Phát hiện các cuộc tấn công mạng. APS - phát hiện các cuộc tấn công của hacker

Thủ tục khi phát hiện tấn công mạng.

1. Phân loại tấn công mạng

1.1. Máy dò gói

Trình nghe lén gói tin là một chương trình ứng dụng sử dụng thẻ kết nối, hoạt động ở chế độ lăng nhăng ( ở chế độ này, tất cả các gói nhận được qua các kênh vật lý sẽ được bộ điều hợp mạng gửi đến ứng dụng để xử lý). Trong trường hợp này, sniffer chặn mọi thứ gói mạng, được truyền qua một miền cụ thể.

1.2. giả mạo IP

Giả mạo IP xảy ra khi một hacker, bên trong hoặc bên ngoài hệ thống, mạo danh người dùng được ủy quyền. Điều này có thể được thực hiện theo hai cách. Đầu tiên, tin tặc có thể sử dụng địa chỉ IP nằm trong phạm vi địa chỉ IP được ủy quyền hoặc địa chỉ bên ngoài được ủy quyền được phép truy cập vào một số tài nguyên mạng nhất định. Các cuộc tấn công giả mạo IP thường là điểm khởi đầu cho các cuộc tấn công khác. Một ví dụ điển hình là cuộc tấn công DoS, bắt đầu bằng địa chỉ của người khác, che giấu danh tính thực sự của hacker.

Thông thường, việc giả mạo IP được giới hạn ở việc chèn thông tin sai lệch hoặc các lệnh độc hại vào luồng dữ liệu thông thường được truyền giữa ứng dụng khách và máy chủ hoặc qua kênh liên lạc giữa các thiết bị ngang hàng. Để liên lạc hai chiều, hacker phải thay đổi tất cả các bảng định tuyến để hướng lưu lượng truy cập đến địa chỉ IP sai. Tuy nhiên, một số tin tặc thậm chí không cố gắng nhận được phản hồi từ ứng dụng. Nếu như nhiệm vụ chinh là nhận một tập tin quan trọng từ hệ thống, phản hồi của ứng dụng không thành vấn đề.

Nếu tin tặc quản lý để thay đổi bảng định tuyến và hướng lưu lượng truy cập đến địa chỉ IP sai, tin tặc sẽ nhận được tất cả các gói và có thể phản hồi chúng như thể anh ta là người dùng được ủy quyền.

1.3. Từ chối dịch vụ ( Từ chối dịch vụ - DoS)

DoS là nhất hình thức đã biết tin tặc tấn công. Những kiểu tấn công này là khó tạo ra sự bảo vệ 100% nhất.

Các loại DoS nổi tiếng nhất:

• TCP SYN Flood Ping của Mạng lũ Death Tribe ( TFN);
• Mạng lưới lũ lụt bộ lạc 2000 ( TFN2K);
• Trinco;
• Stacheldracht;
• Ba ngôi.

Các cuộc tấn công DoS khác với các loại tấn công khác. Chúng không nhằm mục đích giành quyền truy cập vào mạng hoặc lấy bất kỳ thông tin nào từ mạng đó. Một cuộc tấn công DoS khiến mạng không thể sử dụng bình thường bằng cách vượt quá giới hạn chấp nhận được của mạng, hệ điều hành hoặc ứng dụng.

Khi sử dụng một số ứng dụng máy chủ (chẳng hạn như máy chủ Web hoặc máy chủ FTP) Các cuộc tấn công DoS có thể đơn giản như việc chiếm đoạt tất cả các kết nối có sẵn cho các ứng dụng này và khiến chúng bận rộn, ngăn cản việc phục vụ người dùng bình thường. Các cuộc tấn công DoS có thể sử dụng các giao thức Internet phổ biến như TCP và ICMP ( Giao thức Thông báo Kiểm soát Internet). Hầu hết các cuộc tấn công DoS không dựa vào lỗi phần mềm hoặc lỗ hổng bảo mật mà dựa vào những điểm yếu chung trong kiến ​​trúc hệ thống. Một số cuộc tấn công làm tê liệt hiệu suất mạng bằng cách làm tràn ngập các gói không mong muốn và không cần thiết hoặc thông tin sai lệch về trạng thái hiện tại của tài nguyên mạng. Kiểu tấn công này khó ngăn chặn vì cần có sự phối hợp với ISP. Nếu nhà cung cấp không thể dừng lưu lượng truy cập nhằm làm tràn mạng của bạn, thì khi vào mạng, bạn sẽ không thể thực hiện việc này nữa vì tất cả băng thông sẽ bị chiếm dụng. Khi kiểu tấn công này được thực hiện đồng thời thông qua nhiều thiết bị, cuộc tấn công là DoS phân tán ( DDoS - DoS phân tán).

1.4. Tấn công mật khẩu

Tin tặc có thể thực hiện các cuộc tấn công mật khẩu bằng một số phương pháp, chẳng hạn như vũ lực ( tấn công vũ phu), ngựa Trojan, giả mạo IP và đánh hơi gói tin. Mặc dù thông tin đăng nhập và mật khẩu thường có thể lấy được thông qua việc giả mạo IP và đánh hơi gói tin, nhưng tin tặc thường cố gắng đoán mật khẩu và đăng nhập thông qua nhiều lần truy cập. Cách tiếp cận này được gọi là liệt kê đơn giản (tấn công bạo lực). Thường được sử dụng cho một cuộc tấn công như vậy chương trình đặc biệtđang cố truy cập tài nguyên được chia sẻ ( ví dụ: đến máy chủ). Kết quả là, nếu hacker có được quyền truy cập vào tài nguyên, anh ta sẽ có được quyền truy cập vào các quyền của một người dùng thông thường có mật khẩu đã được đoán. Nếu người dùng này có các đặc quyền truy cập quan trọng, tin tặc có thể tạo một "thẻ" để truy cập trong tương lai và thẻ này vẫn có hiệu lực ngay cả khi người dùng thay đổi mật khẩu và thông tin đăng nhập.

Một vấn đề khác xảy ra khi người dùng sử dụng cùng một ( ngay cả khi nó rất tốt) mật khẩu để truy cập vào nhiều hệ thống: hệ thống công ty, cá nhân và Internet. Vì mật khẩu chỉ mạnh bằng máy chủ yếu nhất nên hacker học được mật khẩu thông qua máy chủ đó sẽ có quyền truy cập vào tất cả các hệ thống khác sử dụng cùng một mật khẩu.

1.5. Các cuộc tấn công trung gian

Đối với cuộc tấn công Man-in-the-Middle, hacker cần quyền truy cập vào các gói được truyền qua mạng. Ví dụ: quyền truy cập vào tất cả các gói được truyền từ nhà cung cấp đến bất kỳ mạng nào khác có thể được lấy bởi nhân viên của nhà cung cấp này. Trình đánh hơi gói, giao thức truyền tải và giao thức định tuyến thường được sử dụng cho kiểu tấn công này. Các cuộc tấn công được thực hiện với mục đích đánh cắp thông tin, chặn phiên hiện tại và giành quyền truy cập vào tài nguyên mạng riêng, để phân tích lưu lượng truy cập và lấy thông tin về mạng và người dùng của mạng, để thực hiện các cuộc tấn công loại DoS, làm biến dạng dữ liệu được truyền và đưa thông tin trái phép vào các phiên mạng.

1.6. Tấn công cấp ứng dụng

Các cuộc tấn công cấp ứng dụng có thể được thực hiện theo nhiều cách. Phổ biến nhất là khai thác điểm yếu của máy chủ phần mềm (gửi thư, HTTP, FTP). Bằng cách khai thác những điểm yếu này, tin tặc có thể truy cập vào máy tính với tư cách là người dùng đang chạy ứng dụng ( thông thường đây không phải là người dùng đơn giản mà là quản trị viên đặc quyền có quyền truy cập hệ thống). Thông tin về các cuộc tấn công cấp ứng dụng được công bố rộng rãi để giúp quản trị viên khắc phục sự cố bằng cách sử dụng các mô-đun khắc phục ( bản vá lỗi). vấn đề chính với các cuộc tấn công cấp ứng dụng là chúng thường sử dụng các cổng được phép đi qua tường lửa. Ví dụ: một hacker khai thác điểm yếu đã biết trong máy chủ Web sẽ thường sử dụng cổng 80 trong cuộc tấn công TCP.Vì máy chủ Web cung cấp các trang Web cho người dùng nên tường lửa phải cho phép truy cập vào cổng này. Theo quan điểm của tường lửa, cuộc tấn công được coi là lưu lượng truy cập tiêu chuẩn trên cổng 80.

1.7. Mạng thông minh

Trí tuệ mạng đề cập đến việc thu thập thông tin mạng bằng cách sử dụng dữ liệu và ứng dụng có sẵn công khai. Khi chuẩn bị tấn công mạng, tin tặc thường cố gắng lấy càng nhiều thông tin về mạng đó càng tốt. thêm thông tin. Việc trinh sát mạng được thực hiện dưới dạng truy vấn DNS, quét ping và quét cổng. Truy vấn DNS giúp bạn biết ai sở hữu một miền cụ thể và địa chỉ nào được gán cho miền đó. Kiểm tra tiếng vang ( quét ping) được DNS tiết lộ cho phép bạn xem máy chủ nào đang thực sự chạy trong một môi trường nhất định. Sau khi nhận được danh sách các máy chủ, hacker sử dụng các công cụ quét cổng để biên soạn danh sách đầy đủ các dịch vụ được các máy chủ đó hỗ trợ. Cuối cùng, hacker phân tích đặc điểm của các ứng dụng đang chạy trên máy chủ. Kết quả là, thông tin thu được có thể được sử dụng để hack.

1.8. Vi phạm lòng tin

Loại hành động này không "tấn công" hoặc "tấn công". Nó đại diện cho việc khai thác độc hại các mối quan hệ tin cậy tồn tại trong mạng. Một ví dụ là một hệ thống được cài đặt bên ngoài tường lửa có mối quan hệ tin cậy với hệ thống được cài đặt bên trong tường lửa. Nếu hệ thống bên ngoài bị xâm phạm, hacker có thể sử dụng mối quan hệ tin cậy để xâm nhập vào hệ thống được bảo vệ bởi tường lửa.

1.9. Cổng chuyển tiếp

Chuyển tiếp cổng là một hình thức lạm dụng lòng tin trong đó máy chủ bị xâm nhập được sử dụng để chuyển lưu lượng truy cập qua tường lửa mà lẽ ra sẽ bị từ chối. Một ví dụ về ứng dụng có thể cung cấp quyền truy cập như vậy là netcat.

1.10. Truy cập trái phép

Truy cập trái phép không thể được coi là một loại tấn công riêng biệt. Hầu hết các cuộc tấn công mạng được thực hiện để có được quyền truy cập trái phép. Để đoán thông tin đăng nhập telnet, trước tiên hacker phải nhận được lời nhắc telnet trên hệ thống của mình. Sau khi kết nối cổng telnet trên màn hình xuất hiện thông báo "cần có sự cho phép để sử dụng tài nguyên này" (Để sử dụng các tài nguyên này, bạn cần có sự cho phép). Nếu sau đó hacker tiếp tục cố gắng truy cập, họ sẽ bị coi là "không được phép". Nguồn của các cuộc tấn công như vậy có thể ở bên trong mạng hoặc bên ngoài.

1.11. Virus và các ứng dụng như "con ngựa thành Troy"

Máy trạm của khách hàng rất dễ bị nhiễm virus và ngựa Trojan. "con ngựa thành Troy"- đây không phải là một chương trình chèn mà là một chương trình thực sự trông giống như một ứng dụng hữu ích nhưng thực tế lại thực hiện một vai trò có hại.

2. Phương pháp chống tấn công mạng

2.1. Bạn có thể giảm thiểu mối đe dọa đánh cắp gói bằng cách sử dụng các công cụ sau:

2.1.1. Xác thực - Xác thực mạnh là biện pháp bảo vệ đầu tiên chống lại việc đánh cắp gói tin. Dưới "mạnh" Chúng tôi hiểu rằng phương pháp xác thực này rất khó bỏ qua. Một ví dụ về xác thực như vậy là mật khẩu một lần ( OTP - Mật khẩu dùng một lần). OTP là công nghệ xác thực hai yếu tố kết hợp những gì bạn có với những gì bạn biết. Dưới "thẻ" ( mã thông báo) có nghĩa là phần cứng hoặc phần mềm tạo ra ( ngẫu nhiên) mật khẩu dùng một lần duy nhất. Nếu tin tặc phát hiện ra mật khẩu này bằng cách sử dụng trình thám thính, thông tin này sẽ vô ích vì lúc đó mật khẩu đã được sử dụng và đã bị gỡ bỏ. Phương pháp chống đánh hơi này chỉ có hiệu quả trong việc chặn mật khẩu.

2.1.2. Cơ sở hạ tầng chuyển mạch - Một cách khác để chống lại việc đánh hơi gói tin trong môi trường mạng là tạo cơ sở hạ tầng chuyển mạch, trong đó tin tặc chỉ có thể truy cập lưu lượng truy cập đến cổng mà chúng được kết nối. Cơ sở hạ tầng chuyển đổi không loại bỏ được mối đe dọa đánh hơi, nhưng nó làm giảm đáng kể mức độ nghiêm trọng của nó.

2.1.3. Trình chống đánh hơi - Cách thứ ba để chống lại việc đánh hơi là cài đặt phần cứng hoặc phần mềm có thể nhận dạng các trình đánh hơi đang chạy trên mạng của bạn. Những công cụ này không thể loại bỏ hoàn toàn mối đe dọa, nhưng cũng giống như nhiều phương tiện khác an ninh mạng, chúng được bao gồm trong hệ thống chung sự bảo vệ. Cái gọi là "chống đánh hơi"đo thời gian phản hồi của máy chủ và xác định xem máy chủ có phải xử lý "thêm" giao thông.

2.1.4. Mật mã học - Cách hiệu quả nhất để chống lại việc đánh hơi gói tin không ngăn chặn việc chặn hoặc nhận ra công việc của những kẻ đánh hơi, nhưng làm cho công việc này trở nên vô ích. Nếu kênh liên lạc được bảo mật bằng mật mã, điều này có nghĩa là tin tặc không chặn tin nhắn mà chặn văn bản mã hóa (nghĩa là một chuỗi bit không thể hiểu được).

2.2. Mối đe dọa giả mạo có thể được giảm thiểu ( nhưng không bị loại bỏ) sử dụng các biện pháp sau:

2.2.1. Kiểm soát truy cập - Cách dễ nhất để ngăn chặn việc giả mạo IP là cấu hình các điều khiển truy cập đúng cách. Để giảm hiệu quả của việc giả mạo IP, kiểm soát truy cập được định cấu hình để từ chối mọi lưu lượng truy cập đến từ mạng bên ngoài có địa chỉ nguồn phải nằm trong mạng của bạn. Điều này giúp chống lại việc giả mạo IP, trong đó chỉ có địa chỉ nội bộ mới được cấp phép. Nếu một số địa chỉ mạng bên ngoài cũng được cấp phép thì phương pháp này sẽ không hiệu quả.

