Σύστημα ανίχνευσης επιθέσεων Ids σύστημα ανίχνευσης εισβολής. Διαφορές από εμπορικά συστήματα. Ανίχνευση επίθεσης που βασίζεται σε ανώμαλη συμπεριφορά

Οι ανιχνεύσεις εισβολής είναι εργαλεία λογισμικού ή υλικού για τον εντοπισμό επιθέσεων και κακόβουλων δραστηριοτήτων. Βοηθούν τα δίκτυα και τα συστήματα υπολογιστών να αντεπιτεθούν σωστά. Για την επίτευξη αυτού του στόχου, το IDS συλλέγει πληροφορίες από πολλά συστήματα ή πηγές δικτύου. Στη συνέχεια, το IDS το αναλύει για επιθέσεις. Αυτό το άρθρο θα προσπαθήσει να απαντήσει στην ερώτηση: "IDS - τι είναι και σε τι χρησιμεύει;"

Σε τι χρησιμεύουν τα συστήματα ανίχνευσης εισβολής (IDS);

Τα πληροφοριακά συστήματα και τα δίκτυα υπόκεινται συνεχώς σε επιθέσεις στον κυβερνοχώρο. Τα τείχη προστασίας και τα προγράμματα προστασίας από ιούς σαφώς δεν επαρκούν για να αποκρούσουν όλες αυτές τις επιθέσεις, καθώς μπορούν να προστατεύσουν μόνο την «μπροστινή πόρτα» των συστημάτων και των δικτύων υπολογιστών. Διάφοροι έφηβοι που φαντάζονται τους εαυτούς τους χάκερ ψάχνουν συνεχώς στο Διαδίκτυο αναζητώντας ρωγμές στα συστήματα ασφαλείας.

Χάρη στον Παγκόσμιο Ιστό, έχουν στη διάθεσή τους πολύ εντελώς δωρεάν κακόβουλο λογισμικό - κάθε είδους slammers, blinders και παρόμοια επιβλαβή προγράμματα. Οι ανταγωνιστικές εταιρείες χρησιμοποιούν τις υπηρεσίες επαγγελματιών χάκερ για να εξουδετερώσουν η μία την άλλη. Έτσι τα συστήματα που ανιχνεύουν εισβολή (συστήματα ανίχνευσης εισβολής) είναι επείγουσα ανάγκη. Δεν αποτελεί έκπληξη το γεγονός ότι χρησιμοποιούνται καθημερινά όλο και περισσότερο.

στοιχεία IDS

Τα στοιχεία IDS περιλαμβάνουν:

  • υποσύστημα ανιχνευτή, σκοπός του οποίου είναι η συσσώρευση γεγονότων δικτύου ή σύστημα υπολογιστή;
  • ένα υποσύστημα ανάλυσης που ανιχνεύει επιθέσεις στον κυβερνοχώρο και αμφισβητούμενη δραστηριότητα·
  • αποθήκευση για την αποθήκευση πληροφοριών σχετικά με συμβάντα, καθώς και τα αποτελέσματα της ανάλυσης των επιθέσεων στον κυβερνοχώρο και των μη εξουσιοδοτημένων ενεργειών·
  • κονσόλα διαχείρισης, με την οποία μπορείτε να ορίσετε παραμέτρους IDS, να παρακολουθείτε την κατάσταση του δικτύου (ή του συστήματος υπολογιστή), να έχετε πρόσβαση σε πληροφορίες σχετικά με επιθέσεις που ανιχνεύονται από το υποσύστημα ανάλυσης και κακή συμπεριφορά.

Παρεμπιπτόντως, πολλοί μπορεί να αναρωτηθούν: "Πώς μεταφράζεται το IDS;" Η μετάφραση από τα αγγλικά ακούγεται σαν "ένα σύστημα που πιάνει απρόσκλητους επισκέπτες στην πράξη".

Οι κύριες εργασίες που επιλύουν τα συστήματα ανίχνευσης εισβολών

Ένα σύστημα ανίχνευσης εισβολής έχει δύο κύρια καθήκοντα: ανάλυση και επαρκή απόκριση με βάση τα αποτελέσματα αυτής της ανάλυσης. Για την εκτέλεση αυτών των εργασιών, το σύστημα IDS εκτελεί τις ακόλουθες ενέργειες:

  • παρακολουθεί και αναλύει τη δραστηριότητα των χρηστών·
  • ελέγχει τη διαμόρφωση του συστήματος και τις αδυναμίες του·
  • ελέγχει την ακεραιότητα των κρίσιμων αρχείων συστήματος, καθώς και των αρχείων δεδομένων.
  • διενεργεί μια στατιστική ανάλυση των καταστάσεων του συστήματος με βάση τη σύγκριση με εκείνες τις καταστάσεις που συνέβησαν κατά τη διάρκεια ήδη γνωστών επιθέσεων.
  • ελέγχει το λειτουργικό σύστημα.

Τι μπορεί να προσφέρει ένα σύστημα ανίχνευσης εισβολών και τι όχι

Με τη βοήθειά του μπορείτε να επιτύχετε τα εξής:

  • βελτίωση των παραμέτρων ακεραιότητας.
  • παρακολουθεί τη δραστηριότητα του χρήστη από τη στιγμή που συνδέεται στο σύστημα μέχρι τη στιγμή που προκαλεί βλάβη σε αυτό ή εκτελεί οποιεσδήποτε μη εξουσιοδοτημένες ενέργειες·
  • αναγνωρίζει και ενημερώνει για αλλαγές ή διαγραφή δεδομένων·
  • αυτοματοποιήστε τις εργασίες παρακολούθησης του Διαδικτύου για να βρείτε τις πιο πρόσφατες επιθέσεις.
  • εντοπισμός σφαλμάτων στη διαμόρφωση του συστήματος.
  • εντοπίστε την έναρξη μιας επίθεσης και ειδοποιήστε σχετικά.

Το σύστημα IDS δεν μπορεί να το κάνει αυτό:

  • συμπλήρωση ελλείψεων στα πρωτόκολλα δικτύου.
  • διαδραματίζει αντισταθμιστικό ρόλο σε περίπτωση αδύναμων μηχανισμών αναγνώρισης και επαλήθευσης ταυτότητας στα δίκτυα ή τα συστήματα υπολογιστών που παρακολουθεί·
  • Θα πρέπει επίσης να σημειωθεί ότι το IDS δεν αντιμετωπίζει πάντα προβλήματα που σχετίζονται με επιθέσεις σε επίπεδο πακέτων.

IPS (σύστημα αποτροπής εισβολής) - συνέχιση του IDS

Το IPS σημαίνει Intrusion Prevention System. Αυτές είναι προηγμένες, πιο λειτουργικές ποικιλίες IDS. Τα συστήματα IPS IDS είναι αντιδραστικά (σε αντίθεση με τα συμβατικά). Αυτό σημαίνει ότι όχι μόνο μπορούν να ανιχνεύσουν, να καταγράψουν και να αναφέρουν μια επίθεση, αλλά και να εκτελέσουν προστατευτικές λειτουργίες. Αυτές οι δυνατότητες περιλαμβάνουν την επαναφορά των συνδέσεων και τον αποκλεισμό εισερχόμενων πακέτων κίνησης. Ενα ακόμα διακριτικό χαρακτηριστικόΤο IPS είναι ότι λειτουργούν στο διαδίκτυο και μπορούν να μπλοκάρουν αυτόματα επιθέσεις.

Υποτύποι IDS κατά μέθοδο παρακολούθησης

Τα NIDS (δηλαδή IDS που παρακολουθούν ολόκληρο το δίκτυο) αναλύουν την κίνηση ολόκληρου του υποδικτύου και διαχειρίζονται κεντρικά. Με τη σωστή τοποθέτηση πολλών NIDS, μπορεί να επιτευχθεί η παρακολούθηση ενός αρκετά μεγάλου δικτύου.

Λειτουργούν σε ακατάλληλη λειτουργία (δηλαδή, ελέγχουν όλα τα εισερχόμενα πακέτα αντί να το κάνουν επιλεκτικά), συγκρίνοντας την κίνηση υποδικτύου με γνωστές επιθέσεις από τη βιβλιοθήκη τους. Όταν εντοπιστεί μια επίθεση ή ανιχνευθεί μη εξουσιοδοτημένη δραστηριότητα, αποστέλλεται μια ειδοποίηση στον διαχειριστή. Ωστόσο, πρέπει να αναφερθεί ότι στο μεγάλο δίκτυοΜε υψηλή επισκεψιμότητα, το NIDS αποτυγχάνει μερικές φορές να ελέγξει όλα τα πακέτα πληροφοριών. Επομένως, υπάρχει πιθανότητα σε ώρες αιχμής να μην μπορούν να αναγνωρίσουν την επίθεση.

Τα NIDS (Network-based IDS) είναι εκείνα τα συστήματα που είναι εύκολο να ενσωματωθούν σε νέες τοπολογίες δικτύων, αφού δεν έχουν μεγάλο αντίκτυπο στη λειτουργία τους, καθώς είναι παθητικά. Καταγράφουν, καταγράφουν και ειδοποιούν μόνο, σε αντίθεση με τον αντιδραστικό τύπο συστημάτων IPS που συζητήθηκε παραπάνω. Ωστόσο, πρέπει επίσης να ειπωθεί για τα IDS που βασίζονται σε δίκτυο ότι πρόκειται για συστήματα που δεν μπορούν να αναλύσουν πληροφορίες που έχουν κρυπτογραφηθεί. Αυτό σημαντικό μειονέκτημα, επειδή λόγω της αυξανόμενης υιοθέτησης των εικονικών ιδιωτικών δικτύων (VPN), οι κρυπτογραφημένες πληροφορίες χρησιμοποιούνται όλο και περισσότερο από εγκληματίες του κυβερνοχώρου για επιθέσεις.

Το NIDS δεν μπορεί επίσης να προσδιορίσει τι συνέβη ως αποτέλεσμα της επίθεσης, αν προκάλεσε βλάβη ή όχι. Το μόνο που μπορούν να κάνουν είναι να καταγράψουν την αρχή του. Επομένως, ο διαχειριστής αναγκάζεται να ελέγχει ανεξάρτητα κάθε περίπτωση επίθεσης για να βεβαιωθεί ότι οι επιτιθέμενοι πέτυχαν τον στόχο τους. Ένα άλλο σημαντικό πρόβλημα είναι ότι το NIDS δυσκολεύεται να εντοπίσει επιθέσεις χρησιμοποιώντας κατακερματισμένα πακέτα. Είναι ιδιαίτερα επικίνδυνα επειδή μπορούν να επηρεάσουν την κανονική λειτουργία του NIDS. Τι μπορεί να σημαίνει αυτό για ένα ολόκληρο δίκτυο ή σύστημα υπολογιστή δεν χρειάζεται να εξηγηθεί.

HIDS (σύστημα ανίχνευσης εισβολής κεντρικού υπολογιστή)

Τα HIDS (Host-monitoring IDS) εξυπηρετούν μόνο έναν συγκεκριμένο υπολογιστή. Αυτό φυσικά παρέχει πολύ υψηλότερη απόδοση. Το HIDS αναλύει δύο τύπους πληροφοριών: αρχεία καταγραφής συστήματος και αποτελέσματα ελέγχου λειτουργικού συστήματος. Λαμβάνουν ένα στιγμιότυπο αρχείων συστήματος και το συγκρίνουν με ένα παλαιότερο στιγμιότυπο. Εάν τα κρίσιμα για το σύστημα αρχεία έχουν αλλάξει ή διαγραφεί, τότε ένας συναγερμός αποστέλλεται στον διαχειριστή.

