Principi rada. Sustavi za otkrivanje upada
Načela korištenja IDS-a
Otkrivanje i sprječavanje upada(IDP) je NetDefendOS podsustav koji je dizajniran za zaštitu od pokušaja upada. Sustav gleda mrežni promet koji prolazi vatrozid, i traži uzorke podudaranja prometa. Otkrivanje takvog prometa ukazuje na pokušaj upada. Nakon što se otkrije takav promet, IDP poduzima korake da neutralizira i upad i njegov izvor.
Kako biste otkrili i spriječili upad, morate dati sljedeće podatke:
- Koji promet treba analizirati.
- Što tražiti u analiziranom prometu.
- Što treba poduzeti kada se otkrije upad.
Ove informacije su navedene u Pravila IDP-a.
Održavanje i napredni IDP
D-Link nudi dvije vrste IDP-a:
- Održavanje IDP
Održavanje IDP je srž IDP sustava i standardno je uključen u NetDefendDFL-210, 800, 1600 i 2500.
Maintenance IDP je pojednostavljeni IDP koji pruža osnovnu zaštitu od napada, a može se proširiti na opsežniji napredni IDP.
IDP nije standardan na DFL-260, 860, 1660, 2560 i 2560G; Ovi modeli vatrozida zahtijevaju naprednu IDP pretplatu.
- Napredni IDP
Advanced IDP je poboljšani IDP sustav sa širim rasponom baza podataka potpisa i višim hardverskim zahtjevima. 12-mjesečna pretplata je standardna i omogućuje automatsko ažuriranje IDP baze podataka potpisa.
Ova IDP opcija dostupna je na svim D-Link NetDefend modelima, uključujući one koji ne dolaze standardno s Maintenance IDP.
IDP održavanja može se smatrati ograničenim podskupom naprednog IDP-a. Pogledajmo funkcioniranje Advanced IDP-a.
Advanced IDP se kupuje kao dodatna komponenta NetDefendOS osnovnoj licenci. Pretplata znači da se baza IDP potpisa može preuzeti na NetDefendOS i da se baza podataka redovito ažurira kako se pojavljuju nove prijetnje.
Ažuriranja baze podataka potpisa automatski preuzima NetDefendOS u konfiguriranom vremenskom intervalu. To se radi pomoću HTTP veze s D-Link mrežnim poslužiteljem, koji pruža najnovija ažuriranja baze podataka potpisa. Ako na poslužitelju postoji nova verzija baze podataka potpisa, ona će se učitati, zamjenjujući staru verziju.
Pojmovi otkrivanje i sprječavanje upada (IDP), sustav sprječavanja upada (IDP) i sustav otkrivanja upada (IDS) koriste se naizmjenično. Svi oni pripadaju IRL funkciji.
Redoslijed obrade paketa
Redoslijed obrade paketa kada se koristi IDP je sljedeći:
- Paket stiže do vatrozida. Ako je paket dio nove veze, prvi korak je traženje odgovarajućeg pravila IP filtera. Ako je paket dio postojeće veze, odmah ide u IDP modul. Ako paket nije dio postojeće veze ili je odbačen IP pravilom, nema daljnje obrade tog paketa.
Izvorna i odredišna adresa paketa uspoređuju se sa skupom IDP pravila. Ako se pronađe odgovarajuće pravilo, paket se šalje IDP sustavu na obradu, koji traži podudarnost između sadržaja paketa i jednog od predložaka. Ako se ne pronađe podudaranje, paket prosljeđuje IDP sustav. Daljnje radnje u pravilima IP filtriranja, kao što su NAT i zapisivanje, mogu se definirati.
Pretraga podudaranja uzorka
Potpisi
Kako bi ispravno identificirao napade, IDP sustav koristi obrasce povezane s različitim vrstama napada. Ovi unaprijed definirani obrasci, koji se nazivaju i potpisi, pohranjuju se u lokalnoj bazi podataka i koriste ih IDP sustavi za analizu prometa. Svaki potpis ima jedinstveni broj.
Razmotrimo primjer jednostavnog napada koji se sastoji od pristupa FTP poslužitelju. Neovlašteni korisnik može pokušati dobiti datoteku lozinke passwd s FTP poslužitelja pomoću naredbe FTP RETR passwd. Potpis koji sadrži ASCII tekstualne nizove RETR i passwd otkrit će podudaranje koje ukazuje na mogući napad. U ovom primjeru, uzorak je naveden kao ASCII tekst, ali pretraživanje jest slaganje uzoraka radi slično za binarne podatke.
Prepoznavanje nepoznatih prijetnji
Napadači koji razvijaju nove napade često jednostavno modificiraju stari kod. To znači da se novi napadi mogu vrlo brzo pojaviti kao proširenja i generalizacije starih. Kako bi se tome suprotstavio, D-Link IDP koristi pristup u kojem modul skenira, uzimajući u obzir moguću ponovnu upotrebu komponenti, identificirajući slaganje uzoraka opći blokovi, a ne određeni kod. Time se postiže zaštita od poznatih i novih, nedavno razvijenih, nepoznatih prijetnji koje nastaju modifikacijom koda napada.
