mà còn chặn chúng để xuất ra bảng điều khiển quản lý ở định dạng ban đầu sau đó. Hệ thống giám sát tất cả lưu lượng TSRYAR và cảnh báo quản trị viên về các trường hợp vi phạm chiến lược bảo mật thông tin đã thiết lập. Tuy nhiên, sự phát triển này không hỗ trợ mức độ chi tiết trong bộ quy tắc như Cảnh báo kẻ xâm nhập.

Tuy nhiên, việc phát hiện các nỗ lực truy cập trái phép và đưa ra thông báo cảnh báo chỉ là một nửa trận chiến. Phần mềm an ninh mạng phải ngăn chặn hành động của hacker và có biện pháp đối phó. Theo nghĩa này, ấn tượng tốt nhất được tạo ra bởi các gói Cảnh báo kẻ xâm nhập và Centrax, cũng chính là những gói đã gây ra những chỉ trích đáng kể về cài đặt cấu hình. Nếu phần mềm Network ICE và eTrust đóng ngay lập tức các phiên giao tiếp đe dọa thì hệ thống Cảnh báo kẻ xâm nhập và Centrax còn tiến xa hơn nữa. Ví dụ: ứng dụng Axent Technologies có thể được cấu hình để chạy một tệp bó cụ thể tùy thuộc vào bản chất của các sự kiện được ghi lại, chẳng hạn như khởi động lại máy chủ đã bị tấn công từ chối dịch vụ.

Sau khi đẩy lùi cuộc tấn công, bạn muốn ngay lập tức phản công. Các ứng dụng Black-ICE và Centrax duy trì các bảng có ID hacker. Các bảng này được điền sau khi lần theo toàn bộ đường dẫn đến “hang ổ” nơi kẻ thù đang ẩn náu. Khả năng của phần mềm BlackICE đặc biệt ấn tượng khi xác định nguồn gốc của một cuộc tấn công, dù nằm trong hay ngoài mạng: mặc dù có nhiều thao tác thông minh, chúng tôi không bao giờ có thể ẩn danh.

Nhưng hệ thống eTrust gây ấn tượng ở mức độ thâm nhập vào bản chất hoạt động của từng người dùng mạng, thậm chí thường không nghi ngờ rằng mình đang bị giám sát chặt chẽ. Đồng thời, gói này cung cấp thông tin đầy đủ nhất (và có lẽ là chính xác nhất) về những kẻ tấn công, thậm chí cả về vị trí của chúng.

Ứng dụng Centrax có khả năng tạo cái gọi là tệp mồi nhử, đặt cho tệp phụ một cái tên có ý nghĩa như “Vedomosti.xls” và do đó đánh lừa những người dùng tò mò quá mức. Thuật toán này có vẻ quá đơn giản đối với chúng tôi, nhưng nó cũng có thể làm rất tốt: với sự trợ giúp của nó, có thể “bắt” nhân viên “rà soát” mạng công ty để xác định thông tin bí mật.

Mỗi sản phẩm phần mềm được xem xét đều tạo ra các báo cáo về hoạt động mạng đáng ngờ. Các ứng dụng Phát hiện xâm nhập ICEcap và eTrust nổi bật nhờ chất lượng cao của các báo cáo như vậy và sự dễ dàng khi làm việc với chúng. Gói thứ hai đặc biệt linh hoạt, có lẽ vì nó bắt nguồn từ bộ giải mã giao thức. Đặc biệt, quản trị viên có thể phân tích các sự kiện mạng theo từng tài nguyên riêng lẻ, có thể là giao thức, trạm khách hoặc máy chủ. eTrust đi kèm với nhiều định dạng báo cáo được thiết kế sẵn. Cấu trúc được cân nhắc kỹ lưỡng của chúng giúp phát hiện những kẻ xâm nhập dễ dàng hơn nhiều và cho phép bạn trừng phạt những người dùng có tội.