Ένα σημαντικό πλεονέκτημα του HIDS είναι η δυνατότητα εκτέλεσης της εργασίας του σε καταστάσεις όπου η κίνηση του δικτύου μπορεί να κρυπτογραφηθεί. Αυτό είναι δυνατό λόγω του γεγονότος ότι οι πηγές πληροφοριών που βασίζονται σε κεντρικό υπολογιστή μπορούν να δημιουργηθούν πριν από την κρυπτογράφηση των δεδομένων ή μετά την αποκρυπτογράφηση τους στον κεντρικό υπολογιστή προορισμού.

Τα μειονεκτήματα αυτού του συστήματος περιλαμβάνουν τη δυνατότητα αποκλεισμού ή ακόμα και απαγόρευσής του με τη χρήση ορισμένων τύπων επιθέσεων DoS. Το πρόβλημα εδώ είναι ότι οι αισθητήρες και ορισμένες από τις αναλύσεις HIDS βρίσκονται στον κεντρικό υπολογιστή που δέχεται επίθεση, που σημαίνει ότι δέχονται επίσης επίθεση. Το γεγονός ότι τα HIDS χρησιμοποιούν τους πόρους των κεντρικών υπολογιστών των οποίων την εργασία παρακολουθούν είναι επίσης δύσκολο να χαρακτηριστεί θετικό, καθώς αυτό μειώνει φυσικά την απόδοσή τους.

Υποτύποι IDS που βασίζονται σε μεθόδους ανίχνευσης επιθέσεων

Μέθοδος ανωμαλίας, μέθοδος ανάλυσης υπογραφής και μέθοδος πολιτικής - αυτοί είναι οι υποτύποι μεθόδων ανίχνευσης επιθέσεων που διαθέτει το σύστημα IDS.

Μέθοδος Ανάλυσης Υπογραφών

Σε αυτήν την περίπτωση, τα πακέτα δεδομένων ελέγχονται για υπογραφές επίθεσης. Μια υπογραφή επίθεσης είναι ένα συμβάν που ταιριάζει με ένα από τα μοτίβα που περιγράφονται γνωστή επίθεση. Αυτή η μέθοδος είναι αρκετά αποτελεσματική γιατί μειώνει τον αριθμό των αναφορών ψευδών επιθέσεων.

Μέθοδος ανωμαλίας

Βοηθά στον εντοπισμό παράνομων δραστηριοτήτων στο δίκτυο και στους κεντρικούς υπολογιστές. Με βάση το ιστορικό της κανονικής λειτουργίας του κεντρικού υπολογιστή και του δικτύου, δημιουργούνται ειδικά προφίλ με δεδομένα σχετικά με αυτό. Στη συνέχεια, ειδικοί ανιχνευτές μπαίνουν στο παιχνίδι και αναλύουν τα γεγονότα. Χρησιμοποιώντας διάφορους αλγόριθμους, αναλύουν αυτά τα συμβάντα, συγκρίνοντάς τα με τον «κανονικό» στα προφίλ. Η απουσία της ανάγκης να συσσωρευτεί ένας τεράστιος αριθμός υπογραφών επίθεσης είναι ένα σαφές πλεονέκτημα αυτής της μεθόδου. Ωστόσο, ένας σημαντικός αριθμός ψευδών σημάτων σχετικά με επιθέσεις κατά τη διάρκεια άτυπων, αλλά εντελώς νόμιμων γεγονότων στο δίκτυο είναι το αναμφισβήτητο μειονέκτημά του.

Μέθοδος πολιτικής

Μια άλλη μέθοδος για τον εντοπισμό επιθέσεων είναι η μέθοδος πολιτικής. Η ουσία είναι η δημιουργία κανόνων ασφάλεια δικτύου, το οποίο, για παράδειγμα, μπορεί να υποδεικνύει την αρχή της αλληλεπίδρασης μεταξύ των δικτύων και των πρωτοκόλλων που χρησιμοποιούνται. Αυτή η μέθοδος είναι πολλά υποσχόμενη, αλλά η δυσκολία έγκειται στη μάλλον περίπλοκη διαδικασία δημιουργίας μιας βάσης πολιτικής.

Τα ID Systems θα παρέχουν αξιόπιστη προστασία για τα δίκτυα και τα συστήματα υπολογιστών σας

Ο όμιλος εταιρειών ID Systems είναι σήμερα ένας από τους ηγέτες της αγοράς στον τομέα της δημιουργίας συστημάτων ασφαλείας για δίκτυα υπολογιστών. Θα σας φροντίσει αξιόπιστη προστασίααπό κακούς του κυβερνοχώρου. Με τα συστήματα προστασίας ID Systems, δεν θα χρειάζεται να ανησυχείτε για τα σημαντικά δεδομένα σας. Χάρη σε αυτό, θα μπορείτε να απολαύσετε τη ζωή περισσότερο γιατί θα έχετε λιγότερες ανησυχίες στο μυαλό σας.

ID Systems - κριτικές εργαζομένων

Μια υπέροχη ομάδα, και το κυριότερο, φυσικά, είναι η σωστή στάση της διοίκησης της εταιρείας απέναντι στους υπαλλήλους της. Όλοι (ακόμα και οι αρχάριοι) έχουν την ευκαιρία να αναπτυχθούν επαγγελματικά. Είναι αλήθεια ότι για αυτό, φυσικά, πρέπει να αποδείξετε τον εαυτό σας και τότε όλα θα πάνε καλά.

Μια ομάδα υγιεινή ατμόσφαιρα. Οι αρχάριοι θα διδάσκονται πάντα τα πάντα και θα τους δείχνουν τα πάντα. Δεν υπάρχει καμία αίσθηση ανθυγιεινού ανταγωνισμού. Οι εργαζόμενοι που εργάζονται στην εταιρεία για πολλά χρόνια είναι στην ευχάριστη θέση να μοιραστούν όλες τις τεχνικές λεπτομέρειες. Απαντούν ευγενικά στις πιο ηλίθιες ερωτήσεις των άπειρων εργατών, έστω και χωρίς ίχνος συγκατάβασης. Γενικά, η εργασία στην ID Systems δεν φέρνει παρά ευχάριστα συναισθήματα.

Η στάση της διοίκησης είναι ευχάριστα ευχάριστη. Είναι επίσης ευχάριστο που προφανώς ξέρουν πώς να συνεργάζονται με το προσωπικό εδώ, επειδή η ομάδα που επέλεξαν είναι πραγματικά άκρως επαγγελματική. Η γνώμη των εργαζομένων είναι σχεδόν ξεκάθαρη: αισθάνονται σαν στο σπίτι τους στη δουλειά.

Σήμερα, οι δυνατότητες ανίχνευσης εισβολών γίνονται απαραίτητες προσθήκες σε κάθε υποδομή ασφάλειας πληροφοριών. μεγάλη εταιρεία. Το ερώτημα εάν είναι απαραίτητο ένα σύστημα ανίχνευσης εισβολής (IDS) δεν είναι πλέον ζήτημα για τους επαγγελματίες ασφάλειας πληροφοριών, αλλά αντιμετωπίζουν το πρόβλημα της επιλογής ενός τέτοιου συστήματος για έναν συγκεκριμένο οργανισμό. Επιπλέον, το υψηλό κόστος παρόμοια προϊόνταμας αναγκάζει να ακολουθήσουμε μια πιο προσεκτική προσέγγιση για να δικαιολογήσουμε την ανάγκη χρήσης τους.

Τύποι Συστημάτων Ανίχνευσης Εισβολής

Σήμερα υπάρχουν αρκετές διάφοροι τύποι IDS, που διαφέρουν σε διαφορετικούς αλγόριθμους παρακολούθησης δεδομένων και προσεγγίσεις στην ανάλυσή τους. Κάθε τύπος συστήματος αντιστοιχεί σε ορισμένα χαρακτηριστικά χρήσης, πλεονεκτήματα και μειονεκτήματα.

Ένας τρόπος ταξινόμησης IDS βασίζεται σε αυτό που πραγματικά ελέγχουν. Ορισμένοι παρακολουθούν όλη την κυκλοφορία του δικτύου και αναλύουν πακέτα δικτύου, άλλοι αναπτύσσονται σε μεμονωμένους υπολογιστές και παρακολουθούν το λειτουργικό σύστημα για ενδείξεις εισβολής και άλλοι παρακολουθούν συνήθως μεμονωμένες εφαρμογές.

IDS που προστατεύει ένα τμήμα δικτύου

Αυτή η κατηγορία IDS είναι σήμερα η πιο κοινή μεταξύ των εμπορικών προϊόντων. Το σύστημα συνήθως αποτελείται από πολλά εξειδικευμένους διακομιστές, τα οποία αναλύουν την κίνηση δικτύου σε διάφορα τμήματα δικτύου και μεταδίδουν μηνύματα σχετικά με μια πιθανή επίθεση σε μια κεντρική κονσόλα διαχείρισης. Δεν υπάρχουν άλλες εφαρμογές που εκτελούνται στους διακομιστές που χρησιμοποιούνται από το IDS, έτσι ώστε να μπορούν να προστατεύονται από επιθέσεις, συμπεριλαμβανομένων με ειδικά μέσα. Πολλά από αυτά μπορούν να λειτουργούν σε stealth mode, δυσκολεύοντας τον εντοπισμό των εισβολέων και τον προσδιορισμό της θέσης τους στο δίκτυο.

Πλεονεκτήματα:

πολλά καλά τοποθετημένα συστήματα μπορούν να ελέγξουν μεγάλο δίκτυο;

η ανάπτυξή τους έχει αμελητέο αντίκτυπο υπάρχον δίκτυο. Τέτοια IDS είναι συνήθως παθητικές συσκευές που παρεμποδίζουν την κυκλοφορία του δικτύου χωρίς να φορτώνουν το δίκτυο με ροές υπηρεσιών.

Το σύστημα μπορεί να είναι πολύ προστατευμένο από επιθέσεις στον εαυτό του και οι μεμονωμένοι κόμβοι του μπορούν να γίνουν αόρατοι στους εισβολείς.

Ελαττώματα:

δεν μπορεί να αναγνωρίσει μια επίθεση που ξεκίνησε αυτή τη στιγμή υψηλό φορτίοδίκτυα. Ορισμένοι προγραμματιστές προσπαθούν να λύσουν αυτό το πρόβλημα εφαρμόζοντας IDS με βάση το υλικό που έχει περισσότερο υψηλή ταχύτητα. Επιπλέον, η ανάγκη γρήγορης ανάλυσης πακέτων αναγκάζει τους προγραμματιστές να ανιχνεύσουν μια επίθεση με ελάχιστους υπολογιστικούς πόρους, γεγονός που μειώνει σοβαρά την αποτελεσματικότητα ανίχνευσης.

Πολλά από τα οφέλη του IDS είναι μικρά τμήματα (συνήθως μία σύνδεση Ethernet υψηλής ταχύτητας ανά διακομιστή) και παρέχουν αποκλειστικές συνδέσεις μεταξύ διακομιστών που εξυπηρετούνται από τον ίδιο διακόπτη. Οι περισσότεροι διακόπτες δεν παρέχουν καθολικές θύρες διαχείρισης, γεγονός που μειώνει το εύρος παρακολούθησης του αισθητήρα COB. Σε τέτοιους μεταγωγείς, μια μεμονωμένη θύρα συχνά δεν μπορεί να αντανακλά όλη την κίνηση που διέρχεται από το μεταγωγέα.

δεν είναι σε θέση να αναλύσουν κρυπτογραφημένες πληροφορίες·

αναφέρετε μια επίθεση που ξεκίνησε χωρίς να αναλύσετε τον βαθμό διείσδυσης.