Opisi potpisa
Svaki potpis ima tekstualni opis objašnjenja. Čitajući tekstualni opis potpisa, možete razumjeti kakvu će vrstu napada ili virusa ovaj potpis pomoći u otkrivanju. Zbog promjenjive prirode baze podataka potpisa, tekstualni opisi nisu sadržani u D-Link dokumentaciji, ali su dostupni na D-Link web stranici: http://security.dlink. com.tw
Vrste potpisa IDP-a
IDP ima tri vrste potpisa koji pružaju različite razine pouzdanosti u identificiranju prijetnji:
- Potpisi za zaštitu od upada (IPS)– Ova vrsta potpisa je vrlo precizna, a promet koji odgovara ovom uzorku u većini slučajeva znači napad. Za ove prijetnje preporuča se navesti akciju Zaštiti. Ovi potpisi mogu otkriti napade administratora i sigurnosne skenere.
- Signature za otkrivanje upada (IDS)– Ova vrsta potpisa ima manju točnost od IPS-a i može uzrokovati lažne rezultate, stoga se preporučuje korištenje radnje Audit prije određivanja akcije Protect.
- Potpisi politike– Ova vrsta potpisa detektira različite vrste prometa aplikacije. Ovi se potpisi mogu koristiti za blokiranje nekih aplikacija dizajniranih za dijeljenje aplikacija i izravnu razmjenu poruka.
Sprječavanje napada uskraćivanjem usluge
Mehanizmi DoS napada
DoS napadi mogu se izvesti na razne načine, ali svi se mogu podijeliti u tri glavne vrste:
- Iscrpljenost računalnih resursa kao što su propusnost, prostor na disku, CPU vrijeme.
- Promjena informacija o konfiguraciji kao što su informacije o usmjeravanju.
- Oštećenje fizičkih mrežnih komponenti.
Jedna od najčešće korištenih metoda je iscrpljivanje računalnih resursa, tj. nemogućnost normalnog funkcioniranja mreže zbog velikog broja zahtjeva, često netočno formatiranih, te potrošnje resursa koji se koriste za pokretanje kritičnih aplikacija. Ranjivosti u operativnim sustavima Unix i Windows također se mogu koristiti za namjerno uništavanje sustava.
Ovdje su neki od najčešće korištenih DoS napada:
- Ping smrti / udarni napadi
- Prekrivanje fragmenata: Teardrop / Bonk / Boink / Nestea
- Kopneni i LaTierra napadi
- WinNuke napad
- Buff napadi: Smurf, Papasmurf, Fraggle
- TCP SYN poplava
- Trzaj2
Ping of Death i Jolt napadi
"Ping smrti" jedan je od najranijih napada koji se izvodi na slojevima 3 i 4 protokola. Jedan od najjednostavnijih načina za izvođenje ovog napada je pokretanje ping -l 65510 1.2.3.4 na Windows 95, gdje je 1.2.3.4 IP adresa žrtvinog računala. "Jolt" je posebno napisan program za kreiranje paketa u operativnom sustavu u kojem naredba ping ne može kreirati pakete koji prelaze standardnu veličinu.
Poanta napada je da ukupna veličina paketa premašuje 65535 bajtova, što je maksimalna vrijednost koja se može prikazati 16-bitnim cijelim brojem. Ako je veličina veća, dolazi do prelijevanja.
Zaštita je spriječiti fragmentaciju koja uzrokuje da ukupna veličina paketa premaši 65535 bajtova. Osim toga, možete konfigurirati ograničenja duljine IP paketa.
Napadi Ping of Death i Jolt bilježe se kao ispušteni paketi što ukazuje na pravilo "LogOversizedPackets". Treba imati na umu da u ovom slučaju IP adresa pošiljatelja može biti krivotvorena.
Napadi preklapanja fragmenata: Teardrop, Bonk, Boink i Nestea
Teardrop je napad koji uključuje preklapanje fragmenata. Mnoge implementacije stogova protokola ne obrađuju dobro pakete koji primaju preklapajuće fragmente. U ovom slučaju moguće je i iscrpljivanje resursa i kvar.
NetDefendOS pruža zaštitu od napada preklapanja fragmenata. Fragmenti koji se preklapaju ne smiju proći kroz sustav.
Teardrop i slični napadi bilježe se u zapisnicima NetDefendOS-a kao ispušteni paketi s pravilom "IllegalFrags". Treba imati na umu da u ovom slučaju IP adresa pošiljatelja može biti krivotvorena.
Kopneni i LaTierra napadi
Kopneni i LaTierra napadi sastoje se od slanja paketa žrtvinom računalu koji ga tjera da odgovori samom sebi, koje zauzvrat generira drugi odgovor samome sebi, i tako dalje. To će uzrokovati potpuno zaustavljanje računala ili kolaps bilo kojeg od njegovih podsustava
Napad se sastoji od korištenja IP adrese žrtvinog računala u poljima Izvor i Odredište.