Mỗi sản phẩm đều có điểm mạnh và điểm yếu riêng nên chỉ có thể khuyên dùng để giải quyết một số vấn đề nhất định. Khi nói đến việc bảo vệ các mạng chuyển mạch, Network ICE, Axent Technologies và CyberSafe là những lựa chọn tốt. eTrust Intrusion Development là giải pháp lý tưởng để thông báo kịp thời các hành vi vi phạm đạo đức kinh doanh, chẳng hạn như việc sử dụng ngôn từ tục tĩu trong email. Hệ thống Cảnh báo xâm nhập và Centrax là những công cụ tuyệt vời dành cho các nhà tư vấn và tổ chức bảo mật thông tin có đội ngũ chuyên gia trong lĩnh vực này. Tuy nhiên, đối với những công ty không đủ khả năng sử dụng dịch vụ của các chuyên gia được trả lương cao, chúng tôi khuyên bạn nên cài đặt các sản phẩm Network ICE. Những ứng dụng này sẽ thay thế một chuyên gia an ninh mạng thực thụ tốt hơn bất kỳ hệ thống nào khác mà chúng ta từng thấy.

Xâm nhập vào người khác mạng không dây– sao lại không vui nhỉ?! Chơi xung quanh và bạn sẽ bị lạc. Hacker không kết nối với mạng qua dây và có thể ở bất cứ đâu, miễn là có khả năng thu sóng đáng tin cậy. Trong ô tô, trên đường phố chẳng hạn. Hãy cố gắng bắt nó! Nhưng tôi sẽ nói với bạn điều này: tất cả những điều này là một quan niệm sai lầm phổ biến. Các công nghệ bảo vệ đang phát triển và ngay cả việc quét sóng tầm thường bằng các chương trình thông thường cũng sẽ khiến bạn hoàn toàn bị loại. Bạn không biết à?

Làm thế nào để phát hiện quét?

Để tìm gần đó các thiết bị không dây, và do đó
mạng không dây, sử dụng máy quét đặc biệt ether. Bạn đặt thứ này vào máy tính xách tay hoặc PDA của mình và đi dạo quanh thành phố, trong khi chương trình lưu giữ nhật ký của tất cả các điểm truy cập được tìm thấy, cho biết SSID (mã định danh mạng), nhà sản xuất thiết bị, cơ chế mã hóa, tốc độ hoạt động và thậm chí cả tọa độ nếu có GPS. được kết nối với mô-đun máy tính xách tay.

Phần mềm quen thuộc - Netstambler, Macstambler, Kismet (hoặc phiên bản dành cho Windows - Kiswin) - sẽ quét không khí ngay lập tức và hiển thị tất cả thông tin trên màn hình.

Nhưng có một cái ở đây tâm điểm, điều mà nhiều người thậm chí còn không biết! Những máy quét này không chỉ quét sóng một cách thụ động mà còn sử dụng các phương pháp nghiên cứu chủ động, gửi các gói tin đặc biệt tới mạng. Nếu bạn quét chương trình phát sóng bằng Netstambler thì hãy coi như bạn đã cho đi sự hiện diện của mình. Thật tốt nếu
mạng không dây- đây là một điểm truy cập đơn độc, thậm chí không có khả năng thay đổi mật khẩu quản trị thông qua bảng điều khiển web. Nhưng nếu đây là một công ty nghiêm túc thì bất kỳ hoạt động nào như vậy (trong vòng Mạng kín) sẽ bị nghi ngờ. Và đây là vấn đề.

Khi quá trình quét thụ động được thực hiện (theo tiêu chuẩn 802.11, tức là Wi-Fi), không có gì khủng khiếp xảy ra, nhưng hiệu quả của việc quét như vậy là bằng không! Ngay khi có được thông tin mật về mạng (có thể rất hữu ích đối với kẻ tấn công), kẻ theo dõi sẽ tiết lộ sự hiện diện của nó nhờ khung LLC/SNAP đặc biệt.