IDS που προστατεύει έναν μόνο διακομιστή

Αυτά τα συστήματα λειτουργούν αναλύοντας τη δραστηριότητα των διεργασιών στον συγκεκριμένο διακομιστή στον οποίο είναι εγκατεστημένα. συλλέγουν πληροφορίες σχετικά με τον διακομιστή που ελέγχουν. Αυτό επιτρέπει στο IDS να αναλύει τη δραστηριότητα σε έναν διακομιστή σε υψηλό επίπεδο ευκρίνειας και να εντοπίζει ποιοι χρήστες εκτελούν κακόβουλες δραστηριότητες στο λειτουργικό σύστημα του διακομιστή.

Ορισμένα IDS αυτής της κατηγορίας έχουν τη δυνατότητα να διαχειρίζονται μια ομάδα διακομιστών, προετοιμάζοντας κεντρικές αναφορές για πιθανές επιθέσεις, οι οποίες συνοψίζονται στην κονσόλα διαχειριστή ασφαλείας. Άλλοι δημιουργούν μηνύματα συμβατά με συστήματα διαχείρισης δικτύου.

Πλεονεκτήματα:

ανίχνευση επιθέσεων που δεν εντοπίζουν IDS που προστατεύουν ένα τμήμα δικτύου, καθώς έχουν μια ιδέα για συμβάντα που έχουν εντοπιστεί σε έναν συγκεκριμένο διακομιστή.

λειτουργούν σε ένα δίκτυο που χρησιμοποιεί κρυπτογράφηση δεδομένων όταν υπάρχουν πληροφορίες ανοιχτή μορφήστον διακομιστή πριν σταλεί στον καταναλωτή·

λειτουργούν σε δίκτυα μεταγωγής.

Ελαττώματα:

Οι μηχανισμοί συλλογής πληροφοριών πρέπει να εγκατασταθούν και να διατηρούνται σε κάθε διακομιστή που θα παρακολουθείται.

μπορεί να επιτεθεί και να αποκλειστεί από έναν προετοιμασμένο αντίπαλο.

δεν είναι σε θέση να ελέγξουν την κατάσταση σε όλο το δίκτυο, καθώς «βλέπουν» μόνο πακέτα δικτύου που λαμβάνονται από τον διακομιστή στον οποίο είναι εγκατεστημένα.

δυσκολίες στον εντοπισμό και την αντιμετώπιση επιθέσεων άρνησης υπηρεσίας·

χρησιμοποιούν τους υπολογιστικούς πόρους του διακομιστή που ελέγχουν, μειώνοντας έτσι την αποτελεσματικότητα της λειτουργίας του.

IDS με βάση την προστασία εφαρμογών

Αυτά τα συστήματα ελέγχουν τα συμβάντα που συμβαίνουν μέσα χωριστή εφαρμογή, και οι επιθέσεις εντοπίζονται συχνά κατά την ανάλυση αρχεία καταγραφής συστήματοςεφαρμογές. Η δυνατότητα άμεσης επικοινωνίας με την εφαρμογή μέσω μιας διεπαφής υπηρεσίας, καθώς και μια πληθώρα γνώσεων εφαρμογής σχετικά με την εφαρμογή, επιτρέπει σε αυτήν την κατηγορία IDS να παρέχει μια πιο λεπτομερή κατανόηση της ύποπτης δραστηριότητας στην εφαρμογή.

Πλεονεκτήματα:

παρακολουθούν δραστηριότητες με πολύ υψηλό βαθμό λεπτομέρειας, επιτρέποντάς τους να παρακολουθούν τις μη εξουσιοδοτημένες δραστηριότητες μεμονωμένων χρηστών.

ικανό να λειτουργεί σε κρυπτογραφημένα περιβάλλοντα.

Ορισμένοι ειδικοί επισημαίνουν ότι η διαφορά μεταξύ συστημάτων που βασίζονται σε εφαρμογές και συστημάτων που βασίζονται σε ασφάλεια ξεχωριστός διακομιστήςδεν είναι πάντα σαφώς ανιχνεύσιμα, επομένως στο μέλλον θα αναφερόμαστε και στις δύο κατηγορίες ως συστήματα ανίχνευσης εισβολών που βασίζονται στην προστασία ενός μεμονωμένου διακομιστή.

Προσεγγίσεις στην ανάλυση γεγονότων.

Επί του παρόντος, υπάρχουν δύο κύριες προσεγγίσεις για την ανάλυση συμβάντων: ανίχνευση υπογραφών και ανίχνευση ανωμαλιών.

IDS που βασίζονται σε υπογραφές

Η προσέγγιση ανίχνευσης εισβολής που βασίζεται στην υπογραφή προσδιορίζει δραστηριότητα που ταιριάζει με ένα προκαθορισμένο σύνολο γεγονότων που περιγράφουν μοναδικά μια γνωστή επίθεση. Επομένως, τα συστήματα που βασίζονται σε υπογραφές πρέπει να είναι προ-προγραμματισμένα για να ανιχνεύουν κάθε γνωστή επίθεση. Αυτή η τεχνική είναι εξαιρετικά αποτελεσματική και είναι η κύρια μέθοδος που χρησιμοποιείται σε εμπορικά προγράμματα.

Πλεονεκτήματα:

είναι πολύ αποτελεσματικά στον εντοπισμό επιθέσεων χωρίς να δημιουργούν σημαντικό αριθμό ψευδών συναγερμών.

Ελαττώματα:

Τα συστήματα που βασίζονται σε υπογραφές πρέπει να είναι προ-προγραμματισμένα για να ανιχνεύουν κάθε επίθεση και να τροποποιούνται συνεχώς με τις υπογραφές νέων επιθέσεων.

Οι ίδιες οι υπογραφές σε πολλά συστήματα αυτής της κατηγορίας ορίζονται αρκετά στενά, γεγονός που τους καθιστά δύσκολο να ανιχνεύσουν παραλλαγές παραδοσιακών επιθέσεων των οποίων η υπογραφή διαφέρει ελαφρώς από αυτή στη βάση δεδομένων τους.

Σύστημα ανίχνευσης εισβολών (ΚΟΥΚΟΥΒΑΓΙΑ) - ένα εργαλείο λογισμικού ή υλικού που έχει σχεδιαστεί για την ανίχνευση γεγονότων μη εξουσιοδοτημένης πρόσβασης σε σύστημα ή δίκτυο υπολογιστή ή μη εξουσιοδοτημένου ελέγχου αυτών, κυρίως μέσω Διαδικτύου. Ο αντίστοιχος αγγλικός όρος είναι Σύστημα ανίχνευσης εισβολής (IDS). Τα συστήματα ανίχνευσης εισβολής παρέχουν ένα πρόσθετο επίπεδο προστασίας για συστήματα υπολογιστών.

Τα συστήματα ανίχνευσης εισβολής χρησιμοποιούνται για την ανίχνευση ορισμένων τύπων κακόβουλη δραστηριότητα, το οποίο μπορεί να θέσει σε κίνδυνο την ασφάλεια ενός συστήματος υπολογιστή. Τέτοια δραστηριότητα περιλαμβάνει επιθέσεις δικτύου κατά ευάλωτων υπηρεσιών, επιθέσεις με στόχο την κλιμάκωση των προνομίων, μη εξουσιοδοτημένη πρόσβαση σε σημαντικά αρχεία, καθώς και κακόβουλες ενέργειες. λογισμικό(ιοί υπολογιστών, Trojans και worms)

Συνήθως, μια αρχιτεκτονική IDS περιλαμβάνει:

  • υποσύστημα αισθητήρα σχεδιασμένο για τη συλλογή συμβάντων που σχετίζονται με την ασφάλεια του προστατευμένου συστήματος
  • υποσύστημα ανάλυσης σχεδιασμένο για την ανίχνευση επιθέσεων και ύποπτων ενεργειών με βάση δεδομένα αισθητήρων
  • αποθήκευση που παρέχει συσσώρευση πρωταρχικών γεγονότων και αποτελεσμάτων ανάλυσης
  • μια κονσόλα διαχείρισης που σας επιτρέπει να διαμορφώνετε το IDS, να παρακολουθείτε την κατάσταση του προστατευμένου συστήματος και του IDS και να προβάλλετε συμβάντα που προσδιορίζονται από το υποσύστημα ανάλυσης

Υπάρχουν διάφοροι τρόποι ταξινόμησης IDS ανάλογα με τον τύπο και τη θέση των αισθητήρων, καθώς και τις μεθόδους που χρησιμοποιούνται από το υποσύστημα ανάλυσης για την αναγνώριση ύποπτη δραστηριότητα. Σε πολλά απλά IDS, όλα τα στοιχεία υλοποιούνται ως μία μονάδα ή συσκευή.

Εγκυκλοπαιδικό YouTube

  • 1 / 5

    Το IDES ακολούθησε δύο προσεγγίσεις για την ανίχνευση εισβολής: χρησιμοποίησε ένα ειδικό σύστημα για τον προσδιορισμό γνωστά είδηστοιχείο εισβολής και ανίχνευσης βάσει στατιστικών μεθόδων και προφίλ χρηστών και συστημάτων του προστατευμένου δικτύου. Η Teresa Lunt πρότεινε τη χρήση ενός τεχνητού νευρωνικού δικτύου ως τρίτο συστατικό για τη βελτίωση της αποτελεσματικότητας ανίχνευσης. Μετά το IDES, το NIDES (Next-generation Intrusion Detection Expert System) κυκλοφόρησε το 1993.

    Το MIDAS (Multics intrusion detection and alerting system), ένα έμπειρο σύστημα που χρησιμοποιεί P-BEST και LISP, αναπτύχθηκε το 1988 με βάση την εργασία των Denning και Neumann. Την ίδια χρονιά αναπτύχθηκε το σύστημα Haystack, βασισμένο σε στατιστικές μεθόδους.

    Το W&S (Wisdom & Sense), ένας στατιστικά βασισμένος ανιχνευτής ανωμαλιών, αναπτύχθηκε το 1989 στο Εθνικό Εργαστήριο του Λος Άλαμος. Η W&S δημιούργησε κανόνες με βάση στατιστική ανάλυση και στη συνέχεια χρησιμοποίησε αυτούς τους κανόνες για τον εντοπισμό ανωμαλιών.

    Το 1990, το TIM (Time-based inductive machine) εφάρμοσε την ανίχνευση ανωμαλιών χρησιμοποιώντας επαγωγική μάθηση βασισμένη σε διαδοχικά μοτίβα χρήστη στην κοινή γλώσσα LISP. Το πρόγραμμα αναπτύχθηκε για το VAX 3500. Την ίδια περίοδο αναπτύχθηκε το NSM (Network Security Monitor), το οποίο συγκρίνει πίνακες πρόσβασης για τον εντοπισμό ανωμαλιών σε σταθμούς εργασίας Sun-3/50. Επίσης το 1990 αναπτύχθηκε το ISOA (Information Security Officer's Assistant), το οποίο περιείχε πολλές στρατηγικές ανίχνευσης, συμπεριλαμβανομένων στατιστικών, ελέγχου προφίλ και ενός έμπειρου συστήματος. Το ComputerWatch, που αναπτύχθηκε στα εργαστήρια AT&T Bell Labs, χρησιμοποίησε στατιστικές μεθόδους και κανόνες για την επικύρωση δεδομένων και τον εντοπισμό εισβολών.

    Το 2001 αναπτύχθηκε το σύστημα ADAM IDS (Audit data analysis and mining IDS). Το σύστημα χρησιμοποίησε δεδομένα tcpdump για τη δημιουργία κανόνων.