NetDefendOS pruža zaštitu od Land napada primjenom IP spoofing zaštite na sve pakete. Kada koristite zadane postavke, svi dolazni paketi uspoređuju se sa sadržajem tablice usmjeravanja; ako paket stigne na sučelje s kojeg je nemoguće doći do izvorne IP adrese, tada će paket biti odbačen.
Land i LaTierra napadi bilježe se u zapisnike NetDefendOS-a kao ispušteni paketi koji označavaju zadano pravilo AutoAccess ili, ako su definirana druga pravila pristupa, navodeći pravilo pristupa koje je rezultiralo ispuštanjem paketa. U ovom slučaju IP adresa pošiljatelja nije od interesa jer odgovara IP adresi primatelja.
WinNuke napad
Princip WinNuke napada je povezivanje s TCP uslugom koja ne može obrađivati “izvanpojasne” podatke (TCP pakete s postavljenim URG bitovima), ali ih ipak prihvaća. To obično uzrokuje petlju usluge i trošenje svih CPU resursa.
Jedna od tih usluga bila je NetBIOS preko TCP/IP-a na WINDOWS strojevima, što je dalo ime ovom mrežnom napadu.
NetDefendOS pruža zaštitu na dva načina:
- Politike za dolazni promet obično se razvijaju prilično pažljivo, tako da je broj uspješnih napada mali. Izvana su dostupne samo javne službe koje su otvorene. Samo oni mogu postati žrtve napada.
- Uklonite URG bit iz svih TCP paketa.
Web sučelje
Napredne postavke -> TCP -> TCPURg
Tipično, WinNuke napadi se bilježe kao ispušteni paketi što ukazuje na pravilo koje je odbilo pokušaj povezivanja. Za dopuštene veze pojavljuje se unos kategorije "TCP" ili "DROP" (ovisno o postavci TCP URG), s nazivom pravila "TCP URG". Izvorna IP adresa ne smije biti krivotvorena jer veza mora biti u potpunosti uspostavljena do trenutka slanja izvanpojasnih paketa.
Napadi koji povećavaju promet: Smurf, Papasmurf, Fraggle
Ova kategorija napada koristi pogrešno konfigurirane mreže kako bi povećala protok prometa i usmjerila ga na ciljni sustav. Cilj je intenzivno koristiti žrtvinu propusnost. Napadač s velikom propusnošću možda neće moći upotrijebiti učinak pojačanja da u potpunosti optereti žrtvinu cijelu propusnost. Ovi napadi omogućuju napadačima s manjom propusnošću od žrtve da koriste pojačanje kako bi zauzeli žrtvinu propusnost.
- "Štrumpf" i "Papasmurf" šalju ICMP echo pakete na adresu emitiranja koristeći IP adresu žrtve kao izvornu IP adresu. Nakon toga sva računala šalju pakete odgovora žrtvi.
- "Fraggle" se temelji na "Smurf", ali koristi UDP echo pakete i šalje ih na port 7. Općenito, "Fraggle" napad ima slabije pojačanje, budući da je echo usluga omogućena na malom broju hostova.
Smurf napadi se bilježe u NetDefendOS zapisima kao veliki broj odbačenih ICMP Echo Reply paketa. Lažna IP adresa može se koristiti za izazivanje takvog zagušenja mreže. Fraggle napadi se također pojavljuju u zapisima NetDefendOS-a kao veliki broj odbačenih paketa. Lažna IP adresa koristi se za preopterećenje mreže.
Kada koristite zadane postavke, paketi poslani na adresu emitiranja se odbacuju.
Web sučelje
Napredne postavke -> IP -> DirectedBroadcasts
Dolazna politika trebala bi biti svjesna da svaka nezaštićena mreža također može biti izvor takvih pojačanih napada.
Zaštita na strani žrtvinog računala
Smurf i slični napadi su napadi koji troše vezu. Općenito vatrozid je usko grlo u mreži i ne može pružiti dovoljnu zaštitu od ove vrste napada. Dok paketi stignu do vatrozida, šteta je već učinjena.
Međutim, NetDefendOS može smanjiti opterećenje internih poslužitelja tako što će svoje usluge učiniti dostupnima interno ili putem alternativne veze koja nije meta napada.
- Štrumpf i Papasmurf flood napadi izgledaju kao ICMP Echo Responses na strani žrtve. Ako se pravila FwdFast ne koriste, takvim paketima neće biti dopušteno pokretanje novih veza, bez obzira postoje li pravila koja dopuštaju prolaz paketima.
- Fraggle paketi mogu stići na bilo koji UDP odredišni port koji je ciljan od strane napadača. Povećanje ograničenja u skupu pravila može pomoći u ovoj situaciji.
Oblikovanje prometa također pomaže u sprječavanju nekih flood napada na zaštićene poslužitelje.