3 năm trước (23 tháng 3 năm 2004), nhà nghiên cứu hacker Mike Craik đã đề xuất một mã định danh duy nhất có thể được sử dụng để phát hiện lưu lượng truy cập chương trình NetStumbler: Các khung LLC do máy quét tạo ra và chứa mã định danh duy nhất (OID) 0x00601d và mã định danh giao thức (PID) ) 0x0001. Ngoài ra, một biến chuỗi đặc biệt được truyền qua trường dữ liệu 58 byte chứa thông tin về phiên bản sản phẩm trong cái gọi là "Trứng Phục sinh":

0.3.2 Flurble gronk bloopit, bnip Frundletrune
0.3.2 Tất cả 802.11b của bạn thuộc về chúng tôi
0.3.3 "cố ý để trống"

Có thể có nhiều lý do dẫn đến những cạm bẫy như vậy, bao gồm cả yêu cầu của cơ quan điều hành, những người mà tác giả của một chương trình miễn phí đương nhiên không muốn tranh cãi. Để loại bỏ Easter egg, bạn nên đào sâu vào tệp nhị phân netstumbler.exe bằng trình chỉnh sửa tài nguyên và thay đổi nó. Nhưng điều này sẽ không giải quyết được vấn đề phát hiện quét (không thể làm được gì với khung LLC). Và nhân tiện, Ministumbler là một công cụ cùng dòng, chỉ dành cho nền tảng Pocket PC, -
chứa đựng những cạm bẫy tương tự.

Còn giải pháp thay thế cho Netstumbler thì sao?

Bây giờ đã rõ việc quét thường xuyên có thể giúp bạn phát hiện như thế nào? Và có vẻ như bạn chưa làm gì cả nhưng bạn đã có thể bị trúng một đòn vào đầu. Còn Netstumbler thì sao, phần mềm nào khác thì sao. Chúng ta hãy xem xét một vài ví dụ.

Đây là máy quét BSD nổi tiếng nhất mạng không dây , không giống như Netstumbler, có thể tiến hành quét thụ động (chế độ RFMON), nghĩa là nó xác định sự hiện diện của điểm truy cập và SSID của nó. Tuy nhiên, nó cũng có các thuộc tính độc quyền ở chế độ quét hoạt động. Trong khi tìm kiếm điểm truy cập, chương trình sẽ tạo ra số lượng lớn yêu cầu (frame_control 0x0040). Sau khi nhận được phản hồi của điểm truy cập đối với yêu cầu đó, một nỗ lực sẽ được thực hiện để yêu cầu ủy quyền (0x0b) và liên kết (0x0c). Các giá trị này là hằng số, có nghĩa là
cấp quyền sử dụng chúng như một mã định danh duy nhất.

Có thể ai đó sẽ đọc được điều này và nghĩ: “Có vấn đề gì vậy? Sử dụng cùng một cách, quét thụ động, thế là xong! Hãy lấy máy quét Wellenreiter, có trong bản phân phối LiveCD của hacker nổi tiếng - BackTrack. Tiện ích này được thiết kế riêng cho môi trường Unixware và tất nhiên sử dụng iwconfig làm điều kiện khởi động cơ bản. Sau khi nhận dạng
Thẻ không dây ESSID sẽ được tự động đặt thành “Cái này được sử dụng cho wellenreiter” và địa chỉ MAC sẽ được cấu hình thành ngẫu nhiên. Lại nhạt nhòa!

Sau thất bại như vậy, thậm chí có người còn bỏ cuộc. Không phải phần mềm mà là một lỗi thực sự đối với hacker. Phải làm gì? Sử dụng cơ chế Windows? Bạn không cần phải tải xuống bất cứ thứ gì và nói chung nó hoạt động khá tốt - nó có vẻ như là một lựa chọn tốt... Cho dù nó thế nào đi chăng nữa! Cơ chế của nó cũng sử dụng chế độ quét chủ động; các yêu cầu tương tự được gửi cùng với SSID quảng bá và mã nhận dạng phần mềm duy nhất, đây sẽ là cơ sở để phát hiện kiểu quét này. Đoạn duy nhất nằm trong phần “Bộ tham số SSID” và bao gồm 32 byte.

Sử dụng chức năng của trình thám thính Ethereal (Wireshark), bạn có thể dễ dàng xác định hoạt động như vậy của một hacker “trên không” tiềm năng:

Netstumbler: wlan.fc.type_subtype eq 32 và llc.oui eq 0x00601d và llc.pid eq 0x0001

Dstumbler: (wlan.seq eq 11 và wlan.fc.subtype eq 11) hoặc (wlan.seq eq 12 và wlan.fc.subtype eq 00)

Làm thế nào để bắt một kẻ bắt nạt?