2.2.2. Lọc RFC 2827 - ngăn chặn nỗ lực giả mạo mạng của người khác bởi người dùng mạng công ty. Để thực hiện việc này, cần phải từ chối mọi lưu lượng gửi đi có địa chỉ nguồn không phải là một trong các địa chỉ IP của Ngân hàng. Kiểu lọc này, được gọi là "RFC 2827", cũng có thể được thực hiện bởi ISP ( ISP). Kết quả là tất cả lưu lượng truy cập không có địa chỉ nguồn dự kiến ​​trên một giao diện cụ thể đều bị từ chối.

2.2.3. Phương pháp hiệu quả nhất để chống giả mạo IP cũng giống như đánh hơi gói: bạn cần làm cho cuộc tấn công hoàn toàn không hiệu quả. Việc giả mạo IP chỉ có thể hoạt động nếu xác thực dựa trên địa chỉ IP. Do đó, việc giới thiệu các phương thức xác thực bổ sung khiến kiểu tấn công này trở nên vô dụng. Chế độ xem tốt nhất xác thực bổ sung là mật mã. Nếu điều này là không thể, xác thực hai yếu tố bằng mật khẩu một lần có thể mang lại kết quả tốt.

2.3. Mối đe dọa của các cuộc tấn công DoS có thể được giảm bớt bằng những cách sau:

2.3.1. Tính năng chống giả mạo - Cấu hình đúng tính năng chống giả mạo trên bộ định tuyến và tường lửa của bạn sẽ giúp giảm nguy cơ DoS. Các tính năng này tối thiểu phải bao gồm tính năng lọc RFC 2827. Nếu tin tặc không thể che giấu danh tính thực sự của mình thì hắn khó có thể thực hiện một cuộc tấn công.

2.3.2. Tính năng chống DoS - Cấu hình thích hợp các tính năng chống DoS trên bộ định tuyến và tường lửa có thể hạn chế hiệu quả của các cuộc tấn công. Các chức năng này giới hạn số lượng kênh nửa mở tại bất kỳ thời điểm nào.

2.3.3. Hạn chế lưu lượng giao thông ( giới hạn tốc độ giao thông) – thỏa thuận với nhà cung cấp ( ISP) về việc hạn chế lưu lượng giao thông. Kiểu lọc này cho phép bạn giới hạn lượng lưu lượng truy cập không quan trọng đi qua mạng. Một ví dụ phổ biến là giới hạn lượng lưu lượng ICMP chỉ được sử dụng cho mục đích chẩn đoán. Tấn công ( D) DoS thường sử dụng ICMP.

2.3.4. Chặn địa chỉ IP - sau khi phân tích cuộc tấn công DoS và xác định phạm vi địa chỉ IP mà cuộc tấn công được thực hiện, hãy liên hệ với nhà cung cấp của bạn để chặn chúng.

2.4. Có thể tránh được các cuộc tấn công mật khẩu bằng cách không sử dụng mật khẩu văn bản đơn giản. Mật khẩu một lần và/hoặc xác thực bằng mật mã hầu như có thể loại bỏ mối đe dọa từ các cuộc tấn công như vậy. Không phải tất cả các ứng dụng, máy chủ và thiết bị đều hỗ trợ các phương thức xác thực trên.

Khi sử dụng mật khẩu thông thường, bạn cần nghĩ ra một mật khẩu khó đoán. Độ dài mật khẩu tối thiểu phải có ít nhất tám ký tự. Mật khẩu phải bao gồm ký tự in hoa, số và ký tự đặc biệt ( #, %, $, v.v.). Những mật khẩu tốt nhất thường khó đoán và khó nhớ, buộc người dùng phải ghi mật khẩu ra giấy.

2.5. Các cuộc tấn công trung gian chỉ có thể được chống lại một cách hiệu quả bằng cách sử dụng mật mã. Nếu một hacker chặn dữ liệu từ một phiên được mã hóa, những gì sẽ xuất hiện trên màn hình của anh ta không phải là tin nhắn bị chặn mà là một tập hợp ký tự vô nghĩa. Lưu ý rằng nếu tin tặc lấy được thông tin về phiên mật mã ( ví dụ: khóa phiên), điều này có thể khiến cuộc tấn công Man-in-the-Middle có thể xảy ra ngay cả trong môi trường được mã hóa.

2.6. Các cuộc tấn công cấp ứng dụng không thể được loại bỏ hoàn toàn. Tin tặc liên tục phát hiện và công bố những lỗ hổng mới trong các chương trình ứng dụng trên Internet. Điều quan trọng nhất là quản trị hệ thống tốt.

Các biện pháp bạn có thể thực hiện để giảm thiểu khả năng bị tổn thương trước kiểu tấn công này:

• đọc và/hoặc phân tích các tệp nhật ký hệ điều hành và tệp nhật ký mạng bằng các ứng dụng phân tích đặc biệt;
• cập nhật kịp thời các phiên bản hệ điều hành, ứng dụng và cài đặt các mô-đun chỉnh sửa mới nhất ( bản vá lỗi);
• sử dụng hệ thống phát hiện tấn công ( ID).

2.7. Không thể loại bỏ hoàn toàn trí thông minh mạng. Nếu bạn tắt tính năng phản hồi tiếng vang và tiếng vang ICMP trên các bộ định tuyến biên, bạn sẽ thoát khỏi quá trình kiểm tra ping nhưng sẽ mất dữ liệu cần thiết để chẩn đoán lỗi mạng. Ngoài ra, bạn có thể quét các cổng mà không cần kiểm tra ping trước. Quá trình này sẽ mất nhiều thời gian hơn vì bạn sẽ phải quét các địa chỉ IP không tồn tại. Các hệ thống IDS ở cấp độ mạng và máy chủ thường làm tốt công việc thông báo cho quản trị viên về việc trinh sát mạng đang diễn ra, điều này cho phép họ chuẩn bị tốt hơn cho cuộc tấn công sắp tới và thông báo cho ISP ( ISP), trên mạng có cài đặt một hệ thống thể hiện sự tò mò quá mức.

2.8. Nguy cơ vi phạm lòng tin có thể giảm bớt bằng cách kiểm soát chặt chẽ hơn mức độ tin cậy trong mạng của bạn. Các hệ thống nằm bên ngoài tường lửa không bao giờ được tin cậy tuyệt đối từ các hệ thống được bảo vệ bởi tường lửa. Mối quan hệ tin cậy nên được giới hạn ở các giao thức cụ thể và, nếu có thể, được xác thực bằng các tham số khác ngoài địa chỉ IP.

2.9. Cách chính để chống chuyển tiếp cổng là sử dụng các mô hình tin cậy mạnh mẽ ( xem điều 2.8 ). Ngoài ra, hệ thống máy chủ IDS có thể ngăn chặn hacker cài đặt phần mềm của mình trên máy chủ ( ẨN).

2.10. Các phương pháp chống truy cập trái phép khá đơn giản. Điều chính ở đây là giảm thiểu hoặc loại bỏ hoàn toàn khả năng hacker truy cập vào hệ thống bằng giao thức trái phép. Ví dụ, hãy xem xét việc ngăn chặn tin tặc truy cập tới cổng telnet trên máy chủ cung cấp dịch vụ Web cho người dùng bên ngoài. Nếu không có quyền truy cập vào cổng này, hacker sẽ không thể tấn công nó. Đối với tường lửa, nhiệm vụ chính của nó là ngăn chặn những nỗ lực truy cập trái phép đơn giản nhất.

2.11. Cuộc chiến chống lại vi-rút và ngựa Trojan được thực hiện bằng phần mềm chống vi-rút hiệu quả hoạt động ở cấp độ người dùng và cấp độ mạng. Các sản phẩm chống vi-rút phát hiện hầu hết vi-rút và ngựa Trojan và ngăn chặn sự lây lan của chúng.

3. Thuật toán hành động khi phát hiện tấn công mạng

3.1. Hầu hết các cuộc tấn công mạng đều bị chặn bởi các công cụ bảo mật thông tin được cài đặt tự động ( tường lửa, công cụ khởi động đáng tin cậy, bộ định tuyến mạng, công cụ chống vi-rút, v.v.).

3.2. Các cuộc tấn công yêu cầu sự can thiệp của nhân sự để ngăn chặn chúng hoặc giảm mức độ nghiêm trọng của hậu quả bao gồm các cuộc tấn công DoS.

3.2.1. Các cuộc tấn công DoS được phát hiện bằng cách phân tích lưu lượng mạng. Sự khởi đầu của cuộc tấn công được đặc trưng bởi “ sự đập búa» các kênh liên lạc sử dụng các gói tiêu tốn nhiều tài nguyên với địa chỉ giả. Một cuộc tấn công như vậy vào trang web ngân hàng trực tuyến sẽ làm phức tạp việc truy cập của người dùng hợp pháp và tài nguyên web có thể không thể truy cập được.

3.2.2. Nếu phát hiện một cuộc tấn công, quản trị viên hệ thống sẽ thực hiện các hành động sau:

• thực hiện chuyển đổi thủ công bộ định tuyến đến kênh dự phòng và quay lại để xác định kênh ít tải hơn (kênh có băng thông rộng hơn);
• xác định phạm vi địa chỉ IP mà cuộc tấn công được thực hiện;
• gửi yêu cầu tới nhà cung cấp để chặn địa chỉ IP trong phạm vi được chỉ định.

3.3. Một cuộc tấn công DoS thường được sử dụng để ngụy trang một cuộc tấn công thành công vào tài nguyên máy khách nhằm gây khó khăn cho việc phát hiện. Do đó, khi phát hiện một cuộc tấn công DoS, cần phân tích các giao dịch mới nhất để xác định các giao dịch bất thường, chặn chúng (nếu có thể) và liên hệ với khách hàng thông qua một kênh thay thế để xác nhận giao dịch.

3.4. Nếu nhận được thông tin về các hành động trái phép từ khách hàng, tất cả bằng chứng sẵn có sẽ được ghi lại, một cuộc điều tra nội bộ sẽ được tiến hành và đơn đăng ký sẽ được nộp cho các cơ quan thực thi pháp luật.

Tải xuống tệp ZIP (24151)

Nếu tài liệu hữu ích, vui lòng “like” cho chúng:

Hệ thống phát hiện tấn công mạng

Tổng quan về các hệ thống phát hiện tấn công mạng bao gồm mô tả về các SOA thương mại phổ biến nhất và được phân phối tự do. Mỗi hệ thống được xem xét theo các chỉ số chính sau:

Kiến trúc SOA - cấu trúc của hệ thống, mô tả các thành phần của nó, cũng như các phương thức tương tác giữa chúng;

Đặc điểm của nền tảng phần mềm và phần cứng mà SOA vận hành trên đó;

Chức năng SOA về mặt xác định và ngăn chặn các cuộc tấn công thông tin;

Đặc điểm và sự khác biệt chính so với các sản phẩm khác có mặt trên thị trường trong nước bảo mật thông tin.

1. Hệ thống Radware DefensePro

SOA "Radware DefensePro" được phát triển bởi Radware và là một tổ hợp phần mềm và phần cứng được thiết kế để bảo vệ chống lại các cuộc tấn công mạng. SOA bao gồm các cảm biến được cài đặt trong khoảng trống kênh liên lạc của AS, cũng như chương trình điều khiển được cài đặt trên máy trạm của quản trị viên bảo mật. Cảm biến SOA

Cơm. 1 Cấu trúc logic của cảm biến hệ thống Radware DefensePro

được triển khai dưới dạng các đơn vị phần cứng chuyên dụng (còn gọi là “thiết bị”), bao gồm các thành phần sau (Hình 6.1):

Bộ xử lý mạng thực hiện các chức năng chuyển mạch gói dữ liệu, quản lý băng thông và lọc dữ liệu. Một số bộ xử lý có thể được cài đặt đồng thời trong một cảm biến;

Bộ tăng tốc phần cứng “StringMatch Engine”, được thiết kế để phân tích chữ ký của các gói dữ liệu dựa trên phương pháp tìm kiếm ngữ cảnh. Bộ tăng tốc này bao gồm tám chip ASIC chuyên dụng cho phép tìm kiếm chuỗi song song với hơn 250 nghìn chữ ký;

Một bus dữ liệu cung cấp các chức năng nhận và gửi các gói dữ liệu qua mạng. Tổng băng thông bus là 44 Gbit/s, trong đó bạn có thể kết nối một giao diện 10 Gigabit, bảy giao diện 1 Gigabit và 16 giao diện Fast Ethernet;

Bộ xử lý RISC trung tâm Power PC của Motorola, được thiết kế để điều khiển hoạt động của bộ tăng tốc phần cứng StringMatch Engine của các bộ xử lý mạng. Cảm biến Radware DefensePro có thể được quản lý cục bộ bằng giao diện dòng lệnh hoặc từ xa bằng giao diện Web, giao thức telnet hoặc SSH và giao thức quản lý SNMP. Một bảng điều khiển quản lý có thể giao tiếp đồng thời với nhiều cảm biến SOA của Radware.

Ngoài chức năng phát hiện và ngăn chặn các cuộc tấn công, SOA còn có thể được sử dụng để cân bằng tải, định hình lưu lượng dựa trên cơ chế Chất lượng dịch vụ (QoS) và giám sát các luồng thông tin mạng. Radware DefensePro cũng có thể được sử dụng một cách hiệu quả để bảo vệ chống lại các cuộc tấn công từ chối dịch vụ phân tán nhờ khả năng xử lý chính xác các luồng yêu cầu SYN đạt tốc độ lớn hơn 1 triệu/giây.

SOA triển khai các phương pháp chữ ký và hành vi để phát hiện các cuộc tấn công mạng hoạt động trong thời gian thực. Phương pháp chữ ký dựa trên việc tìm kiếm các biểu thức chuỗi nhất định trong các gói dữ liệu đã xử lý. Mỗi chữ ký có một trong ba mức độ ưu tiên - thấp, trung bình hoặc cao. Cơ sở dữ liệu chữ ký có thể được cập nhật thường xuyên thông qua trang web của nhà sản xuất. Ngoài ra, quản trị viên bảo mật có thể thêm chữ ký tấn công mới một cách độc lập bằng cách sử dụng giao diện hệ thống hiện có. Phương pháp hành vi phát hiện các loại tấn công đã biết và mới bằng cách xác định các điểm bất thường trong các gói. SOA cũng cho phép bạn phát hiện các nỗ lực che giấu các hoạt động trái phép bằng cách bỏ qua các cơ chế phát hiện.

Nếu phát hiện một cuộc tấn công, hệ thống sẽ cho phép bạn thực hiện một bộ tùy ý các phương thức phản hồi sau:

Chặn gói dữ liệu trong đó tìm thấy dấu hiệu tấn công cụ thể;

Bỏ qua gói dữ liệu đã phát hiện chữ ký;

Ghi lại thông tin về cuộc tấn công được phát hiện vào nhật ký kiểm tra;

Tạo thông báo bẫy SNMP về cuộc tấn công và gửi nó đến địa chỉ được chỉ định;

Gửi tin nhắn về một cuộc tấn công được phát hiện qua email;

Hiển thị thông báo tấn công trên thiết bị đầu cuối cục bộ;

Gửi tin nhắn về cuộc tấn công được phát hiện tới máy chủ dịch vụ Syslog. SOA hỗ trợ hai chế độ hoạt động - chủ động và thụ động.