TCP SYN poplavni napadi
Načelo TCP SYN Flood napada je slanje velikog broja TCP paketa sa postavljenom SYN zastavom na određeni port i ignoriranje paketa poslanih kao odgovor sa postavljenom SYN ACK zastavom. To omogućuje poslužitelju žrtve da iscrpi resurse snopa protokola, ostavljajući ga nesposobnim za uspostavljanje novih veza sve dok ne istekne vremensko ograničenje poluotvorene veze.
NetDefendOS pruža zaštitu od TCP SYN flood napada ako je opcija SYN Flood Protection instalirana u odgovarajućoj usluzi, što je navedeno u pravilu IP filtriranja. Ponekad opcija može biti označena kao SYN relej.
Zaštita od flood napada omogućena je prema zadanim postavkama u uslugama kao što su http -in, https-in, smtp -in i ssh-in.
SYN Mehanizam zaštite od poplava
Zaštita od SYN Flood napada događa se tijekom trostrukog rukovanja koje se događa prilikom uspostavljanja veze s klijentom. NetDefendOS obično ne ostaje bez resursa jer radi najoptimalnije upravljanje resursima i nema ograničenja koja se pojavljuju u drugim operativnim sustavima. Dok operativni sustavi mogu imati problema sa samo 5 poluotvorenih veza koje klijent ne priznaje, NetDefendOS može ispuniti cijelu tablicu stanja prije nego što se svi resursi iscrpe. Kada je tablica stanja puna, stare nepriznate veze se odbacuju kako bi se napravilo mjesta za nove veze.
Otkrivanje SYN poplava
TCP SYN flood napadi bilježe se u zapisima NetDefendOS-a kao veliki broj novih veza (ili odbačenih paketa ako je napad usmjeren na zatvoreni port). Treba imati na umu da u ovom slučaju IP adresa pošiljatelja može biti krivotvorena.
ALG automatski pruža zaštitu od napada poplava
Treba napomenuti da nema potrebe omogućiti SYN zaštitu od poplava za uslugu za koju je naveden ALG. ALG automatski pruža zaštitu od SYN flood napada.
Napad Jolt2
Načelo Jolt2 napada je slanje kontinuiranog toka identičnih fragmenata žrtvinom računalu. Protok od nekoliko stotina paketa u sekundi uzrokuje prestanak rada ranjivih računala sve dok protok u potpunosti ne prestane.
NetDefendOS pruža potpunu zaštitu od ovog napada. Prvi primljeni fragment nalazi se u redu dok ne stignu prethodni fragmenti, tako da se svi fragmenti mogu prenijeti željenim redoslijedom. Ako dođe do napada, niti jedan fragment neće biti poslan ciljnoj aplikaciji. Sljedeći fragmenti bit će odbačeni jer su identični prvom primljenom fragmentu.
Ako je vrijednost pomaka fragmenta koju je odabrao napadač veća od ograničenja navedenih u Naprednim postavkama -> Postavke ograničenja duljine u NetDefendOS-u, paketi će odmah biti odbačeni. Jolt2 napadi mogu se zabilježiti u zapisnike. Ako napadač odabere vrijednost pomaka fragmenta koja je prevelika za napad, to će se zabilježiti kao ispušteni paketi što ukazuje na pravilo LogOversizedPackets. Ako je vrijednost pomaka fragmenta dovoljno mala, neće biti zapisivanja. IP adresa pošiljatelja može biti lažirana.
Distribuirani DoS (DDoS) napadi
Najsofisticiraniji DoS napad je Distributed Denial of Service napad. Hakeri koriste stotine ili tisuće računala diljem Interneta, instalirajući softver izvršiti DDoS napade i kontrolirati sva ta računala kako bi izvršili koordinirane napade na žrtvine stranice. Tipično, ovi napadi troše propusnost, procesorsku snagu usmjerivača ili resurse za obradu hrpe protokola, što rezultira nemogućnošću uspostavljanja mrežnih veza sa žrtvom.
Iako su nedavni DDoS napadi pokrenuti i s privatnih i s javnih mreža, hakeri često preferiraju korporativne mreže zbog njihove otvorene i distribuirane prirode. Alati koji se koriste za pokretanje DDoS napada uključuju Trin00, TribeFlood Network (TFN), TFN2K i Stacheldraht.
Opis praktičnog rada
Opći popis potpisa
U web sučelju svi su potpisi navedeni u odjeljku IDP / IPS -> IDP potpisi.
Pravila IDP-a
IDP pravilo određuje koju vrstu prometa treba analizirati. IDP pravila stvaraju se slično drugim pravilima, kao što su pravila za filtriranje IP-a. IDP pravilo specificira kombinaciju izvorne/odredišne adrese/sučelja, usluge koja određuje koji će se protokoli skenirati. Glavna razlika od pravila filtriranja je u tome što IDP pravilo navodi radnju koju treba poduzeti kada se otkrije upad.
