Ids ips системы

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

Содержание

INFO

WWW

  • hlbr.sf.net — сайт IPS Hogwash Light BR.
  • cipherdyne.org/fwsnort — сайт Fwsnort.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS, анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_07_2011).

Резюмируя, отмечу, что Suricata — это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта — скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec, построенный на базе Suricata.

Конфигурационный файл Suricata понятен тем, кто возился с настройками Snort

Samhain

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

  • создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с »живой» системой;
  • мониторинг и анализ записей в журналах;
  • контроль входа/выхода в систему;
  • мониторинг подключений к открытым сетевым портам;
  • контроль файлов с установленным SUID и скрытых процессов.

В конфиге Samhain указывается, какие файлы необходимо контролировать

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft — StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

Консоль управления StoneGate IPS

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

  • Разработчик: IBM.
  • Web: www.ibm.com/ru.
  • Реализация: программно-аппаратная, образ VMware.
  • Лицензия: коммерческая.

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов — PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

В продуктах IBM задействованы наработки онлайн-сервиса GTOC и X-Force

Предусмотрено несколько вариантов действий при обнаружении атаки — блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки — RAID, блок питания, вентилятор охлаждения — дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

  • Разработчик: McAfee Inc.
  • Web: www.mcafee.com.
  • Реализация: программно-аппаратная.
  • Лицензия: коммерческая.

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS — Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

  • Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) — так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
  • Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
  • Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
  • Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

Общие понятия о системах обнаружения и предотвращения вторжений

И снова здравствуйте. В преддверии старта курса «Реверс-инжиниринг» решили поделиться с вами небольшой статьей по информационной безопасности, которая хоть и имеет довольно косвенное отношение к реверс-инжинирингу, но для многих может стать полезным материалом.

Глобальный рынок продуктов информационной безопасности развивается под воздействием быстро растущего многообразия сложных и комплексных угроз, что приводит к непосредственному влиянию на бизнес, и становятся востребованными не только для крупных и средних, но и для малых организаций. В настоящее время ситуация обстоит таким образом, когда традиционные средства защиты, такие как межсетевой экран и антивирус, не способны обеспечить надлежащий уровень защиты внутренней сети организации, ведь вредоносное программное обеспечение может «замаскироваться» и отправлять пакеты, которые с точки зрения межсетевого экрана выглядят полностью легитимными. Существует множество коммерческих решений, способных обеспечить надлежащий уровень защиты внутренней сети организации, однако сегодня мы остановимся на таком классе решений, как системы обнаружения вторжений и системы предотвращения вторжений. В англоязычной литературе это Intrusion Detection Systems (IDS) и Intrusion Prevention Systems (IPS).
Различия между ними заключаются лишь в том, что одна может автоматически блокировать атаки, а другая просто предупреждает об этом.
Решения данного класса бывают как коммерческими (проприетарными), так и с открытым исходным кодом, и в умелых руках могут стать отличным дополнением к общей системе защиты организации. Данный класс средств защиты относится к методу отслеживания несанкционированных попыток получения доступа к защищаемым ресурсам организации, называемый мониторингом управления доступом. Он нацелен на выявление и регистрацию недостатков в безопасности внутренней инфраструктуры – сетевые атаки, попытки несанкционированного доступа или повышения привилегий, работа вредоносного программного обеспечения и т.д. Таким образом, по сравнению с межсетевым экраном, контролирующим только параметры сессии, IDS и IPS анализируют передаваемые внутренние потоки данных, находя в них последовательности битов, которые могут представлять из себя вредоносные действия или события. Помимо этого, они могут осуществлять мониторинг системных журналов и других файлов регистрации деятельности пользователей.
Но обо всем по порядку. Итак, IDS – система обнаружения вторжений, предназначенная для регистрации подозрительных действий в сети, и уведомляет о них ответственного за информационную безопасность сотрудника с помощью передачи сообщения на консоль управления, отправки электронного письма, SMS-сообщения на мобильный телефон и т.п.
Традиционная IDS состоит из сенсоров, которые просматривают сетевой трафик или журналы и передают анализаторам, анализаторы ищут в полученных данных вредоносный характер и в случае успешного обнаружения – отправляет результаты в административный интерфейс. В зависимости от места расположения IDS делятся на сетевые (network-based IDS, NIDS) и хостовые (host-based, HIDS). По названию понятно, что одна отслеживает весь сетевой трафик того сегмента, где она установлена, а другая в пределах единственного компьютера. Для более понятной классификации IDS необходимо выделить еще два подмножества, которые делятся по типу анализируемого трафика: IDS, основанная на протоколе (Protocol-based IDS, PIDS), которая анализирует коммуникационные протоколы со связанными системами или пользователями, а также IDS, основанная на прикладных протоколах (Application Protocol-based IDS, APIDS), предназначенная для анализа данных, передаваемых с использованием специфичных для определенных приложений протоколов.
Естественно, вредоносную активность в анализируемом трафике обнаружить можно разными способами. Поэтому в IDS существуют следующие характеристики, отличающие друг от друга различные типы технологий IDS и описать их можно следующим образом:

  • Сигнатурные IDS. Отслеживают определенные шаблоны в трафике и работают подобно антивирусному программному обеспечению. Недостатки данного подхода: сигнатуры должны быть в актуальном состоянии и IDS подобного типа не способны выявить незнакомые атаки. Данную категорию также можно разделить на два типа: сигнатурные IDS, отслеживающие шаблоны – сравнивают сетевые пакеты с сигнатурами, и отслеживающие состояние – сравнивают действия с шаблонами. Уверен, что принцип работы сигнатурной NIDS, отслеживающей шаблоны, известен и понятен. Что касается сигнатурной IDS, отслеживающие состояние, то здесь следует уяснить понятие состояния, которым оперирует IDS. Любое изменение в работе системы (запуск программного обеспечения, ввод данных, взаимодействие приложений между собой и т.д.) приводит к изменению состояния. Что касается IDS, то первоначальное состояние – перед началом атаки, а скомпрометированное состояние – после осуществления атаки, т.е. успешное заражение.
  • IDS, основанные на аномалиях. Данный тип IDS не использует сигнатур. Он основан на поведении системы и перед началом работы происходит этап обучения «нормальной» деятельности системы. Поэтому она способна выявлять незнакомые атаки. Аномалии, в свою очередь, в данной категории делятся на три типа: статистические – IDS создает профиль штатной деятельности системы и сравнивает весь проходящий трафик и деятельность с этим профилем; аномалии протоколов – IDS анализирует трафик с целью выявления фрагментов нелегитимного использования протоколов; аномалии трафика – IDS выявляет нелегитимные действия в сетевом трафике.
  • IDS, основанные на правилах. Данные IDS используют «ЕСЛИ ситуация ТОГДА действие» программирование, основанное на правилах. IDS на основе правил похожи на экспертные системы, т.к. экспертная система представляет из себя совместную работу базы знаний, логических выводов и программирования на основе правил. В данном случае знания – это правила, а анализируемые данные можно назвать фактами, к которым применяются правила. Например: «ЕСЛИ пользователь administrator авторизовался в System1 И сделал изменение в File2 ЗАТЕМ запустил «Утилиту3″ ТОГДА отправить уведомление», т.е. если пользователь зашел в систему 1 и сделал изменение в файле 2, а затем запустил утилиту 3, то отправить уведомление.