Ở chế độ thụ động, các cảm biến của hệ thống sẽ phân tích tất cả lưu lượng truy cập đi qua chúng nhưng không chặn các gói dữ liệu. Chế độ này cho phép bạn định cấu hình các tham số SOA và điều chỉnh nó cho phù hợp với đặc điểm của hệ thống được bảo vệ. Chế độ hoạt động cung cấp khả năng chặn các gói nguy hiểm tiềm tàng và từ đó ngăn chặn các cuộc tấn công mạng.

Radware DefensePro SOA hỗ trợ chế độ nhiều người dùng, cho phép nhiều quản trị viên làm việc với hệ thống cùng một lúc. Đồng thời, hệ thống cho phép phân biệt quyền truy cập của quản trị viên ở cấp độ cảm biến khác nhau.

Trong quá trình vận hành hệ thống, nhật ký kiểm tra chi tiết được duy trì, ghi lại các thông tin sau:

Ngày và giờ của cuộc tấn công được phát hiện;

Tên và mô tả chung cuộc tấn công được phát hiện. Tất cả các cuộc tấn công được phát hiện có thể được tự động phân loại thành một trong các loại sau:

sự bất thường của mạng, nỗ lực quét, xâm nhập hoặc tấn công từ chối dịch vụ;

Địa chỉ IP của nguồn và mục tiêu của cuộc tấn công đã xác định;

Số cổng của gói TCP và UDP phát hiện dấu hiệu tấn công mạng;

Số lượng gói được xác định là một phần của cuộc tấn công mạng;

Trạng thái của một cuộc tấn công mạng là giai đoạn ban đầu, giai đoạn thực hiện và cuộc tấn công đã được thực hiện;

Các tham số của phương pháp phản hồi được áp dụng để xác định cuộc tấn công.

Hệ thống được trang bị các công cụ nâng cao để tạo báo cáo bằng đồ họa và văn bản dựa trên các thông số do quản trị viên bảo mật đặt ra. Radware DefensePro cung cấp một số mẫu dựng sẵn, dựa vào đó người vận hành có thể tạo các tài liệu báo cáo làm sẵn.

Một tính năng đặc biệt của hệ thống Radware DefensePro là khả năng phát hiện các cuộc tấn công trong các kênh liên lạc tốc độ cao, thông lượng của nó là vài Gbit/s.

2. Hệ thống "ISS RealSecure"

Hệ thống RealSecure được phát triển bởi Internet Security Systems (năm 2006, ISS được IBM mua lại và hiện tại các sản phẩm RealSecure và Proventia được bán trên thị trường dưới thương hiệu IBM). Hệ thống bao gồm các thành phần sau:

Cảm biến mạng được thiết kế để phát hiện các cuộc tấn công mạng trong một phân đoạn mạng nhất định. Cảm biến mạng được cài đặt trên một máy tính chuyên dụng, được kết nối với phân đoạn AC được bảo vệ bằng cổng hub hoặc cổng SPAN của bộ chuyển mạch.

Cảm biến máy chủ cung cấp khả năng bảo vệ cho các máy chủ cụ thể trong AS. cảm biến thuộc loại này là một mô-đun phần mềm được cài đặt trên máy tính được bảo vệ. Cảm biến máy chủ có thể được sử dụng để bảo vệ máy chủ chạy các hệ điều hành khác nhau.

Bảng điều khiển quản lý SiteProtector, được thiết kế để xem kết quả của hệ thống và quản lý các tham số hoạt động của nó. Bảng điều khiển dành cho quản trị viên chỉ tương tác với máy chủ ứng dụng SOA.

Cơ sở dữ liệu chứa thông tin về tất cả các cuộc tấn công được phát hiện. Cơ sở dữ liệu được triển khai trên cơ sở DBMS Microsoft SQL Máy chủ.

Máy chủ ứng dụng cung cấp quyền truy cập vào bảng điều khiển dành cho quản trị viên để quản lý cảm biến và chức năng xem cơ sở dữ liệu.

Trình quản lý sự kiện (Trình thu thập sự kiện), cung cấp bản ghi thông tin do cảm biến tạo ra vào cơ sở dữ liệu sự kiện. Để tăng khả năng chịu lỗi, AS có thể sử dụng đồng thời hai trình quản lý sự kiện sao chép lẫn nhau trong trường hợp một trong số chúng bị lỗi.

Một số thành phần có thể được cài đặt đồng thời trên một máy tính. Ví dụ: một nút có thể lưu trữ bảng điều khiển dành cho quản trị viên cũng như cơ sở dữ liệu về nội dung và sự kiện. Sơ đồ chung về sự tương tác của các thành phần có trong Realsecure SOA được hiển thị trong Hình 2. 2.

Các cảm biến mạng RealSecure SOA hoạt động thụ động và thực hiện chức năng ghi lại các cuộc tấn công cùng với phản hồi có thể xảy ra sau đó đối với chúng. Cảm biến máy chủ không chỉ cho phép phát hiện mà còn ngăn chặn cuộc tấn công được phát hiện bằng cách lọc các gói dữ liệu nguy hiểm tiềm tàng.

Các thông số hoạt động của cảm biến mạng và máy chủ được xác định bằng các chính sách bảo mật. Mỗi chính sách bảo mật bao gồm một bộ chữ ký cụ thể cho phép cảm biến phát hiện các cuộc tấn công của kẻ xâm nhập dựa trên tìm kiếm thông tin theo ngữ cảnh. Tất cả các chữ ký hệ thống được nhóm thành nhiều loại khác nhau, giúp đơn giản hóa rất nhiều khi làm việc với chúng. Hệ thống RealSecure không cung cấp ngôn ngữ tích hợp để tạo chữ ký của riêng bạn mà thay vào đó, gói SOA bao gồm mô-đun phần mềm TRONS, cho phép bạn nhập chữ ký của sản phẩm phần mềm Snort, điều này sẽ được thảo luận thêm. SOA cũng hỗ trợ khả năng cập nhật từ xa cơ sở dữ liệu dấu hiệu tấn công từ trang Web của nhà sản xuất hệ thống. Dấu hiệu tấn công cho hệ thống RealSecure được phát triển bởi phòng thí nghiệm chuyên ngành X-Force, một phần của công ty ISS. Nếu phát hiện một cuộc tấn công, cảm biến SOA có thể thực hiện một hoặc nhiều phương pháp phản hồi, được mô tả trong Bảng. 1

Cơm. 2. Kiến trúc SOA RealSecure

Bàn 1. Mô tả các phương pháp phản hồi của RealSecure SOA

№	Phương pháp phản hồi	Mô tả phương pháp phản hồi
	NGỌN CỜ	Phương thức gửi tin nhắn cảnh báo đến người vi phạm tin nhắn văn bản, được xác định bởi quản trị viên SOA
	KHỐI	Phương thức này cho phép bạn chặn (lọc) lưu lượng truy cập đến từ nút mà cuộc tấn công được phát hiện
	VÔ HIỆU HÓA	Phương pháp này cho phép bạn chặn tài khoản người dùng có hành động kích hoạt chữ ký tấn công
	TRƯNG BÀY	Phương thức hiển thị trên bảng điều khiển quản lý thông tin về sự kiện được phát hiện do chữ ký được kích hoạt
	E-MAIL	Phương thức này thông báo cho quản trị viên bảo mật qua email về một sự kiện được phát hiện do kích hoạt chữ ký
	LOGDB	Phương thức ghi thông tin về sự kiện được phát hiện nhờ chữ ký vào cơ sở dữ liệu
	AN TOÀN-LOGIC	Phương pháp này cho phép bạn chạy một chương trình nhất định được viết bằng ngôn ngữ kịch bản đặc biệt TCL. Trình thông dịch của ngôn ngữ này được tích hợp vào RealSecure SOA
	SNMP	Phương pháp này nhằm mục đích gửi tin nhắn kiểm soát bẫy SNMP đến địa chỉ IP được chỉ định
	ĐÌNH CHỈ	Tạm thời chặn tài khoản người dùng có hành động kích hoạt chữ ký. Thời gian chặn được thiết lập bởi nhà điều hành
	NGƯỜI DÙNG ĐÃ CHỈ ĐỊNH	Phương thức này cho phép bạn chạy một chương trình tùy ý với các tham số cuộc gọi được chỉ định

Việc xem kết quả hoạt động của SOA cũng như quản lý các tham số vận hành hệ thống được thực hiện bằng bảng điều khiển dành cho quản trị viên. Theo mặc định, giao diện bảng điều khiển dành cho quản trị viên được chia thành nhiều phần, mỗi phần hiển thị một loại thông tin cụ thể. Ngoài thông tin về các cuộc tấn công được phát hiện, bảng điều khiển còn hiển thị dữ liệu về cài đặt hệ thống hiện tại cũng như trạng thái hoạt động của các thành phần SOA. Bảng điều khiển dành cho quản trị viên RealSecure SOA có thể được sử dụng để quản lý các sản phẩm bảo mật ISS khác.

Bảng điều khiển dành cho quản trị viên cung cấp khả năng tạo báo cáo văn bản và đồ họa dựa trên kết quả của hoạt động SOA. Báo cáo đã tạo có thể được xuất sang tệp định dạng PDF, Word, RTF, v.v. Quản trị viên cũng có khả năng thiết lập định dạng báo cáo của riêng mình dựa trên các mẫu Crystal Reports.

SOA triển khai chế độ làm việc nhiều người dùng cho quản trị viên với khả năng phân biệt quyền truy cập dựa trên vai trò. Ví dụ: trong một hệ thống, một quản trị viên có thể có độc quyền xem kết quả công việc, trong khi người dùng khác có thể có thêm quyền quản lý các cảm biến SOA. Trong trường hợp này, hành động của tất cả người dùng sẽ được ghi lại vào nhật ký hệ thống.

3. Hệ thống "ISS Proventia"

Hệ thống Proventia được Internet Security Systems phát triển dựa trên sản phẩm phần mềm RealSecure và cũng được thiết kế để bảo vệ chống lại các cuộc tấn công mạng. Hệ thống này là một tổ hợp phần mềm và phần cứng được cài đặt trong khoảng cách kênh liên lạc và cho phép bạn chặn các gói dữ liệu độc hại. Sự khác biệt chính giữa Proventia SOA và hệ thống RealSecure được thảo luận ở trên là khả năng không chỉ phát hiện mà còn ngăn chặn các cuộc tấn công ở cấp độ mạng.

Hệ thống có thể có từ hai đến tám giao diện mạng và xử lý lưu lượng mạng đạt tốc độ lên tới 2 Gbit/s. Sau khi cài đặt, hệ thống Proventia có thể hoạt động ở hai chế độ chính:

Chế độ giám sát thụ động, trong đó SOA phân tích các gói dữ liệu đi qua nó mà không chặn lưu lượng truy cập trái phép. Chế độ này được sử dụng ở giai đoạn đào tạo hệ thống;

Chế độ bảo vệ, cho phép SOA hoạt động như một tường lửa và chặn các cuộc tấn công mạng được xác định.

Để phát hiện các cuộc tấn công, Proventia SOA sử dụng các phương pháp chữ ký dựa trên các cơ chế được triển khai trong hệ thống RealSecure được mô tả ở trên. Hệ thống hỗ trợ khả năng cập nhật chữ ký từ xa bằng dịch vụ X-Force. Việc quản lý SOA có thể được thực hiện bằng bảng điều khiển dòng lệnh cục bộ, giao diện Web thông qua Giao thức SSL hoặc sử dụng bảng điều khiển SiteProtector.

SOA “Proventia” triển khai công nghệ độc quyền của công ty ISS, được gọi là “Mô-đun cập nhật phần mềm ảo” (Bản vá ảo). Trong trường hợp này, mô-đun cập nhật ảo có nghĩa là một tập hợp các cài đặt SOA giúp bảo vệ hệ thống khỏi các cuộc tấn công cho đến thời điểm bản cập nhật phần mềm thực sự (bản vá, hotfix, v.v.) được cài đặt trên hệ thống, loại bỏ các lỗ hổng hệ thống. Trên thực tế, công nghệ này đảm bảo rằng những kẻ tấn công chặn các nỗ lực khai thác các lỗ hổng chưa được khắc phục bằng các bản cập nhật phần mềm thích hợp.

Hệ thống Proventia hỗ trợ các loại phản ứng thụ động và chủ động chính sau đây đối với các cuộc tấn công:

Thông báo cho quản trị viên bảo mật về một cuộc tấn công được phát hiện qua email. SOA cho phép bạn chỉ định địa chỉ máy chủ để gửi tin nhắn. tin nhắn thư, cũng như thành phần của thông tin được gửi đến quản trị viên;

Ghi vào cơ sở dữ liệu nội dung của gói dữ liệu đã kích hoạt chữ ký tấn công;

Đặt một nút AS cụ thể vào vùng cách ly. Phương thức phản hồi này cho phép bạn cách ly các máy tính là nguồn hoặc mục tiêu của cuộc tấn công;

Tạo các tin nhắn SNMP chứa thông tin cụ thể về các cuộc tấn công mạng được phát hiện;

Chạy một chương trình được xác định bởi quản trị viên bảo mật. Một tính năng đặc biệt của Proventia SOA là khả năng hoạt động trong các hệ thống có tính sẵn sàng cao, cung cấp khả năng dự phòng cho tất cả các nút hệ thống. Trong trường hợp này, hai đơn vị phần cứng và phần mềm SOA được cài đặt trong AS, chúng sẽ sao chép lẫn nhau trong trường hợp xảy ra lỗi (Hình 3). Một số mẫu thuộc dòng Proventia, ngoài chức năng phát hiện tấn công, còn có chức năng bảo vệ chống lại vi-rút máy tính và thư rác.

Cơm. 3 Sơ đồ cài đặt SOA trong hệ thống có tính sẵn sàng cao

4. Hệ thống IDP của Juniper Networks

Hệ thống IDP được phát triển bởi Juniper Networks và được thiết kế để phát hiện và ngăn chặn các cuộc tấn công mạng (trước đây hệ thống này do NetScreen sản xuất). COA "IDP" có kiến ​​trúc ba lớp và bao gồm các thành phần sau:

Cảm biến “IDP”, được thiết kế để bảo vệ các đoạn loa mà chúng được lắp đặt; Chúng là các đơn vị phần cứng và phần mềm gắn trên giá có thể được cài đặt trong kênh liên lạc hoặc kết nối với cổng SPAN của bộ chuyển mạch;

Máy chủ quản lý “IDP”, thực hiện các chức năng lưu trữ thông tin dịch vụ, cũng như quản lý các cảm biến SOA;

Bảng điều khiển dành cho quản trị viên được thiết kế để quản lý SOA.