Web sučelje:
IDP/IPS -> IDP pravila -> Dodaj -> IDP pravilo
IDP Akcije
Ako se otkrije upad, izvršit će se radnja navedena u IDP pravilu. Može se navesti jedna od tri radnje:
- Ignoriraj – Ako se otkrije upad, ne poduzimajte ništa i ostavite vezu otvorenom.
- Revizija – Ostavite vezu otvorenom, ali zabilježite događaj.
- Zaštiti – Resetirajte vezu i zabilježite događaj. Moguće je koristiti dodatnu opciju stavljanja izvora veze na crnu listu.
HTTP normalizacija
IDP provodi HTTP normalizaciju, tj. provjerava ispravnost URI-ja u HTTP zahtjevima. U IDP pravilu možete navesti radnju koja bi se trebala izvršiti kada se otkrije nevažeći URI.
IDP može otkriti sljedeće nevažeće URI-je:
Netočno UTF8 kodiranje
Traži nevažeće UTF8 znakove u URI-ju.
Nevažeći heksadecimalni kod
Ispravan heksadecimalni niz je onaj gdje postoji znak postotka iza kojeg slijede dvije heksadecimalne vrijednosti koje su kod za jedan bajt. Nevažeći heksadecimalni niz je niz koji sadrži znak postotka i iza kojeg ne slijedi heksadecimalna vrijednost koja predstavlja bajt kod.
Dvostruko kodiranje
Traži bilo koju heksadecimalnu sekvencu koja je sama kodirana pomoću drugih heksadecimalnih izlaznih sekvenci. Primjer bi bio niz %2526, dok bi %25 HTTP poslužitelj mogao interpretirati kao %, što bi rezultiralo nizom %26, koji bi se interpretirao kao &.
Sprječavanje napada ubacivanjem znakova ili zaobilaženje IDP mehanizama
U IDP pravilu možete postaviti opciju Zaštiti od napada umetanjem/izbjegavanjem. Ovo je zaštita od napada usmjerenih na zaobilaženje IDP mehanizama. Ovi napadi iskorištavaju činjenicu da u TCP/IP protokolima paket može biti fragmentiran i pojedinačni paketi mogu stići nasumičnim redoslijedom. Napadi ubacivanjem znakova i zaobilaženje IDP mehanizama obično koriste fragmentaciju paketa i događaju se tijekom procesa sklapanja paketa.
Napadi ubacivanjem
Napadi umetanjem sastoje se od modificiranja toka podataka tako da rezultirajuća sekvenca paketa bude dopuštena kroz IDP sustav, ali sekvenca je napad na ciljnu aplikaciju. Ovaj napad može se provesti stvaranjem dva različita toka podataka.
Kao primjer, pretpostavimo da se tok podataka sastoji od 4 fragmenta paketa: p1, p2, p3 i p4. Napadač može prvo poslati fragmente p1 i p4 paketa ciljnoj aplikaciji. Zadržat će ih i IDP sustav i aplikacija do dolaska fragmenata p2 i p3, nakon čega će se izvršiti ponovna montaža. Zadatak napadača je poslati dva fragmenta p2' i p3' IDP sustavu i dva druga fragmenta p2 i p3 aplikaciji. Rezultat su različiti tokovi podataka koje primaju IDP sustav i aplikacija.
Zaobilazni napadi
Napadi zaobilaženja imaju isti krajnji rezultat kao napadi umetanjem, također proizvode dva različita toka podataka: jedan vidi IDP sustav, drugi vidi ciljna aplikacija, ali u ovom slučaju rezultat se postiže na suprotan način, a to je slanje fragmenti paketa koje će IDP sustav odbiti, ali prihvatiti ciljna aplikacija.
Otkrivanje sličnih napada
Ako je uključena opcija napada Insertion/Evasion Protect, i
- Kirilovich Ekaterina Igorevna, prvostupnik, student
- Baškirsko državno agrarno sveučilište
- METODA ANOMALIJA
- SUSTAVI ZA DETEKCIJU PROVALA
- MREŽNI NAPADI
Ovaj članak govori o sustavima za otkrivanje upada, koji su danas tako relevantni za osiguranje široke informacijske sigurnosti u korporativnim informacijskim mrežama.
- Onion router: radni mehanizam i načini osiguravanja anonimnosti
- Poboljšanje formiranja fonda za kapitalne popravke u stambenim zgradama
- Regulatorno i pravno uređenje pitanja ocjenjivanja kvalitete pruženih državnih (općinskih) usluga u Rusiji
Danas su sustavi za detekciju i prevenciju upada (IDS/IPS, Intrusion detection system / Intrusion prevention system) važan element zaštite od mrežnih napada. Glavna svrha takvih sustava je otkrivanje slučajeva neovlaštenog ulaska u korporativnu mrežu i poduzimanje protumjera.