Таким образом, IDS у нас может предупреждать о вредоносной активности, но зачастую задача стоит именно предотвратить на ранней стадии вредоносную активность. В этом может помочь IPS, которая упоминалась ранее. Методы ее работы относятся к своевременным (превентивным) и проактивным, в отличие от IDS, выполняющей детективные функции. Стоит отметить, что IPS является подклассом IDS, поэтому основана на ее методах обнаружения атак. IPS может работать как на уровне хоста (HIPS), так и на уровне сети (NIPS). Возможность предотвращения атак реализована за счет того, что сетевая IPS, как правило, встраивается «в разрыв» сети и пропускает через себя весь трафик, а также имеет внешний интерфейс, на который приходит трафик и внутренний интерфейс, который пропускает трафик далее, если он признается безопасным. Существует также возможность работы с копией трафика в режиме мониторинга, но тогда мы теряем основной функционал данной системы.

Глобально IPS можно разделить на те, которые анализируют трафик и сравнивают с известными сигнатурами и те, которые на основе анализа протоколов ищут нелегитимный трафик, основываясь на базе знаний о найденных ранее уязвимостях. За счет второго класса обеспечивается защита от неизвестного типа атак. Что касается методов реагирования на атаки, то их накопилось большое количество, но из основных можно выделить следующие: блокирование соединения с помощью TCP-пакета с RST-флагом или посредством межсетевого экрана, перенастройка коммуникационного оборудования, а также блокирование записей пользователей или конкретного хоста в инфраструктуре.
В конечном итоге, наиболее эффективной идеей защиты инфраструктуры является совместное использование средств IDS и IPS в одном продукте – межсетевом экране, который с помощью глубокого анализа сетевых пакетов, обнаруживает атаки и блокирует их. Стоит отметить, что речь идет только об одном рубеже защиты, который, как правило, расположен за межсетевым экраном. И чтобы добиться комплексной защиты сети, необходимо использовать весь арсенал средств защиты, например UTM (Unified Threat Management) – совместно работающие межсетевой экран, VPN, IPS, антивирус, средства фильтрации и средства антиспама.
Столкнувшись с рядом архитектурных проблем, следующим витком развития подобных систем у мировых вендоров стал межсетевой экран нового поколения (NGFW, Next Generation Firewall), который выигрывает за счет параллельного анализа одного и того же трафика всеми средствами защиты, разбора трафика для проверки антивирусом в памяти, а не после того, как он сохранится на жесткий диск, а также за счет анализа протоколов 7 уровня OSI, который позволяет анализировать работу конкретных приложений.

Системы обнаружения вторжений IDS

Дата публикации: 24-12-2018 3426

Множество компаний и организаций, в особенности те, которые работают с данными, признанными государственной тайной, вынуждены использовать различные системы, защищающие компьютерную сеть и сам компьютер от нежелательного взлома и утечки информации. В настоящий момент многими компаниям на ряду с антивирусным программным обеспечением используются системы обнаружения вторжений.

Система обнаружения вторжений (англ. intrusion detection systems) — различные приспособления, обнаруживающие незаконное вхождение в систему или в сеть. На просторах сети можно встретить сокращение системы обнаружения вторжений IDS.

Они помогают компьютерной сети поставить преграду перед злоумышленниками. Такие программы собирают информацию с интернет ресурсов и проводят ее анализ. Рассмотрим подробнее как работают системы обнаружения вторжений IDS.

Зачем нужны системы обнаружения и предотвращения вторжений

Периодически все компьютерные сети и программные системы подвергаются атакам. Работы антивирусов зачастую недостаточно. Они не могут гарантировать полноценную защиту системы.

Среди подросткового поколения очень много молодых хакеров, которые хотят доказать себе или показать другим свои способности и ищут различные лазейки в информационных системах и сетях.

В помощь молодым «специалистам» на просторах интернета имеется множество специальных программ, которые могут нанести вред. Многие компании для происков необходимой информации обращаются за услугами к профессионалам. А затем используют ее против своих конкурентов. Поэтому системы обнаружения вторжения в сеть довольно актуальны и пользуются спросом.

Состав сетевой системы обнаружения вторжений

К главным частям IDS можно отнести:

  • считывающая подсистема, накапливающая информацию с сети,
  • анализирующая часть системы, определяющая нападения или вредоносные действия,
  • база данных, в которой хранится вся информация о собранных данных, атаках, анализе и т. д.,
  • система управления, с помощью которой пользователь может задать критерии работы всей системы, просматривать сеть, разграничивать доступ для просмотра нападений, отчетов анализа.

Какие проблемы позволяет решить система обнаружения атак и вторжений

К проблемам, решаемым системой обнаружения атак и вторжений, можно отнести:

  1. анализ информацию об источнике,
  2. блокировку или разрешение доступа в зависимости от итога анализа.

Перечислим функции, которые выполняет IDS, чтобы решить эти задачи:

  • просмотр активности пользователей,
  • мониторинг работы системы, нахождение ее узких мест,
  • просмотр важных файлов на целостность информации и данных,
  • сбор статистики и анализ сети, опираясь на информацию, собранную с предыдущих атак,
  • просмотр работу операционной системы.

Положительные стороны внедрения системы обнаружения вторжений

При использовании такой системы на предприятии она всегда скажет вам о том, в какой момент началось нападение или неправомерный вход. Вы имеете возможность отследить поведение и поступки стороннего посетителя. Программа вам покажет все, что сделал этот человек с момента захождения в систему до нанесения вреда.

Система оповестит вас в том случае, если данные были удалены или изменены. Так вы можете улучшить целостность своей системы. При любой сбое сети вы будете знать, что и где произошло.

Системы обнаружения вторжений просматривают интернет ресурсы и определяют когда и откуда был выполнен вход в систему. Но некоторые действия они к сожалению не могут определить.