    Ελεύθερα διανέμονται OWL

    • Prelude Hybrid IDS
    • Samhain HIDS
    • Suricata

    Εμπορικές κουκουβάγιες

    δείτε επίσης

    • Σύστημα αποτροπής εισβολής (IPS) (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής δικτύου (NIDS)
    • Σύστημα ανίχνευσης εισβολής (HIDS) βασισμένο σε κεντρικό υπολογιστή (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής (PIDS) (Αγγλικά) που βασίζεται σε πρωτόκολλο
    • Σύστημα ανίχνευσης εισβολής (APIDS) βάσει πρωτοκόλλου (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής βάσει ανωμαλιών (Αγγλικά)
    • Τεχνητό ανοσοποιητικό σύστημα
    • Autonomous Agents for Intrusion Detection

    Σήμερα, οι δυνατότητες ανίχνευσης εισβολών γίνονται βασικές προσθήκες στην υποδομή ασφάλειας πληροφοριών κάθε μεγάλης εταιρείας. Το ερώτημα εάν είναι απαραίτητο ένα σύστημα ανίχνευσης εισβολής (IDS) δεν είναι πλέον ζήτημα για τους επαγγελματίες ασφάλειας πληροφοριών, αλλά αντιμετωπίζουν το πρόβλημα της επιλογής ενός τέτοιου συστήματος για έναν συγκεκριμένο οργανισμό. Επιπλέον, το υψηλό κόστος τέτοιων προϊόντων επιβάλλει μια πιο προσεκτική προσέγγιση για την αιτιολόγηση της ανάγκης χρήσης τους.

    Αυτό το άρθρο παρέχει βασικές πληροφορίες σχετικά με αυτήν την κατηγορία συστημάτων που θα βοηθήσουν τους οργανισμούς να αποφύγουν τις παραδοσιακές παγίδες στην αγορά, την ανάπτυξη και τη συντήρηση συστημάτων ανίχνευσης εισβολής.

    Τύποι Συστημάτων Ανίχνευσης Εισβολής

    Σήμερα, υπάρχουν αρκετοί διαφορετικοί τύποι IDS, που διακρίνονται από διαφορετικούς αλγόριθμους παρακολούθησης δεδομένων και προσεγγίσεις στην ανάλυσή τους. Κάθε τύπος συστήματος αντιστοιχεί σε ορισμένα χαρακτηριστικά χρήσης, πλεονεκτήματα και μειονεκτήματα.

    Ένας τρόπος ταξινόμησης IDS βασίζεται σε αυτό που πραγματικά ελέγχουν. Ορισμένοι παρακολουθούν όλη την κυκλοφορία του δικτύου και αναλύουν πακέτα δικτύου, άλλοι αναπτύσσονται σε μεμονωμένους υπολογιστές και παρακολουθούν το λειτουργικό σύστημα για ενδείξεις εισβολής και άλλοι παρακολουθούν συνήθως μεμονωμένες εφαρμογές.

    ΠΡΟΣΤΑΣΙΑ ΤΟΥ ΤΟΜΕΑ ΔΙΚΤΥΟΥ

    Αυτή η κατηγορία IDS είναι σήμερα η πιο κοινή μεταξύ των εμπορικών προϊόντων. Το σύστημα συνήθως αποτελείται από αρκετούς εξειδικευμένους διακομιστές που αναλύουν την κίνηση δικτύου σε διάφορα τμήματα δικτύου και μεταδίδουν μηνύματα σχετικά με μια πιθανή επίθεση σε μια κεντρική κονσόλα διαχείρισης. Δεν υπάρχουν άλλες εφαρμογές που εκτελούνται στους διακομιστές των IDS που χρησιμοποιούνται, έτσι ώστε να μπορούν να προστατεύονται από επιθέσεις, μεταξύ άλλων με ειδικά μέσα. Πολλά από αυτά μπορούν να λειτουργούν σε stealth mode, γεγονός που καθιστά δύσκολο τον εντοπισμό των εισβολέων και τον προσδιορισμό της θέσης τους στο δίκτυο.

    Πλεονεκτήματα:

    Μερικά καλά τοποθετημένα συστήματα μπορούν να ελέγξουν ένα μεγάλο δίκτυο.

    Η ανάπτυξή τους έχει μικρό αντίκτυπο στο υπάρχον δίκτυο. Τέτοια IDS είναι συνήθως παθητικές συσκευές που παρεμποδίζουν την κυκλοφορία του δικτύου χωρίς να φορτώνουν το δίκτυο με ροές υπηρεσιών.

    Το σύστημα μπορεί να είναι πολύ προστατευμένο από επιθέσεις στον εαυτό του και οι μεμονωμένοι κόμβοι του μπορούν να γίνουν αόρατοι στους εισβολείς.

    Ελαττώματα:

    Δεν είναι δυνατή η αναγνώριση μιας επίθεσης που ξεκίνησε σε μια περίοδο υψηλού φόρτου δικτύου. Ορισμένοι προγραμματιστές προσπαθούν να λύσουν αυτό το πρόβλημα εφαρμόζοντας IDS που βασίζονται σε ταχύτερο υλικό. Επιπλέον, η ανάγκη γρήγορης ανάλυσης πακέτων αναγκάζει τους προγραμματιστές να ανιχνεύσουν μια επίθεση με ελάχιστους υπολογιστικούς πόρους, γεγονός που μειώνει σοβαρά την αποτελεσματικότητα ανίχνευσης.

    Πολλά από τα οφέλη του IDS είναι μικρά τμήματα (συνήθως μία σύνδεση Ethernet υψηλής ταχύτητας ανά διακομιστή) και παρέχουν αποκλειστικές συνδέσεις μεταξύ διακομιστών που εξυπηρετούνται από τον ίδιο διακόπτη. Οι περισσότεροι διακόπτες δεν παρέχουν γενικές θύρες διαχείρισης, γεγονός που μειώνει το εύρος παρακολούθησης του αισθητήρα COB. Σε τέτοιους διακόπτες, μια μεμονωμένη θύρα συχνά δεν μπορεί να αντανακλά όλη την κίνηση που διέρχεται από το μεταγωγέα.

    Δεν είναι δυνατή η ανάλυση κρυπτογραφημένων πληροφοριών.

    Αναφέρουν μια επίθεση που ξεκίνησε χωρίς να αναλύσουν τον βαθμό διείσδυσης.

    ΚΟΥΚΟΥΒΑΙΑ ΠΡΟΣΤΑΤΕΥΕΙ ΕΝΑΝ ΜΟΝΟ ΣΕΡΒΕΡ

    Αυτά τα συστήματα λειτουργούν αναλύοντας τη δραστηριότητα των διεργασιών στον συγκεκριμένο διακομιστή στον οποίο είναι εγκατεστημένα. συλλέγουν πληροφορίες σχετικά με τον διακομιστή που ελέγχουν. Αυτό επιτρέπει στο IDS να αναλύει τη δραστηριότητα στον διακομιστή με μεγάλη λεπτομέρεια και να προσδιορίζει ποιοι χρήστες εκτελούν κακόβουλες δραστηριότητες στο λειτουργικό σύστημα διακομιστή.

    Ορισμένα IDS αυτής της κατηγορίας έχουν τη δυνατότητα να διαχειρίζονται μια ομάδα διακομιστών, προετοιμάζοντας κεντρικές αναφορές για πιθανές επιθέσεις, οι οποίες συνοψίζονται στην κονσόλα διαχειριστή ασφαλείας. Άλλοι δημιουργούν μηνύματα συμβατά με συστήματα διαχείρισης δικτύου.

    Πλεονεκτήματα:

    Εντοπισμός επιθέσεων που δεν εντοπίζουν IDS που προστατεύουν ένα τμήμα δικτύου, καθώς έχουν μια ιδέα για συμβάντα εντοπισμένα σε έναν συγκεκριμένο διακομιστή.

    Εργασία σε δίκτυο χρησιμοποιώντας
    κρυπτογράφηση δεδομένων, όταν οι πληροφορίες είναι σε καθαρό κείμενο στον διακομιστή πριν σταλούν στον καταναλωτή·

    Λειτουργούν σε δίκτυα μεταγωγής.

    Ελαττώματα:

    Σε κάθε διακομιστή που θα παρακολουθείται πρέπει να εγκατασταθούν και να διατηρούνται μηχανισμοί συλλογής πληροφοριών.

    Μπορεί να επιτεθεί και να αποκλειστεί από έναν προετοιμασμένο αντίπαλο.

    Δεν είναι σε θέση να ελέγξουν την κατάσταση σε ολόκληρο το δίκτυο, αφού «βλέπουν» μόνο πακέτα δικτύου που λαμβάνονται από τον διακομιστή στον οποίο είναι εγκατεστημένα.

    Δυσκολίες στον εντοπισμό και την αντιμετώπιση επιθέσεων άρνησης υπηρεσίας.

    Χρησιμοποιούν τους υπολογιστικούς πόρους του διακομιστή που ελέγχουν, μειώνοντας έτσι την αποτελεσματικότητα της λειτουργίας του.

    ΚΟΥΚΟΥΒΑΙΑ ΒΑΣΕΙ ΠΡΟΣΤΑΣΙΑΣ ΕΦΑΡΜΟΓΗΣ

    Αυτά τα συστήματα παρακολουθούν συμβάντα που συμβαίνουν σε μία μόνο εφαρμογή και συχνά εντοπίζουν επιθέσεις αναλύοντας τα αρχεία καταγραφής συστήματος της εφαρμογής. Η δυνατότητα άμεσης επικοινωνίας με την εφαρμογή μέσω μιας διεπαφής υπηρεσίας, καθώς και μια πληθώρα γνώσεων εφαρμογής σχετικά με την εφαρμογή, επιτρέπει σε αυτήν την κατηγορία IDS να παρέχει μια πιο λεπτομερή κατανόηση της ύποπτης δραστηριότητας στην εφαρμογή.

    Πλεονεκτήματα:

    Παρακολούθηση της δραστηριότητας σε πολύ υψηλό επίπεδο λεπτομέρειας, επιτρέποντάς τους να παρακολουθούν μη εξουσιοδοτημένες δραστηριότητες μεμονωμένων χρηστών.

    Δυνατότητα εργασίας σε κρυπτογραφημένα περιβάλλοντα επιτρέποντας στις εφαρμογές να αλληλεπιδρούν σε έναν διακομιστή που ελέγχουν.

    Ορισμένοι ειδικοί σημειώνουν ότι η διαφορά μεταξύ συστημάτων που βασίζονται στην προστασία εφαρμογών και συστημάτων που βασίζονται σε ατομική προστασία διακομιστή δεν είναι πάντα σαφώς ορατή, επομένως, στο μέλλον, και οι δύο κατηγορίες θα αναφέρονται ως συστήματα ανίχνευσης εισβολής που βασίζονται στην προστασία μεμονωμένων διακομιστή.
    Προσεγγίσεις στην ανάλυση γεγονότων.

    Επί του παρόντος, υπάρχουν δύο κύριες προσεγγίσεις για την ανάλυση συμβάντων: ανίχνευση υπογραφών και ανίχνευση ανωμαλιών.

    ΚΟΥΚΟΥΒΑΓΙΑ ΜΕ ΒΑΣΗ ΥΠΟΓΡΑΦΗ

    Η προσέγγιση ανίχνευσης εισβολής που βασίζεται στην υπογραφή προσδιορίζει δραστηριότητα που ταιριάζει με ένα προκαθορισμένο σύνολο γεγονότων που περιγράφουν μοναδικά μια γνωστή επίθεση. Επομένως, τα συστήματα που βασίζονται σε υπογραφές πρέπει να είναι προ-προγραμματισμένα για να ανιχνεύουν κάθε γνωστή επίθεση. Αυτή η τεχνική είναι εξαιρετικά αποτελεσματική και είναι η κύρια μέθοδος που χρησιμοποιείται σε εμπορικά προγράμματα.