Điều quan trọng không phải là phát hiện các hành động trái phép trên mạng mà là xác định người phạm tội. Ở đây nảy sinh một câu đố nhất định, vì bản thân tính di động của công nghệ Wi-Fi ban đầu cũng có ý nghĩa tương tự. khách hàng di động, có thể di chuyển trong phiên mạng. Nhiệm vụ của chúng ta sẽ là phát triển một sơ đồ cơ sở hạ tầng mạng trong đó có ít nhất hai điều kiện tiên quyết cho thấy sự hiện diện của kẻ tấn công trong vùng phủ sóng vô tuyến đáng tin cậy. Các phương pháp phát hiện kẻ tấn công thường dựa trên dữ liệu đến từ các nguồn khác nhau. người bạn ở xa từ các nguồn khác. Đồng thời, dữ liệu về mức độ tiếp nhận của thuê bao cũng như thông tin từ nhật ký của hệ thống phát hiện xâm nhập được phân tích.
(IDS).

Nhật ký hệ thống IDS, ghi lại hoạt động của các kết nối không dây sử dụng cơ chế Windows XP tiêu chuẩn

Trong sơ đồ được trình bày, chúng ta có một mô hình cài đặt tầm thường: các điểm Y và Z đóng vai trò là “màn hình” AP (cảm biến tấn công), bằng cách này hay cách khác truyền sự kiện “đã xảy ra quét” đến một hệ thống đặc biệt. Cuối hành lang được giới hạn bởi tường bê tông, cách ly tín hiệu khỏi nhiễu từ bên ngoài. Bằng cách đặt giới hạn vùng phủ sóng vô tuyến của một điểm (ví dụ: 10 mét), bạn có thể phát triển các hành động để ứng phó với các sự kiện đáng ngờ.

Mô hình logic an ninh tòa nhà có sự tham gia của cảm biến

Không khó để đoán rằng nếu nhất quán Vấp ngã từ điểm z,yđến x, thì kẻ tấn công đang ở trong một không gian hình vuông được xác định rõ ràng. Theo đó, việc tạo kiến trúc tương tự bằng cờ và dựa vào sự chú ý cũng như một bộ phần mềm nhất định, bạn có thể hướng dẫn dịch vụ bảo mật di chuyển theo các hướng thích hợp.

Câu hỏi vẫn là: làm thế nào để ghi lại hành động của máy quét? Điều này được thực hiện bằng các giải pháp phần mềm sau.

Khịt mũi không dây

Địa chỉ: snort-wireless.org
Nền tảng: Unix

Một loại "báo cháy" sẽ cảnh báo hầu hết mọi nỗ lực hack. Điều chính là tất cả các quy tắc hay nói cách khác là các mẫu được xác định trước đều được cấu hình chính xác
tấn công và các đối tượng độc hại. Snort Wireless hoạt động tương tự như Snort phổ biến, nhưng ở
mạng không dây 802.11x, bảo vệ họ khỏi bị tấn công. Việc thiết lập đi đến các điểm sau:

• chỉ báo thông tin về khu vực được bảo vệ (thông số mạng, tên điểm truy cập);
• cấu hình tiền xử lý;
• cấu hình plugin;
• thêm quy định riêng.

Điểm quan trọng nhất ở đây là cấu hình của bộ tiền xử lý, nhờ đó quá trình chuyển đổi từ gợi ý sang
tấn côngđể chống cảnh báo.

Bộ tiền xử lý chống Stumbler. Để khám phá các điểm truy cập, Netstumbler phát các SSID rỗng, buộc các điểm truy cập khác gửi SSID của họ cho chúng tôi. Snort nhận ra bản chất to lớn của trường hợp này từ một địa chỉ MAC và đưa ra cảnh báo. Ngoài ra, bộ Snort Wireless còn chứa các bộ tiền xử lý để phát hiện quét thụ động và các nỗ lực giả mạo.
MAC.

Bộ tiền xử lý chống lũ lụt. Khi vượt quá một số lượng khung nhất định trên một đơn vị thời gian hoặc vượt quá số lần ủy quyền, Từ chối dịch vụ sẽ được ghi nhận
Tấn công.