Например, если у вас проблема с сетевыми протоколами, если процесс входа в систему самих сотрудников компании несложный, то такие системы не способны увидеть злоумышленников. Стоит отметить, что не со всеми проблемами вхождения система может справиться. Например, с атаками пакетного уровня, они не справляются.

Cистема обнаружения вторжения IPS

Система IPS — это такая же система обнаружения вторжения как и IDS, только имеет расширенные функции. IPS выполняет больше функций и соответственно обеспечивает большую защиту.

Система обнаружения вторжений IPS IDS не только мониторит систему, находит вторжение и сообщает пользователю о нем, но и защищает саму сеть и систему от вторжения. Большим преимуществом таки программ является то, что они работают онлайн и имеют способность сразу заблокировать вторжение.

Классификация систем обнаружения вторжений

Существует несколько видов систем обнаружения вторжения. Рассмотрим виды систем IDS по способу мониторинга и по методам выявления атак. По способу мониторинга выделяют системы NIDS и HIDS.

Под системами вида NIDS понимаются системы обнаружения вторжений уровня сети, которые мониторят всю информационную сеть. Если правильно расположить систему, то можно просматривать и анализировать работу довольно большой сети.

Такие системы просматривают все пакеты, поступающие в систему, без выбора. При этом параметры входящих пакетов сравниваются с параметрами предыдущих вторжений и с данными, заложенными в систему. Если система считает вхождение атакой, то она дает знать об этом пользователю.

При использовании таких систем стоит помнить о том, что они работают со всеми входящими запросами и если у вас большая сеть и большой входной поток, то система может просто не справится или пропустить из виду некоторую угрозу.

NIDS относятся к пассивным технологиям, поэтому их просто внедрять в новые топологии сетей. Они не принесут сбой в функционирование сети. В отличие от IDS IPS систем обнаружения и предотвращения вторжений, NIDS только регистрируют атаку, делают о ней запись и оповещают пользователя.

Большим минусом NIDS является, то что они не распознают зашифрованные данные. Это может привести к тому, что злоумышленники используют шифрованные данные для нанесения вреда, а система не сможет их увидеть.

К минусу также можно отнести неспособность системы увидеть саму атаку, то есть конкретно что произошло. Системы такого вида могут только оповестить вас о том, что несанкционированное действие случилось. И в таком случае пользователю, ответственному за работу такой системы, необходимо просмотреть все случаи и найти неполадки.

Еще одним недостатком является то, что система данного вида не распознает атаки фрагментированных пакетов. Такие атаки могут нарушить не только работу сети организации, но и самой системы NIDS. А если она выйдет из сбоя, то у вас можно будет «забрать» все что угодно.

Системы данного вида просматривают только определенный компьютер. Они наблюдают за работой системы в целом, просматривая системные файлы и операционную систему. HIDS сканирует файлы, сопоставляя их с более ранней версией. При наблюдении изменений (удаления, изменения информации в системных файлах) система сразу сообщает о проблеме пользователю.

Большим плюсом является устойчивость систем обнаружения вторжений такого вида к шифрованному трафику. Это осуществляется за счет того, что данные, расположенные на компьютере, создаются перед процессом шифрования или после дешифровки.

Недостатком систем является то, что их очень просто можно заблокировать с помощью DoS атак. Это получается за счет того, что HIDS расположена на том же компьютере, который подвергается атаке. То есть атаке подлежит и сама система HIDS, что приводит к ее сбою.

К недостаткам также можно отнести то, что HIDS уменьшает эффективность работы самого компьютера, так как размещена на нем и на ее работу компьютер затрачивает определенные ресурсы.

IDS системы обнаружения вторжений атаки угроз различаются по методам выявления атак.

  1. Системы, анализирующие сигнатуру. Если система использует такой метод, то ее анализ складывается на сравнении пакетов данных с прописанными видами атак. Достаточно эффективный метод, так как случаев ошибок или обнаружения ложных вторжений практически не выдает. Только правдивая информация.
  2. Системы, использующие метод аномалий. Такие системы мониторят как компьютер, так и сеть. При этом изначально записывается нормальное поведение обоих, а затем система при работе сравнивает произошедшие события с нормальными и при отклонении реагирует, выдавая сообщения администратору. Плюсом является то, что не требуется хранить все сигнатуры атак, но минусом является большая вероятность распознавание системой правомерных действий за несанкционированные.
  3. Системы, использующие метод политик. В данном случае в системе прописываются правила безопасности сети, то есть то с какими сетями можно работать, какие протокола являются безопасными для работы и т. д. Довольно надежные системы, но минусом является сложность заполнения базы данных с правилами.

Требования к системам обнаружения вторжений ФСТЭК

В нашей стране Федеральной службой по техническому и экспортному контролю (ФСТЭК) разработаны метод документы с требованиями к системам обнаружения вторжений.

Согласно информационному письму об утверждении требований к системам обнаружения вторжений, требования относятся к программным и аппаратным средствам, которые должны обеспечить защиту данных и информации, относящейся к гос. тайне и имеющей ограниченный доступ.

Выделяют два вида систем:

  • распознающие атаку на уровне сети,
  • распознающие сторонние вхождения на уровне компьютера (узла).

Разделение идет и на классы защиты. Из всего 6. Класс 1 является наивысшим и содержит требования к работе систем с данными, относящимися к гос. тайне. Класс 6 — самый низкий, к нему относятся системы, работающие с персональными данными.

Разработчикам систем обнаружения вторжений ФСТЭК выдает сертификат соответствия, в котором прописывается то, что разработанное программное обеспечение или средство прошло испытания и соответствует необходимым требованиям.

Если вы решите применить в своей компании системы IDS, выбирайте разработки компаний, у которых имеет сертификат ФСТЭК. Так вы убережете свои данные от атак и несанкционированного доступа и сможете спать спокойно.

Рассказать друзьям:

Обзоры

Кажется, что в наши дни все больше заботятся о безопасности.

И это имеет смысл при рассмотрении важности киберпреступности.

Организации подвергаются нападениям хакеров, пытающихся украсть их данные или причинить им другие пакости.

Одним из способов защиты ИТ-среды от этих атак является использование правильных инструментов и систем.

Часто первая линия защиты находится по периметру сети в виде сетевых систем обнаружения вторжений или NIDS.

Эти системы анализируют трафик, поступающий в вашу сеть из Интернета, чтобы обнаружить любую подозрительную активность и немедленно предупредить вас.

Виды IDS

HIDS и NIDS

Системы обнаружения вторжений бывают двух типов.