    Πλεονεκτήματα:

    Πολύ αποτελεσματικό στην ανίχνευση επιθέσεων χωρίς να δημιουργεί σημαντικό αριθμό ψευδών συναγερμών.

    Ελαττώματα:

    Τα συστήματα που βασίζονται σε υπογραφές πρέπει να είναι προ-προγραμματισμένα για να ανιχνεύουν κάθε επίθεση και να τροποποιούνται συνεχώς με τις υπογραφές νέων επιθέσεων.

    Οι ίδιες οι υπογραφές σε πολλά συστήματα αυτής της κατηγορίας ορίζονται αρκετά στενά, γεγονός που τους καθιστά δύσκολο να ανιχνεύσουν παραλλαγές παραδοσιακών επιθέσεων, η υπογραφή των οποίων διαφέρει ελαφρώς από αυτή στη βάση δεδομένων τους.

    ΚΟΥΚΟΥΒΑΙΑ ΒΑΣΙΣΜΕΝΗ ΣΕ ΑΝΙΧΝΕΥΣΗ ΑΝΩΜΑΛΙΑΣ

    Τέτοια συστήματα εντοπίζουν επιθέσεις εντοπίζοντας ασυνήθιστη συμπεριφορά (ανωμαλίες) σε διακομιστή ή δίκτυο. Η αρχή της λειτουργίας τους βασίζεται στο γεγονός ότι οι εισβολείς συμπεριφέρονται διαφορετικά από τους «κανονικούς» χρήστες και μπορούν να εντοπιστούν από συστήματα που εντοπίζουν αυτές τις διαφορές. Τα συστήματα που βασίζονται σε ανωμαλίες δημιουργούν μια βασική γραμμή κανονικής συμπεριφοράς διαμορφώνοντας το προφίλ συγκεκριμένων χρηστών ή συνδέσεων δικτύου και εντοπίζουν πότε η παρακολουθούμενη δραστηριότητα αποκλίνει από τον κανόνα.

    Δυστυχώς, σήμερα συστήματα αυτής της κατηγορίας εξακολουθούν να παράγουν συχνά μεγάλο αριθμό ψευδώς θετικών αποτελεσμάτων. Ωστόσο, παρά το γεγονός αυτό, οι ερευνητές ισχυρίζονται ότι είναι σε θέση να ανιχνεύσουν επιθέσεις που δεν είχαν εντοπιστεί στο παρελθόν, σε αντίθεση με τα ITS που βασίζονται σε υπογραφές που βασίζονται στην ανάλυση προηγούμενων επιθέσεων. Ορισμένα εμπορικά IDS εφαρμόζουν περιορισμένες μορφές ανίχνευσης ανωμαλιών, αλλά λίγοι βασίζονται αποκλειστικά σε αυτήν την τεχνολογία. Ωστόσο, η ανίχνευση ανωμαλιών παραμένει ένας τομέας ενεργούς έρευνας και είναι πιθανές σημαντικές ανακαλύψεις στο εγγύς μέλλον.

    Πλεονεκτήματα:

    Εντοπίστε μια επίθεση χωρίς να χρειάζεται να προγραμματιστεί εκ των προτέρων.

    Ελαττώματα:

    Παράγουν μεγάλο αριθμό ψευδώς θετικών, που ενεργοποιούνται λόγω της απρόβλεπτης φύσης της συμπεριφοράς τους.

    ITS που ανταποκρίνονται αυτόματα σε επιθέσεις

    Ένας ανθρώπινος διαχειριστής δεν είναι πάντα διαθέσιμος όταν ένα σύστημα δέχεται επίθεση, επομένως ορισμένα IDS μπορούν να ρυθμιστούν ώστε να αποκρίνονται αυτόματα. Το περισσότερο απλή φόρμααυτοματοποιημένη απάντηση - ειδοποίηση διαχειριστή. Μετά τον εντοπισμό μιας επίθεσης, το IDS μπορεί να στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή μια συσκευή τηλεειδοποίησης στον διαχειριστή με σύντομη περιγραφήτο γεγονός που συνέβη. Μια πιο ενεργή απάντηση μπορεί να σταματήσει την πρόοδο της επίθεσης και να εμποδίσει περαιτέρω προσπάθειες από τους επιτιθέμενους. Κατά κανόνα, το ITS δεν έχει τη δυνατότητα να μπλοκάρει τις ενέργειες ενός συγκεκριμένου ατόμου, αλλά μπορεί να αποκλείσει συγκεκριμένες διευθύνσεις IP από τις οποίες λειτουργεί ο εισβολέας.

    Πλεονεκτήματα:

    Οι συνδέσεις TCP διακόπτονται όταν τα πακέτα επαναφοράς εισάγονται στις συνδέσεις του εισβολέα με τον στόχο της επίθεσης.

    Επαναδιαμόρφωση δρομολογητών και συστημάτων προστασία δικτύουπροκειμένου να αποκλειστούν πακέτα από τη διεύθυνση IP του εισβολέα·

    Επαναδιαμόρφωση δρομολογητών και συστημάτων ασφαλείας δικτύου για να μπλοκάρουν τα πρωτόκολλα που χρησιμοποιούνται από τον εισβολέα.

    Σε κρίσιμες καταστάσεις, με την αναδιαμόρφωση των δρομολογητών και των συστημάτων ασφαλείας δικτύου, τα IDS αυτής της κατηγορίας μπορούν να αποσυνδέσουν όλες τις τρέχουσες συνδέσεις χρησιμοποιώντας συγκεκριμένες διεπαφές δικτύου.

    Ένας πιο επιθετικός τρόπος απάντησης σε έναν εισβολέα περιλαμβάνει τη δυνατότητα ανάληψης επιθετικής ενέργειας κατά του εισβολέα, καθώς και τη λήψη πληροφοριών σχετικά με τον διακομιστή του εισβολέα. Ωστόσο, αυτή η απάντηση μπορεί να είναι αρκετά επικίνδυνη για τον οργανισμό, καθώς είναι πιθανό να είναι παράνομη και να προκαλέσει απώλειες σε αθώους χρήστες του Διαδικτύου.

    Εργαλεία που συμπληρώνουν το IDS

    Υπάρχουν αρκετές εργαλεία, τα οποία συμπληρώνουν τα IDS και συχνά αναφέρονται από τους προγραμματιστές ως πλήρεις IDS επειδή εκτελούν παρόμοιες λειτουργίες.

    ΓΛΑΣΤΡΕΣ ΜΕ ΜΕΛΙ ΚΑΙ ΣΥΣΤΗΜΑΤΑ ΚΥΤΤΑΡΩΝ ΜΕ ΕΠΕΝΔΥΣΗ

    Τα Honey Pots είναι συστήματα δόλωμα που προσπαθούν να δελεάσουν έναν εισβολέα πριν φτάσουν σε εφαρμογές κρίσιμες για την αποστολή.

    Οι οθόνες και οι καταγραφείς εισβολής Honeypot εντοπίζουν μη εξουσιοδοτημένες ενέργειες και συλλέγουν πληροφορίες σχετικά με τις ενέργειες του εισβολέα. Τα συστήματα Padded Cell υιοθετούν μια ελαφρώς διαφορετική προσέγγιση. Χωρίς να προσελκύει επιτιθέμενους με πραγματικά δεδομένα, το Padded Cell περιμένει ένα κανονικό ITS για να εντοπίσει την εισβολή. Μετά από αυτό, ο εισβολέας μεταφέρεται σε έναν ειδικό διακομιστή του συστήματος Padded Cell. Όπως ένα δοχείο μελιού, αυτό το προσομοιωμένο περιβάλλον μπορεί να γεμίσει με πραγματικά δεδομένα για να πείσει τον εισβολέα ότι η επίθεση πηγαίνει σύμφωνα με το σχέδιο.

    Πλεονεκτήματα:

    Ο επιτιθέμενος μπορεί να εκτραπεί από το σύστημα στόχο, το οποίο δεν μπορεί να καταστρέψει.

    Οι διαχειριστές έχουν χρόνο να αποφασίσουν πώς θα απαντήσουν στον εχθρό.

    Οι ενέργειες του εισβολέα μπορούν εύκολα να παρακολουθούνται και τα αποτελέσματά τους ως εξουσιοδοτημένοι χρήστες.

    Ελαττώματα:

    Ένας έμπειρος εισβολέας, αφού απορριφθεί από ένα σύστημα δόλωμα, μπορεί στη συνέχεια να εξαπολύσει μια πιο εχθρική επίθεση εναντίον των συστημάτων του οργανισμού.

    Απαιτείται υψηλό επίπεδο εκπαίδευσης για διαχειριστές και διευθυντές ασφαλείας.

    Οι νομικές επιπτώσεις της χρήσης τέτοιων συσκευών δεν είναι ακόμη επαρκώς καθορισμένες.

    Εργαλεία αξιολόγησης ευπάθειας

    Τα εργαλεία αξιολόγησης ευπάθειας χωρίζονται σε δύο κατηγορίες: παθητικά και ενεργητικά.

    Τα παθητικά προβάλλουν δεδομένα στον διακομιστή στον οποίο βρίσκονται συνεχώς για να αναγνωρίζουν επικίνδυνες διαμορφώσεις στις ρυθμίσεις, εκδόσεις προγραμμάτων που είναι γνωστό ότι περιέχουν ευπάθειες και αδύναμους κωδικούς πρόσβασης.

    Τα ενεργά εργαλεία αναλύουν ολόκληρο το δίκτυο ενός οργανισμού αναζητώντας τρωτά σημεία στις διαμορφώσεις διακομιστή, συγκρίνοντας τις πληροφορίες που λαμβάνονται με μια βιβλιοθήκη αριθμών έκδοσης λογισμικού που είναι γνωστό ότι είναι επικίνδυνα και καθορίζουν εάν οι διακομιστές είναι ευάλωτοι σε γνωστές επιθέσεις.

    Ανάπτυξη IDS

    Η χρήση συστημάτων ανίχνευσης εισβολής απαιτεί καλή εκπαίδευση και τακτική αλληλεπίδραση μεταξύ των ειδικών που εμπλέκονται στη συντήρησή τους. Οι οργανισμοί πρέπει να διαθέτουν κατάλληλες πολιτικές ασφαλείας, σχέδια και διαδικασίες, έτσι ώστε το προσωπικό να γνωρίζει πώς να ανταποκρίνεται σε όλους τους τύπους συναγερμών που ενεργοποιούν ένα IDS.

    Τα Honey Pots θα πρέπει να χρησιμοποιούνται με σύνεση και μόνο από οργανισμούς με άριστα εκπαιδευμένο τεχνικό προσωπικό που έχει την ικανότητα να πειραματίζεται με προηγμένες τεχνολογίες προστασίας.

    Με εξαίρεση ορισμένους
    ερευνητικά πρωτότυπα, Padded Cell δεν είναι διαθέσιμα αυτήν τη στιγμή.

    ΣΕ επί του παρόντοςΥπάρχουν πολλές επιλογές για την ανάπτυξη (τοποθεσία) του IDS με βάση την προστασία δικτύου:

    Πίσω από το εξωτερικό σύστημα προστασίας δικτύου (τείχη προστασίας) - ανίχνευση επίθεσης που διεισδύει στην αμυντική περίμετρο του δικτύου από τον έξω κόσμο.

    Μπροστά από το εξωτερικό σύστημα άμυνας δικτύου - αποδεικνύει ότι οι επιθέσεις από το Διαδίκτυο κατά του δικτύου πραγματοποιούνται τακτικά.

    Στα κανάλια του βασικού δικτύου - ανίχνευση μη εξουσιοδοτημένων δραστηριοτήτων εντός του δικτύου και παρακολούθηση μεγάλου όγκου κίνησης δικτύου.