Sustavi za otkrivanje upada (IDS) nazivaju se mnogo različitih softverskih i hardverskih alata, ujedinjenih jednim zajedničkim svojstvom - oni analiziraju korištenje resursa koji su im povjereni i, ako se otkriju bilo kakvi sumnjivi ili jednostavno netipični događaji, sposobni su poduzeti neke neovisne radnje otkriti, identificirati i otkloniti njihove uzroke.
Korištenje IDS-a pomaže u postizanju ciljeva kao što su: otkrivanje upada ili mrežnog napada; predvidjeti moguće buduće napade i identificirati ranjivosti kako bi se spriječio njihov daljnji razvoj; dokumentirati postojeće prijetnje; dobiti korisne informacije o prodorima koji su se dogodili kako bi se obnovili i ispravili čimbenici koji su uzrokovali prodor; odrediti mjesto izvora napada u odnosu na lokalnu mrežu.
Ovisno o tome kako se podaci prikupljaju, IDS može biti zasnovan na mreži ili sustavu (na hostu).
Network (NIDS) nadzire pakete u mrežnom okruženju i prati pokušaje napadača da prodre u zaštićeni sustav. Nakon što NIDS identificira napad, administrator mora ručno ispitati svaki napadnuti host kako bi utvrdio je li došlo do stvarne infiltracije.
Sustavni (host) ID-ovi nazivaju se IDS-i, koji su instalirani na glavnom računalu i detektiraju zlonamjerne aktivnosti na njemu. Primjer IDS-a temeljenog na hostu su sustavi za nadzor integriteta datoteka, koji provjeravaju sistemske datoteke kako bi utvrdili jesu li napravljene promjene.
Prva metoda korištena za otkrivanje upada bila je analiza potpisa. Detektori napada analiziraju aktivnost sustava pomoću događaja ili skupa događaja prema unaprijed definiranom obrascu koji opisuje poznati napad. Podudarnost između uzorka i poznatog napada naziva se potpis. Dolazni paket se skenira bajt po bajt i uspoređuje s potpisom - karakterističnom linijom programa koja označava karakteristike štetnog prometa. Takav potpis može sadržavati ključnu frazu ili naredbu koja je povezana s napadom. Ako se pronađe podudaranje, oglašava se alarm.
Sljedeća metoda je metoda anomalije. Uključuje prepoznavanje neobičnog ponašanja na glavnom računalu ili mreži. Detektori anomalija pretpostavljaju da se napadi razlikuju od normalne aktivnosti i da ih može otkriti sustav koji može otkriti te razlike. Detektori anomalija stvaraju profile koji predstavljaju normalno ponašanje korisnika, računala ili mrežnih veza. Ovi se profili stvaraju na temelju povijesnih podataka prikupljenih tijekom normalnog rada. Detektori zatim prikupljaju podatke o događajima i koriste različite metrike kako bi utvrdili da aktivnost koja se analizira odstupa od normalne aktivnosti. Svaki paket dolazi s različitim protokolima. Svaki protokol ima nekoliko polja koja imaju očekivane ili normalne vrijednosti. IDS skenira svako polje protokola svih dolaznih paketa: IP, TCP i UDP. Ako dođe do kršenja protokola, proglašava se alarm.
Sustavi za detekciju upada imaju lokalnu i globalnu arhitekturu. U prvom slučaju implementiraju se elementarne komponente koje se zatim mogu kombinirati da služe korporativnim sustavima. Primarno prikupljanje podataka provode agenti (senzori). Podaci o registraciji mogu se izvući iz zapisnika sustava ili aplikacije ili dobiti iz mreže pomoću odgovarajućih mehanizama aktivne mrežne opreme ili presretanjem paketa pomoću mrežne kartice postavljene na način nadzora.
Agenti prenose informacije u distribucijski centar koji ih dovodi u unificirani format, vrši daljnje filtriranje, pohranjuje u bazu podataka i prosljeđuje statističkim i ekspertnim komponentama na analizu. Ako se tijekom procesa analize otkrije sumnjiva aktivnost, odgovarajuća poruka se šalje rješavatelju, koji utvrđuje je li alarm opravdan i odabire način odgovora. Dobar sustav za otkrivanje upada trebao bi moći objasniti zašto je pokrenuo alarm, koliko je ozbiljna situacija i koji je preporučeni smjer radnje.
Globalna arhitektura podrazumijeva organizaciju peer-to-peer i multi-peer veza između lokalnih sustava za detekciju upada. Na istoj razini mogu postojati komponente koje analiziraju sumnjive aktivnosti iz različitih kutova.
Veze s više rangova koriste se za sažimanje rezultata analize i dobivanje holističke slike onoga što se događa. Ponekad lokalna komponenta nema dovoljno razloga za uzbunu, ali sveukupne sumnjive situacije mogu se kombinirati i zajedno analizirati, nakon čega se prelazi prag sumnje. Holistička slika omogućuje nam prepoznavanje koordiniranih napada na različite dijelove informacijskog sustava i procjenu štete u cijeloj organizaciji.
