Типы управления в системах обнаружения вторжений. Анализ систем обнаружения вторжений. Объединенный контроль угроз

Типы управления в системах обнаружения вторжений. Анализ систем обнаружения вторжений. Объединенный контроль угроз

В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег.

Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам:

  • сертификация:
    • отсутствует
    • сделана минимальная «для галочки»
    • высокий уровень сертификации
  • признанность (распространённость) продукта:
    • известен и используется в мире
    • присутствует только на региональном рынке

В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная.

Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК.

ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса — от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать.

ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК , где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой — низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно.

Всего по требованиям ФСБ, согласно сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два.

Итоговый список отечественных IDS и их сертификатов выглядит так:

Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию «Бумаженщиков», как бы обидно такое определение для них ни звучало.

К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты.

Обнаружения вторжений представляет собой процесс выявления несанкционированного доступа или попыток несанкционированного доступа к ресурсам АС.

Система обнаружения вторжений(Intrusion Detection System(IDS)) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.

Сигнатура – совокупность событий или действий, характерные для данного типа угрозы безопасности.

    Сенсор получает сетевой пакет.

    Пакет передается ядру для анализа.

    Проверяется совпадение сигнатуры.

    Если совпадений нет, то от узла получается следующий пакет.

    Если есть совпадение, то появляется предупреждающее сообщение.

    Происходит вызов модуля ответного реагирования.

Ошибки первого и второго рода:

    Ошибки второго рода, когда нарушитель воспринимается системой безопасности, как авторизованный субъект доступа.

Все системы, использующие сигнатуры для проверки доступа, подвержены ошибкам второго рода, в том числе антивирусы, работающие на антивирусной базе.

Функционирование системы IDS во многом аналогично межсетевому экрану. Сенсоры получают сетевой трафик, а ядро, путем сравнения полученного трафика, с записями имеющихся базами сигнатур, пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой дополнительный компонент, который может быть использован для оперативного блокирования угрозы, например, может быть сформированного новое правило для межсетевого экрана.

Существует две основных категории IDS:

    IDS уровня сети. В таких системах сенсор функционирует на выделенном для этих целей хосте(узле), защищаемом сегменте сети. Обычно он работает в прослушивающем режиме, чтобы анализировать весь ходящий по сегменту сетевой трафик.

    IDS уровня хоста. В случае, если сенсор функционирует на уровне хоста для анализа может быть использована следующая информация:

    1. Записи стандартных средств. Протоколирование ОС.

      Информация об использованных ресурсах.

      Профили ожидаемого поведения пользователя.

Каждый из типов IDS имеет свои достоинства и недостатки.

IDS уровня сети не снижает общую производительность системы, а IDS уровня хоста более эффективно выявляет атаки и позволяет анализировать активность, связанную с отдельным хостом. На практике целесообразно применять оба этих типа.

Протоколирование и аудит

Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование(регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующая все события, относящиеся к информационной безопасности. Аудит – анализ протоколирования информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Назначения механизма регистрации и аудита:

    Обеспечение подотчетности пользователей и администратора.

    Обеспечение возможности реконструкции последовательности событий(например при инцидентах).

    Обнаружение попыток нарушения режима информационной безопасности.

    Выявление технических проблем, напрямую не связанных с информационной безопасностью.

Протоколируемые данные заносятся в регистрационный журнал, который представляет собой хронологически-упорядоченную совокупность записи результатов деятельности субъектов АС, влияющих на режим информационной безопасности. Основными полями такого журнала являются следующие:

    Временная метка.

    Тип события.

    Инициатор события.

    Результат события.

Так, как системные журналы являются основными источниками информации для последующего аудита и выявления нарушения безопасности должен быть поставлен вопрос о защите их от не санкционированной модификации. Система протоколирования должна быть спроектирована таким образом, чтобы не один пользователь, включая администраторов, не мог произвольным образом изменять записи системных журналов.

Поскольку файлы журналов хранятся на том или ином носителе, рано или поздно может возникнуть проблема нехватки пространства на этом носителе, при этом реакция системы может быть различной, например:

    Продолжить работу системы, без протоколирования.

    Заблокировать систему до решения проблемы.

    Автоматически удалять самые старые записи в системном журнале.

Первый вариант является наименее приемлемым с точки зрения безопасности.