    Σε ένα κρίσιμο υποδίκτυο - εντοπισμός επιθέσεων σε κρίσιμους πόρους.

    Το μέλλον των OWLs

    Η έρευνα για το IDS εντάθηκε μετά το 1985, αλλά η μεγάλης κλίμακας εμπορική χρήση του IDS ξεκίνησε μόλις το 1996. Σύμφωνα με την IDC, οι πωλήσεις εργαλείων IDS έφτασαν τα 100 εκατομμύρια δολάρια το 1998, τα 350 εκατομμύρια δολάρια το 2001 και τα 443,5 εκατομμύρια δολάρια το 2002! Σύμφωνα με ορισμένους συναγερμούς, έλλειψη ευελιξίας και ανεπαρκής ενσωμάτωση με συστήματα διαχείρισης εταιρικών δικτύων. Ταυτόχρονα, μια ανάλυση των τάσεων ανάπτυξης σε αυτόν τον τομέα των εργαλείων ασφάλειας πληροφοριών υποδηλώνει ότι στο εγγύς μέλλον θα επιλυθούν τα περισσότερα από τα προβλήματα που σχετίζονται με τη λειτουργικότητα του IDS.

    Σεργκέι Γκρίνιεφ

    Το άρθρο ετοιμάστηκε με βάση υλικά
    Εργαστήρια Τεχνολογίες πληροφορικήςΕθνικό Ινστιτούτο Προτύπων των ΗΠΑ.

    Επί του παρόντος, η προστασία που παρέχεται από το τείχος προστασίας και το πρόγραμμα προστασίας από ιούς δεν είναι πλέον αποτελεσματική έναντι επιθέσεις δικτύουκακόβουλο λογισμικό. Στην πρώτη γραμμή βρίσκονται λύσεις κλάσης IDS/IPS που μπορούν να εντοπίσουν και να αποκλείσουν τόσο γνωστές όσο και άγνωστες απειλές.

    ΠΛΗΡΟΦΟΡΙΕΣ

    • Σχετικά με το Mod_Security και το GreenSQL-FW, διαβάστε το άρθρο "The Last Frontier", ][_12_2010.
    • Πώς να διδάξετε τα iptables να "κοιτούν" μέσα σε ένα πακέτο, διαβάστε το άρθρο "Fire Shield", ][_12_2010.

    Τεχνολογίες IDS/IPS

    Για να κάνετε μια επιλογή μεταξύ IDS ή IPS, πρέπει να κατανοήσετε τις αρχές λειτουργίας και τον σκοπό τους. Έτσι, το καθήκον του IDS (Intrusion Detection System) είναι να ανιχνεύει και να καταγράφει επιθέσεις, καθώς και να ειδοποιεί όταν ενεργοποιείται ένας συγκεκριμένος κανόνας. Ανάλογα με τον τύπο, το IDS μπορεί να ανιχνεύσει διάφορους τύπους επιθέσεων δικτύου, να ανιχνεύσει απόπειρες μη εξουσιοδοτημένης πρόσβασης ή κλιμάκωσης προνομίων, την εμφάνιση κακόβουλου λογισμικού, να παρακολουθεί το άνοιγμα μιας νέας θύρας κ.λπ. Διαφέρει από αυτό.  τείχος προστασίας, το οποίο ελέγχει μόνο τις παραμέτρους περιόδου λειτουργίας (IP, αριθμός θύρας και κατάσταση σύνδεσης), το IDS «φαίνεται» μέσα στο πακέτο (μέχρι το έβδομο επίπεδο OSI), αναλύοντας τα μεταδιδόμενα δεδομένα. Υπάρχουν διάφοροι τύποι συστημάτων ανίχνευσης εισβολών. Πολύ δημοφιλή είναι τα APIDS (Application protocol-based IDS), τα οποία παρακολουθούν μια περιορισμένη λίστα πρωτοκόλλων εφαρμογών για συγκεκριμένες επιθέσεις. Τυπικοί εκπρόσωποι αυτής της κλάσης είναι το PHPIDS, το οποίο αναλύει αιτήματα σε εφαρμογές PHP, το Mod_Security, που προστατεύει έναν διακομιστή ιστού (Apache) και το GreenSQL-FW, το οποίο αποκλείει επικίνδυνες εντολές SQL (δείτε το άρθρο «The Last Frontier» στο [_12_2010).

    Τα Network NIDS (Network Intrusion Detection System) είναι πιο καθολικά, κάτι που επιτυγχάνεται χάρη στην τεχνολογία DPI (Deep Packet Inspection). Ελέγχουν περισσότερα από ένα συγκεκριμένη εφαρμογή, όλη η διερχόμενη κίνηση, ξεκινώντας από το επίπεδο καναλιού.

    Ορισμένα φίλτρα πακέτων παρέχουν επίσης τη δυνατότητα να «κοιτάξουν μέσα» και να μπλοκάρουν μια απειλή. Στα παραδείγματα περιλαμβάνονται τα έργα OpenDPI και Fwsnort. Το τελευταίο είναι ένα πρόγραμμα για τη μετατροπή της βάσης δεδομένων υπογραφών Snort σε ισοδύναμους κανόνες αποκλεισμού για iptables. Αρχικά, όμως, το τείχος προστασίας σχεδιάστηκε για άλλες εργασίες και η τεχνολογία DPI είναι «ακριβή» για τον κινητήρα, επομένως οι λειτουργίες για την επεξεργασία πρόσθετων δεδομένων περιορίζονται στον αποκλεισμό ή τη σήμανση αυστηρά καθορισμένων πρωτοκόλλων. Το IDS απλώς επισημαίνει (ειδοποίηση) όλες τις ύποπτες ενέργειες. Για τον αποκλεισμό του κεντρικού υπολογιστή που επιτίθεται, ο διαχειριστής επαναδιαμορφώνει ανεξάρτητα το τείχος προστασίας κατά την προβολή στατιστικών στοιχείων. Φυσικά, δεν υπάρχει απάντηση σε πραγματικό χρόνο εδώ. Αυτός είναι ο λόγος για τον οποίο το IPS (Intrusion Prevention System, σύστημα πρόληψης επιθέσεων) είναι πιο ενδιαφέρον σήμερα. Βασίζονται σε IDS και μπορούν ανεξάρτητα να αναδημιουργήσουν το φίλτρο πακέτων ή να τερματίσουν τη συνεδρία στέλνοντας ένα TCP RST. Ανάλογα με την αρχή λειτουργίας, το IPS μπορεί να εγκατασταθεί με «ριπή» ή να χρησιμοποιήσει κατοπτρισμό της κυκλοφορίας (SPAN) που λαμβάνεται από πολλούς αισθητήρες. Για παράδειγμα, το blast εγκαθίσταται από το Hogwash Light BR, το οποίο λειτουργεί στο στρώμα OSI. Ένα τέτοιο σύστημα μπορεί να μην έχει διεύθυνση IP, πράγμα που σημαίνει ότι παραμένει αόρατο σε έναν εισβολέα.

    ΣΕ συνηθισμένη ζωήΗ πόρτα όχι μόνο είναι κλειδωμένη, αλλά προστατεύεται επιπλέον αφήνοντας έναν προφυλακτήρα κοντά της, γιατί μόνο σε αυτή την περίπτωση μπορείτε να είστε σίγουροι για την ασφάλεια. Το BIT, το IPS του κεντρικού υπολογιστή λειτουργεί ως τέτοια ασφάλεια (δείτε «Νέα αμυντική γραμμή» στο][_08_2009), προστατεύοντας τοπικό σύστημααπό ιούς, rootkits και hacking. Συχνά συγχέονται με προγράμματα προστασίας από ιούς που διαθέτουν προληπτική μονάδα προστασίας. Αλλά τα HIPS, κατά κανόνα, δεν χρησιμοποιούν υπογραφές, πράγμα που σημαίνει ότι δεν απαιτούν συνεχής ενημέρωσηβάσεις Ελέγχουν πολλές ακόμη παραμέτρους συστήματος: διεργασίες, ακεραιότητα των αρχείων συστήματος και του μητρώου, καταχωρίσεις ημερολογίου και πολλά άλλα.

    Για τον πλήρη έλεγχο της κατάστασης, είναι απαραίτητος ο έλεγχος και η συσχέτιση συμβάντων τόσο σε επίπεδο δικτύου όσο και σε επίπεδο κεντρικού υπολογιστή. Για το σκοπό αυτό, έχουν δημιουργηθεί υβριδικά IDS που συλλέγουν δεδομένα από διαφορετικές πηγές (τέτοια συστήματα αναφέρονται συχνά ως SIM - Διαχείριση Πληροφοριών Ασφαλείας). Μεταξύ των έργων OpenSource, ένα ενδιαφέρον είναι το Prelude Hybrid IDS, το οποίο συλλέγει δεδομένα από σχεδόν όλα τα OpenSource IDS/IPS και κατανοεί τη μορφή αρχείου καταγραφής των διαφόρων εφαρμογών (η υποστήριξη για αυτό το σύστημα ανεστάλη πριν από αρκετά χρόνια. Τα μεταγλωττισμένα πακέτα βρίσκονται ακόμα στο Αποθετήρια Linux και *BSD).

    Ακόμη και ένας επαγγελματίας μπορεί να μπερδευτεί με την ποικιλία των προτεινόμενων λύσεων. Σήμερα θα συναντήσουμε τους πιο επιφανείς εκπροσώπους των συστημάτων IDS/IPS.

    Ενιαίος έλεγχος απειλών

    Το σύγχρονο Διαδίκτυο φέρει έναν τεράστιο αριθμό απειλών, επομένως τα εξαιρετικά εξειδικευμένα συστήματα δεν είναι πλέον σχετικά. Είναι απαραίτητο να χρησιμοποιήσετε μια ολοκληρωμένη πολυλειτουργική λύση που περιλαμβάνει όλα τα στοιχεία προστασίας: τείχος προστασίας, IDS/IPS, antivirus, διακομιστή μεσολάβησης, φίλτρο περιεχομένου και φίλτρο antispam. Τέτοιες συσκευές ονομάζονται UTM (Unified Threat Management, ενοποιημένος έλεγχος απειλών). Παραδείγματα UTM περιλαμβάνουν Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances ή εξειδικευμένες διανομές Linux, όπως το Untangle Gateway, το IPCop Firewall, το pfSense (διαβάστε την κριτική τους στο άρθρο «Ρυθμιστές δικτύου», ][_01_2010).