Kao i svaki sigurnosni sustav, IDS ne jamči 100% zaštitu mreže ili računala, no funkcije koje obavlja omogućit će pravovremeno otkrivanje napada, čime se smanjuje šteta od curenja informacija, brisanja datoteka i korištenja računala u ilegalnim aktivnostima.
Bibliografija
- Web stranica Instituta za mehaniku kontinuuma [Elektronički izvor]. – Način pristupa: http://www.icmm.ru/~masich/win/lexion/ids/ids.html. – Sustavi za otkrivanje upada.
- MEĐUSUSJEDSKA SURADNJA STANOVNIČKIH FARMI Sharafutdinov A.G. U zborniku: Integracija znanosti i prakse kao mehanizam za učinkovit razvoj agroindustrijskog kompleksa, materijali Međunarodne znanstveno-praktične konferencije u okviru XXIII Međunarodne specijalizirane izložbe "AgroComplex-2013". 2013. str. 212-214.
- Udžbenik [Elektronička građa]. - Miloslavskaya N.G., Tolstoj A.I. Intraneti: otkrivanje upada. M.: UNITY-DANA, 2001.
- NEOVLAŠTENE MOGUĆNOSTI KRŠENJA VRIJEDNOSTI KSOD Mukhutdinova R.D., Sharafutdinov A.G. Gospodarstvo i društvo. 2014. br. 4-3 (13). str. 1596-1599.
- INFORMACIJSKE TEHNOLOGIJE KAO RUTINA FUNKCIONIRANJA SUVREMENIH TVRTKI Sharafutdinov A.G., Mukhamadiev A.A. U zborniku: INFORMACIJSKE TEHNOLOGIJE U ŽIVOTU SUVREMENOG ČOVJEKA Zbornik radova IV međunarodnog znanstveno-praktičnog skupa. Odgovorni urednik: Zaraisky A. A.. 2014. P. 90-92.
Sustav za otkrivanje upada u mrežu može zaštititi od napada koji prolaze vatrozid na interni LAN. Vatrozidi mogu biti pogrešno konfigurirani, dopuštajući neželjeni promet u mrežu. Čak i kada ispravno rade, vatrozidi obično dopuštaju određeni promet aplikacija unutar sebe koji može biti opasan. Priključci se često prosljeđuju s vatrozida na interne poslužitelje s prometom namijenjenim e-pošti ili drugom javnom poslužitelju. Sustav za otkrivanje upada u mrežu može nadzirati ovaj promet i označiti potencijalno opasne pakete. Pravilno konfiguriran sustav za otkrivanje upada u mrežu može unakrsno provjeriti pravila vatrozida i pružiti dodatnu zaštitu za aplikacijski poslužitelji.
Sustavi za detekciju upada u mrežu korisni su u zaštiti od vanjskih napada, ali jedna od njihovih glavnih prednosti je mogućnost otkrivanja internih napada i sumnjiva aktivnost korisnika. Vatrozidštiti od mnogih vanjskih napada, ali kada je napadač na lokalnoj mreži, vatrozid malo je vjerojatno da će moći pomoći. Vidi samo promet koji prolazi kroz njega i obično je slijep za aktivnosti na lokalnoj mreži. Razmotrite sustav za otkrivanje upada u mrežu i vatrozid komplementarne sigurnosne uređaje kao što su sigurna brava na vratima i mrežni sigurnosni alarmni sustav. Jedan od njih štiti vašu vanjsku granicu, drugi štiti vaš unutarnji dio (slika 7.1).
Riža. 7.1.
Postoji dobar razlog za pažljivo praćenje internog mrežnog prometa. Statistika FBI-a pokazuje da više od 70 posto računalnih zločina potječe iz izvora iznutra. Iako smo skloni vjerovati da nam kolege neće učiniti ništa nažao, ponekad to nije tako. Insajderski napadači- ne uvijek noćni hakeri. To mogu biti uvrijeđeni administratori sustava ili nemarni zaposlenici. Jednostavan čin preuzimanja datoteke ili otvaranja datoteke priložene poruci e-pošte može uvesti trojanskog konja u vaš sustav, ostavljajući rupu u vašem vatrozidu za sve vrste nestašluka. Uz pomoć sustava za detekciju upada u mrežu možete zaustaviti takve aktivnosti, ali i druge moguće računalne spletke. Dobro konfiguriran sustav za detekciju upada u mrežu može djelovati kao elektronički "alarmni sustav" za vašu mrežu.