Они оба преследуют одинаковую цель — быстро обнаруживать попытки вторжения или подозрительную деятельность, потенциально приводящую к попыткам вторжения, — но они различаются в месте, где находится точка принудительного применения, которая указывает, где выполняется обнаружение.

Каждый тип инструмента обнаружения вторжений имеет свои преимущества и недостатки.

Нет единого мнения о том, какой из них предпочтительнее.

Некоторые клянутся надежность одного типа, в то время как другие доверяют только другому.

Оба, вероятно, правы.

Лучшее решение — или самое безопасное — вероятно, объединяет оба типа.

Сетевые системы обнаружения вторжений (NIDS)

Первый тип системы обнаружения вторжений называется Сетевой системой обнаружения вторжений или NIDS.

Эти системы работают на границе сети для обеспечения обнаружения подозрительной активности.

Они перехватывают и исследуют сетевой трафик, выискивая подозрительные действия, которые могут указывать на попытку вторжения, а также ищут известные шаблоны вторжения.

Злоумышленники часто пытаются использовать известные уязвимости различных систем, например, отправляя искаженные пакеты хостам, заставляя их реагировать определенным образом, что позволяет им быть взломанными.

Система обнаружения вторжений в сети, скорее всего, обнаружит такую ​​попытку вторжения.

Некоторые утверждают, что сетевые системы обнаружения вторжений лучше, чем их хост-аналог, поскольку они могут обнаруживать атаки даже до того, как они попадут в ваши системы.

Некоторые также предпочитают их, потому что они не требуют установки чего-либо на каждом хосте, чтобы эффективно защитить систему.

С другой стороны, они мало защищают от инсайдерских атак, которые, к сожалению, не редкость.

Чтобы быть обнаруженной, попытка вторжения злоумышленника должна пройти через NIDS, что она редко делает, когда реализована уже изнутри.

Любая технология имеет свои плюсы и минусы, и в конкретном случае ничто не мешает вам использовать оба типа инструментов для максимальной защиты.

Системы обнаружения вторжений (HIDS)

Системы обнаружения вторжений (HIDS) работают на уровне хоста; Вы могли догадаться об этом по их имени.

Они, например, будут отслеживать различные журналы и логи на наличие признаков подозрительной активности.

Другой способ обнаружения попыток вторжения — проверка файлов конфигурации системы на наличие несанкционированных изменений.

Они также могут проверять эти же файлы на наличие определенных известных шаблонов вторжения.

Например, может быть известно, что конкретный способ вторжения работает путем добавления определенного параметра в конкретный файл конфигурации.

Хорошая основанная на хосте система обнаружения вторжений поймает этот инцидент.

Хотя их имя может заставить вас подумать, что все HIDS установлены непосредственно на устройстве, которое они должны защищать, это не всегда так.

Некоторые из них должны быть установлены на всех ваших компьютерах, в то время как другие требуют установки только локального агента.

Некоторые даже делают всю свою работу удаленно без агента.

Независимо от того, как они работают, большинство HIDS имеют централизованную консоль, где вы можете контролировать каждый экземпляр приложения и просматривать все результаты.

Методы обнаружения вторжений

Системы обнаружения вторжений отличаются не только с точки зрения правоприменения, но и с помощью метода, который они используют для обнаружения попыток вторжения.

Некоторые основаны на сигнатурах, другие — на основе аномалий.

Первые работают, анализируя данные для определенных образцов, которые были связаны с попытками вторжения.

Это похоже на традиционные системы защиты от вирусов, которые опираются на сигнатуры вредоносного ПО.

Обнаружение вторжений на основе сигнатур основывается на сигнатурах вторжений или шаблонах.

Они сравнивают захваченные данные с сигнатурами вторжения для выявления попыток вторжения.

Конечно, они не будут работать до тех пор, пока в программное обеспечение не будет загружена соответствующая сигнатура, что иногда может произойти только после того, как на определенное количество компьютеров было совершено нападение, и издатели сигнатур вторжения успели опубликовать новые пакеты обновлений.

Некоторые поставщики работают довольно быстро, в то время как другие могут реагировать только через несколько дней.

Это основной недостаток этого метода обнаружения.

Обнаружение вторжений на основе аномалий обеспечивает лучшую защиту от атак нулевого дня, тех, которые происходят до того, как какое-либо программное обеспечение для обнаружения вторжений получит возможность получить подходящий файл сигнатур.

Они ищут аномалии вместо того, чтобы пытаться распознать известные схемы вторжения.

Например, кто-то, пытающийся получить доступ к системе с неправильным паролем несколько раз подряд, вызовет предупреждение, поскольку это является общим признаком атаки методом перебора.

Эти системы могут быстро обнаружить любую подозрительную активность в сети.

Каждый метод обнаружения имеет свои преимущества и недостатки, и, как и в случае с двумя типами инструментов, наилучшими инструментами, вероятно, являются те, которые используют комбинацию анализа сигнатур и поведения.

Обнаружение или предотвращение?

Некоторые люди, как правило, путаются между системами обнаружения вторжений и предотвращения вторжений.

Хотя они тесно связаны, они не идентичны, хотя некоторые из них частично пересекаются.

Как следует из названия, системы обнаружения вторжений обнаруживают попытки вторжения и подозрительные действия.

Когда они обнаруживают что-то, они обычно вызывают некоторую форму предупреждения или уведомления.

Затем администраторы должны предпринять необходимые шаги, чтобы остановить или заблокировать попытку вторжения.

Системы предотвращения вторжений (IPS) делают еще один шаг вперед и могут полностью предотвратить вторжения.

Системы предотвращения вторжений включают в себя компонент обнаружения, функционально эквивалентный системе обнаружения вторжений, который запускает автоматические корректирующие действия при обнаружении попытки вторжения.

Никакое вмешательство человека не требуется, чтобы остановить попытку вторжения.

Предотвращение вторжений может также относиться ко всему, что делается или внедряется как способ предотвращения вторжений.

Например, усиление пароля или блокировка нарушителя могут рассматриваться как меры предотвращения вторжений.