    Suricata

    Η έκδοση beta αυτού του IDS/IPS κυκλοφόρησε στο κοινό τον Ιανουάριο του 2010 μετά από τρία χρόνια ανάπτυξης. Ένας από τους κύριους στόχους του έργου είναι η δημιουργία και η δοκιμή εντελώς νέων τεχνολογιών ανίχνευσης επιθέσεων. Πίσω από τη Suricata βρίσκεται η ένωση OISF, η οποία απολαμβάνει την υποστήριξη σοβαρών εταίρων, συμπεριλαμβανομένων των παιδιών από το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ. Η πιο σχετική έκδοση σήμερα είναι ο αριθμός 1.1, που κυκλοφόρησε τον Νοέμβριο του 2011. Ο κωδικός έργου διανέμεται με την άδεια GPLv2, αλλά οι οικονομικοί εταίροι έχουν πρόσβαση σε μια έκδοση του κινητήρα που δεν είναι GPL, την οποία μπορούν να χρησιμοποιήσουν στα προϊόντα τους. Για να επιτύχουμε τα μέγιστα αποτελέσματα, η εργασία περιλαμβάνει την κοινότητα, η οποία μας επιτρέπει να επιτύχουμε πολύ υψηλό ρυθμό ανάπτυξης. Για παράδειγμα, σε σύγκριση με την προηγούμενη έκδοση 1.0, η ποσότητα του κώδικα στο 1.1 αυξήθηκε κατά 70%. Ορισμένα σύγχρονα IDS με μακρά ιστορία, συμπεριλαμβανομένου του Snort, δεν χρησιμοποιούν αποτελεσματικά συστήματα πολλαπλών επεξεργαστών/πολλαπλών πυρήνων, γεγονός που οδηγεί σε προβλήματα κατά την επεξεργασία μεγάλων ποσοτήτων δεδομένων. Το Suricata εκτελείται εγγενώς σε λειτουργία πολλαπλών νημάτων. Οι δοκιμές δείχνουν ότι είναι έξι φορές πιο γρήγορο από το Snort (σε σύστημα με 24 CPU και 128 GB RAM). Κατά τη δημιουργία με την παράμετρο «-enable-cuda», γίνεται δυνατή επιτάχυνση υλικούστην πλευρά της GPU. Το IPv6 υποστηρίζεται αρχικά (στο Snort ενεργοποιείται από το κλειδί «enable-ipv6» για την παρακολούθηση της κυκλοφορίας: LibPcap, NFQueue, IPFRing, IPFW). Γενικά, η αρθρωτή διάταξη σάς επιτρέπει να συνδέσετε γρήγορα το επιθυμητό στοιχείο για να συλλάβετε, να αποκωδικοποιήσετε, να αναλύσετε ή να επεξεργαστείτε πακέτα. Ο αποκλεισμός γίνεται χρησιμοποιώντας το τυπικό φίλτρο πακέτων λειτουργικού συστήματος (στο Linux, για να ενεργοποιήσετε τη λειτουργία IPS, πρέπει να εγκαταστήσετε τις βιβλιοθήκες netlink-queue ή libnfnetlink). Ο κινητήρας ανιχνεύει αυτόματα πρωτόκολλα ανάλυσης (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP και SCTP), επομένως οι κανόνες δεν χρειάζεται να συνδέονται με έναν αριθμό θύρας (όπως κάνει το Snort), απλά πρέπει να ορίστε την ενέργεια για το επιθυμητό πρωτόκολλο. Ο Ivan Ristic, ο συγγραφέας του Mod_security, δημιούργησε μια ειδική βιβλιοθήκη HTP που χρησιμοποιείται στο Suricata για την ανάλυση της κίνησης HTTP. Οι προγραμματιστές προσπαθούν κυρίως να επιτύχουν ακρίβεια ανίχνευσης και να αυξήσουν την ταχύτητα του ελέγχου κανόνων.


    Η έξοδος των αποτελεσμάτων είναι ενοποιημένη, επομένως μπορείτε να χρησιμοποιήσετε τυπικά βοηθητικά προγράμματα για να τα αναλύσετε. Στην πραγματικότητα, όλα τα back-ends, οι διεπαφές και οι αναλυτές που έχουν γραφτεί για το Snort (Barnyard, Snortsnarf, Sguil, κ.λπ.) λειτουργούν χωρίς τροποποιήσεις με το Suricata. Αυτό είναι επίσης ένα μεγάλο πλεονέκτημα. Η ανταλλαγή μέσω HTTP καταγράφεται λεπτομερώς σε ένα αρχείο τυπική μορφήΑπάχης.

    Ο μηχανισμός ανίχνευσης στη Suricata βασίζεται σε κανόνες. Εδώ οι προγραμματιστές δεν επινόησαν τίποτα ακόμα, αλλά επέτρεψαν τη σύνδεση σετ τροχών που δημιουργήθηκαν για άλλα έργα: Sourcefire VRT (μπορεί να ενημερωθεί μέσω του Oinkmaster) και Emerging Threats Pro. Στις πρώτες εκδόσεις, η υποστήριξη ήταν μόνο μερική και ο κινητήρας δεν αναγνώριζε και δεν φόρτωσε ορισμένους κανόνες, αλλά τώρα αυτό το πρόβλημα έχει λυθεί. Έχει εφαρμοστεί μια ιδιόκτητη μορφή κανόνων, η οποία εξωτερικά μοιάζει με αυτή του Snort. Ένας κανόνας αποτελείται από τρία στοιχεία: μια ενέργεια (πέρασμα, απόθεση, απόρριψη ή ειδοποίηση), μια κεφαλίδα (IP/θύρα προέλευσης και προορισμού) και μια περιγραφή (τι να αναζητήσετε). Οι ρυθμίσεις χρησιμοποιούν μεταβλητές (μηχανισμός ροής), που επιτρέπουν, για παράδειγμα, τη δημιουργία μετρητών. Σε αυτήν την περίπτωση, οι πληροφορίες από τη ροή μπορούν να αποθηκευτούν για μελλοντική χρήση. Αυτή η προσέγγιση για την παρακολούθηση προσπαθειών εικασίας κωδικού πρόσβασης είναι πιο αποτελεσματική από την προσέγγιση που βασίζεται στο όριο του Snort. Σχεδιάζεται να δημιουργηθεί ένας μηχανισμός IP Reputation (όπως το SensorBase της Cisco, βλ. το άρθρο «Touch Cisco» στο][_07_2011).

    Συνοψίζοντας, σημειώνω ότι το Suricata είναι πιο γρήγορος κινητήρας από το Snort, πλήρως συμβατός με backend και ικανός να ελέγχει μεγάλες ροές δικτύου. Το μόνο μειονέκτημα του έργου είναι η αραιή τεκμηρίωση, αν και ένας έμπειρος διαχειριστής δεν θα χρειαστεί να καταλάβει τις ρυθμίσεις. Τα πακέτα εγκατάστασης έχουν ήδη εμφανιστεί στα αποθετήρια διανομής και σαφείς οδηγίες για την ανεξάρτητη συναρμολόγηση του πηγαίου κώδικα είναι διαθέσιμες στον ιστότοπο του έργου. Τρώω και έτοιμη διανομή Smooth-sec, βασισμένο στο Suricata.


    Σαμχάιν

    Κυκλοφόρησε με άδεια OpenSource, το Samhain είναι ένα IDS κεντρικού υπολογιστή που προστατεύει ξεχωριστός υπολογιστής. Χρησιμοποιεί διάφορες μεθόδους ανάλυσης για την πλήρη καταγραφή όλων των γεγονότων που συμβαίνουν στο σύστημα:

    • δημιουργία υπογραφών σημαντικών αρχείων κατά την πρώτη εκκίνηση της βάσης δεδομένων και η επακόλουθη σύγκρισή της με το «ζωντανό» σύστημα.
    • παρακολούθηση και ανάλυση των εγγραφών στο ημερολόγιο·
    • έλεγχος εισόδου/εξόδου στο σύστημα·
    • παρακολούθηση συνδέσεων σε ανοιχτές θύρες δικτύου.
    • έλεγχος αρχείων με το εγκατεστημένο SUID κρυφών διεργασιών.

    Το πρόγραμμα μπορεί να ξεκινήσει λειτουργία απόκρυψης(χρησιμοποιείται μονάδα πυρήνα) όταν οι διεργασίες του πυρήνα δεν μπορούν να βρεθούν στη μνήμη. Το Samhain υποστηρίζει επίσης την παρακολούθηση πολλών κόμβων που εκτελούν διαφορετικά λειτουργικά συστήματα, καταγράφοντας όλα τα συμβάντα στο ίδιο σημείο. Σε αυτήν την περίπτωση, οι πράκτορες που είναι εγκατεστημένοι σε απομακρυσμένους κόμβους στέλνουν όλες τις συλλεγμένες πληροφορίες (TCP, AES, υπογραφή) σε ένα κρυπτογραφημένο κανάλι στον διακομιστή (yule), ο οποίος τις αποθηκεύει σε μια βάση δεδομένων (MySQL, PostgreSQL, Oracle). Επιπλέον, ο διακομιστής είναι υπεύθυνος για τον έλεγχο της κατάστασης των συστημάτων πελάτη, τη διανομή ενημερώσεων και αρχείων διαμόρφωσης. Έχουν εφαρμοστεί διάφορες επιλογές για ειδοποιήσεις και αποστολή συλλεγμένων πληροφοριών: e-mail (το ταχυδρομείο είναι υπογεγραμμένο για αποφυγή παραβίασης), syslog, αρχείο καταγραφής (υπογεγραμμένο), Nagios, κονσόλα, κ.λπ. Η διαχείριση μπορεί να πραγματοποιηθεί χρησιμοποιώντας πολλούς διαχειριστές με σαφώς καθορισμένους ρόλους .

    Το πακέτο είναι διαθέσιμο σχεδόν σε όλα τα αποθετήρια Διανομές Linux, στον ιστότοπο του έργου υπάρχει μια περιγραφή του τρόπου εγκατάστασης του Samhain στα Windows.

    Σύστημα αποτροπής εισβολής StoneGate

    Αυτή η λύση έχει αναπτυχθεί Φινλανδική εταιρεία, η οποία δημιουργεί προϊόντα εταιρικής κλάσης στον τομέα της ασφάλειας δικτύου. Υλοποιεί όλες τις δημοφιλείς λειτουργίες: IPS, προστασία από επιθέσεις DDoS και 0day, φιλτράρισμα ιστού, υποστήριξη κρυπτογραφημένης κυκλοφορίας κ.λπ. Χρησιμοποιώντας το StoneGate IPS μπορείτε να αποκλείσετε ιούς, λογισμικό υποκλοπής spyware κ.λπ. ορισμένες εφαρμογές(P2P, IM, κ.λπ.). Για το φιλτράρισμα ιστού, χρησιμοποιείται μια συνεχώς ενημερωμένη βάση δεδομένων ιστότοπων που χωρίζονται σε διάφορες κατηγορίες. Ιδιαίτερη προσοχήεπικεντρώνεται στην προστασία παράκαμψης των συστημάτων ασφαλείας AET (Advanced Evasion Techniques). Η τεχνολογία Transparent Access Control σάς επιτρέπει να χωρίσετε ένα εταιρικό δίκτυο σε πολλά εικονικά τμήματα χωρίς να αλλάξετε την πραγματική τοπολογία και να ορίσετε μεμονωμένες πολιτικές ασφαλείας για καθένα από αυτά. Οι πολιτικές επιθεώρησης κυκλοφορίας διαμορφώνονται χρησιμοποιώντας πρότυπα που περιέχουν τυπικούς κανόνες. Αυτές οι πολιτικές δημιουργούνται εκτός σύνδεσης. Ο διαχειριστής επαληθεύει τις πολιτικές που έχουν δημιουργηθεί και τις πραγματοποιεί λήψη στους απομακρυσμένους κεντρικούς υπολογιστές IPS. Παρόμοια συμβάντα στο StoneGate IPS επεξεργάζονται σύμφωνα με την αρχή που χρησιμοποιείται στα συστήματα SIM/SIEM, γεγονός που διευκολύνει σημαντικά την ανάλυση. Πολλές συσκευές μπορούν εύκολα να συνδυαστούν σε ένα σύμπλεγμα και να ενσωματωθούν με άλλες λύσεις StoneSoft - StoneGate Firewall/VPN και StoneGate SSL VPN. Η διαχείριση παρέχεται από μια ενιαία κονσόλα διαχείρισης (StoneGate Management Center), που αποτελείται από τρία στοιχεία: Διακομιστής διαχείρισης, Διακομιστής καταγραφής και Πελάτης διαχείρισης. Η κονσόλα σάς επιτρέπει όχι μόνο να διαμορφώνετε τη λειτουργία του IPS και να δημιουργείτε νέους κανόνες και πολιτικές, αλλά και να παρακολουθείτε και να προβάλλετε αρχεία καταγραφής. Είναι γραμμένο σε Java, επομένως οι εκδόσεις είναι διαθέσιμες για Windows και Linux.