Подсистема обнаружения и предотвращения вторжений включает в себя:

Таблица 1. Подсистемы обнаружения и предотвращения вторжений

Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

По способу мониторинга средства подсистемы делятся на:

  • средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
  • средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

Выделяется несколько методов анализа событий:

  • обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
  • обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

Предотвращение вторжений системного уровня

Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

Варианты решения:

Cisco Security Agent

Check Point Endpoint Security
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia Server Intrusion Prevention System
Kaspersky Total Security


Предотвращение вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

В качестве мер противодействия, может выполняться:

  • блокирование выбранных сетевых пакетов;
  • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
  • сохранения выбранных пакетов для последующего анализа;
  • регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

Варианты решения:


Защита от DDoS атак

Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

  • обнаружение вторжения;
  • определение источника вторжения;
  • предотвращение вторжения.


Решение для операторов связи

Бизнес-преимущества внедряемого решения:

  • возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
  • возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
  • улучшается управляемость сетевой инфраструктурой;
  • возможность предоставления абонентам отчетов об атаках.

Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

  • выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
  • услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки


Архитектура решения

Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи

Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.


Решение для предприятий

При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.

  • осуществление компаниями своего бизнеса через Интернет;
  • наличие корпоративного web-сайта компании;
  • использование сети Интернет для реализации бизнес-процессов.


Архитектура решения

Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий

В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.

Технические преимущества внедряемых решений:

  • мгновенная реакция на DDoS-атаки;
  • возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

Варианты решения:

Arbor Peakflow SP

Cisco Guard
Cisco Traffic Anomaly Detector

Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.

Общее описание технологии

Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:

  • Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
  • Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
  • Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:

  • IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
  • IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
  • IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).

Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.

Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.

1. Обнаружение атаки, основанное на сигнатурах.

Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:

  • соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
  • входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
  • лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.

2. Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.

Технология IDS/IPS в ALTELL NEO

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO

Функция Поддержка
1. Обнаружение уязвимостей (эксплойтов) компонент ActiveX
2. Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки
3. Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C)
4. Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями
5. Обнаружение сетевого трафика от взломанных сетевых узлов
6. Обнаружение сетевого трафика, направленного на сервера DNS
7. Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service)
8. Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list
9. Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield
10. Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов)
11. Обнаружение трафика, характерного для компьютерных игр
12. Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов
13. Обнаружение сетевого трафика, характерного для атак на сервисы IMAP
14. Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации
15. Обнаружение сетевого трафика, характерного для вредоносных программ (malware)
16. Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS
17 . Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети)
18. Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP)
19. Обнаружение трафика, характерного для атак на сервисы POP3
20. Обнаружение сетевого трафика от узлов сети Russian Business Network
21. Обнаружение атак на сервисы RPC (удаленный вызов процедур)
22. Обнаружение сетевого трафика программ сканирования портов
23. Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера)
24. Обнаружение трафика, характерного для атак на сервисы SMTP
25. Обнаружение сетевого трафика протокола SNMP
26. Обнаружение правил для различных программ баз данных SQL
27. Обнаружение сетевого трафика протокола Telnet в сети
28. Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP)
29. Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности
30. Обнаружение трафика, характерного для троянских программ
31. Обнаружение атак на пользовательские агенты
32. Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO)
33. Обнаружение сетевого трафика, характерного для атак на сервисы VoIP
34. Обнаружение уязвимостей (эксплойтов) для web-клиентов
35. Обнаружение атак на web-серверы
36. Обнаружение атак на основе инъекций SQL (sql-injection attacks)
37. Обнаружение сетевого трафика, характерного для сетевых червей
38. Защита от хакерских атак

Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.

В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

  • Alert (режим IDS) - трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
  • Drop (режим IPS) - анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
  • Reject (режим IPS) - в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
  • Pass (режим IDS и IPS) - в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.


Бесплатное тестирование

Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью

активный процесс , при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. В действительности, как будет показано в материале лекции, это не всегда так. Перед обсуждением подробностей, связанных с обнаружением вторжений, давайте определим, что же это в действительности такое.