Bộ tiền xử lý chống giả mạo Mac. Xác định sự không nhất quán và so sánh với cơ sở dữ liệu của các khách hàng đáng tin cậy.

Sau khi chỉnh sửa tất cả các tham số, tệp snort.conf sẽ được cập nhật và bạn có thể chạy daemon ở chế độ nền:

Khịt mũi -D -A đầy l

kính Nssys

Địa chỉ: home.comcast.net/~jay.deboer/nsspyglass
Nền tảng: Windows

Netstumbler Spyglass sử dụng nguyên tắc tương tự như bộ tiền xử lý Snort Wireless. Thật không may, do số lượng thiết bị được hỗ trợ ít nên nó không được sử dụng thường xuyên. Hãy xem việc thiết lập nó bằng bộ định tuyến LinkSys làm ví dụ. Trước khi bắt đầu công việc, bạn cần đảm bảo rằng mình có trình điều khiển WinPcap
(winpcap.polito.it).

Cấu hình Nssys yêu cầu bộ điều hợp mạng

0402011110BB Địa chỉ MAC của điểm truy cập (Không có dấu hai chấm và không có dấu cách)
C:\windows\calc.exe
0
5
C:\windows\notepad.exe
0
1
1
0
1
0
1

Trong một cấu hình khó hiểu như vậy, chính con quỷ sẽ bị gãy chân nên tôi sẽ giải thích mọi thứ theo thứ tự. Ở dòng đầu tiên, bạn cần nhập địa chỉ MAC của điểm truy cập. Dòng thứ hai chỉ định đường dẫn đến ứng dụng sẽ được khởi chạy khi xác định được kẻ tấn công. Cái thứ ba lấy giá trị 0 hoặc 1, tùy thuộc vào mong muốn khởi chạy ứng dụng được chỉ định của bạn hay không. Dòng thứ tư là thời gian chờ tính bằng giây trước khi khởi chạy ứng dụng tiếp theo sau khi phát hiện wardriver. Dòng thứ năm và thứ sáu tương tự như dòng thứ hai và thứ ba, nhưng chỉ là ứng dụng tiếp theo. Phần thứ bảy xác định việc ghi lại lịch sử sự kiện trong nhật ký NSSpyglassLog.txt. Phần còn lại không thành vấn đề - hãy sao chép nó.

Sau khi dùng thử phần mềm này, Nestumbler tôi thậm chí còn không muốn sử dụng nó nữa

bẫy máy bay

Địa chỉ: home.comcast.net/~jay.deboer/airsnare
Nền tảng: Windows

Nếu các thiết bị tương tự (ví dụ: máy tính xách tay của nhân viên) hoạt động trên mạng, thì bạn có thể dễ dàng thêm địa chỉ MAC của chúng vào “danh sách trắng” và theo dõi sự xuất hiện của các thiết bị của bên thứ ba không có trong danh sách này. Đặc biệt, chương trình Airsnare dựa trên nguyên tắc đơn giản này. Tất cả những gì bạn cần để làm việc là thư viện WinPcap (winpcap.polito.it) và một máy tính miễn phí được kết nối với
điểm truy cập không dây. Trong cài đặt chương trình, đừng quên chọn bộ điều hợp cần thiết và thêm vào danh sách Friendly Mac tất cả các thiết bị đáng tin cậy được kết nối với mạng của bạn, bao gồm máy Mac, Xbox, máy chủ in mạng, máy tính xách tay, iPod có Wi-Fi nâng cao và những thứ tương tự thời trang. Chúng ta nhấn “Bắt đầu” và màn hình chuyển màu sang màu đỏ chứng tỏ xe của bạn đã vào chế độ chiến đấu, chế độ truy lùng hacker nổi mụn.

Giám sát sinh viên truy cập mạng là điều hiển nhiên

Phương thức hoạt động

Tất cả những ví dụ này đều liên quan đến hệ thống phát hiện tĩnh theo cách này hay cách khác.
tấn công trong môi trường không dây. Nhưng có lẽ còn có những kỹ thuật phức tạp và hiệu quả hơn để phát hiện kẻ xâm nhập! Tôi muốn thu hút sự chú ý của bạn đến hệ thống
Kiểm tra viên bảo mật không dây phân tán, về cơ bản khác với phần còn lại.