    Το StoneGate IPS παρέχεται τόσο ως πακέτο υλικού όσο και και στη μορφήΕικόνα VMware. Το τελευταίο προορίζεται για εγκατάσταση στον δικό σας εξοπλισμό ή σε εικονική υποδομή. Παρεμπιπτόντως, σε αντίθεση με τους δημιουργούς πολλών παρόμοιων λύσεων, η εταιρεία ανάπτυξης σάς επιτρέπει να κάνετε λήψη δοκιμαστική έκδοσηεικόνα.

    Σύστημα αποτροπής εισβολής δικτύου ασφαλείας IBM

    Το σύστημα πρόληψης επιθέσεων της IBM χρησιμοποιεί αποκλειστική τεχνολογία ανάλυσης πρωτοκόλλου που παρέχει προληπτική προστασίασυμπεριλαμβανομένων των απειλών 0 ημερών. Όπως όλα τα προϊόντα της σειράς IBM Security, βασίζεται σε μια ενότητα ανάλυσης πρωτοκόλλου - PAM (Protocol Analysis Module), η οποία συνδυάζει την παραδοσιακή μέθοδο ανίχνευσης επίθεσης με υπογραφή (Proventia OpenSignature) και έναν αναλυτή συμπεριφοράς. Ταυτόχρονα, το PAM διακρίνει 218 πρωτόκολλα επιπέδου εφαρμογής (επιθέσεις μέσω VoIP, RPC, HTTP το. δ.) και μορφές δεδομένων όπως DOC, XLS, PDF, ANI, JPG, προκειμένου να προβλεφθεί πού μπορεί να ενσωματωθεί κακόβουλος κώδικας. Περισσότεροι από 3.000 αλγόριθμοι χρησιμοποιούνται για την ανάλυση της κυκλοφορίας, 200 από τους οποίους «πιάνουν» το DoS. Οι λειτουργίες τείχους προστασίας σάς επιτρέπουν να επιτρέπετε την πρόσβαση μόνο σε συγκεκριμένες θύρες και IP, εξαλείφοντας την ανάγκη συμμετοχής μιας πρόσθετης συσκευής. Η τεχνολογία Virtual Patch αποκλείει τους ιούς καθώς εξαπλώνονται και προστατεύει τους υπολογιστές μέχρι να εγκατασταθεί μια ενημέρωση που τους εξαλείφει. κρίσιμη ευπάθεια. Εάν είναι απαραίτητο, ο ίδιος ο διαχειριστής μπορεί να δημιουργήσει και να χρησιμοποιήσει μια υπογραφή. Η μονάδα ελέγχου εφαρμογής σάς επιτρέπει να διαχειρίζεστε στοιχεία P2P, IM, ActiveX, χρησιμοποιώντας VPNκ.λπ. και να τα μπλοκάρετε αν χρειαστεί. Εφάρμοσε μια μονάδα DLP που παρακολουθεί τις προσπάθειες μετάδοσης εμπιστευτικές πληροφορίεςκαι κίνηση δεδομένων εντός του προστατευμένου δικτύου, που σας επιτρέπει να αξιολογείτε τους κινδύνους και να αποκλείετε διαρροές. Από προεπιλογή, αναγνωρίζονται οκτώ τύποι δεδομένων (αριθμοί πιστωτικών καρτών, αριθμοί τηλεφώνου...), ο διαχειριστής ορίζει ανεξάρτητα τις υπόλοιπες πληροφορίες για τον οργανισμό χρησιμοποιώντας κανονικές εκφράσεις. Επί του παρόντος, τα περισσότερα από τα τρωτά σημεία εμφανίζονται σε εφαρμογές Ιστού, επομένως το προϊόν της IBM περιλαμβάνει μια ειδική ενότητα Ασφάλειας εφαρμογών Ιστού που προστατεύει τα συστήματα από συνηθισμένους τύπους επιθέσεων: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF, κ.λπ.


    Υπάρχουν πολλές επιλογές για δράση όταν ανιχνεύεται μια επίθεση - αποκλεισμός του κεντρικού υπολογιστή, αποστολή ειδοποίησης, καταγραφή της κίνησης επίθεσης (σε αρχείο συμβατό με το tcpdump), θέσπιση καραντίνας του κεντρικού υπολογιστή, εκτέλεση ενέργειας με δυνατότητα διαμόρφωσης από το χρήστη και ορισμένες άλλες. Οι πολιτικές καταγράφονται σε κάθε θύρα, διεύθυνση IP ή ζώνη VLAN. Η λειτουργία Υψηλής Διαθεσιμότητας διασφαλίζει ότι εάν μια από τις πολλές συσκευές IPS στο δίκτυο αποτύχει, η κυκλοφορία θα ρέει μέσω μιας άλλης, εγκατεστημένες συνδέσειςδεν θα διακοπεί. Όλα τα υποσυστήματα εντός του υλικού - RAID, τροφοδοτικό, ανεμιστήρας ψύξης - είναι διπλά. Η εγκατάσταση με χρήση της κονσόλας Ιστού είναι όσο το δυνατόν πιο απλή (τα μαθήματα εκπαίδευσης διαρκούν μόνο μία ημέρα). Εάν έχετε πολλές συσκευές, συνήθως αγοράζετε το IBM Security SiteProtector, το οποίο παρέχει κεντρική διαχείριση, ανάλυση αρχείων καταγραφής και αναφορά.

    McAfee Network Security Platform 7

    Το IntruShield IPS, που παρήχθη από την McAfee, ήταν κάποτε μία από τις δημοφιλείς λύσεις IPS. Τώρα το McAfee Network Security Platform 7 (NSP) έχει αναπτυχθεί στη βάση του. Εκτός από όλες τις λειτουργίες του κλασικού NIPS Καινουργιο ΠΡΟΪΟΝέλαβε εργαλεία για την ανάλυση πακέτων που μεταδίδονται εντός του εσωτερικού εταιρικού δικτύου, το οποίο βοηθά στον εντοπισμό κακόβουλης κυκλοφορίας που ξεκινά από μολυσμένους υπολογιστές. Η McAfee χρησιμοποιεί την τεχνολογία Global Threat Intelligence, η οποία συλλέγει πληροφορίες από εκατοντάδες χιλιάδες αισθητήρες που είναι εγκατεστημένοι σε όλο τον κόσμο και αξιολογεί τη φήμη όλων των μοναδικών αρχείων, διευθύνσεων IP και URL και πρωτοκόλλων που περνούν. Χάρη σε αυτό, το NSP μπορεί να ανιχνεύσει κίνηση botnet, να εντοπίσει απειλές 0 ημερών και επιθέσεις DDoS και η ευρεία κάλυψη της επίθεσης μειώνει την πιθανότητα ψευδών θετικών αποτελεσμάτων.

    Δεν μπορεί να λειτουργήσει κάθε IDS/IPS στο περιβάλλον εικονικές μηχανές, επειδή όλη η ανταλλαγή πραγματοποιείται σε εσωτερικές διεπαφές. Αλλά το NSP δεν έχει προβλήματα με αυτό, μπορεί να αναλύσει την κίνηση μεταξύ VM, καθώς και μεταξύ VM και του φυσικού κεντρικού υπολογιστή. Για την παρακολούθηση των κόμβων, χρησιμοποιείται μια λειτουργική μονάδα agent από την Reflex Systems, η οποία συλλέγει πληροφορίες σχετικά με την κίνηση στο VM και τις μεταδίδει στο φυσικό περιβάλλονγια ανάλυση.

    Ο κινητήρας διακρίνει περισσότερες από 1100 εφαρμογές που εκτελούνται στο έβδομο επίπεδο OSI. Σαρώνει την κυκλοφορία χρησιμοποιώντας μια μηχανή ανάλυσης περιεχομένου και παρέχει απλά εργαλείαδιαχείριση.

    Εκτός από το NIPS, η McAfee κυκλοφορεί το κεντρικό IPS - Host Intrusion Prevention for Desktop, το οποίο παρέχει ολοκληρωμένη προστασίαΗ/Υ, χρησιμοποιώντας μεθόδους ανίχνευσης απειλών, όπως ανάλυση συμπεριφοράς και υπογραφών, παρακολούθηση της κατάστασης των συνδέσεων χρησιμοποιώντας ένα τείχος προστασίας και αξιολόγηση της φήμης για τον αποκλεισμό επιθέσεων.

    Πού να αναπτύξετε το IDS/IPS;

    Για να αξιοποιήσετε στο έπακρο το IDS/IPS, θα πρέπει να τηρείτε τις ακόλουθες συστάσεις:

    • Το σύστημα πρέπει να εγκατασταθεί στην είσοδο ενός προστατευμένου δικτύου ή υποδικτύου και συνήθως πίσω από ένα τείχος προστασίας (δεν έχει νόημα ο έλεγχος της κυκλοφορίας που θα μπλοκαριστεί) - με αυτόν τον τρόπο θα μειώσουμε το φόρτο. Σε ορισμένες περιπτώσεις, τοποθετούνται αισθητήρες μέσα στο τμήμα.
    • Πριν ενεργοποιήσετε τη λειτουργία IPS, θα πρέπει να εκτελέσετε το σύστημα για κάποιο χρονικό διάστημα σε μια λειτουργία που δεν αποκλείει το IDS. Στο μέλλον, οι κανόνες θα πρέπει να αναπροσαρμόζονται περιοδικά.
    • Οι περισσότερες ρυθμίσεις IPS βασίζονται σε τυπικά δίκτυα. Σε ορισμένες περιπτώσεις, μπορεί να αποδειχθούν αναποτελεσματικές, επομένως είναι απαραίτητο να καθοριστεί η IP των εσωτερικών υποδικτύων και των εφαρμογών (θυρών) που χρησιμοποιούνται. Αυτό θα βοηθήσει το κομμάτι του υλικού να καταλάβει καλύτερα τι έχει να κάνει.
    • Εάν ένα σύστημα IPS εγκατασταθεί "εκρηκτικό", είναι απαραίτητο να παρακολουθείτε την απόδοσή του, διαφορετικά η αστοχία της συσκευής μπορεί εύκολα να παραλύσει ολόκληρο το δίκτυο.

    συμπέρασμα

    Δεν θα καθορίσουμε τους νικητές. Η επιλογή σε κάθε συγκεκριμένη περίπτωση εξαρτάται από τον προϋπολογισμό, την τοπολογία δικτύου, τις απαιτούμενες λειτουργίες ασφαλείας, την επιθυμία του διαχειριστή να πειράξει τις ρυθμίσεις και, φυσικά, τους κινδύνους. Οι εμπορικές λύσεις λαμβάνουν υποστήριξη και παρέχονται πιστοποιητικά, τα οποία επιτρέπουν τη χρήση αυτών των λύσεων σε οργανισμούς που ασχολούνται με την επεξεργασία προσωπικών δεδομένων. σε ζήτηση μεταξύ των διαχειριστών. Μια συμβατή εικόνα Suricata μπορεί να προστατεύσει ένα δίκτυο με υψηλή επισκεψιμότητα και, το πιο σημαντικό, είναι εντελώς δωρεάν.



Προτείνουμε άλλα άρθρα
Σύστημα δομημένης καλωδίωσης (SCS)
Σύστημα δομημένης καλωδίωσης (SCS)
Twitch: τι είναι και πώς λειτουργεί;
Twitch: τι είναι και πώς λειτουργεί;
Πώς να γιορτάσετε το Θερινό Ηλιοστάσιο Emmanuelle Daguerre: Ένα θεραπευτικό ηλιοστάσιο
Πώς να γιορτάσετε το Θερινό Ηλιοστάσιο Emmanuelle Daguerre: Ένα θεραπευτικό ηλιοστάσιο