Статья Система обнаружения вторжений (IDS) и подробное описание её рабочих функций — SOC/SIEM

Система обнаружения вторжений (IDS) — это особый тип программного обеспечения, предназначенного для решения проблемы безопасности, а именно для автоматического предупреждения администраторов, когда кто-то или что-то пытается взломать информационную систему с помощью вредоносной активности, такой как DDOS атака или с помощью нарушения политики безопасности.
Скрыто от гостей деятельности с помощью изучения уязвимостей в системе, целостности файлов и проведения анализа шаблонов на основе уже известных атак. Она также автоматически отслеживает Скрыто от гостей на наличие Скрыто от гостей , которые могут привести к будущей атаке.
Способы и методы обнаружения
IDS может только обнаружить атаку. Она не может предотвращать атаки. А IPS, напротив, предотвращает атаки, обнаруживая их и останавливая их до достижения цели.
Атака — попытка скомпрометировать конфиденциальность, целостность или доступность.
Два основных метода обнаружения основаны на сигнатуре и на аномалии. Любой тип IDS (HIDS или NIDS) может обнаруживать атаки, основанные на подписях, аномалиях или и на том, и на другом.
HIDS отслеживает сетевой трафик, достигающий своего сетевого адаптера, а NIDS отслеживает трафик в сети.
Система обнаружения вторжений на основе хоста (Host-based intrusion detection system (HIDS))
Скрыто от гостей на основе хоста (HIDS) — это дополнительное программное обеспечение, установленное в системе как рабочая станция или сервер.
Он обеспечивает защиту отдельного хоста и может обнаруживать потенциальные атаки и защищать критические файлы операционной системы. Основная цель любой IDS — отслеживать трафик.
Роль IDS хоста является пассивной, только сбор, идентификация, протоколирование и оповещение. Примеры HIDS:
Скрыто от гостей )
Скрыто от гостей
Скрыто от гостей – Дополнительная среда обнаружения вторжений (Advanced Intrusion Detection Environment)
Скрыто от гостей
Основная цель любой IDS — отслеживать трафик. Для HIDS этот трафик проходит через сетевой адаптер (NIC). Многие IDS-системы на основе хоста расширены для мониторинга активности приложений в системе.
В качестве одного из примеров вы можете установить HIDS на разных серверах, ориентированных на Интернет, таких как веб-серверы, почтовые серверы и серверы баз данных. Помимо мониторинга сетевого трафика, достигаемого на серверах, HIDS также может контролировать серверные приложения.
Стоит подчеркнуть, что HIDS может помочь обнаружить вредоносное программное обеспечение, которое может пропустить традиционное антивирусное программное обеспечение.
Из-за этого многие организации устанавливают HIDS на каждой рабочей станции в качестве дополнительного уровня защиты в дополнение к традиционному антивирусному программному обеспечению. Так же, как HIDS в основном используется для мониторинга сетевого трафика, рабочая станция HIDS в основном используется для мониторинга сетевого трафика, достигающего рабочей станции. Однако HIDS может также контролировать некоторые приложения и защищать локальные ресурсы, а также файлы операционной системы. В других организациях администраторы устанавливают только HIDS, когда есть ощущаемая потребность.
Например, если администратор обеспокоен тем, что конкретный сервер подвергается повышенному риску атаки, администратор может выбрать установку HIDS в этой системе в качестве дополнительного уровня защиты.
Каждый незавершенный сеанс потребляет ресурсы на сервере, и если атака SYN flood продолжается, это может привести к сбою сервера.
Некоторые серверы резервируют определенное количество ресурсов для соединений, и как только атака начинает потреблять эти ресурсы, система блокирует дополнительные подключения. Вместо того, чтобы нарушить работу сервера, атака препятствует подключению законных пользователей к серверу.
IDS и IPS могут обнаруживать атаку SYN и реагировать на неё соответствующим образом, блокируя её. Кроме того, во многих брандмауэрах есть защита от флуда, которая может обнаруживать атаки SYN-flood и предпринимать шаги для закрытия открытых сеансов.
Система обнаружения вторжений на основе сети (Network-based intrusion detection system (NIDS))
Система обнаружения вторжений на основе сети (NIDS) отслеживает активность в сети. Администратор устанавливает датчики NIDS на сетевых устройствах, таких как маршрутизаторы и брандмауэры.
Эти датчики собирают информацию и отправляются на центральный сервер мониторинга, размещаемый консолью NIDS. NIDS не может обнаруживать аномалии на отдельных системах или рабочих станциях, если аномалия не приводит к существенной разнице в сетевом трафике.
Кроме того, NIDS не может дешифровать зашифрованный трафик. Другими словами, она может отслеживать и оценивать угрозы в сети на основании незашифрованного трафика.
Важные инструменты для Скрыто от гостей
Примеры сети IDS:
Скрыто от гостей
Решение о том, где вы хотите разместить датчики, зависит от того, что вы хотите определить. Например, датчик на стороне Интернета брандмауэра будет видеть весь трафик.
Тем не менее, датчик на внутренней стороне брандмауэра будет видеть только трафик, проходящий через сам брандмауэр. Другими словами, брандмауэр будет фильтровать некоторые атаки, и внутренний датчик их не увидит.
Если вы хотите увидеть все атаки в вашей сети, установите датчик на стороне Интернета. Если вы хотите увидеть лишь только проходящий трафик, поместите датчики только внутрь. Если вы хотите увидеть оба, соответственно поместите датчик в оба места.

Обнаружение на основе подписи
IDS на основе подписи (также называемые основанными на дефиниции) используют базу данных известных уязвимостей или известные шаблоны атак. Например, для злоумышленника доступны инструменты для запуска атаки SYN flood на сервере, просто вводя IP-адрес системы для атаки.
Инструмент атаки затем подвергает целевую систему флуду с помощью синхронизированных пакетов (synchronize (SYN) packets), но никогда не завершает трехстороннее «рукопожатие» TCP окончательным АСК пакетом. Если атака не заблокирована, она потребляет ресурсы системы и в конечном счете вызывает сбой.
Тем не менее, это известная атака с определенным шаблоном последовательных SYN-пакетов с одного IP на другой IP.
IDS может обнаруживать эти шаблоны, когда база данных сигнатур включает определения атаки. Этот процесс очень похож на тот, который использует антивирусное программное обеспечение для обнаружения вредоносных программ. Вам необходимо регулярно обновлять как сигнатуры IDS, так и антивирусные определения у официального поставщика для защиты от текущих угроз.
Обнаружение на основе аномалии
Обнаружение на основе аномалии (также называемое эвристическим или основанным на поведении) сначала определяет нормальную работу или нормальное поведение. Оно делает это, создавая базовый уровень производительности при нормальных условиях эксплуатации.
IDS обеспечивает непрерывный мониторинг путем постоянного сравнивания текущего состояния сети с базовым уровнем. Когда IDS обнаруживает ненормальную активность, он дает предупреждение, указывающее на потенциальную атаку.
Обнаружение, основанное на аномалии, похоже на работу антивирусного программного обеспечения на основе эвристики. Несмотря на то, что эти методы различны, они проверяют и принимают решения, выходящие за рамки базы данных сигнатур или дефиниций.
Это может быть эффективным при обнаружении эксплойтов нулевого дня. Уязвимость нулевого дня обычно определяется как неизвестная поставщику. Однако при некотором использовании администраторы определяют эксплойт нулевого дня, как тот, на который поставщик не выпустил патч.
Другими словами, поставщик может знать об уязвимости, но не писать, тестировать и не выпускать патчи для того, чтобы закрыть уязвимость. В обоих случаях эта уязвимость существует, а системы не защищены. Если злоумышленники обнаруживают уязвимости, они пытаются их использовать. Однако атака может создавать ненормальный трафик, позволяя системе основанной на аномалии обнаружить её.
Каждый раз, когда администраторы вносят какие-либо существенные изменения в систему или сеть, что приводит к изменению нормального поведения, они должны пересоздать базовый уровень. В противном случае IDS будет постоянно спрашивать вас о том, что на данный момент является нормальным поведением.
Физический (Физический IDS)
Физическое обнаружение вторжений — это акт выявления угроз для физических систем. Физическое обнаружение вторжений чаще всего наблюдается при физическом контроле в ЦРУ. Во многих случаях системы физического обнаружения вторжений также действуют как системы предотвращения (профилактики). Примерами физического обнаружения вторжений являются:

  • Охранники
  • Камеры безопасности
  • Системы контроля доступы (Карты, Биометрия)
  • Брандмауэры
  • Ловушки
  • Датчики движения

Беспроводное обнаружение
IDS беспроводной локальной сети (wireless local area network (WLAN)) аналогичен NIDS, поскольку он может анализировать сетевой трафик. Тем не менее, он также проанализирует трафик, специфичный для беспроводной сети, включая сканирование точек доступа (access points (AP)), фальшивых точек доступа, пользователей за пределами физической области компании и WLAN IDS, встроенных в точки доступа.
WLAN IDS будет использоваться для поддержки WLAN IDS. Многие предыдущие инструменты NIDS будут включать усовершенствования для поддержки анализа беспроводного трафика. Некоторые формы IDPS более зрелые, чем другие, потому что они намного дольше. Сетевые IDPS и некоторые формы IDPS на базе хоста были коммерчески доступны более десяти лет.
Ввиду того, что сети все чаще поддерживают беспроводные технологии в различных локациях, WLAN IDS будет играть все более важную роль в безопасности. Многие предыдущие инструменты NIDS будут включать усовершенствования для поддержки анализа беспроводного трафика. Некоторые формы IDPS более зрелые, чем другие, потому что они использовались намного дольше. IDPS на основе сети и некоторые формы IDPS на основе хоста были коммерчески доступны более десяти лет.
Программное обеспечение для анализа поведения сети представляет собой несколько более новую форму IDPS, которая частично возникла из продуктов, созданных в первую очередь для Скрыто от гостей , и частично из продуктов, разработанных для мониторинга потоков трафика во внутренних сетях.
Беспроводные технологии — это относительно новый тип IDPS, разработанный в ответ на популярность беспроводных локальных сетей (WLAN) и растущие угрозы для WLAN и WLAN-клиентов.
Ложноположительные срабатывания против ложноотрицательных
IDS восприимчивы как к ложноположительным срабатываниям, так и к ложноотрицательным. Ложноположительное срабатывание – это предупреждение или тревога по отношению к событию, которое не является угрожающим.
Ложноотрицательное срабатывание — злоумышленник атакует сеть, но система этого не обнаруживает. Нежелательно, но невозможно исключить и то, и другое. Большинство IDS запускают предупреждение или тревогу, когда событие превышает пороговое значение. Рассмотрим классическую атаку SYN flood, где злоумышленник удерживает третью часть «рукопожатия» TCP. Хост отправит пакет SYN, и сервер ответит пакетом SYN / ACK.
Однако вместо того, чтобы завершить «рукопожатие» пакетом АСК, атакующий хост никогда не отправляет АСК, но, напротив, продолжает отправлять еще больше пакетов SYN. Это оставляет сервер с открытыми соединениями, которые, в конечном счете нарушат работу сервера.
Если система получает один SYN пакет без сопутствующего АСК пакета, является ли это атакой или нет? Скорее всего нет. Подобные ситуации могут происходить во время проведения обычных операций.
Ну а если система получает 1,000 SYN пакетов с одного IP адреса менее чем за 60 секунд без сопутствующего АСК пакета, является ли это атакой? Безусловно.
Имея это в виду, администраторы устанавливают порог числа от 1 до 1000, чтобы обозначить или определить атаку. Если администраторы устанавливают его слишком низко, у них будет слишком много ложноположительных срабатываний и высокая рабочая нагрузка, поскольку они проводят время, охотясь на призраков. Если они устанавливают слишком высокий порог, то реальные атаки пройдут, и администраторы не узнают о них. Большинство администраторов хотят знать, находится ли их система под атакой. Это основная цель IDS.
Тем не менее, IDS, который постоянно кричит «Волки! Волки!», Будет проигнорирован, когда настоящие волки начнут атаку.
Важно установить порог достаточно низким, чтобы уменьшить количество ложноположительных срабатываний, но также он должен быть достаточно высоким, чтобы предупреждать о любых действительных атаках. К сожалению, для порога нет идеального числа. Администраторы настраивают пороговые значения в зависимости от ситуации.
Составление отчетов
Отчеты IDS сообщают о событиях, представляющих интерес, на основе их настроек. Все события не являются атаками или актуальными проблемами, но вместо этого они предоставляют отчет, указывающий, является ли событие предупреждением или сигналом тревоги. Администраторы исследуют отчет, чтобы определить, действительно ли это.
Некоторые системы рассматривают тревогу и предупреждение как одно и то же. Другие системы используют тревогу для потенциально серьезной проблемы, а предупреждение – для относительно небольшой проблемы. Цель этих последних систем — побудить администраторов уделять больше внимания тревогам, чем предупреждениям.
Фактический механизм отчетности варьируется от системы к системе и отличается в разных организациях. Например, один IDS может записать событие в журнал в качестве сигнала тревоги или предупреждения, а затем отправить электронное письмо на учетную запись администратора.
В крупном сетевом операционном центре (NOC) IDS может отправить предупреждение на монитор, который легко просматривается всем персоналом в NOC.
IDS реакции
IDS будет реагировать только после обнаружения атаки, а ответ может быть пассивным или активным. Пассивный ответ в основном состоит из журнала и уведомления персонала, тогда как активный ответ изменяет среду для блокировки атаки:
Пассивный IDS.
Пассивный IDS регистрирует атаку, а также может оповестить кого-нибудь об этом.
По умолчанию большинство IDS являются пассивными. Уведомление может быть представлено во многих формах, включая электронную почту, текстовое сообщение, всплывающее окно или уведомление на центральном мониторе.
Активный IDS.
Активный IDS протоколирует и уведомляют персонал таким же образом, как и пассивный IDS, но он также может изменять среду, чтобы помешать или заблокировать атаку. Например, он может модифицировать списки управления доступом (ACL) на брандмауэрах, чтобы заблокировать нарушение трафика, закрыть процессы в системе, которые были вызваны атакой, или переадресовать атаку на безопасную среду, такую как honeypot или honeynet.
Размещение датчиков для сети IDS