|
Nova generacija protuprovalnih sustava Sustavi za detekciju upada koji se temelje na detekciji nenormalnih aktivnosti Umjesto korištenja statičkih potpisa koji mogu otkriti samo jasno zlonamjernu aktivnost, sustavi sljedeće generacije nadziru normalne razine za različite vrste aktivnosti na mreži. Ako dođe do iznenadnog porasta FTP prometa, sustav će vas o tome upozoriti. Problem s ovim vrstama sustava je taj što su vrlo skloni lažno pozitivnim rezultatima - to jest, aktiviranju alarma kada se na mreži odvijaju normalne, važeće aktivnosti. Dakle, u primjeru FTP prometa, preuzimanje posebno velike datoteke izazvalo bi uzbunu. Također treba uzeti u obzir da je sustavu za detekciju upada koji se temelji na detekciji nenormalnih aktivnosti potrebno vrijeme da izgradi točan model mreže. U početku sustav generira toliko alarma da je od njega malo koristi. Osim toga, takve sustave za otkrivanje upada moguće je prevariti ako dobro poznajete mrežu. Ako su hakeri dovoljno prikriveni i koriste protokole koji se aktivno koriste na mreži, neće privući pozornost ove vrste sustava. S druge strane, važna prednost takvih sustava je nepostojanje potrebe za stalnim ažuriranjem skupa potpisa. Jednom kada ova tehnologija dosegne zrelost i dovoljno inteligencije, vjerojatno će postati uobičajena metoda otkrivanja upada. Sustavi za sprječavanje upada Novi tip sustava za detekciju upada u mrežu, nazvan sustavi za prevenciju upada, deklariran je kao rješenje za sve probleme korporativne sigurnosti. Osnovna ideja je poduzeti radnje odgovora kada se alarmi generiraju, kao što je pisanje prilagođenih pravila vatrozida u hodu i usmjerivači, blokiranje aktivnosti sumnjivih IP adresa, zahtjeva ili čak protunapada sustava koji napadaju. Iako se ova nova tehnologija neprestano razvija i poboljšava, još je daleko od analize i donošenja odluka na ljudskoj razini. Ostaje činjenica da svaki sustav koji je 100% ovisan o stroju i softveru uvijek može prevariti posvećena osoba (iako se neki neuspjeli šahovski velemajstori možda neće složiti). Primjer sustava za prevenciju upada otvorenog koda je Inline Snort Jeda Halea, besplatni modul za mrežni sustav za otkrivanje upada Snort o kojem se raspravljalo u ovom predavanju. |
Slični dokumenti
Povijest razvoja SDH standarda kao sustava optičkih komunikacijskih mreža velike brzine i visokih performansi, njegove prednosti i nedostaci. Mjerne informacije na SDH mrežama, testiranje opreme multipleksera. Mjerenja podrhtavanja u SDH mrežama.
sažetak, dodan 10.11.2013
Klasifikacija informacijskih sustava. Modeliranje skladišta podataka. Sustavi za podršku odlučivanju. Tehnički aspekti višedimenzionalne pohrane podataka. Sustavi automatizacije protoka dokumenata. Načela hijerarhijskog dizajna korporativnih mreža.
tutorial, dodano 20.05.2014
Koncept i proučavanje strukture korporativnih informacijskih sustava; glavne faze njihove izrade i metode implementacije. Opis modela životnog ciklusa softvera. Arhitektura korporativnih računalnih mreža, osiguranje njihove sigurnosti.
test, dodan 21.03.2013
Napadi na bespilotne letjelice. Faze utjecaja na sustave bespilotnih letjelica i međusobno povezane mreže i sustave. Prijetnje i ranjivosti bespilotnih letjelica. Metode detekcije i neutralizacije računalnih napada.
članak, dodan 02.04.2016
Razvoj i dizajn informacijskih i programskih sustava za certifikacijska ispitivanja u informatici. Arhitektura i platforma za implementaciju sustava. Izbor tehničkih sredstava i analiza resursa sustava za upravljanje bazom podataka.
diplomski rad, dodan 08.10.2018
Analiza i karakteristike informacijskih resursa poduzeća LLC "Aries". Ciljevi i zadaci izgradnje sustava informacijske sigurnosti u poduzeću. Prijedlog mjera za poboljšanje sustava informacijske sigurnosti organizacije. Model informacijske sigurnosti informacija.
kolegij, dodan 03.02.2011
Primjena računalnih tehnologija testiranja, njihov opis, značaj i prednosti. Izrada tehničke specifikacije za izradu informacijskog sustava. Odabir hardvera i softvera, dizajn aplikacije testnog sustava.
diplomski rad, dodan 03.03.2015
Tvrtka Garant kao jedna od najvećih ruskih informacijskih kompanija, povijest njezina razvoja. Obilježja referentnog i pravnog sustava "Garant": usluge, klijentela, značajke funkcioniranja. Glavne prednosti sustava pretraživanja "Garant".
sažetak, dodan 19.05.2013
Definicija informacijske sigurnosti, njezine prijetnje u računalnim sustavima. Osnovni pojmovi sigurnosne politike. Kriptografske metode i algoritmi za zaštitu računalnih informacija. Izgradnja suvremenog sustava antivirusne zaštite korporativne mreže.
tutorial, dodano 12/04/2013
Opća načela organizacije i funkcioniranja mrežnih tehnologija. Interakcija računala na mreži. Sustavi za prijenos podataka i mnoge računalne mreže. Proces usmjeravanja i sustav naziva domena na Internetu. Značajke DNS usluge.