Системы обнаружения вторжений ( IDS ) появились очень давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли инициированные кем-то подозрительные действия и пресекали дальнейшее проникновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной здания, охраняемые собаками. То же самое можно сказать и про ночной дозор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

Сигнализация в зданиях и в автомобилях также является разновидностью системы обнаружения вторжений. Если система оповещения обнаруживает событие, которое должно быть замечено (например, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тревоги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклейки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

Все эти примеры основываются на одном и том же принципе: обнаружение любых попыток проникновения в защищенный периметр объекта ( офис , здание, автомобиль и т. д.). В случае с автомобилем или зданием периметр защиты определяется относительно легко. Стены строения, ограждение вокруг частной собственности, двери и окна автомобиля четко определяют защищаемый периметр. Еще одной характеристикой, общей для всех этих случаев, является четкий критерий того, что именно является попыткой проникновения, и что именно образует защищаемый периметр.

Если перенести концепцию системы сигнализации в компьютерный мир, то получится базовая концепция системы обнаружения вторжений. Необходимо определить, чем в действительности является периметр защиты компьютерной системы или сети. Очевидно, что периметр защиты в данном случае - это не стена и не ограждение. Периметр защиты сети представляет собой виртуальный периметр, внутри которого находятся компьютерные системы. Этот периметр может определяться межсетевыми экранами, точками разделения соединений или настольными компьютерами с модемами. Данный периметр может быть расширен для содержания домашних компьютеров сотрудников, которым разрешено соединяться друг с другом, или партнеров по бизнесу, которым разрешено подключаться к сети. С появлением в деловом взаимодействии беспроводных сетей периметр защиты организации расширяется до размера беспроводной сети.

Сигнализация, оповещающая о проникновении грабителя, предназначена для обнаружения любых попыток входа в защищаемую область, когда эта область не используется. Система обнаружения вторжений IDS предназначена для разграничения авторизованного входа и несанкционированного проникновения, что реализуется гораздо сложнее. Здесь можно в качестве примера привести ювелирный магазин с сигнализацией против грабителей. Если кто-либо, даже владелец магазина, откроет дверь, то сработает сигнализация. Владелец должен после этого уведомить компанию, обслуживающую сигнализацию, о том, что это он открыл магазин, и что все в порядке. Систему IDS , напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выявляющим несанкционированные действия (как, например, пронос огнестрельного оружия). К сожалению, в виртуальном мире "огнестрельное оружие" очень часто остается незаметным.

Вторым вопросом, который необходимо принимать в расчет, является определение того, какие события являются нарушением периметра безопасности . Является ли нарушением попытка определить работающие компьютеры? Что делать в случае проведения известной атаки на систему или сеть ? По мере того как задаются эти вопросы, становится понятно, что найти ответы на них не просто. Более того, они зависят от других событий и от состояния системы-цели.

Определение типов систем обнаружения вторжений

Существуют два основных типа IDS : узловые ( HIDS ) и сетевые ( NIDS ). Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети. На рисунке 13.1 показаны два типа IDS , которые могут присутствовать в сетевой среде.


Рис. 13.1.

Узловые IDS

Узловые IDS ( HIDS ) представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером. Датчики отслеживают различные типы событий (более детальное рассмотрение этих событий приводится в следующем разделе) и предпринимают определенные действия на сервере либо передают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.

Как будет показано далее, различные типы датчиков HIDS позволяют выполнять различные типы задач по обнаружению вторжений. Не каждый тип датчиков может использоваться в организации, и даже для различных серверов внутри одной организации могут понадобиться разные датчики. Следует заметить, что система



Популярное в рубрике:
Как объединить слои в фотошопе в один или соединить их в группу Как объединить несколько слоев в фотошоп
Как объединить слои в фотошопе в один или соединить их в группу...
читать
Перенос контактов на новый телефон android
Перенос контактов на новый телефон android
читать
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note 4 перезагружается сам по себе
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note...
читать
Основные возможности Kaspersky Rescue Disk
Основные возможности Kaspersky Rescue Disk
читать

Последние Статьи
Макбук не подключается к wifi Макбук не видит...
читать
Как заработать на WebMoney
читать
"Супра", планшет: отзывы покупателей
читать
Местонахождения судов в реальном времени
читать
Лучшие программы для Android Запись звонков от...
читать
Удаляем не читателей в Твиттере
читать
Подключаем интернет на ноутбуке: все возможные...
читать
Samsung Galaxy S IV – новый флагман...
читать
Top