Если вы развертываете сеть IDS, вы должны заранее решить, где разместить датчики мониторинга. Это будет зависеть от того, какое вторжение или какую попытку вторжения вы пытаетесь обнаружить. Начните с создания подробной сетевой диаграммы, если у вас ее еще нет.
Сетевая диаграмма может быть бесценной для планирования IDS. При просмотре диаграммы оценивайте ключевые узлы сети или совокупность систем, чувствительных к бизнес-операциям. Хорошо подготовленная диаграмма может предоставить внутренние подсказки для выбора правильного места для датчиков IDS.
Если IDS собирается мониторить веб-сервер для проникновения, то наиболее полезная позиция для датчика будет находиться на сегменте DMZ с веб-сервером. Это предполагает, конечно, что ваш веб-сервер находится в сегменте DMZ, а не снаружи или внутри брандмауэра (хотя ни один из вариантов не является особенно хорошей идеей).
Если злоумышленники взламывают сервер, IDS имеет наилучшие шансы обнаружить либо первоначальное проникновение, либо результаты и последствия от взлома хоста.
Если IDS будет отслеживать вторжения, ориентированные на внутренние серверы, такие как DNS-серверы или почтовые серверы, лучшее место для датчика находится только внутри брандмауэра на сегменте, который подключает брандмауэр к внутренней сети.
Логика этого заключается в том, что брандмауэр предотвратит подавляющее большинство атак, направленных на организацию, и что регулярный мониторинг журналов брандмауэра определит их. IDS на внутреннем сегменте обнаружит некоторые из этих атак, которым удается пройти через брандмауэр. Это называется «глубокая защита» (defense in depth).
Интеграция хоста для хоста IDS
Если вы планируете использовать систему на базе хоста, у вас должен быть соответствующий этап тестирования и ознакомления. Это позволяет операторам и аналитикам ознакомиться с работой этого конкретного программного обеспечения.
IDS должен быть установлен в системе разработки задолго до запланированной установки на производственной системе. Даже в статической системе некоторые файлы будут регулярно меняться (например, файлы проверки), поэтому IDS сообщит о некоторых изменениях.
Некоторые системы на базе хоста, в качестве дополнительного примера, будут сообщать, когда пользовательский процесс изменяет файл системного пароля. Это произойдет, если злоумышленник добавит учетную запись.
Это также происходит, когда пользователь меняет свой пароль. Аналитику IDS нужно время, чтобы ознакомиться с правильной работой каждой системы, чтобы он или она могли правильно диагностировать отклонения от «стандартных» аварийных сигналов.
Имейте в виду, что при использовании системы на базе хоста необходимо регулярно отслеживать ее. Это означает, что вы должны делать это, по крайней мере, два раза в день. Если злоумышленник имеет доступ к системе в качестве суперпользователя, он или она может изменить IDS или базу данных IDS для подавления аварийных сигналов.
Если IDS записывает в файл, злоумышленник может просто редактировать выходной файл. Другими словами, всегда обращайте должное внимание на ситуации, когда что-то изменило конфигурацию IDS.
Настройка уровней тревоги
IDS поставляются с настраиваемыми уровнями тревоги. Некоторые из них будут интегрированы со станциями управления сетью, некоторые из них позволяют страничную подкачку файлов, некоторые отправляют электронную почту, а некоторые могут взаимодействовать с брандмауэрами, чтобы отключить весь трафик от сети, вызвавшей атаку.
Будьте очень осторожны в использовании этих функций. Фактически, в течение первого месяца или двух отключите все аварийные сигналы.
Только обратите внимание на системный выход (system output), чтобы узнать, что он обнаруживает. Все IDS имеют, как обсуждалось выше, некоторый уровень ложноположительных срабатываний; этот уровень может достигать 80 или 90 процентов зарегистрированных аварийных сигналов. Вы должны быть знакомы с вашей конкретной системой, прежде чем запускать аварийные сигналы.
Неправильная конфигурация аварийного сигнала или чрезмерно агрессивный ответ на сигналы тревоги могут привести к решению в организации отключить IDS. Ричард Марцинко (Richard Marcinko), бывший служащий спецназа ВМС США, рассказывает о том, что его команда бросала кроликов через заборы в локации, защищенные датчиками движения.
Когда охранная система устала реагировать на сигналы тревоги (только чтобы найти кроликов, жующих на лужайке), команда Марцинко имела возможность пройти через эту область, зная, что тревоги будут проигнорированы.
Хакеры знают, что установки IDS контролируются людьми и что люди имеют человеческие недостатки. Они знают, что если они вызывают тревогу за тревогой, люди, следящие за системой, перестанут обращать на это внимание.
Аналогично, если IDS настроен таким образом, чтобы брандмауэр отклонял весь трафик от «атакующих» сетей, хакеры могут легко использовать это.
Кто-то достаточно мотивированный или злонамеренный может использовать это против организации путем имитации атак от бизнес-партнеров организации или известных сайтов (Yahoo, AltaVista, Amazon, CNN, Microsoft и т. д.), таким образом, чтобы брандмауэр запретил входящий трафик с этих сайтов, включая электронную почту и трафик веб-сайта.
Помните, что IDS не является средством защиты сам по себе, а только инструментом (и довольно неумным).
Планирование интеграции
Устанавливайте один датчик за раз. Не торопите установку, с целью развернуть возможности IDS за короткий промежуток времени. Администраторам и аналитикам требуется определенное количество времени, чтобы ознакомиться с особенностями данной системы или точки сети, и особенности могут варьироваться от точки к точке.
Датчик в DMZ может видеть определенный набор указанных поведений, в то время как датчик во внутренней сети может видеть другой набор поведений с их очень небольшим пересечением.
Крайне важно, чтобы персонал, назначенный для мониторинга IDS, был хорошо знаком с каждым устройством в конфигурации.
Подготовка системы
Решение о размещении IDS в сети довольно ответственное. Машина IDS должна подключаться к порту, который может видеть весь трафик между ЛВС (LAN) и Интернетом.
Это означает либо подключение к зеркальному порту коммутатора, либо сетевому концентратору, расположенному между Интернет-соединением и локальной сетью. Если используется брандмауэр и только один IDS-датчик, датчик следует установить между брандмауэром и локальной сетью по причинам, которые будут рассмотрены ниже.
Выбор типа используемой машины зависит от среды и желаемых данных. Установка Snort IDS может включать в себя одну, несколько или много независимых машин, которые отправляют отчеты на центральный сервер базы данных. Чем быстрее отслеживается соединение и уровень ведения журнала, тем больше возможности машины.
Для краткости в этой статье основное внимание уделяется установке единой автономной IDS на границе сети. Для установки Linux достаточно обычного настольного компьютера, которому уже даже несколько лет. Рассчитывайте на как минимум 256 МБ ОЗУ, жесткий диск емкостью 20 ГБ, процессор на 600 МГц и CD-привод, и на все функции настольных компьютеров, произведенных за последние несколько лет.
Для установки базовой операционной системы Linux необходим компьютер для создания установочного компакт-диска. Windows с установленным Скрыто от гостей (бесплатный ISO для прожигов), вполне себе подойдет. Кроме того, перед установкой Linux необходимо определить сетевые параметры (IP-адрес и т. д.) и сетевое соединение для машины IDS, где в приоритетах должен быть указан Linux.
Необходимые приложения
Snort по существу работает над сопоставлением шаблонов, сравнивая пакеты с сигнатурами известных атак. Существует буквально тысячи таких сигнатур.
Подумайте о Snort, как интеллектуальном сниффере: он берет непрерывный след входящего и исходящего интернет-трафика и анализирует трассировку, сравнивая с базой сигнатур в реальном времени. Сделать это вручную было бы невозможно.
Если пакет соответствует шаблону в выбранной сигнатуре, генерируется предупреждение. Анализ предупреждений об угрозе для значащей информации — непростая задача, учитывая объем данных и их необработанный формат подачи.
Поэтому для сбора и обеспечения группового анализа данных необходим правильный метод.
В этом примере MySQL используется как приложение базы данных, но Microsoft SQL Server или Oracle могут использоваться также для базы данных предупреждений. В то время как заполнение хорошо отформатированной базы данных с информацией Snort необходимо для классификации информации, как и для анализа сниффера, не стоит забывать, что процесс анализа такой базы данных является трудоемким.
Здесь BASE вступает в игру. Это веб-интерфейс для базы данных, в которой представлены Snort данные предупреждения Snort. Он предоставляет информацию, которую администратор сети или безопасности должен использовать для определения угроз и принять меры для их уменьшения или устранения.
Другие необходимые приложения поддержки включают веб-сервер Скрыто от гостей , компилятор Скрыто от гостей и язык сценариев Скрыто от гостей HTML. Отличное руководство по установке системы Snort / BASE IDS и всех связанных приложений, написанных Патриком Харпером (Patrick Harper) и Ником Оливером (Nick Oliver), доступно в Скрыто от гостей . Другие документы и форумы пользователей доступны на основном веб-сайте Snort.
Администрирование IDS
После успешной установки, указывая веб-браузеру на IDS, вы получите окно предупреждений.
Отсюда можно эффективно анализировать данные обнаружения вторжений. BASE предлагает множество инструментов агрегирования и представления данных. Каждое предупреждение может анализироваться отдельно или в качестве группа.