DWSA phức tạp trong người! Điểm truy cập, nhân viên, thiết bị đáng tin cậy và thậm chí cả những kẻ xâm nhập - mọi thứ đều ở chế độ xem đầy đủ.

Khả năng của DWSA giúp xác định vị trí vật lý của kẻ tấn công và thậm chí hiển thị nó trên bản đồ tương tác, nghĩa là thực hiện tham chiếu thực sự đến khu vực. Điều này trở nên khá thực tế do việc giám sát mạng phân tán liên tục. Việc này được thực hiện như sau: một số lượng nhân viên nhất định của công ty, chẳng hạn như dịch vụ bảo mật, được cấp máy tính xách tay có cài đặt đặc biệt. thiết bị phần mềm. Song song với điều này, một máy chủ bảo mật phụ trợ được cài đặt, máy chủ này sẽ đọc thông tin mục tiêu từ thiết bị của nhân viên, đồng thời xác định vị trí của chúng so với các điểm truy cập dựa trên thông tin về tín hiệu và vùng phủ sóng vô tuyến của chúng. Dữ liệu này được xử lý tập trung bởi một máy chủ đặc biệt. Nó phân tích trạng thái phát sóng vô tuyến của nhiều nguồn khác nhau và sử dụng các định luật hình học và toán học rời rạc để xác định vị trí gần đúng của vật thể. Rõ ràng là càng có nhiều yếu tố tham gia vào hoạt động của hệ thống giám sát phân tán thì độ chính xác của việc xác định trong một khu vực nhất định sẽ càng cao.

Nguyên tắc nào làm cơ sở cho việc xác định tọa độ của một vật thể? Tam giác tầm thường, cũng được sử dụng trong hệ thống định vị toàn cầu GPS. Theo thông lệ, người ta thường sử dụng một sự phát triển của IBM có tên là Kiểm toán viên bảo mật không dây (WSA) làm thiết bị di động này. Thiết bị này là một chiếc PDA iPAQ rất bình thường với một thiết kế đặc biệt. Phân phối Linux và một bộ công cụ được cài đặt sẵn để kiểm tra và kiểm tra bút
mạng không dây: wlandump, ethereal, Sniffer, v.v. Bằng cách sử dụng chúng, về cơ bản, nhân viên đang tiến hành kiểm tra tích cực, báo cáo cho máy chủ chính.

Phương pháp tam giác ngón tay

Ôi địa chỉ MAC đó

Thậm chí chỉ cần tìm một người lạ trên mạng, bạn có thể tìm hiểu điều gì đó về anh ấy. Cùng một địa chỉ MAC, một tính năng độc đáo của bất kỳ thiết bị nào, sẽ cung cấp một số thông tin. Rất dễ dàng để thiết lập mối liên hệ giữa anh ấy và nhà sản xuất thiết bị. Thực tế là theo octet đầu tiên của MAC và
Cơ sở dữ liệu OUI có thể tương quan bằng cách xác định nhà sản xuất. Hãy nhớ rằng, Netstumbler đặc biệt dựa vào điều này khi tìm điểm, làm nổi bật thiết bị được sử dụng, chẳng hạn như CISCO, trong cột VENDOR. Trong cơ sở dữ liệu OUI nó trông như thế này:

00-00-0C (hex) HỆ THỐNG CISCO, INC.
00000C (cơ sở 16) HỆ THỐNG CISCO, INC.

Các cơ quan chuyên môn lưu giữ hồ sơ về những thông tin đó liên quan đến thiết bị được bán. Bằng cách liên hệ với công ty sản xuất, các cơ quan có thẩm quyền trước hết sẽ xác định nó được phân phối đến điểm nào và bán cho người nào. Các khoản cho vay và thẻ nhựa vẫn chưa có ai hủy bỏ nó, vì vậy với một chút may mắn và sự sẵn có của các cơ hội (mà chính quyền có), bạn có thể tìm thấy một hacker, thậm chí có vẻ như biết được một loại địa chỉ MAC nào đó. Chà, bạn có nghi ngờ về khả năng ẩn danh hoàn toàn của mình không?