Tùy thuộc vào sửa đổi, SOA cho phép bạn xử lý lưu lượng truy cập có tốc độ từ 50 Mbit/s đến 1 Gbit/s. Giống như SOA đã thảo luận trước đó, hệ thống IDP có thể hoạt động ở chế độ thụ động và chủ động. Khi đặt SOA vào khoảng trống kênh liên lạc, quản trị viên có thể định cấu hình cảm biến hệ thống làm cầu nối hoặc bộ định tuyến. Trong trường hợp đầu tiên, việc lắp đặt cảm biến sẽ không yêu cầu thực hiện bất kỳ thay đổi bổ sung nào đối với cấu hình của thiết bị liên lạc AC, điều này khiến thiết bị này “vô hình” đối với các máy chủ hệ thống. Việc cài đặt SOA làm bộ định tuyến sẽ đòi hỏi phải thay đổi sơ đồ địa chỉ IP trong AS. Việc lựa chọn tùy chọn cài đặt này hay tùy chọn cài đặt khác được xác định tùy thuộc vào cấu trúc liên kết của hệ thống loa.

Để phát hiện các cuộc tấn công, SOA sử dụng hệ thống chuyên gia, bao gồm cơ sở dữ liệu các quy tắc trên cơ sở đó việc phát hiện xâm nhập trong AS được thực hiện. SOA cung cấp các loại quy tắc sau:

Các quy tắc được thiết kế để xác định các kiểu tấn công dựa trên chữ ký đã biết. SOA có một ngôn ngữ tích hợp cho phép quản trị viên tạo chữ ký của riêng mình. Ngôn ngữ này dựa trên các biểu thức chính quy của ngôn ngữ Perl.

Quy tắc để đảm bảo phát hiện sự bất thường trong các giao thức mạng. Trong trường hợp này, sự bất thường được hiểu là sự khác biệt giữa định dạng gói dữ liệu và các yêu cầu được mô tả trong tiêu chuẩn RFC hoặc các thông số kỹ thuật khác. SOA hỗ trợ khả năng phát hiện các điểm bất thường trong hơn 60 loại giao thức.

Quy tắc để xác định sự hiện diện của phần mềm độc hại loại Trojan horse trong hệ thống. Các quy tắc loại này sử dụng thuật toán heuristic để xác định các tương tác mạng tương tác có thể cho thấy sự hiện diện của mã Trojan.

Các quy tắc được sử dụng để phát hiện các nỗ lực quét cổng AC.

Quy tắc dự định để phát hiện các cuộc tấn công giả mạo IP, nhằm mục đích thay thế địa chỉ IP thực của người gửi gói dữ liệu.

Quy tắc để xác định sự từ chối của dịch vụ tấn công,được triển khai bằng cách gửi một số lượng lớn yêu cầu SYN để thiết lập kết nối TCP.

Quy tắc xác định các cuộc tấn công được thực hiện ở cấp độ thứ hai của ngăn xếp TCP/IP. Hầu hết các cuộc tấn công này đều liên quan đến giao thức ARP và nhằm mục đích chặn trái phép thông tin được truyền qua mạng.

Quy định đảm bảo khả năng tạo mục tiêu giả để tấn công, từ đó xác định những người vi phạm AS tiềm năng.

SOA có các mẫu quy tắc tiêu chuẩn tích hợp sẵn có thể được sử dụng làm cơ sở để tạo chính sách bảo vệ cho máy chủ Web, máy chủ thư, máy chủ tệp và các đối tượng AS khác. Nếu phát hiện một cuộc tấn công, COA có khả năng thực hiện cả phương thức phản ứng thụ động và chủ động. Các phương thức hoạt động bao gồm chặn gói dữ liệu độc hại cũng như đóng kết nối TCP. Các phương pháp phản ứng thụ động bao gồm:

Thông báo cho quản trị viên bảo mật qua email;

Tạo thông báo bẫy SNMP cho hệ thống quản lý;

Tạo và gửi tin nhắn tấn công qua giao thức Syslog;

Khởi chạy một chương trình cụ thể;

Ghi lại vào cơ sở dữ liệu nội dung của các gói dữ liệu trong đó phát hiện dấu hiệu tấn công.

Các cảm biến SOA “IDP” có thể được kết hợp thành một cụm duy nhất, có thể được sử dụng để tăng khả năng chịu lỗi của hệ thống cũng như phân phối tải giữa các cảm biến. Nếu chức năng của một trong các cảm biến bị gián đoạn, các gói dữ liệu sẽ tự động được chuyển hướng đến một cảm biến khác trong cụm. Để phát hiện những lỗi như vậy, tất cả các cảm biến của một cụm sẽ trao đổi thông tin dịch vụ với nhau, dựa vào đó xác định trạng thái hoạt động hiện tại của thiết bị. Trong trường hợp này, từ hai đến mười sáu cảm biến có thể được kết hợp thành một cụm.

Máy chủ quản lý SOA hoạt động trên hệ điều hành Sun Solaris 8/9 (dành cho nền tảng SPARC), cũng như Linux RedHat 7.2, 8 hoặc RedHat Enterprise Linux 3.0 (dành cho nền tảng Intel). Máy chủ cung cấp khả năng lưu trữ tập trung các tham số cấu hình SOA, cũng như thông tin đến từ cảm biến IDP. Để tương tác giữa máy chủ điều khiển và cảm biến IDP, một giao thức bảo mật bằng mật mã chuyên dụng được sử dụng, được tạo trên cơ sở phiên bản sửa đổi của UDP. Để lưu trữ kết quả hoạt động của SOA trên máy chủ, một DBMS chuyên biệt do chúng tôi sản xuất sẽ được sử dụng. Hệ thống hỗ trợ hoạt động của nhiều người dùng, nhưng mỗi lần chỉ có một quản trị viên có thể làm việc trong hệ thống.

Để quản lý SOA, bảng điều khiển dành cho quản trị viên được sử dụng, được triển khai dưới dạng ứng dụng Java. Bảng điều khiển dành cho quản trị viên cho phép bạn cấu hình linh hoạt các tham số để xem kết quả của hoạt động SOA. Bảng điều khiển cũng được trang bị khả năng tạo báo cáo về kết quả hoạt động của SOA dựa trên một bộ mẫu được chỉ định.

5. Hệ thống Cisco IDP 4200

Các hệ thống dòng Cisco IDP 4200 được Cisco Systems phát triển và được thiết kế để phát hiện và chặn các cuộc tấn công mạng. SOA loại này được triển khai dưới dạng thiết bị gắn trên giá chuyên dụng, có thể cài đặt trong kênh liên lạc hoặc kết nối với cổng SPAN của switch. Cisco cũng cung cấp các mô-đun SOA chuyên dụng có thể cài đặt trong bộ chuyển mạch Catalyst 6500. Nhìn chung, hệ thống Cisco IDP bao gồm hai loại thành phần - cảm biến được thiết kế để bảo vệ khỏi các cuộc tấn công bằng cách phân tích lưu lượng mạng và bảng điều khiển quản lý quản trị viên bảo mật.

Cảm biến IDP của Cisco có thể hoạt động ở chế độ thụ động hoặc chủ động và xử lý các gói dữ liệu đạt tốc độ lên tới 1 Gbit/s. Để phát hiện các cuộc tấn công SOA, các phương pháp chữ ký được sử dụng. Một tính năng đặc biệt của cảm biến là sự hiện diện của cơ chế tương quan sự kiện bảo mật tích hợp, Meta Event Generator (MEG). Cơ chế này cho phép phân tích tự động các sự kiện bảo mật được ghi lại bởi các cảm biến SOA để tạo ra các siêu sự kiện. Vì vậy, ví dụ: nếu năm sự kiện cụ thể liên quan đến việc sử dụng lỗ hổng trong máy chủ Web Microsoft IIS được đăng ký trong AS trong vòng ba giây, cảm biến sẽ có thể tạo ra một siêu sự kiện cho biết hoạt động trái phép của sâu Internet Nimda (Hình 4). Việc sử dụng cơ chế MEG có thể đơn giản hóa đáng kể quy trình phân tích thông tin được thu thập bởi các cảm biến Cisco IDP SOA.

Cisco IDP SOA có thể được quản lý bằng một trong các phương pháp sau đây:

Dựa trên giao diện dòng lệnh CLI có thể được sử dụng từ xa bằng cách sử dụng Giao thức SSH hoặc cục bộ bằng cách kết nối bàn phím và màn hình trực tiếp với cảm biến. Giao diện dòng lệnh tương tự như giao diện quản lý cục bộ của các thiết bị Cisco khác dựa trên Cisco IOS.

Sử dụng bảng điều khiển Trình quản lý thiết bị IPS, được triển khai dưới dạng ứng dụng Java được lưu trữ trực tiếp trên cảm biến. Bảng điều khiển này có thể được truy cập bằng bất kỳ trình duyệt Internet nào dựa trên giao thức mã hóa TLS. Bảng điều khiển này cho phép bạn chỉ điều khiển một cảm biến tại một thời điểm và theo quy định, được sử dụng để thực hiện các thay đổi hoạt động đối với một trong các cảm biến SOA.

Cơm. 4 Ví dụ về tương quan sự kiện bảo mật dựa trên cơ chế MEG

Thông qua hệ thống quản lý CiscoWorks VMS, cung cấp khả năng giám sát và quản lý tập trung Nhiều nghĩa bảo vệ khỏi Cisco, bao gồm SOA, tường lửa, công cụ xây dựng mạng riêng ảo VPN, v.v. Để sử dụng CiscoWorks VMS, cần có một máy chủ quản lý chuyên dụng thực hiện các chức năng lưu trữ thông tin cấu hình và kết quả hoạt động của SOA.

Nếu phát hiện một cuộc tấn công, COA có thể thực hiện một trong các phương pháp phản hồi sau:

Chặn các gói dữ liệu được phát hiện có dấu hiệu tấn công thông tin;

Sửa đổi nội dung của gói dữ liệu mà cuộc tấn công được phát hiện;

Đóng kết nối TCP nơi phát hiện cuộc tấn công;

Thông báo cho quản trị viên bảo mật về cuộc tấn công được phát hiện bằng cách gửi tin nhắn đến bảng điều khiển hoặc tạo thông báo bẫy SNMP.

Đối với mỗi sự kiện phát hiện cuộc tấn công, COA chỉ định một mức độ rủi ro nhất định, dựa vào đó chọn phương pháp phản ứng thích hợp. Giá trị rủi ro được tính toán dựa trên bốn thông số chính:

Tỷ lệ rủi ro sự kiện(Xếp hạng mức độ nghiêm trọng của cảnh báo). Thông số này xác định mức độ ưu tiên của các sự kiện dựa trên thiệt hại tiềm ẩn có thể gây ra cho AS do hoàn thành thành công một cuộc tấn công được phát hiện. Theo tham số này, một sự kiện có thể được phân thành bốn loại chính: thông tin và các sự kiện có mức độ ưu tiên thấp, trung bình hoặc cao. Quản trị viên bảo mật có thể chỉnh sửa giá trị hệ số nguy hiểm.

Tỷ lệ chính xác của chữ ký tấn công(Xếp hạng độ trung thực của chữ ký), xác định mức độ áp dụng chữ ký vào môi trường hiện tại của AS. Vì vậy, ví dụ, nếu một cuộc tấn công nhằm mục đích khai thác một lỗ hổng không có trong AS, thì hệ số chính xác của chữ ký của nó sẽ có xu hướng bằng 0. Giá trị của hệ số này được thiết lập bởi quản trị viên bảo mật.

Yếu tố liên quan đến tấn công(Xếp hạng mức độ liên quan của cuộc tấn công), là một tham số nội bộ được SOA tự động điều chỉnh dựa trên kết quả công việc của nó. Trong quá trình hoạt động, SOA nhận được dữ liệu bổ sung về bản chất của lưu lượng mạng lưu thông trong AS, trên cơ sở đó những thay đổi được thực hiện đối với giá trị hiện tại của hệ số liên quan.

Yếu tố đánh giá nút AC(Xếp hạng giá trị mục tiêu), được sử dụng để xác định mức độ quan trọng của một nút hệ thống cụ thể. Sử dụng hệ số này, quản trị viên có thể điều chỉnh giá trị rủi ro dựa trên nút nào đang bị tấn công. Vì vậy, ví dụ: nếu một máy chủ phục vụ các quy trình kinh doanh quan trọng của một công ty bị tấn công, thì cuộc tấn công đó phải xảy ra cấp độ cao rủi ro. Và ngược lại, nếu kẻ tấn công tấn công máy chủ tập tin, trên đó không có thông tin quan trọng đối với công ty, thì việc xâm nhập như vậy sẽ có mức độ rủi ro thấp.

Để xử lý thông tin về các cuộc tấn công được phát hiện ở cấp bảng điều khiển dành cho quản trị viên, mô-đun phần mềm chuyên dụng MARS (Hệ thống giám sát, phân tích và phản hồi) được sử dụng, cho phép bạn tạo báo cáo và tiến hành phân tích tương quan các sự kiện bảo mật.

6. Hệ thống Symantec SNS 7100

Các hệ thống dòng SNS (Symantec Network Security) 7100 được Symantec phát triển và được thiết kế để phát hiện và ngăn chặn các cuộc tấn công ở cấp độ mạng. SOA bao gồm bảng điều khiển dành cho quản trị viên và các cảm biến, được triển khai dưới dạng các đơn vị phần cứng và phần mềm gắn trên giá hoạt động ở chế độ thụ động hoặc chủ động. Trong trường hợp đầu tiên, các cảm biến SOA được kết nối với cổng SPAN của bộ chuyển mạch và trong trường hợp thứ hai, chúng được lắp đặt trong khoảng trống kênh liên lạc AC. Các cảm biến có khả năng xử lý lưu lượng truy cập đạt tốc độ lên tới 1 Gbit/s.

SOA được trang bị một hệ thống con sự an toàn của chính mình, cung cấp xác thực quản trị viên khi truy cập bảng điều khiển quản lý, cũng như bảo vệ bằng mật mã đối với tất cả thông tin dịch vụ được truyền giữa các cảm biến và bảng điều khiển. Thuật toán mã hóa AES được sử dụng để mã hóa dữ liệu được truyền.

Để phát hiện các cuộc tấn công, SOA có thể sử dụng các phương pháp chữ ký cũng như các phương pháp xác định các điểm bất thường trong giao thức mạng. SOA cung cấp cho quản trị viên khả năng tạo chữ ký của riêng mình dựa trên ngôn ngữ chuyên biệt.

Để cập nhật cơ sở dữ liệu chữ ký, SOA sử dụng cơ chế LiveUpdate, cơ chế này cũng được sử dụng trong các sản phẩm chống vi-rút của Symantec. Khi một cuộc tấn công được phát hiện, COA có thể thực hiện các kỹ thuật phản ứng chủ động hoặc thụ động tương tự như các kỹ thuật đã thảo luận trước đó.

Bảng điều khiển quản lý SNS SOA hỗ trợ hoạt động của nhiều người dùng. Trong trường hợp này, các nhóm người dùng sau có thể được phân biệt:

Superusers (SuperUsers) - quản trị viên có toàn quyền quản lý các tham số vận hành SOA, tạo tài khoản người dùng, v.v.;

Quản trị viên - quản trị viên có quyền hạn chế thay đổi các tham số nhất định trong hoạt động của SOA;

Người dùng Chuẩn - danh mục người dùng có quyền xem tất cả thông tin có thể được truy cập thông qua bảng điều khiển dành cho quản trị viên;

Người dùng bị hạn chế là những người dùng có quyền truy cập hạn chế để xem thông tin thông qua bảng điều khiển dành cho quản trị viên.

Để lưu trữ thông tin dịch vụ trong SNS, các loại cơ sở dữ liệu sau được sử dụng:

Cơ sở dữ liệu cấu trúc liên kết chứa thông tin về cấu hình của AS được bảo vệ;

Cơ sở dữ liệu chính sách bảo mật chứa các tham số chữ ký trên cơ sở phát hiện các cuộc tấn công mạng;

Cơ sở dữ liệu các quy tắc ứng phó với các cuộc tấn công mạng được phát hiện;

Cơ sở dữ liệu cấu hình chứa thông tin về quyền truy cập của siêu người dùng và quản trị viên SOA;

Cơ sở dữ liệu về các sự kiện và sự cố lưu trữ thông tin về tất cả các cuộc tấn công mạng đã được xác định.

Cảm biến SOA có thể được kết hợp thành các nhóm chuyển đổi dự phòng để đảm bảo hệ thống hoạt động không bị gián đoạn. Tất cả các cảm biến trong nhóm như vậy đều xử lý cùng một lưu lượng truy cập, nhưng chỉ một trong các cảm biến thực hiện các phương pháp để phản ứng với các cuộc tấn công được phát hiện. Nếu cảm biến chính của nhóm bị lỗi, nó sẽ tự động được thay thế bằng cảm biến dự phòng.

SOA cho phép bạn kết hợp nhiều cảm biến thành một cụm logic để thực hiện phân tích tương quan các sự kiện đến từ nhiều cảm biến khác nhau. Ví dụ: nếu phát hiện một cuộc tấn công từ chối dịch vụ phân tán, SOA có khả năng xác định nguồn gốc của cuộc xâm nhập dựa trên kết quả hoạt động của tất cả các cảm biến có trong một cụm.

Bảng điều khiển dành cho quản trị viên SOA được trang bị một hệ thống linh hoạt để lọc thông tin về các sự kiện liên quan đến các cuộc tấn công đã xác định, cũng như các công cụ để tạo báo cáo văn bản và đồ họa.

7. Hệ thống hít

Hệ thống Snort là một sản phẩm phần mềm phi thương mại được phân phối theo giấy phép GNU GPL cùng với các thử nghiệm ban đầu. Bất chấp tình trạng là phần mềm phi thương mại, hệ thống Snort vẫn được một số công ty Nga sử dụng như một phương tiện cơ bản để phát hiện các cuộc tấn công mạng.

Hệ thống Snort có thể hoạt động ở ba chế độ:

Phân tích các gói dữ liệu (chế độ đánh hơi);

Đăng ký gói dữ liệu trong nhật ký kiểm tra (chế độ ghi nhật ký gói);

Phát hiện các cuộc tấn công (phát hiện xâm nhập).

Ở chế độ phân tích gói dữ liệu, hệ thống Snort chặn các gói dữ liệu được truyền qua mạng và hiển thị nội dung của chúng trên màn hình. Chạy SOA “Snort” trong chế độ ghi nhật ký gói dữ liệu cho phép bạn ghi lại các tiêu đề và trường gói tin được truyền đi dữ liệu trong nhật ký, được trình bày dưới dạng tệp văn bản. Chế độ hoạt động thứ ba của SOA “Snort” - chế độ phát hiện các cuộc tấn công của kẻ xâm nhập - là chế độ chính và nhằm phát hiện các hành vi xâm nhập bằng cách phân tích nội dung của các gói dữ liệu được truyền đi. Để phát hiện các cuộc tấn công, SOA sử dụng phương pháp tìm kiếm ngữ cảnh dựa trên chữ ký. Kết quả của hệ thống có thể được ghi vào tệp văn bản hoặc được đăng ký trong MySql DBMS.

SOA "Snort" không phải là một hệ thống đóng về mặt chức năng và có thể được mở rộng thông qua các mô-đun phần mềm plug-in, được gọi là bộ tiền xử lý. Theo mặc định, SOA bao gồm các bộ tiền xử lý sau:

“http_inspect” - bộ tiền xử lý này được thiết kế để phát hiện những điểm bất thường trong nội dung của các yêu cầu HTTP được truyền đi;

bộ tiền xử lý “portscan detector”, cho phép bạn phát hiện các nỗ lực quét cổng của máy chủ AS;

"frag2" là bộ tiền xử lý cho phép chống phân mảnh các gói dữ liệu IP. Việc thực hiện quy trình này cho phép bạn xác định các cuộc tấn công từ chối dịch vụ được thực hiện dựa trên các gói dữ liệu IP được chống phân mảnh không đúng cách;

Bộ tiền xử lý “thuổng” cho phép bạn phát hiện các cuộc tấn công dựa trên phân tích thống kê;

Bộ tiền xử lý “stream4” được thiết kế để phân tích các phiên TCP và xác định các gói trái phép vi phạm thuật toán thiết lập kết nối TCP;

"arpspoof" là bộ tiền xử lý cho phép bạn xác định các cuộc tấn công mạng được thực hiện dựa trên các lỗ hổng Giao thức ARP;

Bộ tiền xử lý “rpc_decode”, được sử dụng để xử lý các lệnh được truyền qua giao thức RPC;

“bo” là bộ tiền xử lý được thiết kế để phát hiện hoạt động mạng trái phép liên quan đến hoạt động của phần mềm độc hại Back Orifice.

Hệ thống Snort có thể được cài đặt trong kênh liên lạc hoặc kết nối với cổng SPAN của switch. SOA “Snort” không bao gồm các công cụ điều khiển từ xa, vì vậy cách duy nhất để thay đổi các thông số vận hành hệ thống là thông qua giao diện dòng lệnh. Hệ thống cũng không cung cấp các công cụ tiêu chuẩn để tạo báo cáo về kết quả hoạt động của SOA.

Tên đầy đủ của các hệ thống như vậy là hệ thống phát hiện và ngăn chặn tấn công. Hoặc họ gọi SOA là một trong những cách tiếp cận. Nguyên tắc hoạt động của SOA là giám sát liên tục các hoạt động diễn ra trong hệ thống thông tin. Ngoài ra, khi phát hiện hoạt động đáng ngờ, hãy áp dụng các cơ chế nhất định để ngăn chặn và gửi tín hiệu đến một số cá nhân nhất định. Những hệ thống như vậy phải giải quyết được.

Có một số công cụ và cách tiếp cận điển hình để phát hiện các cuộc tấn công giúp giảm thiểu.

Đã qua rồi cái thời chỉ cần tường lửa là đủ để bảo vệ. Ngày nay, các doanh nghiệp triển khai các hệ thống bảo vệ có cấu trúc mạnh mẽ và khổng lồ để hạn chế doanh nghiệp khỏi các mối đe dọa và rủi ro có thể xảy ra. Với sự xuất hiện của các cuộc tấn công như tấn công từ chối dịch vụ (DDoS), địa chỉ nguồn của các gói không thể cung cấp cho bạn câu trả lời rõ ràng về việc liệu cuộc tấn công nhằm vào bạn là có chủ đích hay ngẫu nhiên. Bạn cần biết cách ứng phó với sự cố cũng như cách xác định kẻ tấn công (Hình 1).

Bạn có thể xác định kẻ tấn công bằng cách các tính năng sau hành động:

• nhận ra những vết thủng rõ ràng
• thực hiện nhiều lần cố gắng vào mạng
• cố gắng che giấu dấu vết của mình
• thực hiện các cuộc tấn công vào những thời điểm khác nhau

Bức tranh 1

Bạn cũng có thể chia những kẻ tấn công thành những kẻ bình thường và có kinh nghiệm. Những cái đầu tiên, nếu nỗ lực truy cập vào máy chủ không thành công, sẽ chuyển đến một máy chủ khác. Sau này sẽ tiến hành phân tích tài nguyên để thực hiện các cuộc tấn công sau. Ví dụ: quản trị viên thấy trong nhật ký IDS rằng ai đó đang quét các cổng trên máy chủ thư của bạn, sau đó các thư đến từ cùng một địa chỉ IP Lệnh SMTP tới cổng 25. Cách kẻ tấn công hành động có thể nói lên rất nhiều điều về tính cách, ý định của hắn, v.v. Hình 2 cho thấy một thuật toán để phát hiện các cuộc tấn công một cách hiệu quả. Tất cả các dịch vụ phát hiện tấn công đều sử dụng thuật toán ban đầu:

• phát hiện lạm dụng
• phát hiện bất thường

Hình 2

Để bố trí tốt các hệ thống phát hiện, bạn cần vẽ sơ đồ mạng với:

• ranh giới phân đoạn
• phân đoạn mạng
• đối tượng có và không có sự tin tưởng
• ACL - danh sách kiểm soát truy cập
• Dịch vụ và máy chủ có sẵn

Một lỗi phổ biến là những gì kẻ tấn công tìm kiếm khi phân tích mạng của bạn. Do hệ thống phát hiện xâm nhập sử dụng phân tích lưu lượng nên các nhà sản xuất nhận ra rằng không thể sử dụng một cổng chung để chặn tất cả các gói mà không làm giảm hiệu suất. Vì vậy, việc thiết lập hiệu quả hệ thống phát hiện là một nhiệm vụ rất quan trọng.

Công cụ phát hiện tấn công

Công nghệ phát hiện xâm nhập phải đáp ứng được những vấn đề sau:

• Nhận biết các cuộc tấn công phổ biến và cảnh báo các cá nhân cụ thể về chúng
• Hiểu biết nguồn dữ liệu tấn công không xác định
• Khả năng kiểm soát các phương pháp bảo mật của các chuyên gia không chuyên về bảo mật
• Kiểm soát mọi hoạt động của các chủ thể của mạng thông tin (chương trình, người dùng, v.v.)
• Giải phóng hoặc giảm bớt chức năng của nhân sự chịu trách nhiệm về an toàn, các hoạt động kiểm soát thường lệ hiện tại

Thường hệ thống phát hiện tấn công có thể thực hiện các chức năng mở rộng phạm vi ứng dụng của họ. Ví dụ:

• Kiểm soát hiệu quả. Bạn có thể đặt một hệ thống phát hiện sau tường lửa để xác định các quy tắc còn thiếu trên tường lửa.
• Giám sát các nút mạng bằng phần mềm lỗi thời
• Chặn và kiểm soát quyền truy cập vào một số tài nguyên Internet. Mặc dù chúng còn kém xa khả năng của những tường lửa như vậy nhưng nếu không có tiền mua tường lửa, bạn có thể mở rộng chức năng của hệ thống phát hiện tấn công
• Điều khiển E-mail. Hệ thống có thể giám sát virus trong thư, cũng như phân tích nội dung thư đến và đi

Việc sử dụng tốt nhất chuyên môn và thời gian của các chuyên gia bảo mật thông tin là xác định và loại bỏ lý do thực hiện các cuộc tấn công, thay vì tự phát hiện các cuộc tấn công. Bằng cách loại bỏ lý do tại sao cuộc tấn công có thể xảy ra, nó sẽ tiết kiệm được nhiều thời gian và nguồn tài chính.

Phân loại hệ thống phát hiện xâm nhập

Có nhiều cách phân loại hệ thống phát hiện tấn công, nhưng cách phân loại hàng đầu dựa trên nguyên tắc thực hiện:

• dựa trên máy chủ - hệ thống được chuyển hướng đến một nút mạng cụ thể
• dựa trên mạng - hệ thống nhắm đến toàn bộ mạng hoặc phân khúc mạng

Các hệ thống phát hiện tấn công được cài đặt trên các máy tính cụ thể thường phân tích dữ liệu từ nhật ký hệ điều hành và các ứng dụng khác nhau. Tuy nhiên, gần đây đã có những chương trình được tích hợp chặt chẽ với nhân hệ điều hành.

Ưu điểm của hệ thống phát hiện xâm nhập

Chuyển mạch cho phép các mạng lớn được quản lý dưới dạng nhiều phân đoạn mạng nhỏ. Việc phát hiện các cuộc tấn công ở cấp độ nút cụ thể giúp công việc hiệu quả hơn trong các mạng chuyển mạch vì nó cho phép bạn cài đặt hệ thống phát hiện trên các nút đó khi cần thiết.

Các hệ thống cấp mạng không yêu cầu cài đặt phần mềm phát hiện tấn công trên máy chủ. Để giám sát một phân đoạn mạng, chỉ cần một cảm biến, bất kể số lượng nút trong phân đoạn này.

Một gói tin được gửi từ kẻ tấn công sẽ không được trả lại. Các hệ thống hoạt động ở cấp độ mạng thực hiện phát hiện tấn công trong lưu lượng truy cập trực tiếp, nghĩa là trong thời gian thực. Thông tin được phân tích bao gồm dữ liệu sẽ là bằng chứng trước tòa.

Các hệ thống phát hiện hoạt động ở cấp độ mạng độc lập với hệ điều hành. Đối với các hệ thống như vậy, việc hệ điều hành nào đã tạo gói không quan trọng.

Công nghệ so sánh mẫu

Nguyên tắc là gói được phân tích để tìm sự hiện diện của một chuỗi byte không đổi nhất định - một mẫu hoặc chữ ký. Ví dụ: nếu một gói có giao thức IPv4 và giao thức truyền tải TCP, thì nó được dành cho cổng số 222 và chứa chuỗi trong trường dữ liệu foo, đây có thể coi là một cuộc tấn công. Những mặt tích cực:

• cơ chế phát hiện tấn công đơn giản nhất;
• cho phép một mẫu được khớp chặt chẽ với gói tấn công;
• hoạt động cho tất cả các giao thức;
• tín hiệu tấn công là đáng tin cậy nếu mẫu được xác định chính xác.

Mặt tiêu cực:

• nếu đòn tấn công không chuẩn thì có khả năng bị trượt;
• nếu mẫu quá chung chung thì có thể có tỷ lệ lớn kết quả dương tính giả;
• Có thể cần phải tạo nhiều mẫu cho một lần tấn công;
• Cơ chế này chỉ giới hạn trong việc phân tích một gói tin nên không thể nắm bắt được xu hướng và diễn biến của cuộc tấn công.

Công nghệ khớp trạng thái

Vì về bản chất, cuộc tấn công không phải là một gói đơn lẻ mà là một luồng gói nên phương thức này hoạt động với luồng dữ liệu. Một số gói từ mỗi kết nối được kiểm tra trước khi đưa ra phán quyết.
Nếu so sánh với cơ chế trước đó thì dòng foo có thể trong hai gói, cho Và ồ. Tôi nghĩ kết quả của hai phương pháp là rõ ràng.
Những mặt tích cực:

• phương pháp này phức tạp hơn một chút so với phương pháp trước;
• báo cáo tấn công là đúng nếu mẫu đáng tin cậy;
• cho phép cuộc tấn công được gắn chặt với khuôn mẫu;
• hoạt động cho tất cả các giao thức;
• việc trốn tránh một cuộc tấn công khó khăn hơn so với phương pháp trước.

Mặt tiêu cực:

• Tất cả các tiêu chí phủ định đều giống hệt như trong phương pháp trước.

Phân tích với giải mã giao thức

Phương pháp này thực hiện kiểm tra các cuộc tấn công trên các giao thức riêng lẻ. Cơ chế xác định giao thức và áp dụng các quy tắc thích hợp. Những mặt tích cực:

• nếu giao thức được xác định chính xác thì khả năng xảy ra kết quả dương tính giả sẽ giảm đi;
• cho phép mô hình được liên kết chặt chẽ với cuộc tấn công;
• cho phép bạn xác định các trường hợp vi phạm các quy tắc làm việc với các giao thức;
• cho phép bạn nắm bắt các biến thể tấn công khác nhau dựa trên một biến thể.

Mặt tiêu cực:

• Cơ chế khó thiết lập;
• Tỷ lệ dương tính giả có thể xảy ra cao nếu tiêu chuẩn giao thức cho phép có sự khác biệt.

Phân tích tĩnh

Phương pháp này liên quan đến việc triển khai logic để phát hiện các cuộc tấn công. Được sử dụng thông tin thống kêđể phân tích lưu lượng truy cập. Một ví dụ về việc xác định các cuộc tấn công như vậy là xác định việc quét cổng. Đối với cơ chế, các giá trị cổng tối đa có thể được triển khai trên một máy chủ sẽ được đưa ra. Trong tình huống như vậy, các kết nối hợp pháp đơn lẻ sẽ tạo thành một cuộc tấn công. Những mặt tích cực:

• Có những kiểu tấn công chỉ có thể được phát hiện bằng cơ chế này.

Mặt tiêu cực:

• Các thuật toán như vậy đòi hỏi phải tinh chỉnh phức tạp.

Phân tích dựa trên sự bất thường

Cơ chế này không được sử dụng để phát hiện rõ ràng các cuộc tấn công mà để phát hiện hoạt động đáng ngờ khác với hoạt động bình thường. Vấn đề chính khi thiết lập một cơ chế như vậy là xác định tiêu chí Bình thường hoạt động. Bạn cũng cần tính đến những sai lệch cho phép so với lưu lượng truy cập thông thường mà không phải là một cuộc tấn công. Những mặt tích cực:

• Một bộ phân tích được cấu hình đúng cách sẽ phát hiện ngay cả những cuộc tấn công chưa xác định, nhưng cần phải thực hiện thêm công việc để đưa ra các quy tắc mới và dấu hiệu tấn công.

Mặt tiêu cực:

• Cơ chế này không hiển thị mô tả về cuộc tấn công cho từng phần tử nhưng báo cáo những nghi ngờ dựa trên tình huống.
• Điều gì sẽ rút ra kết luận là chưa đủ thông tin hữu ích. Nội dung vô dụng thường được phát sóng trực tuyến.
• Yếu tố quyết định là môi trường hoạt động.

Các tùy chọn để ứng phó với các cuộc tấn công được phát hiện

Phát hiện một cuộc tấn công là một nửa trận chiến, bạn cũng cần thực hiện một số hành động nhất định. Chính các tùy chọn phản hồi sẽ quyết định tính hiệu quả của hệ thống phát hiện tấn công. Dưới đây là các tùy chọn phản hồi sau.

Mục đích chính của chương trình này là phát hiện các cuộc tấn công của hacker. Như bạn đã biết, giai đoạn đầu tiên của hầu hết các cuộc tấn công của hacker là kiểm kê mạng và quét cổng trên các máy chủ được phát hiện. Quét cổng giúp xác định loại hệ điều hành và phát hiện các dịch vụ có khả năng bị tấn công (ví dụ: máy chủ thư hoặc WEB). Sau khi quét cổng, nhiều máy quét xác định loại dịch vụ bằng cách gửi yêu cầu kiểm tra và phân tích phản hồi của máy chủ. Tiện ích APS trao đổi với kẻ tấn công và cho phép bạn xác định duy nhất thực tế của cuộc tấn công.

Ngoài ra, mục đích của tiện ích là:

• phát hiện các loại tấn công khác nhau (chủ yếu là quét cổng và xác định dịch vụ) cũng như sự xuất hiện của các chương trình và sâu mạng trên mạng (cơ sở dữ liệu APS chứa hơn một trăm cổng được sử dụng bởi sâu và các thành phần Backdoor);
• kiểm tra máy quét cổng và bảo mật mạng (để kiểm tra hoạt động của máy quét, bạn cần chạy APS trên máy tính thử nghiệm và quét các cổng - bằng cách sử dụng giao thức APS, bạn có thể dễ dàng xác định những kiểm tra nào mà máy quét sẽ thực hiện và theo trình tự nào);
• kiểm tra và giám sát hoạt động của Tường lửa - trong trường hợp này, tiện ích APS được khởi chạy trên máy tính đã cài đặt Tường lửa và quá trình quét cổng và (hoặc các cuộc tấn công khác) được thực hiện đối với PC. Nếu APS đưa ra cảnh báo, đây là tín hiệu cho thấy Tường lửa không hoạt động hoặc nó đang bị hỏng. cài đặt không chính xác. APS có thể chạy liên tục trên máy tính được bảo vệ bởi Tường lửa để giám sát hoạt động bình thường của Tường lửa trong thời gian thực;
• chặn hoạt động của sâu mạng và mô-đun cửa sau cũng như việc phát hiện chúng - nguyên tắc phát hiện và chặn dựa trên thực tế là cùng một cổng chỉ có thể được mở để nghe một lần. Do đó, việc mở các cổng mà các chương trình Trojan và Backdoor sử dụng trước khi chúng khởi chạy sẽ cản trở hoạt động của chúng, sau khi khởi chạy sẽ dẫn đến việc phát hiện cổng đó đang được một chương trình khác sử dụng;
• thử nghiệm các chương trình chống Trojan, hệ thống IDS - cơ sở dữ liệu APS chứa hơn một trăm cổng của các chương trình Trojan phổ biến nhất. Một số công cụ diệt Trojan có khả năng quét các cổng của PC đang quét (hoặc xây dựng danh sách các cổng nghe mà không cần quét khi Trợ giúp API Windows) - các công cụ như vậy sẽ báo cáo sự nghi ngờ về sự hiện diện của chương trình Trojan (với danh sách các cổng "đáng ngờ") - danh sách kết quả có thể dễ dàng so sánh với danh sách các cổng trong cơ sở dữ liệu APS và đưa ra kết luận về độ tin cậy của công cụ được sử dụng.

Nguyên tắc hoạt động của chương trình dựa trên việc nghe các cổng được mô tả trong cơ sở dữ liệu. Cơ sở dữ liệu cổng được cập nhật liên tục. Cơ sở dữ liệu chứa mô tả ngắn gọn về từng cổng - mô tả ngắn gọn chứa tên của vi-rút sử dụng cổng hoặc tên dịch vụ tiêu chuẩn, mà cổng này tương ứng. Khi phát hiện nỗ lực kết nối với cổng nghe, chương trình sẽ ghi lại thực tế kết nối trong giao thức, phân tích dữ liệu nhận được sau khi kết nối và đối với một số dịch vụ, cái gọi là biểu ngữ được truyền - một tập hợp văn bản hoặc dữ liệu nhị phân nhất định được truyền bởi dịch vụ thực tế sau khi kết nối.

Dmitry Kostrov,
Công ty cổ phần "Ekvant"
[email được bảo vệ]

Không phải chiều cao và sức mạnh, mà là trí thông minh
Hứa hẹn chiến thắng trong chiến tranh.
William Shakespeare

Hệ thống phát hiện tấn công máy tính (IDS - Hệ thống phát hiện xâm nhập) là một trong những thành phần quan trọng nhất của hệ thống bảo mật thông tin mạng của bất kỳ doanh nghiệp hiện đại nào, do số lượng các vấn đề liên quan đến bảo mật máy tính ngày càng tăng trong những năm gần đây (Hình 1) . Mặc dù công nghệ IDS không cung cấp bảo mật thông tin hoàn chỉnh nhưng nó vẫn đóng một vai trò rất quan trọng trong lĩnh vực này. Tóm tắt lịch sử của vấn đề cũng như một số hệ thống thử nghiệm và thương mại đã được thảo luận trong bài viết ("BYTE/Nga", số 10" 2001). Ở đây chúng tôi sẽ thảo luận chi tiết hơn về các sản phẩm hiện có trên thị trường và hướng đi để phát triển hơn nữa IDS.

Thị trường hệ thống IDS đã phát triển nhanh chóng kể từ năm 1997. Đó là thời điểm ISS (http://www.iss.com) cung cấp sản phẩm của mình có tên Real Secure. Một năm sau, Cisco Systems (http://www.cisco.com), nhận thấy tính khả thi của việc phát triển IDS, đã mua sản phẩm NetRanger cùng với Wheel Group. Không thể không nhắc đến ở đây việc sáp nhập SAIC và Haystack Labs vào Centrax Corporation (http://www.centrax.com).

Cần lưu ý rằng IDS thông thường chỉ phát hiện các loại tấn công đã biết một cách kịp thời. Chúng hoạt động ở chế độ tương tự như các chương trình chống vi-rút: những chương trình đã biết sẽ bị phát hiện, những chương trình chưa biết thì không. Phát hiện một cuộc tấn công không xác định là một nhiệm vụ khó khăn trong lĩnh vực hệ thống trí tuệ nhân tạo và quản lý bảo mật thích ứng. IDS hiện đại có khả năng giám sát hoạt động của các thiết bị mạng và hệ điều hành, xác định các hành động trái phép và tự động phản hồi chúng gần như theo thời gian thực. Khi phân tích các sự kiện hiện tại, những sự kiện đã xảy ra có thể được tính đến, điều này giúp xác định các cuộc tấn công được phân tách theo thời gian và từ đó dự đoán các sự kiện trong tương lai.

Vào những năm 80, hầu hết những kẻ tấn công đều là chuyên gia hack và tự họ đã tạo ra các chương trình, phương pháp để xâm nhập trái phép vào máy tính. mạng máy tính; các công cụ tự động hiếm khi được sử dụng. Ngày nay, đã xuất hiện một số lượng lớn những kẻ “nghiệp dư” với trình độ kiến ​​thức còn yếu trong lĩnh vực này sử dụng các phương tiện xâm nhập và khai thác tự động (khai thác là mã độc sử dụng các lỗi đã biết trong phần mềm và được kẻ tấn công sử dụng để phá hoại hệ thống). hoạt động bình thường của phần mềm và phần cứng phức tạp). Nói cách khác, khi chúng ta cải thiện phương tiện tự động xâm nhập, trình độ hiểu biết và trình độ của đa số kẻ tấn công giảm sút.

Có nhiều kiểu tấn công khác nhau và chúng có thể được xếp hạng theo mức độ nghiêm trọng tăng dần như sau:

• đoán mật khẩu
• mã sao chép
• hack mật khẩu
• khai thác các lỗ hổng đã biết
• vô hiệu hóa/bỏ qua hệ thống kiểm toán
• Trộm cắp dữ liệu
• cửa sau (các lối vào đặc biệt của chương trình phát sinh do lỗi khi viết hoặc do người lập trình để lại để gỡ lỗi)
• sử dụng công cụ đánh hơi và quét (hệ thống kiểm soát nội dung)
• sử dụng các chương trình chẩn đoán mạng để có được dữ liệu cần thiết
• sử dụng máy quét lỗ hổng tự động
• giả mạo dữ liệu trong gói IP
• tấn công từ chối dịch vụ (DoS)
• các cuộc tấn công vào máy chủ Web (tập lệnh CGI)
• công nghệ quét bí mật
• phương tiện tấn công phân tán.

Bây giờ đòn tấn công kéo dài không quá vài giây và có thể gây sát thương rất nhạy cảm. Ví dụ: một cuộc tấn công từ chối dịch vụ có thể vô hiệu hóa một cửa hàng trực tuyến hoặc trao đổi trực tuyến trong một thời gian dài. Những cuộc tấn công này là phổ biến nhất và các biện pháp phòng vệ chống lại chúng đang phát triển nhanh chóng.

Mục tiêu của bất kỳ IDS nào là phát hiện một cuộc tấn công có ít lỗi nhất có thể. Trong trường hợp này, mục tiêu tấn công (nạn nhân) thường muốn có câu trả lời cho các câu hỏi sau.

• Điều gì đã xảy ra với hệ thống của tôi?
• Cái gì đã bị tấn công và cuộc tấn công nguy hiểm như thế nào?
• Kẻ tấn công là ai?
• Cuộc tấn công bắt đầu khi nào và từ đâu?
• Làm thế nào và tại sao cuộc xâm lược xảy ra?

Ngược lại, kẻ tấn công thường cố gắng tìm hiểu những điều sau đây. ·

• Mục tiêu của cuộc tấn công là gì?
• Có lỗ hổng nào không và chúng là gì?
• Có thể gây hại gì?
• Những công cụ khai thác hoặc thâm nhập nào có sẵn?
• Có nguy cơ bị phát hiện không?

Các loại ID

Niềm hy vọng chiến thắng đưa chiến thắng đến gần hơn,
niềm tin vào chiến thắng đã tước đi niềm tin đó của chúng ta.
Titus Livy

Trước hết, IDS sử dụng nhiều phương pháp khác nhau để phát hiện hoạt động trái phép. Các vấn đề liên quan đến các cuộc tấn công thông qua tường lửa đều được biết đến rộng rãi. Tường lửa cho phép hoặc từ chối quyền truy cập vào một số dịch vụ (cổng) nhất định, nhưng không kiểm tra luồng thông tin đi qua cổng mở. Ngược lại, IDS cố gắng phát hiện một cuộc tấn công vào toàn bộ hệ thống hoặc mạng và cảnh báo cho quản trị viên bảo mật về cuộc tấn công đó, trong khi kẻ tấn công tin rằng mình đã không bị phát hiện.

Ở đây chúng ta có thể rút ra sự tương tự với việc bảo vệ một ngôi nhà khỏi kẻ trộm. Cửa ra vào và cửa sổ bị khóa là một bức tường lửa. Và hệ thống báo trộm tương ứng với IDS.

Có nhiều cách khác nhau để phân loại IDS. Do đó, theo phương pháp phản hồi, IDS thụ động và chủ động được phân biệt. Những hệ thống thụ động chỉ cần ghi lại thực tế của một cuộc tấn công, ghi dữ liệu vào tệp nhật ký và đưa ra cảnh báo. IDS hoạt động cố gắng chống lại cuộc tấn công bằng cách, ví dụ, cấu hình lại tường lửa hoặc tạo danh sách truy cập bộ định tuyến. Tiếp tục ví dụ tương tự, chúng ta có thể nói rằng nếu hệ thống báo động trong nhà bật còi báo động để xua đuổi kẻ trộm thì điều này tương tự như một IDS đang hoạt động và nếu nó gửi tín hiệu đến cảnh sát thì điều này tương ứng với một IDS thụ động. .

Dựa trên phương pháp phát hiện cuộc tấn công, có sự phân biệt giữa hệ thống dựa trên dấu hiệu và hệ thống dựa trên sự bất thường. Loại đầu tiên dựa trên việc so sánh thông tin với cơ sở dữ liệu được xác định trước về dấu hiệu tấn công. Đổi lại, các cuộc tấn công có thể được phân loại theo loại (ví dụ: Ping-of-Death, Smurf). Tuy nhiên, các hệ thống kiểu này không thể bắt được các kiểu tấn công mới, chưa xác định. Loại thứ hai dựa trên việc theo dõi tần suất của các sự kiện hoặc phát hiện các bất thường về mặt thống kê. Một hệ thống như vậy tập trung vào việc xác định các loại tấn công mới. Tuy nhiên, nhược điểm của nó là phải đào tạo liên tục. Trong ví dụ về an ninh gia đình, một hệ thống tương tự của hệ thống IDS tiên tiến hơn như vậy là những người hàng xóm biết ai đã đến gặp bạn và theo dõi cẩn thận. người lạ và thu thập thông tin về các tình huống khẩn cấp trên đường phố. Điều này tương ứng với loại IDS bất thường.

Cách phân loại phổ biến nhất dựa trên phương pháp thu thập thông tin về cuộc tấn công: dựa trên mạng, dựa trên máy chủ, dựa trên ứng dụng. Loại hệ thống đầu tiên hoạt động giống như một công cụ đánh hơi, “lắng nghe” lưu lượng truy cập trên mạng và xác định hành động có thể những kẻ xâm nhập. Việc tìm kiếm một cuộc tấn công tuân theo nguyên tắc “máy chủ đến máy chủ”. Cho đến gần đây, hoạt động của các hệ thống như vậy vẫn gặp khó khăn trong các mạng sử dụng giao thức chuyển mạch, mã hóa và tốc độ cao (hơn 100 Mbit/s). Nhưng gần đây các giải pháp từ NetOptics (http://www.netoptics.com) và Finisar (http://www.finisar.com) đã xuất hiện để hoạt động trong môi trường chuyển mạch, đặc biệt là công nghệ cổng SPAN (Trình phân tích cổng chuyển đổi) và Nhấn vào mạng (Cổng truy cập thử nghiệm). Network Tap (dưới dạng thiết bị độc lập hoặc dưới dạng thiết bị được tích hợp trong bộ chuyển mạch) cho phép bạn giám sát tất cả lưu lượng truy cập trên bộ chuyển mạch. Đồng thời, Cisco và ISS đã đạt được một số thành công trong việc triển khai các hệ thống như vậy trong mạng tốc độ cao.

Các hệ thống loại thứ hai, dựa trên máy chủ, được thiết kế để giám sát, phát hiện và phản hồi hành động của những kẻ xâm nhập trên một máy chủ cụ thể. Hệ thống, nằm trên máy chủ được bảo vệ, sẽ kiểm tra và xác định các hành động chống lại nó. Loại IDS thứ ba, dựa trên ứng dụng, dựa trên việc tìm kiếm các vấn đề trong một ứng dụng cụ thể. Ngoài ra còn có các IDS lai, là sự kết hợp của nhiều loại hệ thống khác nhau.

Hoạt động của IDS hiện đại và các kiểu tấn công khác nhau

Sơ đồ hoạt động chung của IDS được hiển thị trong Hình 2. 2. Gần đây đã xuất hiện nhiều ấn phẩm về hệ thống được gọi là IDS phân tán (dIDS). dIDS bao gồm nhiều IDS được đặt ở các phần khác nhau của một mạng lớn và được kết nối với nhau và với máy chủ quản lý trung tâm. Hệ thống như vậy tăng cường tính bảo mật của mạng con công ty bằng cách tập trung thông tin tấn công từ nhiều IDS khác nhau. dIDS bao gồm các hệ thống con sau: máy chủ phân tích trung tâm, tác nhân mạng và máy chủ thu thập thông tin tấn công.

Cơm. 2. Sơ đồ chung hoạt động của IDS.

Máy chủ phân tích trung tâm thường bao gồm cơ sở dữ liệu và máy chủ Web, cho phép lưu trữ thông tin về các cuộc tấn công và xử lý dữ liệu bằng giao diện Web thuận tiện.

Đại lý mạng là một trong những thành phần quan trọng dIDS. Đây là một chương trình nhỏ có mục đích báo cáo một cuộc tấn công tới máy chủ phân tích trung tâm.

Máy chủ thu thập thông tin tấn công là một phần của hệ thống dIDS, dựa trên máy chủ phân tích trung tâm một cách logic. Máy chủ xác định các tham số theo đó thông tin nhận được từ các tác nhân mạng được nhóm lại. Việc phân nhóm có thể được thực hiện theo các tham số sau:

• địa chỉ IP của kẻ tấn công;
• cổng người nhận;
• số đại lý;
• ngày giờ;
• giao thức;
• kiểu tấn công, v.v.

Bất chấp nhiều lời chỉ trích và nghi ngờ về hiệu suất của IDS, người dùng đã sử dụng rộng rãi cả các công cụ thương mại và phân phối miễn phí. Các nhà phát triển trang bị cho sản phẩm của họ khả năng phản ứng tích cực trước một cuộc tấn công. Hệ thống không chỉ phát hiện mà còn cố gắng ngăn chặn cuộc tấn công và có thể thực hiện một cuộc tấn công trả đũa kẻ tấn công. Các loại phản hồi tích cực phổ biến nhất là chấm dứt phiên và cấu hình lại tường lửa.

Việc chấm dứt phiên là phổ biến nhất vì nó không sử dụng trình điều khiển thiết bị bên ngoài như tường lửa. Ví dụ: các gói TCP RESET (với số thứ tự/số xác nhận chính xác) được gửi đơn giản đến cả hai đầu của kết nối. Tuy nhiên, đã có những cách được mô tả để kẻ tấn công vượt qua sự bảo vệ đó (ví dụ: sử dụng cờ PUSH trong gói TCP/IP hoặc sử dụng thủ thuật con trỏ hiện tại).

Phương pháp thứ hai, cấu hình lại tường lửa, cho phép kẻ tấn công tìm hiểu về sự hiện diện của tường lửa trong hệ thống. Bằng cách gửi một lượng lớn các gói ping đến máy chủ và thấy rằng sau một thời gian truy cập sẽ ngừng (ping không được thực hiện), kẻ tấn công có thể kết luận rằng IDS đã cấu hình lại tường lửa, thiết lập các quy tắc mới để từ chối ping đến máy chủ. Tuy nhiên, có nhiều cách để vượt qua sự bảo vệ này. Một trong số đó là sử dụng các khai thác trước khi cấu hình lại tường lửa. Co một cach dê dang hơn. Kẻ tấn công khi tấn công mạng có thể đặt địa chỉ IP của các công ty nổi tiếng làm địa chỉ người gửi (ipspoofing). Để giải quyết vấn đề này, cơ chế cấu hình lại tường lửa thường xuyên chặn quyền truy cập vào trang web của các công ty này (ví dụ: ebay.com, cnn.com, cert.gov, aol.com), sau đó có rất nhiều cuộc gọi từ người dùng phẫn nộ đến dịch vụ hỗ trợ các công ty “đóng cửa” bắt đầu và quản trị viên buộc phải vô hiệu hóa cơ chế này. Điều này rất gợi nhớ đến việc tắt báo động ô tô vào ban đêm, những báo động liên tục khiến cư dân của những ngôi nhà xung quanh không thể ngủ được. Sau đó, chiếc xe trở nên dễ tiếp cận hơn nhiều đối với những tên trộm xe.

Cần phải nhớ rằng đã có các công cụ để xác định IDS hoạt động ở chế độ “lắng nghe” lưu lượng truy cập (http://www.securitysoftwaretech.com/antisniff/download.html); Ngoài ra, nhiều IDS dễ bị tấn công DoS (từ chối dịch vụ).

Những người tiên tiến nhất trong lĩnh vực này là những nhà phát triển “tự do” của thế giới posix. Các cuộc tấn công đơn giản nhất khai thác các lỗ hổng liên quan đến việc sử dụng IDS dựa trên chữ ký. Ví dụ: việc sử dụng một phiên bản của sản phẩm Snort miễn phí có thể giảm xuống 0 theo cách sau. Khi cố gắng truy cập vào tệp /etc/passwd, nơi UNIX lưu trữ tên người dùng, tư cách thành viên nhóm và shell, Snort sử dụng chữ ký sau để phát hiện hoạt động này:

Cảnh báo tcp $EXTERNAL_NET bất kỳ -> $HTTP_SERVERS 80 (tin nhắn:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev: 1;)

Tuy nhiên, bạn có thể chỉ cần thay đổi các ký tự trong yêu cầu - GET /etc//\//passwd hoặc /etc/rc.d/.././\passwd và bỏ qua chữ ký này.

Tất nhiên, các nhà phát triển hệ thống IDS đã tính đến những thay đổi này và phát hiện các cuộc tấn công trong một thời gian dài, nhưng vẫn gặp phải các dấu hiệu tấn công được viết kém.

Có các cuộc tấn công dựa trên mã shell đa hình. Mã này được phát triển bởi tác giả của http://ktwo.ca/ và dựa trên việc sử dụng vi-rút. Công nghệ này hiệu quả hơn đối với các hệ thống dựa trên chữ ký so với các hệ thống dựa trên phân tích giao thức hoặc bất thường. Mã đa hình sử dụng nhiều kỹ thuật khác nhau để vượt qua hệ thống so khớp chuỗi (có tại http://cansecwest.com/noplist-v1-1.txt).

Bạn cũng có thể gọi lại các cuộc tấn công bằng cách phân mảnh gói, lỗi dịch vụ IDS, chia tách cuộc tấn công giữa nhiều người dùng, mã hóa cuộc tấn công bằng mã hóa "ebcdic" bằng cách thay đổi loại thiết bị đầu cuối thành "ebcdic", thực hiện một cuộc tấn công qua kênh được mã hóa, ngăn chặn mô-đun theo dõi cổng, thay đổi bảng định tuyến, để tránh lưu lượng truy cập vào hệ thống phát hiện xâm nhập, v.v.

Hệ thống IDS được sử dụng để xác định không chỉ những kẻ vi phạm bên ngoài mà cả những kẻ vi phạm nội bộ. Như thực tế cho thấy, đôi khi chúng có nhiều hơn những cái bên ngoài. Tấn công nội bộ không áp dụng loại phổ biến các cuộc tấn công. Không giống như những kẻ xâm nhập bên ngoài, kẻ xâm nhập nội bộ là người dùng được ủy quyền có quyền truy cập chính thức vào các tài nguyên mạng nội bộ, bao gồm cả những tài nguyên mà thông tin bí mật lưu hành trên đó. Thực tế phổ biến là sử dụng các dịch vụ bảo mật thông tin để bảo vệ phạm vi của mạng nội bộ, trong khi việc bảo vệ chống lại các mối đe dọa nội bộ lại ít được chú ý hơn. Đây là lúc IDS xuất hiện. Cấu hình IDS để bảo vệ chống lại các cuộc tấn công nội bộ không phải là một nhiệm vụ dễ dàng; nó đòi hỏi phải làm việc tỉ mỉ với các quy tắc và hồ sơ người dùng. Để chống lại các cuộc tấn công nội bộ, cần sử dụng kết hợp nhiều IDS khác nhau.

Các công ty và sản phẩm

Có hàng chục hệ thống IDS thương mại trên thị trường, đảm bảo lựa chọn giải pháp phù hợp nhất. Thật không may, vẫn chưa có sản phẩm nội địa nào, mặc dù hai công ty Nga đang chuẩn bị tung ra hệ thống phát hiện tấn công của họ vào cuối năm nay.

Sản phẩm từ hơn hai mươi công ty được mô tả dưới đây. Theo tác giả, thứ tự sắp xếp của chúng trong bài gần tương ứng với mức độ nổi tiếng ở Nga.

hệ thống Cisco

Dòng sản phẩm Cisco IDS cung cấp các giải pháp cho cấp độ khác nhau. Nó bao gồm ba hệ thống 42xx phiên bản v.2.2.1 (dựa trên mạng), trong đó 4210 (Hình 3) được tối ưu hóa cho môi trường 10/100Base-T (45 Mbit/s), 4235 được tối ưu hóa cho môi trường 10/100 /Môi trường 1000Base -TX, (200 Mbit/s) và 4250 - cho 10/100/1000Base-TX (500 Mbit/s).

Hệ thống con IDS có sẵn trong bộ chuyển mạch Catalyst - Mô-đun hệ thống phát hiện xâm nhập Catalyst 6000 (dựa trên mạng tích hợp chuyển đổi).

Cisco IDS Host Sensor 2.0 và Máy chủ web cảm biến máy chủ Cisco IDS, do Entercept phát triển, cung cấp khả năng bảo mật dựa trên máy chủ. IDS ở cấp bộ định tuyến (Bộ tính năng tường lửa 12.1(4)T) có khả năng đẩy lùi 59 loại tấn công nguy hiểm nhất (hệ thống dựa trên mạng). Khi sử dụng IDS ở cấp tường lửa PIX 535, 525, 515E, 506E, 501 (v.6.2.2), hơn 55 loại tấn công nguy hiểm nhất sẽ bị phản ánh (hệ thống dựa trên mạng). Hệ thống bảo mật được quản lý bằng CiscoWorks VPN/Giải pháp quản lý bảo mật (VMS) hoặc Cisco IDS phiên bản phần mềm 3.1(2). Cơm. Hình 4 minh họa hoạt động của cảm biến mạng Cisco khi cố gắng tìm ra tên máy chủ.

Cơm. 4. Hoạt động của cảm biến mạng Cisco khi cố gắng tìm ra tên máy chủ.

Hệ thống an ninh Internet

Công ty ISS đã có lúc có bước nhảy vọt trong lĩnh vực này và chiếm vị trí dẫn đầu trong việc triển khai các hệ thống phát hiện tấn công. Nó cũng cung cấp một loạt các giải pháp cho các cấp độ khác nhau.

Cảm biến mạng RealSecure - giải phap băng phân mêm, dành cho việc cài đặt trên một máy tính chuyên dụng trong phân khúc mạng quan trọng. Bằng cách phân tích lưu lượng mạng và so sánh nó với cơ sở dữ liệu về dấu hiệu tấn công, cảm biến sẽ phát hiện nhiều hành vi vi phạm chính sách bảo mật khác nhau (Hình 5).

Hệ thống Cảm biến Gigabit RealSecure xử lý hơn 500 nghìn gói mỗi giây, sử dụng thuật toán phân tích bảy cấp đã được cấp bằng sáng chế, phát hiện một số lượng lớn các cuộc tấn công bị các hệ thống khác bỏ qua. Nó chủ yếu được sử dụng trong các mạng hoạt động dưới tải nặng.

Cảm biến máy chủ RealSecure cho phép bạn phát hiện các cuộc tấn công ở mọi cấp độ nhằm vào một nút mạng cụ thể. Ngoài ra, nó có thể tiến hành phân tích bảo mật và phát hiện các lỗ hổng trên nút được kiểm soát.

RealSecure Desktop Protector (trước đây gọi là BlackICE Agent) được thiết kế để phát hiện các cuộc tấn công trong thời gian thực nhằm vào các máy trạm trên mạng công ty.

RealSecure cho Nokia là giải pháp phần mềm và phần cứng được phát triển bởi ISS và Nokia. Nó kết hợp tất cả các chức năng của RealSecure Network Sensor và Nokia IP Network Security Solutions. Hệ thống hoạt động theo hệ điều hành IPSO an toàn, dựa trên FreeBSD.

RealSecure Guard là giải pháp phần mềm kết hợp khả năng của tường lửa và hệ thống phát hiện tấn công theo thời gian thực. Nó được cài đặt giữa các phân đoạn được bảo vệ và mở của mạng (còn gọi là IDS nội tuyến) và phân tích tất cả lưu lượng truy cập đi qua nó để tìm kiếm các gói bị cấm hoặc nguy hiểm. Hệ thống có thể phát hiện các cuộc tấn công cả trên các phân đoạn mạng và trên các nút riêng lẻ, quan trọng nhất.

Để quản lý các hệ thống RealSecure được liệt kê, mô-đun RealSecure SiteProtector được sử dụng, đóng vai trò là thành phần chính của quản lý tập trung cho cả hệ thống Máy quét Internet và Máy quét hệ thống. Nó được thiết kế để sử dụng trong các mạng lớn, phân bố theo địa lý hoặc trong các tổ chức sử dụng đồng thời một số giải pháp ISS.

Mô-đun RealSecure WorkGroup Manager đơn giản hơn được thiết kế để chỉ quản lý Cảm biến mạng RealSecure, Cảm biến Gigabit, Cảm biến máy chủ RealSecure và RealSecure cho Nokia. Nó có thể được sử dụng khi không có các giải pháp ISS khác và với một số lượng nhỏ cảm biến trong mạng (tối đa năm).

Giao diện dòng lệnh RealSecure được thiết kế để chỉ kiểm soát dòng lệnh của Cảm biến mạng RealSecure và Cảm biến Gigabit. Mô-đun điều khiển này được định hướng để sử dụng cục bộ.

Symantec

Các sản phẩm Intruder Alert và NetProwler (hiện đang phát hành phiên bản 3.6 và 3.5.1 tương ứng) được mô tả đầy đủ chi tiết trong bài đánh giá nêu trên ("BYTE / Russia", Số 10" 2001, trang 14).

Mạng Enterasys

Mạng Enterasys - một phần công ty cũ Hệ thống Cabletron Nó tạo ra IDS Dragon (loại dựa trên mạng). Kiến trúc bên trong của phiên bản thứ sáu của hệ thống đã tăng khả năng mở rộng. Hệ thống bao gồm các thành phần Network Sensor, Squire Host Sensor, một module điều khiển với giao diện Web Dragon Policy Manager và hệ thống giám sát an ninh mạng thời gian thực tập trung Dragon Security Information Manager.

Cộng tác viên máy tính

eTrust Intrusion Development (trước đây là SessionWall) cung cấp khả năng giám sát và bảo mật mạng nội bộ. Sản phẩm phần mềm khá đơn giản và hiệu quả cao này cung cấp khả năng giám sát, phát hiện tấn công, kiểm soát lưu lượng WWW và ghi nhật ký. Thư viện mẫu tấn công mở rộng của eTrust Intrusion Development được cập nhật thường xuyên và tự động xác định các cuộc tấn công phù hợp với mẫu.

Hệ thống này có thể được sử dụng như một công cụ đánh hơi, ngoài ra, nó cho phép bạn hạn chế quyền truy cập vào các trang Internet bằng cách sử dụng các quy tắc có chứa từ khóa. eTrust cũng lưu giữ các bản ghi định lượng về lưu lượng mạng.

Phát hiện vi-rút và các thành phần Java/ActiveX nguy hiểm. Nỗ lực đoán mật khẩu để đăng nhập vào hệ thống của người dùng sẽ được xác định và ghi lại, điều này sau đó có thể hữu ích cho các quyết định tổ chức của ban quản lý công ty.

Phát hiện xâm nhập eTrust cung cấp khả năng xem theo ngữ cảnh của tất cả các gói lưu hành trên mạng cục bộ và chặn chúng nếu có các từ khóa do quản trị viên xác định.

Bảo mật NFR

Công ty được thành lập vào năm 1996 với mục tiêu phát triển hệ thống đầy hứa hẹn ID.

Hệ thống NFR NID cung cấp giám sát lưu lượng mạng theo thời gian thực, xác định hoạt động đáng ngờ, các cuộc tấn công khác nhau, hành vi bị cấm của người dùng trên mạng và các bất thường thống kê khác nhau. Các cảm biến được sử dụng có thể hoạt động ở tốc độ 1 Gbit/s và 100 Mbit/s mà không làm mất gói. Không giống như các hệ thống IDS truyền thống (so sánh lưu lượng truy cập với dấu hiệu tấn công), NFR NID sử dụng cơ sở kiến ​​thức chuyên biệt, kiểm tra hoạt động mạng bằng cách sử dụng các cách khai thác đã biết, giúp xác định các loại tấn công mới trong lưu lượng truy cập, chẳng hạn như Code Red và Nimda.

NFR HID hoạt động ở cấp máy chủ, cho phép bạn xác định các lỗ hổng và chính sách bảo mật yếu, xác định hoạt động đáng ngờ của người dùng và giám sát máy chủ được bảo vệ ở cấp độ tấn công mạng. Có khả năng hỗ trợ tới 10 nghìn máy chủ, rất thuận tiện trong các mạng lớn. Hệ thống sử dụng hai loại chương trình tác nhân: Tác nhân phân tích nhật ký giám sát kernel và tệp nhật ký mạng, bao gồm cả nhật ký hệ thống. Network Node Agent giám sát lưu lượng mạng và phát hiện các cuộc tấn công DoS trên máy chủ được bảo vệ (từ chối dịch vụ), các cuộc tấn công lấy mật khẩu FTP, tấn công phf Web, quét CGI, quét BackOrifice, v.v. Rất thích hợp để làm việc trong các mạng có mã hóa và mạng chuyển mạch.

Bẫy ưu đãi

Lịch sử phát triển của Tripwire và NFR, cũng như một số tính năng chức năng của sản phẩm của họ, được trình bày trong cùng một bài đánh giá ở. Lưu ý rằng có ba sản phẩm chính của công ty này, tên của chúng đã nói lên điều đó (dành cho Máy chủ, Thiết bị mạng và Trang web). Tính năng công nghệ chính của chúng là tính toán tổng kiểm tra các tệp và mô-đun chính.

Khịt mũi

Snort là một hệ thống phát hiện xâm nhập nhẹ. Chương trình phân tích giao thức truyền, phát hiện các cuộc tấn công khác nhau, ví dụ như tràn bộ đệm, quét, tấn công CGI, cố gắng phát hiện hệ điều hành, v.v. Snort sử dụng các quy tắc đặc biệt để tìm kiếm các cuộc tấn công trong lưu lượng truy cập. Hệ thống này dễ thiết lập và bảo trì, nhưng phần lớn hệ thống phải được cấu hình bằng tay, không có giao diện đồ họa thuận tiện.

Chương trình hoạt động ở ba chế độ: sniffer, packet logger và hệ thống phát hiện xâm nhập mạng. Trong trường hợp đầu tiên, hệ thống xem các gói ở cấp độ mạng và hiển thị thông tin về chúng trên bảng điều khiển, trong trường hợp thứ hai, nó ghi các tệp nhật ký vào đĩa, trong trường hợp thứ ba, nó phân tích lưu lượng mạng để khớp các dấu hiệu và tín hiệu tấn công về chúng.

Nhóm nghiên cứu Internetwork, BBN Technologies

Dòng sản phẩm NIDS, SecureNet, bao gồm các thiết bị được thiết kế cho mạng tốc độ cao (SecureNet 5000 và 7000), bảo vệ máy tính cá nhân (SecureNet 2000), cũng như hệ thống giám sát Nhà cung cấp SecureNet và phần mềm SecureNet Pro đặc biệt.

Hệ thống SecureHost (IDS dựa trên máy chủ) được thiết kế để bảo vệ PC và máy chủ bằng cách giới thiệu các cảm biến đặc biệt - các chương trình tác nhân. Đại lý đảm bảo rằng các quyết định được đưa ra khi một cuộc tấn công xảy ra trong thời gian thực theo chính sách bảo mật được thông qua. Bộ phần mềm Intrusion SecureHost bao gồm một bảng điều khiển quản lý dựa trên Microsoft Windows 2000 Server và các tác nhân chạy trên các hệ thống chạy Microsoft Windows NT, Windows 2000 hoặc Sun Solaris 2.8.

Cơn bão lửa

NIDS Firestorm tốc độ cao, được phát triển bởi Giani Tedesco và được cung cấp miễn phí, hiện được trình bày chủ yếu dưới dạng cảm biến chạy Linux. Các tính năng của hệ thống là:

• thông tin được thu thập bằng thư viện libpcap, cho phép bạn chặn các gói từ lưu lượng mạng;
• hệ thống hỗ trợ các quy tắc được viết cho Snort;
• dễ dàng cấu hình bằng cách chỉnh sửa tệp firestorm.conf;
• hiểu chế độ vận hành kiểm tra trạng thái (công nghệ kiểm tra gói có tính đến trạng thái của giao thức);
• chuẩn bị các tệp nhật ký ở định dạng ASCII hoặc tcpdump;
• tương quan các sự kiện;
• đưa ra tín hiệu về một cuộc tấn công vào thiết bị từ xa - bảng điều khiển.

Tuy nhiên (như trường hợp thường xảy ra với phần mềm miễn phí), hệ thống rất dễ bị tấn công. Có khả năng xảy ra một cuộc tấn công vào hệ thống này khiến NIDS bị đóng băng. Cuộc tấn công đã được mô tả trong các nguồn cấp tin tức; vấn đề hóa ra là lỗi trong mô-đun xử lý bộ nhớ.

Công nghệ psionic

Sản phẩm TriSentry (trước đây là công cụ của Dự án Abacus) được thiết kế để cải thiện tính bảo mật của mạng công ty bằng cách xác định các cuộc tấn công khác nhau. Hệ thống bao gồm ba thành phần cơ bản: PortSentry, HostSentry và LogSentry. IDS được thiết kế để hoạt động trong môi trường UNIX.

PortSentry là một trình phát hiện quét đơn giản giúp dừng liên lạc giữa máy chủ nạn nhân và kẻ tấn công. Máy chủ đặt lại các tuyến cục bộ, đặt quy tắc truy cập động và thêm máy chủ vào tập tin đặc biệt TCP bao bọc máy chủ.deny và tất cả điều này xảy ra trong thời gian thực.

HostSentry cho phép quản trị viên bảo mật xác định hoạt động bất thường người dùng (Phát hiện bất thường khi đăng nhập, LAD).

LogSentry (trước đây là Logcheck) tự động giám sát các tệp nhật ký hệ thống để phát hiện các sự cố bảo mật trong hệ thống bưu chính. Bộ chương trình này, trước đây được cung cấp cùng với tường lửa TIS Gauntlet, đã được thiết kế lại đáng kể để kiểm tra nhiều hệ thống hơn.

Lancope

Phần cứng và phần mềm phức tạp StealthWatch - hệ thống mạnh mẽđể theo dõi, phát hiện và ứng phó với các cuộc tấn công trong môi trường tốc độ cao. Không giống như các hệ thống truyền thống, nó có kiến ​​trúc dựa trên luồng, cho phép bạn xác định các cuộc tấn công mới mà không cần truy cập vào cơ sở dữ liệu về các dấu hiệu hiện có. Kiến trúc mới cung cấp khả năng phát hiện chuyên sâu các cuộc tấn công dựa trên hoạt động bất thường, hoạt động trong môi trường tốc độ cao (từ song công hoàn toàn 100 Mbps đến 1 Gbps) và phản ứng chậm hơn đáng kể với các cuộc tấn công sai.

OneSecure

Trong hệ thống xâm nhập OneSecure Phát hiện và Công ty Phòng ngừa (IDP) đã đề xuất một cơ chế đặc biệt - Phát hiện đa phương thức (MMD), kết hợp nhiều nhất phương pháp đã biết xác định các lỗ hổng.

Công nghệ truy đòi

Công ty cung cấp hai sản phẩm: ManTrap cung cấp khả năng bảo vệ cho các máy chủ quan trọng nhất, ManHunt phát hiện các cuộc tấn công ở cấp độ mạng, kể cả trong môi trường gigabit. Các cảm biến phân tán và máy chủ xử lý và ra quyết định trung tâm được sử dụng. Đồng thời, phương pháp do công ty phát triển (zero-day) phát hiện không chỉ các cuộc tấn công đã biết mà cả các cuộc tấn công mới.

Các sản phẩm Emerald, NetStat, Shadow và Bro được thảo luận chi tiết trong "BYTE/Nga", số 10"2001.

Xu hướng mới

Bộ chuyển mạch ngày càng được sử dụng rộng rãi trong các mạng doanh nghiệp vì chúng cung cấp băng thông lớn hơn các hub và bảo vệ khỏi các cuộc tấn công của kẻ đánh hơi nhằm chặn thông tin nhạy cảm. Tuy nhiên, vấn đề với việc sử dụng NIDS vẫn còn. Có các công tắc có tính năng phản chiếu cổng (cổng SPAN), sao chép dữ liệu đi qua công tắc sang một cổng chuyên dụng. Về mặt lý thuyết, bằng cách sử dụng cổng SPAN, có thể kiểm tra toàn bộ luồng dữ liệu, nhưng nếu lưu lượng được nhân đôi vượt quá giới hạn cho phép thì việc mất gói sẽ bắt đầu.

Đã có giải pháp cho mạng gigabit, nhưng có một vấn đề khác - mã hóa. Ngày nay, không có quản trị viên có lòng tự trọng nào làm việc từ xa với hệ thống của họ mà không có SSH hoặc SSL và vì quá trình truyền dữ liệu được mã hóa nên vấn đề sử dụng IDS vẫn còn. Nó nằm ở chỗ không thể giải mã tất cả lưu lượng truy cập và do đó không thể kiểm tra các dấu hiệu tấn công. Trong tương lai gần, hầu hết tất cả các nhà sản xuất (nếu muốn chiếm một vị trí xứng đáng trên thị trường IDS) sẽ hoàn thiện sản phẩm của mình để sử dụng trong mạng gigabit.

Một vấn đề khác là thu thập thông tin và phân tích nó. Ngay cả chuyên gia bảo mật nghiêm túc nhất cũng là một con người và có thể không nhận thấy một số chi tiết sẽ che giấu anh ta về việc chuẩn bị hoặc thực hiện một cuộc tấn công vào máy chủ của công ty. Các dự án Spice và Spade đã được triển khai để phát triển công nghệ phát hiện hoạt động bất thường và chúng sẽ giúp giải quyết vấn đề này.

Không còn nghi ngờ gì nữa, IDS đang phát triển theo hướng thu thập và liên kết thông tin. Trong trường hợp này, thông tin phải đến từ nhiều nguồn khác nhau (cảm biến). Rất có thể, sự khác biệt giữa NIDS và HIDS sẽ dần biến mất và trong tương lai, các hệ thống quản lý tập trung có khả năng ra quyết định sẽ được tạo ra (ít nhất là trong các trường hợp đơn giản), điều này sẽ giảm đáng kể gánh nặng cho quản trị viên chịu trách nhiệm về bảo mật máy tính. mạng.