Большинство генерируемых предупреждений составляли ложнонегативные срабатывания, потому что предупреждения были на регулярном трафике, который, возможно, имел нестандартные, но совершенно безобидные характеристики.
Датчик IDS всегда должен находиться между брандмауэром и локальной сетью. Предположим, что предупреждение на рисунке 3 показало действительную атаку. Затем брандмауэр можно настроить на отклонение всего трафика с этого исходного адреса. Никакие новые предупреждения не должны регистрироваться после конфигурации брандмауэра, тем самым эффективно устраняя угрозу.
Движемся вперед
Построение функционального датчика IDS — это только первый шаг. После установки администратор IDS должен потратить значительное количество времени на исследования различного рода предупреждений и возможностей системы.
Никто не начинает серьезные строительные проекты после монтажа и первого запуска стационарной циркулярной пилы, и то же самое можно сказать про Snort/BASE.
По мере возникновения угроз в систему должны быть добавлены правила, которые должны соответствовать сигнатурам этих угроз.
Snort предлагает подписку на доступ к новым правилам за минимальную плату или бесплатный доступ к тем же правилам зарегистрированным пользователям в течение 30 дней после их выпуска в службу подписки. Скрыто от гостей — отличный инструмент для регулярного обновления правил.
Кроме того, подписи (сигнатуры) могут создаваться вручную, или параметры пропуска могут быть добавлены к подписям, которые определены для создания изобилия ложнопозитивных срабатываний.
Определение того, действительно ли предупреждения являются стандартным сетевым трафиком или реальной угрозой является реально необходимым, так как было бы глупо блокировать сигнатуру просто потому, что она создает много предупреждений.
Другие инструменты с открытым исходным кодом, такие как Скрыто от гостей , Скрыто от гостей и Скрыто от гостей , в сочетании с анализом журнала сервера и сетевого оборудования, могут предоставить данные, необходимые для оптимизации конфигурации IDS.
Snort может быть развернут в распределенной среде с централизованным управлением, в которой несколько датчиков отправляют отчеты на один сервер базы данных. В крупных корпоративных сетях это может быть полезно для корреляции событий, а также для простого анализа информации из нескольких точек в сети.
Это вполне нормальная практика развертывать датчики Snort на границах между зонами безопасности в локальной сети, например между административными серверами и локальными пользователями.
Сеть IDS на основе сигнатур — это просто инструмент для обеспечения безопасности вашей компании. Ожидание, что установка IDS (или любого другого средства для обеспечения безопасности), устранит для вас абсолютно все угрозы, является абсолютно несерьезным отношением к безопасности. Однако вникание в мир IDS с открытым исходным кодом является путем, который может обеспечить немедленную и значительную отдачу.
Подведем итог
IDS является неотъемлемой частью хорошей архитектуры сетевой безопасности. У IDS есть свои сильные и слабые стороны, которые необходимо измерять, оценивать и анализировать, прежде чем вы решите развернуть их в своей сети. Изучив и внедрив, в качестве механизма резервного сетевой безопасности IDS, начинаешь понимать, что IDS однозначно стоит инвестиций.
Источник: Скрыто от гостей

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *