Prehľad bezplatných programov na detekciu a prevenciu narušenia. Sieťové útoky

Zločinci málokedy bez okolkov preniknú do siete so „zbraňami“ v rukách. Radšej skontrolujú, či sú zámky na dverách bezpečné a či sú zatvorené všetky okná. Diskrétne analyzujú vzorce prevádzky vo vašej sieti a mimo nej, jednotlivé IP adresy a vydávajú zdanlivo neutrálne otázky adresované jednotlivým používateľom a sieťovým zariadeniam.

Ak chcete odhaliť týchto šikovne maskovaných nepriateľov, musíte si nainštalovať inteligentný softvér na detekciu sieťových útokov s vysokou citlivosťou. Zakúpený produkt by mal nielen upozorniť administrátora na prípady zjavného narušenia systému informačná bezpečnosť, ale aj o akýchkoľvek podozrivých udalostiach, ktoré sa na prvý pohľad zdajú úplne neškodné, no v skutočnosti skrývajú útok hackerov v plnom rozsahu. Netreba dodávať, že každý aktívny pokus o prelomenie systémových hesiel by mal byť okamžite nahlásený administrátorovi.

Moderné korporácie sú doslova pod krížovou paľbou útočníkov, ktorí sa snažia ukradnúť cenné informácie alebo jednoducho deaktivovať informačné systémy. Úlohy v boji proti hackerom sú celkom zrejmé:

– oznámenie o pokuse o neoprávnený prístup by malo byť okamžité;

– reflexia útoku a minimalizácia strát (aby ste odolali votrelcovi, mali by ste s ním okamžite prerušiť komunikáciu);

- prechod do protiofenzívy (útočník musí byť identifikovaný a potrestaný).

Práve tento scenár bol použitý pri testovaní štyroch najpopulárnejších systémov detekcie sieťových útokov na dnešnom trhu:

– Upozornenie na votrelca;

– eTrust Intrusion Detection.

Charakteristiky týchto softvérových systémov na detekciu sieťových útokov sú uvedené v tabuľke. 3.2.

BlackICE od Network ICE je špecializovaná aplikácia určená výhradne na detekciu narušiteľov. Po nájdení nepozvaného hosťa odošle správu o tejto udalosti riadiacemu modulu ICEcap, ktorý analyzuje informácie prijaté od rôznych agentov a snaží sa lokalizovať útok v sieti.

Softvér Alert Technologies Intruder Alert je skôr ako súprava bezpečnostných nástrojov, pretože vám poskytuje najväčšiu flexibilitu pri definovaní stratégií zabezpečenia siete.

Centrax od CyberSafe je balík typu všetko v jednom, ktorý zahŕňa bezpečnostné kontroly, monitorovanie premávky, detekciu útokov a varovné správy.

eTrust Intrusion Detection od Computer Associates je obzvlášť silná v oblasti monitorovania bezpečnosti a správy politiky, hoci stále obsahuje výstrahy v reálnom čase, šifrovanie údajov a detekciu narušenia.

Tabuľka 3.2. Charakteristika softvérových systémov na detekciu sieťových útokov
Softvérový systém	Výrobca	Charakteristika systému
BlackICE (aplikácia vlastného agenta)	Sieťový ICE	Je nainštalovaný na počítači vzdialeného používateľa alebo na hostiteľovi podnikovej siete. Vydá varovanie o útoku na obrazovku monitora používateľa. Informuje o pokuse o manipuláciu s nástrojmi na monitorovanie siete. Má schopnosť stiahnuť čerstvé podpisy hackerských útokov zo servera. Identifikuje zdroj sieťového útoku.
Intruder Alert (nástroj na detekciu sieťového útoku)	Alert Technologies	Vyberie stratégiu zabezpečenia siete. Podporuje vysokú úroveň pravidiel ochrany siete. Stiahnite si podpisy hackerské útoky. Vyžaduje skúsených servisných technikov.
Centrax (nástroj na detekciu sieťových útokov)	kybernetický bezpečný	Ovláda systém zabezpečenia siete. Monitoruje premávku. Vydáva varovné správy o sieťovom útoku. Vyžaduje skúsených servisných technikov.
eTrust Intrusion Detection (segmentový analyzátor sieťovej prevádzky)	Počítačoví spolupracovníci	Spravuje stratégie ochrany. Vydáva upozornenia na útoky v reálnom čase. Monitoruje premávku. Upozorňuje správcu na porušenie bezpečnostných zásad. Hlási prítomnosť vulgárnych výrazov v e-mailoch. Má informácie o útočníkovi

Výstrahy generované agentmi BlackICE sú veľmi špecifické. Text správy nespôsobí, že administrátor pochybuje o povahe registrovanej udalosti a vo väčšine prípadov o jej dôležitosti. Okrem toho produkt umožňuje správcovi prispôsobiť si obsah vlastných varovných správ, ale vo všeobecnosti to nie je potrebné.

Veľmi užitočnou funkciou vývoja Network ICE, ako aj balíka Intruder Alert, je možnosť stiahnuť si najnovšie signatúry hackerských útokov zo servera.

Pokusy o deaktiváciu firemný server, ktoré sú v dôsledku toho nútené odmietať žiadosti o službu (odmietnutie služby), predstavujú pomerne vážnu hrozbu pre podnikanie spoločností, ktoré poskytujú služby svojim zákazníkom na globálnej siete. Podstatou útoku je, že útočník generuje tisíce SYN požiadaviek (na nadviazanie spojenia) adresovaných napadnutému serveru. Každá požiadavka je dodávaná s falošnou zdrojovou adresou, čo značne sťažuje presnú identifikáciu samotnej skutočnosti útoku a vystopovanie útočníka. Po prijatí ďalšej požiadavky SYN to server predpokladá rozprávame sa o začiatku novej komunikačnej relácie a prejde do pohotovostného režimu prenosu dát. Aj keď sa potom neprijmú žiadne údaje, server musí počkať určitý čas (maximálne 45 sekúnd), kým sa spojenie ukončí. Ak sa niekoľko tisíc týchto falošných požiadaviek odošle na server v priebehu niekoľkých minút, bude preťažený, takže jednoducho nezostanú žiadne zdroje na spracovanie skutočných požiadaviek na poskytnutie konkrétnej služby. Inými slovami, v dôsledku útoku SYN bude skutočným používateľom odmietnutá služba.

Všetky opísané systémy, s výnimkou detekcie narušenia eTrust Intrusion Detection od Computer Associates, používajú model softvérových agentov, ktorí sa najskôr nainštalujú na sieťové zariadenia a potom zhromažďujú informácie o potenciálnych útokoch a odosielajú ich do konzoly. Agenti zisťujú porušenia zavedených zásad ochrany a potom generujú príslušné správy.

Systémy založené na agentoch sú najlepším riešením pre prepínané siete, pretože v takýchto sieťach neexistuje jediný bod, cez ktorý musí prechádzať všetka prevádzka. Namiesto monitorovania jedného pripojenia agent monitoruje všetky pakety prijaté alebo odoslané zariadením, kde je nainštalovaný. Výsledkom je, že útočníci si nedokážu „odsedieť“ pri striedačke.

Vyššie uvedené možno ilustrovať na príklade produktov Network ICE. Programu BlackICE je priradená rola agenta inštalovaného v úplne autonómnom operačnom prostredí, napríklad na počítači vzdialeného používateľa alebo na jednom z uzlov podnikovej siete na prenos dát. Po zistení hackera útočiaceho na vzdialený počítač, agent vydá varovanie priamo na jeho obrazovke. Ak je podobná udalosť zaznamenaná v podnikovej sieti, správa o pokuse o neoprávnený prístup bude zaslaná inej aplikácii - ICEcap, ktorá obsahuje nástroje na monitorovanie siete. Ten zhromažďuje a porovnáva informácie prichádzajúce od rôznych agentov, ktorí sú mu podriadení, čo mu umožňuje rýchlo identifikovať udalosti, ktoré skutočne ohrozujú bezpečnosť siete.

Systém eTrust je naopak založený na centralizovanej architektúre. Je inštalovaný na centrálnom uzle a analyzuje prevádzku v podriadenom segmente siete. Absencia agentov neumožňuje tomuto produktu monitorovať všetky udalosti v prepínanej sieti, pretože nie je možné vybrať jeden „výhľad“, odkiaľ by bola na prvý pohľad viditeľná celá sieť.

Balíček Intruder Alert a systém CyberSafe Centrax sú skôr nástrojmi na vybudovanie vlastného systému detekcie sieťových útokov. Aby mohla organizácia naplno využiť svoje príležitosti, musí mať vo svojich zamestnancoch programátorov s príslušnou kvalifikáciou alebo musí mať rozpočet na objednanie takejto práce.

Zatiaľ čo všetky opísané produkty sa ľahko inštalujú, správa systémov Intruder Alert a Centrax nie je jednoduchá. Ak napríklad Centrax vydá varovnú správu s neznámym alebo neurčitým obsahom (a táto situácia sa v našich testoch vyskytla viackrát), je nepravdepodobné, že by administrátor dokázal rýchlo zistiť, čo sa vlastne stalo, najmä ak sa musí na udalosť odvolať. log súbory na objasnenie diagnózy. Tieto súbory sú vyčerpávajúce, ale vývojári sa zjavne rozhodli, že bežnému človeku stačí len naznačiť, o čom sa dá diskutovať, a povaha toho, čo sa deje, bude neomylne identifikovaná. Protokoly tohto systému obsahujú popisy vydaných varovaní, ale žiadne identifikátory varovaní. Administrátor vidí adresy portov, ku ktorým sa podozrivé požiadavky vzťahovali, prípadne parametre iných operácií, no nedostane žiadnu informáciu o tom, čo všetko by to mohlo znamenať.

Uvedená okolnosť výrazne znižuje hodnotu správ v reálnom čase, pretože nie je možné okamžite zistiť, či popis udalosti odráža skutočnú hrozbu pre bezpečnostný systém alebo ide len o pokus o dôkladnejšiu analýzu návštevnosti. Inými slovami, má zmysel kupovať tieto produkty iba vtedy, ak má vaša organizácia medzi zamestnancami skúsených špecialistov na informačnú bezpečnosť.

Softvér eTrust Intrusion Detection od Computer Associates je viac než len systém na monitorovanie sieťovej aktivity a zisťovanie útokov hackerov. Tento produkt je schopný nielen dekódovať pakety rôznych protokolov a prevádzky služieb, ale tiež ich zachytiť pre následný výstup do riadiacej konzoly v pôvodný formát. Systém monitoruje všetku prevádzku TSRYP a varuje administrátora pred porušením zavedených stratégií informačnej bezpečnosti. Je pravda, že tento vývoj nepodporuje rovnakú úroveň podrobností o súboroch pravidiel ako Intruder Alert.

Detekcia pokusov o neoprávnený prístup a vydávanie varovných správ je však len polovica úspechu. Softvér brány firewall musí zastaviť hackera a podniknúť protiopatrenia. V tomto zmysle vytvárajú najlepší dojem balíčky Intruder Alert a Centrax, tie isté, ktoré spôsobili veľa kritiky z hľadiska konfiguračných nastavení. Zatiaľ čo softvér Network ICE a softvér eTrust okamžite uzatvárajú ohrozujúcu komunikáciu, Intruder Alert a Centrax idú ešte ďalej. Napríklad aplikácia od Axent Technologies môže byť nakonfigurovaná tak, aby spúšťala konkrétny dávkový súbor v závislosti od povahy zaznamenaných udalostí, ako je napríklad reštartovanie servera, ktorý utrpel útok odmietnutia služby.

Po odrazení útoku chcem okamžite prejsť do protiofenzívy. Aplikácie Black-ICE a Centrax podporujú tabuľky s ID hackerov. Tieto tabuľky sa zaplnia po stopovaní až do „brlohu“, kde sa skrýva nepriateľ. Schopnosti softvéru BlackICE sú obzvlášť pôsobivé, pokiaľ ide o identifikáciu zdroja útoku, ktorý sa nachádza vo vnútri alebo mimo siete: napriek mnohým šikovným manévrom sme nikdy nedokázali zostať inkognito.

Systém eTrust však naráža na mieru prieniku do povahy činností každého používateľa siete, pričom často ani netuší, že je pod prísnym dohľadom. Tento balík zároveň poskytuje najúplnejšie (a možno aj najpresnejšie) informácie o narušiteľoch, dokonca aj o tom, kde sa nachádzajú.

Aplikácia Centrax je schopná vytvárať takzvané návnady, ktoré sekundárnemu súboru dajú zmysluplný názov ako „Vedomosti.xls“, a tým zavádzajú príliš zvedavých používateľov. Tento algoritmus sa nám zdá príliš priamočiary, no dokáže odviesť aj dobrú prácu: s jeho pomocou je možné „nachytať“ zamestnancov „česajúcich“ podnikovú sieť s cieľom identifikovať dôverné informácie.

Každý z kontrolovaných softvérových produktov generuje správy o podozrivých prípadoch sieťová aktivita. vysoká kvalita ICEcap a eTrust Intrusion Detection vynikajú takýmito správami a ich jednoduchosťou použitia. Posledný balík je obzvlášť flexibilný, možno preto, že je odvodený od dekodéra protokolu. Správca môže predovšetkým analyzovať sieťové udalosti z hľadiska jednotlivých zdrojov, či už ide o protokoly, klientske stanice alebo servery. eTrust poskytuje mnoho vopred navrhnutých formátov správ. Ich premyslená štruktúra výrazne uľahčuje odhalenie narušiteľov a umožňuje potrestať vinníkov.

Každý produkt má svoje silné a slabé stránky, preto ho možno odporučiť len na určité úlohy. Pokiaľ ide o ochranu prepínaných sietí, dobrou voľbou sú Network ICE, Axent Technologies a CyberSafe. eTrust Intrusion Detection je ideálny pre včasné oznamovanie porušení obchodnej etiky, ako sú vulgárne výrazy v e-mailových správach. Systémy Intruder Alert a Centrax sú vynikajúcimi nástrojmi pre konzultantov informačnej bezpečnosti a organizácie s tímom odborníkov v oblasti bezpečnosti. Avšak tým spoločnostiam, ktoré si nemôžu dovoliť využívať služby vysoko platených špecialistov, odporúčame inštaláciu produktov Network ICE. Tieto aplikácie nahradia skutočného odborníka na firewall ako žiadny iný systém, aký sme kedy videli.

Úplný názov takýchto systémov je systémy prevencie a detekcie narušenia. Alebo nazývajú SOA ako jeden z prístupov k . Princípom fungovania SOA je neustále sledovanie aktivity, ktorá sa vyskytuje v informačný systém. A tiež, keď sa zistí podozrivá aktivita, použite určité mechanizmy na prevenciu a signalizáciu určitých jedincov. Takéto systémy musia rozhodnúť .

Existuje niekoľko nástrojov a typických prístupov k detekcii útokov, ktoré znižujú .

Časy, keď na ochranu stačil jeden firewall, sú preč. Dnes podniky implementujú výkonné a obrovské štruktúrované systémy ochranu, obmedziť podnik pred možnými hrozbami a rizikami. S príchodom útokov, ako sú útoky odmietnutia služby (DDoS), vám zdrojová adresa paketov nemôže dať jednoznačnú odpoveď, či bol útok smerovaný alebo náhodný. Musíte vedieť, ako reagovať na incident, ako aj identifikovať útočníka (obr. 1).

Útočníka môžete identifikovať podľa nasledujúce funkcie do akcie:

• vykonáva zjavné prepichnutia
• implementuje opakované pokusy o vstup do siete
• snaží zahladiť stopy
• implementuje útoky v rôznych časoch

Obrázok 1

Útočníkov môžete rozdeliť aj na príležitostných a skúsených. Tí prví o neúspešný pokus prístup na server prejde na iný server. Ten bude vykonávať analýzy týkajúce sa zdroja s cieľom implementovať nasledujúce útoky. Napríklad správca vidí v protokole IDS, že niekto skenuje porty vášho poštového servera, potom prichádzajú z rovnakej adresy IP SMTP príkazy na porte 25. Spôsob, akým útočník koná, môže veľa napovedať o jeho charaktere, zámeroch atď. Obrázok 2 ukazuje algoritmus na efektívnu detekciu útoku. Všetky služby detekcie útokov používajú počiatočné algoritmy:

• detekcia zneužitia
• detekcia anomálií

Kresba - 2

Pre dobré umiestnenie detekčných systémov je potrebné nakresliť sieťový diagram s:

• hranice segmentov
• sieťových segmentov
• predmety s dôverou a bez nej
• ACL - Access Control Lists
• Služby a servery, ktoré sú

Bežnou chybou je to, čo útočník hľadá, keď analyzuje vašu sieť. Keďže systém detekcie narušenia používa analýzu prevádzky, výrobcovia si uvedomujú, že nie je možné použiť spoločný port na zachytenie všetkých paketov bez zníženia výkonu. Takže to efektívne ladenie detekčných systémov je veľmi dôležitá úloha.

Nástroje na detekciu útokov

Technológia detekcie narušenia musí byť schopná zvládnuť nasledovné:

• Rozpoznanie populárnych útokov a varovanie pred nimi určitým jednotlivcom
• Porozumenie nejasné zdroje údajov o útoku
• Schopnosť riadiť metódy ochrany odborníkmi z oblasti bezpečnosti
• Kontrola všetkých akcií subjektov informačnej siete(programy, používatelia atď.)
• Uvoľnenie alebo obmedzenie funkcií personálu zodpovedného za bezpečnosť, bežné bežné kontrolné operácie

Často systémy detekcie narušenia môžu implementovať funkcie, ktoré rozširujú rozsah ich aplikácie. Napríklad:

• Kontrola účinnosti. Za firewallom je možné umiestniť detekčný systém na zistenie chýbajúcich pravidiel na firewalle.
• Ovládanie hostiteľov pomocou zastaraného softvéru
• Blokovanie a kontrola prístupu k určitým internetovým zdrojom. Síce sú ďaleko od schopností, ako sú firewally, ale ak nie sú peniaze na nákup firewallu, môžete rozšíriť funkcie systému detekcie narušenia
• Ovládanie e-mailov. Systémy môžu sledovať vírusy v e-mailoch a analyzovať obsah prichádzajúcich a odchádzajúcich e-mailov

Najlepšie využitie skúseností a času odborníkov na informačnú bezpečnosť je identifikovať a eliminovať dôvodovútokov, namiesto toho, aby zisťovali samotné útoky. Odstránenie príčiny, kvôli ktorej je útok možný, ušetrí veľa času a finančných prostriedkov.

Klasifikácia systémov detekcie narušenia

Existuje mnoho klasifikácií systémov detekcie narušenia, ale najvyššia je klasifikácia podľa princípu implementácie:

• host-based - systém je nasmerovaný na konkrétny uzol siete
• sieťový – systém je zameraný na celú sieť alebo sieťový segment

Systémy detekcie narušenia, ktoré sú nainštalované na konkrétnych počítačoch, zvyčajne analyzujú údaje z denníkov OS a rôznych aplikácií. Nedávno však boli vydané programy, ktoré sú úzko integrované s jadrom OS.

Výhody systémov detekcie narušenia

Prepínanie umožňuje spravovať veľké siete, ako keby išlo o niekoľko malých sieťových segmentov. Detekcia útokov na úrovni konkrétneho uzla poskytuje efektívnejšiu prácu v prepínaných sieťach, pretože vám umožňuje umiestniť detekčné systémy na tie uzly, kde je to potrebné.

Systémy sieťovej vrstvy nemusia mať na hostiteľovi nainštalovaný softvér systému detekcie narušenia. Na ovládanie segmentu siete je potrebný iba jeden snímač, bez ohľadu na počet uzlov v tomto segmente.

Paket odoslaný útočníkom nebude vrátený späť. Systémy, ktoré fungujú na úrovni siete, implementujú detekciu útokov so živou prevádzkou, teda v reálnom čase. Analyzované informácie obsahujú údaje, ktoré budú dôkazom na súde.

Detekčné systémy, ktoré fungujú na úrovni siete, sú nezávislé od operačného systému. Pri takýchto systémoch nezáleží na tom, ktorý OS balík vytvoril.

Technológia porovnávania vzoriek

Princíp spočíva v tom, že sa analyzuje prítomnosť určitej konštantnej postupnosti bajtov v pakete – šablóny alebo podpisu. Ak je napríklad paket protokolu IPv4 a transportného protokolu TCP určený pre port číslo 222 a v dátovom poli sa nachádza reťazec foo, možno to považovať za útok. Pozitívne stránky:

• najjednoduchší mechanizmus detekcie útokov;
• umožňuje tvrdú zhodu vzoru s útočiacim paketom;
• funguje pre všetky protokoly;
• útočný signál je spoľahlivý, ak je vzorka správne identifikovaná.

Negatívne stránky:

• ak je útok neštandardný, je šanca ho minúť;
• ak je vzor príliš všeobecný, potom je pravdepodobné vysoké percento falošne pozitívnych výsledkov;
• Pre jeden útok môže byť potrebné vytvoriť niekoľko vzoriek;
• Mechanizmus je obmedzený na analýzu jedného paketu, nie je možné zachytiť trend a vývoj útoku.

Technológia štátnej zhody

Keďže útok svojou povahou nie je jeden paket, ale prúd paketov, táto metóda pracuje s dátovým tokom. Pred vynesením verdiktu sa skontroluje niekoľko paketov z každého spojenia.
V porovnaní s predchádzajúcim mechanizmom potom riadok foo možno dve balenia fo a o. Myslím, že výsledok fungovania týchto dvoch metód je jasný.
Pozitívne stránky:

• táto metóda je o niečo komplikovanejšia ako predchádzajúca metóda;
• správa o útoku je pravdivá, ak je vzor platný;
• umožňuje silne prepojiť útok so vzorkou;
• funguje pre všetky protokoly;
• vyhnúť sa útoku je ťažšie ako v predchádzajúcej metóde.

Negatívne stránky:

• Všetky negatívne kritériá sú rovnaké ako v predchádzajúcej metóde.

Analýza s dešifrovaním protokolu

Táto metóda implementuje kontrolu útokov na jednotlivé protokoly. Mechanizmus definuje protokol a aplikuje príslušné pravidlá. Pozitívne stránky:

• ak je protokol presne definovaný, potom sa zníži pravdepodobnosť falošných poplachov;
• umožňuje pevne prepojiť vzor s útokom;
• umožňuje identifikovať prípady porušenia pravidiel pre prácu s protokolmi;
• umožňuje zachytiť rôzne varianty útokov na základe jedného.

Negatívne stránky:

• Mechanizmus je ťažké vyladiť;
• Vysoké percento falošne pozitívnych výsledkov je pravdepodobné, ak štandard protokolu umožňuje nezrovnalosti.

Statická analýza

Táto metóda zahŕňa implementáciu logiky na detekciu útokov. Používajú sa štatistické informácie pre analýzu návštevnosti. Príkladom detekcie takýchto útokov môže byť detekcia skenovania portov. Pre mechanizmus sú uvedené limitné hodnoty pre porty, ktoré je možné implementovať na jednom hostiteľovi. V takejto situácii budú prejavom útoku súhrnne jednotlivé právne spojenia. Pozitívne stránky:

• Existujú typy útokov, ktoré je možné odhaliť iba týmto mechanizmom.

Negatívne stránky:

• Takéto algoritmy vyžadujú zložité jemné ladenie.

Analýza založená na anomáliách

Tento mechanizmus neslúži na jednoznačnú detekciu útokov, ale na detekciu podozrivej aktivity, ktorá sa líši od bežnej. Hlavným problémom vytvorenia takéhoto mechanizmu je definícia kritéria normálnečinnosť. Treba počítať aj s povolenými odchýlkami od bežnej premávky, ktoré nie sú útokom. Pozitívne stránky:

• Správne nakonfigurovaný analyzátor deteguje aj neznáme útoky, no na zavedenie nových pravidiel a podpisov útokov je potrebná ďalšia práca.

Negatívne stránky:

• Mechanizmus neukazuje popis útoku pre každý prvok, ale hlási svoje podozrenie na situáciu.
• Na vyvodenie záverov nie je dostatok užitočných informácií. Sieť je často zbytočná.
• Určujúcim faktorom je prevádzkové prostredie.

Varianty reakcií na zistené útoky

Detekcia útoku je polovica úspechu, musíte tiež vykonať určité akcie. Sú to možnosti odozvy, ktoré určujú účinnosť systému detekcie narušenia. Nižšie sú uvedené nasledujúce možnosti odpovede.

Postup detekcie sieťových útokov.

1. Klasifikácia sieťových útokov

1.1. Snímače paketov

Sniffer paketov je aplikačný program, ktorý používa sieťovú kartu spustenú v promiskuitnom režime ( v tomto režime sú všetky pakety prijaté cez fyzické kanály odoslané sieťovým adaptérom do aplikácie na spracovanie). Sniffer zároveň všetko zachytí sieťové balíky, ktoré sa prenášajú prostredníctvom konkrétnej domény.

1.2. IP spoofing

Spoofing IP nastáva, keď sa hacker, či už vo vnútri alebo mimo systému, vydáva za oprávneného používateľa. Dá sa to urobiť dvoma spôsobmi. Po prvé, hacker môže použiť IP adresu, ktorá je v rozsahu autorizovaných IP adries, alebo autorizovanú externú adresu, ktorá má povolený prístup k sieťové zdroje. IP spoofing útoky sú často východiskovým bodom pre ďalšie útoky. Klasickým príkladom je DoS útok, ktorý začína adresou niekoho iného, ​​ktorá skrýva skutočnú identitu hackera.

Spoofing IP sa zvyčajne obmedzuje na vkladanie nepravdivých informácií alebo škodlivých príkazov do normálneho dátového toku prenášaného medzi klientskou a serverovou aplikáciou alebo cez komunikačný kanál medzi partnermi. Pre obojsmernú komunikáciu musí hacker zmeniť všetky smerovacie tabuľky tak, aby smerovali prevádzku na falošnú IP adresu. Niektorí hackeri sa však ani nepokúšajú získať odpoveď z aplikácií. Ak je hlavnou úlohou prijímať zo systému dôležitý súbor, odpovede aplikácie sú irelevantné.

Ak sa hackerovi podarí zmeniť smerovacie tabuľky a nasmerovať prevádzku na falošnú IP adresu, hacker dostane všetky pakety a bude môcť na ne reagovať, ako keby bol autorizovaným používateľom.

1.3. Odmietnutie služby ( Denial of Service - DoS)

DoS je najznámejšou formou hackerských útokov. Proti útokom tohto typu je najťažšie vytvoriť stopercentnú ochranu.

Najznámejšie typy DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 TFN2K);
• Trinco;
• Stacheldracht;
• Trojica.

DoS útoky sa líšia od iných typov útokov. Nie sú určené na získanie prístupu do siete alebo na získanie akýchkoľvek informácií z tejto siete. Útok DoS zneprístupní sieť bežné používanie prekročením povolených limitov siete, operačného systému alebo aplikácie.

V prípade použitia niektorých serverové aplikácie (napríklad webový server alebo FTP server) Útoky DoS môžu spočívať v odobratí všetkých dostupných spojení pre tieto aplikácie a ich udržiavaní v zaneprázdnenom stave, čím sa zabráni obsluhovaniu bežných používateľov. DoS útoky môžu využívať bežné internetové protokoly ako TCP a ICMP ( Internet Control Message Protocol). Väčšina DoS útokov sa nespolieha na softvérové ​​chyby alebo bezpečnostné diery, ale na všeobecné slabiny v architektúre systému. Niektoré útoky rušia výkon siete tým, že ju zaplavujú nechcenými a nepotrebnými paketmi alebo skresľujú aktuálny stav sieťových zdrojov. Tomuto typu útoku je ťažké zabrániť, pretože si vyžaduje koordináciu s ISP. Ak sa prevádzka určená na zaplavenie vašej siete u poskytovateľa nezastaví, na vstupe do siete to už nebudete môcť urobiť, pretože bude obsadená celá šírka pásma. Keď sa tento typ útoku vykonáva súčasne prostredníctvom mnohých zariadení, útokom je distribuovaný DoS ( DDoS - distribuovaný DoS).

1.4. Útoky na heslá

Hackeri môžu vykonávať útoky na heslo pomocou rôznych metód, ako je hrubá sila ( útok hrubou silou), trójsky kôň, spoofing IP a sniffovanie paketov. Hoci prihlasovacie meno a heslo možno často získať pomocou spoofingu IP a sniffovania paketov, hackeri sa často pokúšajú uhádnuť heslo a prihlásenie pomocou viacerých pokusov o prístup. Tento prístup sa nazýva jednoduchá iterácia. (útok hrubou silou). Takýto útok často používa špeciálny program, ktorý sa pokúša získať prístup k zdieľanému zdroju ( napríklad na server). Ak v dôsledku toho hacker získa prístup k zdrojom, získa ho na právach bežný používateľ, ktorého heslo bolo uhádnuté. Ak má tento používateľ významné prístupové práva, hacker si môže vytvoriť „bránu“ pre budúci prístup, ktorá bude fungovať aj v prípade, že používateľ zmení svoje heslo a prihlasovacie meno.

Ďalší problém nastáva, keď používatelia používajú to isté ( aj ked je to velmi dobre) heslo pre prístup do mnohých systémov: firemných, osobných a internetových systémov. Keďže sila hesla je rovnaká ako sila najslabšieho hostiteľa, hacker, ktorý sa naučí heslo prostredníctvom tohto hostiteľa, získa prístup do všetkých ostatných systémov, kde sa používa rovnaké heslo.

1.5. Útoky typu Man-in-the-Middle

Pre útok typu Man-in-the-Middle potrebuje hacker prístup k paketom odosielaným cez sieť. Takýto prístup ku všetkým paketom prenášaným od poskytovateľa do akejkoľvek inej siete môže získať napríklad zamestnanec tohto poskytovateľa. Na tento typ útoku sa často používajú sniffery paketov, transportné protokoly a smerovacie protokoly. Útoky sa vykonávajú s cieľom ukradnúť informácie, zachytiť aktuálnu reláciu a získať prístup k privátnym sieťovým zdrojom, analyzovať prevádzku a získať informácie o sieti a jej používateľoch, vykonávať DoS útoky, skresľovať prenášané údaje a zadávať neoprávnené informácie do sieťových relácií.

1.6. Útoky na aplikačnej vrstve

Útoky na aplikačnú vrstvu možno vykonať niekoľkými spôsobmi. Najbežnejším z nich je zneužívanie slabých stránok serverového softvéru ( sendmail, HTTP, FTP). Pomocou týchto nedostatkov môžu hackeri získať prístup k počítaču v mene používateľa spusteného aplikáciou ( zvyčajne to nie je jednoduchý používateľ, ale privilegovaný správca s právami systémový prístup ). Podrobnosti o útokoch na aplikačnej vrstve sú široko publikované, aby umožnili správcom opraviť problém pomocou opravných modulov ( náplasti). hlavný problém s útokmi na aplikačnej vrstve je to, že často používajú porty, ktoré môžu prechádzať cez firewall. Napríklad hacker využívajúci dobre známu slabinu webového servera často používa pri útoku TCP port 80. Keďže webový server sprístupňuje používateľom webové stránky, firewall musí poskytnúť prístup k tomuto portu. Z pohľadu firewallu sa útok považuje za štandardnú komunikáciu na porte 80.

1.7. sieťová inteligencia

Sieťová inteligencia je zhromažďovanie informácií o sieti pomocou verejne dostupných údajov a aplikácií. Pri príprave útoku proti sieti sa hacker zvyčajne snaží získať o nej čo najviac informácií. Prieskum siete má formu DNS dotazov, ping sweepov a skenovania portov. DNS dotazy pomôcť pochopiť, kto vlastní konkrétnu doménu a aké adresy sú k tejto doméne priradené. Testovanie ozveny ( ping sweep) adries zistených DNS vám umožňuje zistiť, ktorí hostitelia skutočne pracujú v danom prostredí. Na základe zoznamu hostiteľov hacker používa nástroje na skenovanie portov na zostavenie kompletného zoznamu služieb podporovaných týmito hostiteľmi. A nakoniec, hacker analyzuje vlastnosti aplikácií bežiacich na hostiteľoch. V dôsledku toho sa získajú informácie, ktoré možno použiť na hackovanie.

1.8. porušenie dôvery

Tento typ akcie nie je "útok" alebo "búrka". Ide o škodlivé zneužitie dôveryhodných vzťahov, ktoré existujú v sieti. Príkladom je systém nainštalovaný na vonkajšej strane brány firewall, ktorý má vzťah dôvery so systémom nainštalovaným na jeho strane. vnútri. V prípade, že dôjde k napadnutiu externého systému, môže hacker použiť dôveryhodné vzťahy na prienik do systému chráneného firewallom.

1.9. Preposielanie portov

Preposielanie portov je forma narušenia dôvery, pri ktorej sa kompromitovaný hostiteľ používa na odosielanie prevádzky cez bránu firewall, ktorá by inak bola určite odmietnutá. Príkladom aplikácie, ktorá môže poskytnúť tento prístup, je netcat.

1.10. Nepovolený prístup

Neoprávnený prístup nemožno brať do úvahy samostatný typútokov. Väčšina sieťových útokov sa vykonáva s cieľom získať neoprávnený prístup. Na získanie prihlásenia do telnetu musí hacker najprv dostať výzvu telnetu do svojho systému. Po pripojení k telnet portu sa na obrazovke zobrazí správa "na používanie tohto zdroja sa vyžaduje oprávnenie" (Na používanie tohto zdroja sa vyžaduje autorizácia.). Ak sa potom hacker bude naďalej pokúšať o prístup, bude sa brať do úvahy "neoprávnený". Zdroj takýchto útokov môže byť vo vnútri siete aj mimo nej.

1.11. Vírusy a aplikácie tohto typu "Trójsky kôň"

Klientske pracovné stanice sú veľmi citlivé na vírusy a trójske kone. "Trójsky kôň"- toto nie je softvérová vložka, ale skutočný program, ktorý vyzerá ako užitočná aplikácia, ale v skutočnosti hrá škodlivú úlohu.

2. Metódy boja proti sieťovým útokom

2.1. Hrozbu sniffovania paketov môžete zmierniť pomocou nasledujúcich nástrojov:

2.1.1. Autentifikácia – Silná autentifikácia je prvou obranou proti sniffovaniu paketov. Pod "silný" rozumieme metóde autentifikácie, ktorú je ťažké obísť. Príkladom takejto autentifikácie sú jednorazové heslá ( OTP – Jednorazové heslá). OTP je technológia dvojfaktorovej autentifikácie, ktorá kombinuje to, čo máte, s tým, čo viete. Pod "kartou" ( žetón) znamená hardvérový alebo softvérový nástroj, ktorý generuje ( na náhodnom základe) jedinečné jednorazové heslo. Ak sa hacker dozvie toto heslo pomocou sniffera, tieto informácie budú zbytočné, pretože v tom momente bude heslo už používané a zastarané. Tento spôsob riešenia sniffovania je účinný len pri riešení sniffovania hesiel.

2.1.2. Prepínaná infraštruktúra – Ďalší spôsob, ako sa vysporiadať s načítavaním paketov sieťové prostredie je vytvoriť prepínanú infraštruktúru, aby hackeri mali prístup iba k prevádzke prichádzajúcej na port, ku ktorému sú pripojení. Prepínaná infraštruktúra neodstraňuje hrozbu sniffovania, ale výrazne znižuje jej závažnosť.

2.1.3. Anti-sniffers – Tretím spôsobom boja proti snifferu je inštalácia hardvéru alebo softvéru, ktorý rozpozná sniffery bežiace vo vašej sieti. Tieto nástroje nedokážu úplne eliminovať hrozbu, ale ako mnohé iné nástroje, bezpečnosť siete, sú zahrnuté v spoločný systém ochranu. Takzvané "anti-sniffer" zmerajte čas odozvy hostiteľov a zistite, či hostitelia potrebujú spracovať "extra" dopravy.

2.1.4. Kryptografia – Najúčinnejší spôsob, ako sa vysporiadať so sniffovaním paketov, nezabraňuje sniffovaniu a nerozoznáva prácu snifferov, ale robí túto prácu zbytočnou. Ak je komunikačný kanál kryptograficky bezpečný, znamená to, že hacker nezachytáva správu, ale šifrovaný text (teda nezrozumiteľnú sekvenciu bitov).

2.2. Hrozbu spoofingu možno zmierniť ( ale nie odstrániť) prostredníctvom nasledujúcich opatrení:

2.2.1. Kontrola prístupu – Najjednoduchší spôsob, ako zabrániť spoofingu IP, je správne nastaviť kontrolu prístupu. Aby sa znížila účinnosť spoofingu IP, je riadenie prístupu nakonfigurované tak, aby prerušilo akúkoľvek prichádzajúcu komunikáciu externá sieť so zdrojovou adresou, ktorá sa musí nachádzať vo vašej sieti. Pomáha to bojovať proti spoofingu IP, keď sú autorizované iba interné adresy. Ak sú autorizované aj niektoré externé sieťové adresy, táto metóda sa stane neúčinnou.

2.2.2. Filtrovanie RFC 2827 - potlačenie pokusov o spoof cudzích sietí používateľmi podnikovej siete. K tomu je potrebné odmietnuť akúkoľvek odchádzajúcu komunikáciu, ktorej zdrojová adresa nie je jednou z IP adries banky. Tento typ filtrovania, známy ako „RFC 2827“, môže vykonávať aj ISP ( ISP). Výsledkom je, že všetka prevádzka, ktorá nemá zdrojovú adresu očakávanú na konkrétnom rozhraní, je odmietnutá.

2.2.3. Najefektívnejšia metóda riešenia spoofingu IP je rovnaká ako v prípade sniffovania paketov: musíte urobiť útok úplne neúčinným. Spoofing IP môže fungovať len vtedy, ak je overovanie založené na IP adresách. Zavedenie ďalších metód autentifikácie preto robí tento typ útoku zbytočným. najlepší výhľad dodatočné overenie je kryptografické. Ak to nie je možné, dobré výsledky môže poskytnúť dvojfaktorová autentifikácia pomocou jednorazových hesiel.

2.3. Hrozbu útokov DoS možno zmierniť nasledujúcimi spôsobmi:

2.3.1. Funkcie proti spoofingu – Správna konfigurácia funkcií proti spoofingu na vašich smerovačoch a bránach firewall pomôže znížiť riziko DoS. Tieto funkcie by mali zahŕňať minimálne filtrovanie RFC 2827. Pokiaľ hacker nedokáže zamaskovať svoju skutočnú identitu, je nepravdepodobné, že by sa pokúsil o útok.

2.3.2. Anti-DoS funkcie - správna konfigurácia anti-DoS funkcie na smerovačoch a firewalloch môže obmedziť efektivitu útokov. Tieto funkcie obmedzujú počet napoly otvorených kanálov v jednom okamihu.

2.3.3. Obmedzenie množstva premávky ( obmedzenie rýchlosti dopravy) – zmluva s poskytovateľom ( ISP) o obmedzení objemu dopravy. Tento typ filtrovania vám umožňuje obmedziť množstvo nekritickej prevádzky prechádzajúcej cez sieť. Bežným príkladom je obmedzenie množstva prenosu ICMP, ktorý sa používa iba na diagnostické účely. útoky ( D) DoS často používa ICMP.

2.3.4. Blokovanie IP adries – po analýze DoS útoku a identifikácii rozsahu IP adries, z ktorých sa útok vykonáva, kontaktujte poskytovateľa, aby ich zablokoval.

2.4. Útokom na heslá sa možno vyhnúť nepoužívaním hesiel s obyčajným textom. Jednorazové heslá a/alebo kryptografická autentifikácia môžu prakticky eliminovať hrozbu takýchto útokov. Nie všetky aplikácie, hostitelia a zariadenia podporujú vyššie uvedené metódy overovania.

Použitím bežné heslá, musíte vymyslieť heslo, ktoré by bolo ťažké uhádnuť. Minimálna dĺžka hesla musí byť aspoň osem znakov. Heslo musí obsahovať veľké písmená, čísla a Špeciálne symboly (#, %, $ atď.). Najlepšie heslá je ťažké uhádnuť a ťažko si ich zapamätať, čo núti používateľov zapisovať si heslá na papier.

2.5. Útoky typu Man-in-the-Middle možno efektívne riešiť iba pomocou kryptografie. Ak hacker zachytí údaje šifrovanej relácie, na obrazovke nebude mať zachytenú správu, ale nezmyselnú sadu znakov. Upozorňujeme, že ak hacker získa informácie o kryptografickej relácii ( napríklad kľúč relácie), to môže umožniť útok typu Man-in-the-Middle aj v šifrovanom prostredí.

2.6. Útoky na aplikačnej vrstve nie je možné úplne eliminovať. Hackeri neustále objavujú a uverejňujú nové zraniteľnosti aplikácií na internete. Najdôležitejšia je dobrá správa systému.

Kroky, ktoré môžete podniknúť na zníženie svojej zraniteľnosti voči tomuto typu útoku:

• čítanie a/alebo analýza protokolových súborov operačných systémov a sieťových protokolových súborov pomocou špeciálnych analytických aplikácií;
• včasná aktualizácia verzií operačných systémov a aplikácií a inštalácia najnovších korekčných modulov ( náplasti);
• používanie systémov na rozpoznávanie útokov ( IDS).

2.7. Úplne sa zbaviť sieťovej inteligencie je nemožné. Ak na periférnych smerovačoch zakážete odozvu ICMP a odozvu na odozvu, zbavíte sa pingovania, ale stratíte údaje potrebné na diagnostiku porúch siete. Môžete tiež skenovať porty bez toho, aby ste na ne najprv odoslali príkaz ping. Len to bude trvať dlhšie, keďže bude potrebné skenovať aj neexistujúce IP adresy. Systémy IDS na úrovni siete a hostiteľa sú zvyčajne dobré pri upozorňovaní správcu na prebiehajúci prieskum siete, čo im umožňuje lepšie sa pripraviť na nadchádzajúci útok a informovať poskytovateľa internetových služieb ( ISP), v ktorej sieti je nainštalovaný systém, ktorý prejavuje nadmernú zvedavosť.

2.8. Riziko narušenia dôvery sa dá znížiť o viac prísna kontrolaúroveň dôvery v rámci svojej siete. Systémy mimo firewallu by nikdy nemali byť absolútne dôveryhodné systémami chránenými firewallom. Dôveryhodné vzťahy by mali byť obmedzené na určité protokoly a ak je to možné, mali by byť overené nielen IP adresami, ale aj inými parametrami.

2.9. Hlavným spôsobom, ako sa vysporiadať s presmerovaním portov, je použitie modelov silnej dôvery ( pozri bod 2.8 ). Okrem toho hostiteľský systém IDS ( HIDS).

2.10. Spôsoby boja proti neoprávnenému prístupu sú pomerne jednoduché. Hlavná vec je znížiť alebo úplne odstrániť schopnosť hackera získať prístup do systému pomocou neoprávneného protokolu. Ako príklad zvážte zabránenie hackerom v prístupe k telnet portu na serveri, ktorý poskytuje webové služby externým používateľom. Bez prístupu k tomuto portu ho hacker nebude môcť napadnúť. Pokiaľ ide o firewall, jeho hlavnou úlohou je zabrániť najjednoduchším pokusom o neoprávnený prístup.

2.11. Boj proti vírusom a trójskym koňom sa uskutočňuje pomocou účinného antivírusového softvéru, ktorý funguje na úrovni používateľa a na úrovni siete. Antivírusové nástroje detegujú väčšinu vírusov a trójskych koní a zabraňujú ich šíreniu.

3. Algoritmus akcií pri detekcii sieťových útokov

3.1. Väčšinu sieťových útokov blokujú automaticky nainštalované nástroje na ochranu informácií ( brány firewall, dôveryhodné zavádzacie nástroje, sieťové smerovače, antivírusové látky atď.).

3.2. Útoky, ktoré vyžadujú zásah človeka na ich zablokovanie alebo zmiernenie závažnosti následkov, zahŕňajú útoky DoS.

3.2.1. Detekcia útoku DoS sa vykonáva analýzou sieťová prevádzka. Začiatok útoku je charakterizovaný „ šoférovanie» komunikačné kanály využívajúce pakety náročné na zdroje s falošnými adresami. Takýto útok na stránku internetového bankovníctva komplikuje prístup legitímnym používateľom a webový zdroj sa môže stať nedostupným.

3.2.2. Ak sa zistí útok Systémový administrátor vykonáva nasledujúce akcie:

• vykoná manuálne prepnutie smerovača na záložný kanál a späť, aby sa identifikoval menej zaťažený kanál (kanál so širšou šírkou pásma);
• odhalí rozsah IP adries, z ktorých sa útok vykonáva;
• odošle poskytovateľovi požiadavku na zablokovanie IP adries zo zadaného rozsahu.

3.3. Útok DoS sa zvyčajne používa na zamaskovanie úspešného útoku na zdroje klienta, aby sa sťažil jeho odhalenie. Preto je pri zistení DoS útoku potrebné analyzovať najnovšie transakcie s cieľom identifikovať neobvyklé transakcie, zablokovať ich (ak je to možné), kontaktovať zákazníkov prostredníctvom alternatívny kanál na potvrdenie dokončených transakcií.

3.4. Ak sa od klienta dostanú informácie o neoprávnenom konaní, zaznamenajú sa všetky dostupné dôkazy, vykoná sa interné vyšetrovanie a podá sa žiadosť na presadzovania práva.

Stiahnuť súbor ZIP (24151)

Dokumenty sa hodili - dajte "like":

Hlavným účelom tohto programu je odhaľovať útoky hackerov. Ako viete, prvou fázou väčšiny útokov hackerov je inventarizácia siete a skenovanie portov na objavených hostiteľoch. Kontrola portov pomáha určiť typ operačného systému a odhaliť potenciálne zraniteľné služby (napríklad pošta alebo WEB server). Po skenovaní portov mnohé skenery určujú typ služby odoslaním testovacích požiadaviek a analýzou odozvy servera. Nástroj APS vedie výmenu s útočníkom a umožňuje vám jednoznačne identifikovať skutočnosť útoku.

Okrem toho je účelom pomôcky:

• detekcia rôznych druhov útokov (predovšetkým skenovanie portov a identifikácia služieb) a výskyt programov a sieťových červov v sieti (v databáze APS je viac ako sto portov používaných červami a komponentmi Backdoor);
• testovanie skenerov portov a zabezpečenia siete (na kontrolu činnosti skenera je potrebné spustiť APS na testovacom počítači a vykonať skenovanie portov - pomocou protokolov APS je ľahké určiť, ktoré kontroly skener uvidí a v akom poradí );
• testovanie a prevádzková kontrola Firewallu - v tomto prípade sa spustí obslužný program APS na počítači s nainštalovaným Firewallom a vykoná sa skenovanie portov a (alebo iné útoky) proti PC. Ak APS generuje alarm, je to signál, že brána firewall nefunguje alebo je nesprávne nakonfigurovaná. APS môže byť neustále spustené za počítačom chráneným bránou firewall, aby bolo možné sledovať správne fungovanie brány firewall v reálnom čase;
• blokovanie práce sieťových červov a modulov Backdoor a ich detekcia - princíp detekcie a blokovania je založený na tom, že ten istý port je možné otvoriť na počúvanie iba raz. Preto otvorenie portov používaných trójskymi koňmi a programami Backdoor pred ich spustením naruší ich prácu, po spustení to povedie k odhaleniu skutočnosti, že port používa iný program;
• testovanie anti-trójskych koní a programov, IDS systémy – v databáze APS je zahrnutých viac ako sto portov najbežnejších trójskych koní. Niektoré nástroje proti trójskym koňom majú schopnosť vykonať kontrolu portov kontrolovaného počítača (alebo zostaviť zoznam počúvajúcich portov bez kontroly, keď Pomocník API Windows) - takéto nástroje by mali hlásiť podozrenie na prítomnosť trójske kone(so zoznamom "podozrivých" portov) - výsledný zoznam je možné ľahko porovnať so zoznamom portov v databáze APS a vyvodiť závery o spoľahlivosti použitého nástroja.

Princíp programu je založený na počúvaní portov popísaných v databáze. Databáza portov sa neustále aktualizuje. Databáza obsahuje stručný popis každého portu - stručné popisy obsahujú buď názvy vírusov využívajúcich port, alebo názov štandardnej služby, ktorej tento port zodpovedá. Keď je zistený pokus o pripojenie k načúvaciemu portu, program zaznamená skutočnosť pripojenia do protokolu, analyzuje údaje prijaté po pripojení a pre niektoré služby odošle takzvaný banner - nejaký súbor textových alebo binárnych údajov prenášaných skutočnú službu po pripojení.

Dmitrij Kostrov,
CJSC "Ekvant"
[e-mail chránený]

Nie rast a moc, ale inteligencia
Sľubuje víťazstvo vo vojne.
William Shakespeare

Detekčné systémy počítačové útoky(IDS - Intrusion Detection Systems) je jedným z najdôležitejších prvkov systémov informačnej bezpečnosti pre siete každého moderného podniku vzhľadom na to, ako v posledných rokoch narastá počet problémov spojených s počítačovou bezpečnosťou (obr. 1). Technológia IDS síce neposkytuje úplnú ochranu informácií, no napriek tomu zohráva v tejto oblasti veľmi významnú úlohu. Krátky príbeh problém, ako aj niektoré experimentálne a komerčné systémy boli zvážené v článku ("BYTE / Rusko", č. 10 "2001). Tu budeme podrobnejšie diskutovať o moderných produktoch a smeroch na trhu ďalší vývoj IDS.

Trh so systémami IDS sa od roku 1997 rýchlo rozvíja. Práve v tom čase spoločnosť ISS (http://www.iss.com) ponúkala svoj produkt s názvom Real Secure. O rok neskôr spoločnosť Cisco Systems (http://www.cisco.com), ktorá si uvedomila realizovateľnosť vývoja IDS, kúpila produkt NetRanger spolu so skupinou Wheel Group. Nemožno tu nespomenúť zlúčenie SAIC a Haystack Labs do Centrax Corporation (http://www.centrax.com).

Treba poznamenať, že konvenčné IDS včas detegujú iba známe typy útokov. Pracujú v rovnakom režime ako antivírusové programy: známe sú zachytené, neznáme nie. Odhaliť neznámy útok je náročná úloha hraničiaca s oblasťou systémov umelej inteligencie a adaptívneho riadenia bezpečnosti. Moderné IDS sú schopné monitorovať činnosť sieťových zariadení a operačného systému, odhaľovať neoprávnené akcie a automaticky na ne reagovať takmer v reálnom čase. Pri analýze súčasných udalostí je možné brať do úvahy minulé udalosti, čo umožňuje identifikovať útoky s časovým odstupom, a tým predpovedať budúce udalosti.

V 80. rokoch bola väčšina útočníkov odborníkmi na hackovanie a vytvárali programy a metódy neoprávneného prenikania do počítačové siete; automatizovanými prostriedkami málo používané. Teraz sa objavil veľké číslo„amatérov“, so slabou úrovňou vedomostí v tejto oblasti, ktorí používajú automatické prostriedky na prienik a exploity (exploit – škodlivý kód, ktorá využíva známe chyby v softvéri a používa ju útočník na narušenie normálneho fungovania hardvérovo-softvérového komplexu). Inými slovami, so zlepšovaním automatických nástrojov na narušenie sa úroveň vedomostí a zručností väčšiny narušiteľov znížila.

Existuje mnoho rôznych typov útokov a možno ich zoradiť podľa narastajúceho potenciálneho nebezpečenstva takto:

• hádanie hesla
• replikačný kód
• prelomenie hesla
• zneužívanie známych zraniteľností
• vypnúť/obísť systémy auditu
• krádeže dát
• zadné vrátka (špeciálne vstupy do programu, ktoré sa vyskytujú v dôsledku chýb pri jeho písaní alebo zanechané programátormi na ladenie)
• používanie snímacích a zametacích strojov (systémy kontroly obsahu)
• pomocou programov na diagnostiku siete na získanie potrebných údajov
• pomocou automatických skenerov zraniteľnosti
• falšovanie údajov v paketoch IP
• Útoky DoS (Denial of Service).
• útoky na webové servery (CGI skripty)
• technológie skrytého skenovania
• distribuované prostriedky útoku.

Teraz útok netrvá dlhšie ako niekoľko sekúnd a môže spôsobiť veľmi citlivé poškodenie. Napríklad útok odmietnutia služby môže na dlhú dobu deaktivovať internetový obchod alebo online burzu. Tieto útoky sú najbežnejšie a spôsoby ochrany proti nim sa rýchlo vyvíjajú.

Účelom každého IDS je zistiť útok z najmenšie chyby. V tomto prípade chce objekt útoku (obeť) zvyčajne získať odpoveď na nasledujúce otázky.

• Čo sa stalo s mojím systémom?
• Čo bolo napadnuté a aký nebezpečný je útok?
• kto je útočník?
• Kedy útok začal a odkiaľ?
• Ako a prečo k invázii došlo?

Útočník sa zasa zvyčajne snaží zistiť nasledovné. ·

• Čo je cieľom útoku?
• Existujú zraniteľné miesta a aké sú?
• Aká škoda môže byť spôsobená?
• Aké exploity alebo spôsoby prieniku sú dostupné?
• Existuje riziko odhalenia?

Typy IDS

Nádej na víťazstvo približuje víťazstvo,
istota víťazstva nás o ňu pripravuje.
Titus Livy

V prvom rade IDS používa rôzne metódy na zistenie neoprávnenej činnosti. Problémy spojené s útokmi cez firewall (firewall) sú dobre známe. Firewall povoľuje alebo zakazuje prístup k určitým službám (portom), ale nekontroluje tok informácií prechádzajúcich cez otvorený port. IDS sa zasa snaží odhaliť útok na systém alebo na sieť ako celok a upozorniť naň bezpečnostného administrátora, pričom sa útočník domnieva, že zostal nepovšimnutý.

Tu môžete nakresliť analógiu s ochranou domu pred zlodejmi. Zamknuté dvere a okná sú firewallom. A alarm na upozornenie na vlámanie zodpovedá IDS.

Existujú rôzne spôsoby klasifikácie IDS. Takže podľa spôsobu odozvy sa rozlišujú pasívne a aktívne IDS. Pasívne jednoducho zaznamenajú skutočnosť útoku, zapíšu údaje do log súboru a vydajú varovania. Aktívne IDS sa pokúšajú čeliť útoku, napríklad prekonfigurovaním firewallu alebo generovaním prístupových zoznamov smerovačov. Ak budeme pokračovať v analógii, môžeme povedať, že ak alarm v dome zapne zvukovú sirénu, aby odstrašil zlodeja, ide o analógiu aktívneho IDS a ak dáva signál polícii, zodpovedá to pasívnemu IDS. .

Podľa spôsobu detekcie útoku sa rozlišujú systémy založené na signatúrach a na anomáliách. Prvý typ je založený na porovnávaní informácií s predinštalovanou databázou signatúr útokov. Na druhej strane je možné klasifikovať útoky podľa typu (napríklad Ping-of-Death, Smurf). Systémy tohto typu však nedokážu zachytiť nové, neznáme typy útokov. Druhý typ je založený na kontrole frekvencie udalostí alebo zisťovaní štatistických anomálií. Takýto systém je zameraný na identifikáciu nových typov útokov. Jeho nevýhodou je však nutnosť neustáleho tréningu. V príklade zabezpečenia domácnosti sú analógom tohto pokročilejšieho systému IDS susedia, ktorí vedia, kto k vám prišiel, pozorne sledujú cudzincov a zbierajú informácie o núdzovej situácii na ulici. To zodpovedá anomálnemu typu IDS.

Najpopulárnejšia klasifikácia podľa spôsobu zberu informácií o útoku: sieťový, hostiteľský, aplikačný. Systém prvého typu funguje ako sniffer, „počúva“ prevádzku v sieti a určuje možné akcie narušiteľov. Útok sa vyhľadáva podľa princípu „od hostiteľa k hostiteľovi“. Prevádzka takýchto systémov bola donedávna náročná v sieťach, kde sa používali prepínacie, šifrovacie a vysokorýchlostné protokoly (viac ako 100 Mbps). Nedávno sa však objavili riešenia od spoločností NetOptics (http://www.netoptics.com) a Finisar (http://www.finisar.com) pre prácu v prepínanom prostredí, najmä technológie SPAN portov (Switched Port Analyzer ) a klepnutie na sieť (Testovať prístupový port). Network Tap (ako samostatné zariadenie alebo zabudované do prepínača) vám umožňuje sledovať všetku premávku na prepínači. Spoločnosti Cisco a ISS zároveň dosiahli určitý pokrok v implementácii takýchto systémov vo vysokorýchlostných sieťach.

Systémy druhého typu, založené na hostiteľoch, sú navrhnuté tak, aby monitorovali, zisťovali a reagovali na akcie narušiteľov na konkrétnom hostiteľovi. Systém umiestnený na chránenom hostiteľovi kontroluje a zisťuje akcie namierené proti nemu. Tretí typ IDS, založený na aplikácii, je založený na hľadaní problémov v konkrétnu aplikáciu. Existujú aj hybridné IDS, ktoré sú kombináciou rôznych typov systémov.

Prevádzka moderných IDS a rôzne typy útokov

Všeobecná schéma fungovania IDS je znázornená na obr. 2. V poslednej dobe bolo veľa publikácií o systémoch nazývaných distribuované IDS (dIDS). dIDS pozostáva z mnohých IDS, ktoré sú umiestnené v rôznych častiach veľkej siete a sú navzájom prepojené a prepojené s centrálnym riadiacim serverom. Takýto systém zvyšuje bezpečnosť podnikovej podsiete centralizáciou informácií o útoku z rôznych IDS. dIDS pozostáva z nasledujúcich subsystémov: centrálny analytický server, sieťoví agenti, server na zber informácií o útoku.

Ryža. 2. Všeobecná schéma fungovania IDS.

Centrálny analytický server sa zvyčajne skladá z databázy a webového servera, ktorý vám umožňuje ukladať informácie o útokoch a manipulovať s údajmi pomocou pohodlného webového rozhrania.

Sieťový agent je jedným z najviac dôležité komponenty dIDS. Je to malý program, ktorého účelom je hlásiť útok na centrálny analytický server.

Server na zber informácií o útokoch je súčasťou systému dIDS, logicky založený na centrálnom analytickom serveri. Server určuje parametre, podľa ktorých sa zoskupujú informácie prijaté od sieťových agentov. Zoskupenie je možné vykonať podľa nasledujúcich parametrov:

• IP adresa útočníka;
• prístav príjemcu;
• číslo agenta;
• Dátum Čas;
• protokol
• typ útoku atď.

Napriek mnohým výčitkám a pochybnostiam o prevádzkyschopnosti IDS užívatelia už vo veľkom využívajú komerčné aj voľne šírené nástroje. Vývojári vybavujú svoje produkty schopnosťou aktívne reagovať na útok. Systém útok nielen deteguje, ale sa ho aj snaží zastaviť a môže sa útočníkovi aj oplatiť. Najbežnejšími typmi aktívnej odpovede sú ukončenie relácie a rekonfigurácia brány firewall.

Ukončenie relácie je najobľúbenejšie, pretože sa na to nepoužívajú žiadne ovládače. externých zariadení ako je firewall. Napríklad pakety TCP RESET (so správnou sekvenciou/číslom potvrdenia) sa jednoducho odošlú na oba konce spojenia. Spôsoby, ako môžu útočníci obísť takúto ochranu, však už existujú a sú opísané (napríklad pomocou príznaku PUSH v pakete TCP/IP alebo pomocou aktuálneho triku s ukazovateľom).

Druhý spôsob - rekonfigurácia firewallu, umožňuje útočníkovi zistiť prítomnosť firewallu v systéme. Odoslaním veľkého prúdu ping paketov na hostiteľa a zistením, že po určitom čase sa prístup zastavil (ping neprejde), môže útočník dospieť k záveru, že IDS prekonfiguroval firewall nastavením nových pravidiel ping deny na hostiteľovi. Existujú však spôsoby, ako túto ochranu obísť. Jedným z nich je použiť exploity pred prekonfigurovaním firewallu. Existuje aj jednoduchší spôsob. Útočník, ktorý útočí na sieť, môže ako adresu odosielateľa nastaviť IP adresy známych spoločností (ipspoofing). V reakcii na to mechanizmus na rekonfiguráciu brány firewall pravidelne zatvára prístup k stránkam týchto spoločností (napríklad ebay.com, cnn.com, cert.gov, aol.com), po ktorých početné hovory od rozhorčených používateľov na službu podpory "uzavretých" spoločností začínajú a správca je nútený tento mechanizmus deaktivovať. Veľmi to pripomína nočné vypínanie autoalarmu, ktorého neustála prevádzka neumožňuje zaspať obyvateľom susedných domov. Potom sa auto stane oveľa dostupnejšie pre zlodejov áut.

Zároveň je potrebné pripomenúť, že už existujú nástroje na detekciu IDS fungujúce v režime „počúvania“ premávky (http://www.securitysoftwaretech.com/antisniff/download.html); okrem toho mnohé IDS sú náchylné na útoky DoS (odmietnutie služby).

Najpokročilejší v tejto oblasti sú „free“ vývojári sveta posix. Najjednoduchšie útoky využívajú zraniteľné miesta spojené s používaním IDS na báze podpisov. Napríklad používanie jednej verzie bezplatného produktu Snort môže byť zrušené nasledovne. Pri pokuse o prístup k súboru /etc/passwd, kde UNIX ukladá používateľské mená, členstvá v skupinách a shell, Snort používa na zistenie tejto aktivity nasledujúci podpis:

Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";príznaky: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev: jeden ;)

Môžete však jednoducho zmeniť znaky v požiadavke - GET /etc//\//passwd alebo /etc/rc.d/.././\passwd a obísť tento podpis.

Vývojári systémov IDS si samozrejme uvedomujú tieto zmeny a zachytávajú útoky už dlho, ale stále existujú zle napísané signatúry útokov.

Existujú útoky založené na polymorfnom shell kóde. Daný kód bol vyvinutý autorom http://ktwo.ca/ a je založený na použití vírusov. Táto technológia je účinnejšia proti systémom založeným na podpisoch ako proti systémom založeným na anomáliách alebo analýze protokolov. Polymorfný kód používa rôzne metódy na obídenie systémov porovnávania reťazcov (ktoré možno nájsť na http://cansecwest.com/noplist-v1-1.txt).

Môžeme tiež pripomenúť útoky pomocou fragmentácie paketov, odmietnutia služby IDS, rozdelenia útoku medzi viacerých používateľov, kódovanie útoku „ebcdic“ so zmenou typu terminálu na „ebcdic“, implementáciu útoku cez šifrovaný kanál, potlačenie portu snooping modulu, smerovaciu tabuľku úprava, aby sa zabránilo tomu, že sa premávka dostane do systému detekcie narušenia atď.

Systémy IDS sa používajú na detekciu nielen vonkajších, ale aj vnútorných narušiteľov. Ako ukazuje prax, niekedy sú oveľa viac ako vonkajšie. Vnútorné útoky sa nevzťahujú na bežné typyútokov. Na rozdiel od externých narušiteľov je interný autorizovaný používateľ, ktorý má oficiálny prístup k intranetovým zdrojom vrátane tých, ktoré šíria dôverné informácie. Všeobecnou praxou je využívať služby informačnej bezpečnosti na ochranu perimetra intranetu a zároveň chrániť pred vnútorné hrozby dostalo oveľa menej pozornosti. Tu pomáha IDS. Nastavenie IDS na ochranu pred internými útokmi nie je ľahká úloha; vyžaduje si starostlivú prácu s pravidlami a používateľskými profilmi. Na boj proti interným útokom je potrebné použiť kombináciu rôznych IDS.

Spoločnosti a produkty

Na trhu je niekoľko desiatok komerčných IDS systémov, čo zabezpečuje výber najvhodnejšieho riešenia. Žiaľ, domáce produkty zatiaľ nie sú dostupné, aj keď dva Ruské spoločnosti Do konca tohto roka sa pripravujú na uvoľnenie svojich systémov detekcie narušenia.

Nižšie sú popísané produkty viac ako dvadsiatich spoločností. Poradie ich umiestnenia v článku podľa autora zhruba zodpovedá stupňu slávy v Rusku.

Cisco Systems

Produktový rad Cisco IDS obsahuje riešenia pre rôzne úrovne. Zahŕňa tri systémy 42xx v.2.2.1 (sieťové), medzi ktorými je 4210 (obr. 3) optimalizovaný pre prostredie 10/100Base-T (45 Mbit/s), 4235 - pre prostredie 10/100/1000Base - TX, (200 Mbps) a 4250 pre 10/100/1000Base-TX (500 Mbps).

Subsystém IDS je dostupný v prepínači Catalyst - Catalyst 6000 Intrusion Detection System Module (založený na integrovanej sieti).

Cisco IDS Host Sensor 2.0 a Cisco IDS Host Sensor Web Server, vyvinuté spoločnosťou Entercept, poskytujú hostiteľskú bezpečnosť. IDS na úrovni smerovača (Firewall Feature Set 12.1(4)T) dokáže odraziť 59 najnebezpečnejších typov útokov (sieťový systém). Pri použití IDS na úrovni firewallu PIX 535, 525, 515E, 506E, 501 (v.6.2.2) sa odráža viac ako 55 najnebezpečnejších typov útokov (sieťový systém). Bezpečnostné systémy sú spravované pomocou CiscoWorks VPN/Security Management Solution (VMS) alebo Cisco IDS verzie 3.1(2). Ryža. Obrázok 4 ilustruje, ako funguje sieťový senzor Cisco pri pokuse naučiť sa názvy hostiteľov.

Ryža. 4. Činnosť sieťového senzora Cisco pri pokuse o zistenie názvov hostiteľov.

Internet Security Systems

ISS urobila v tejto oblasti skok vpred a je lídrom v implementácii systémov detekcie narušenia. Ponúka tiež celú rodinu riešení pre rôzne úrovne.

RealSecure Network Sensor je softvérové ​​riešenie navrhnuté na inštaláciu na vyhradený počítač v kritickom segmente siete. Analýzou sieťovej prevádzky a jej porovnaním s databázou signatúr útokov senzor deteguje rôzne porušenia bezpečnostnej politiky (obr. 5).

Systém RealSecure Gigabit Sensor spracuje viac ako 500 000 paketov za sekundu pomocou patentovaného sedemúrovňového analytického algoritmu a deteguje veľké množstvo útokov, ktoré iné systémy nezmeškali. Používa sa najmä v sieťach pracujúcich s veľkou záťažou.

RealSecure Server Sensor vám umožňuje detekovať útoky na všetkých úrovniach, nasmerované na konkrétny uzol siete. Okrem toho môže vykonávať bezpečnostnú analýzu a detekciu zraniteľnosti na monitorovanom uzle.

RealSecure Desktop Protector (predtým BlackICE Agent) je určený na detekciu v skutočný režimčas útokov smerovaných na pracovné stanice podnikovej siete.

RealSecure for Nokia je softvérové ​​a hardvérové ​​riešenie vyvinuté spoločnosťami ISS a Nokia. Spája všetky funkcie RealSecure Network Sensor a Nokia IP Network Security Solutions. Systém funguje pod zabezpečeným operačným systémom IPSO založeným na FreeBSD.

RealSecure Guard je softvérové ​​riešenie, ktoré kombinuje možnosti brány firewall a systému detekcie narušenia v reálnom čase. Je inštalovaný medzi chráneným a otvoreným segmentom siete (tzv. inline-IDS) a analyzuje všetku komunikáciu, ktorá ním prechádza, pri hľadaní zakázaných alebo nebezpečných paketov. Systém dokáže detekovať útoky na segmenty siete aj na samostatné, najdôležitejšie uzly.

Na správu uvedených systémov RealSecure sa používa modul RealSecure SiteProtector, ktorý slúži ako hlavný komponent centralizované riadenie a pre systémy Internet Scanner a System Scanner. Je určený na použitie vo veľkých, geograficky distribuovaných sieťach alebo v organizáciách využívajúcich niekoľko riešení ISS súčasne.

Jednoduchší modul RealSecure WorkGroup Manager je navrhnutý tak, aby spravoval iba RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor a RealSecure for Nokia. Dá sa použiť pri absencii iných riešení ISS a s malým počtom senzorov v sieti (do piatich).

Rozhranie príkazového riadka RealSecure je navrhnuté tak, aby ho bolo možné spravovať príkazový riadok iba sieťový snímač RealSecure a gigabitový snímač. Tento riadiaci modul je zameraný na lokálne použitie.

Symantec

Produkty Intruder Alert a NetProwler (aktuálne vydané verzie 3.6 a 3.5.1) sú dostatočne podrobne popísané v recenzii uvedenej vyššie ("BYTE/Russia", č. 10"2001, str. 14).

Enterasys Networks

Enterasys Networks je súčasťou bývalej spoločnosti Cabletron Systems. Uvoľňuje IDS Dragon (sieťový typ). Vnútorná architektúra šiestej verzie systému má zvýšenú škálovateľnosť. Systém obsahuje komponenty Network Sensor, Squire Host Sensor, webový riadiaci modul Dragon Policy Manager a centralizovaný systém monitorovania bezpečnosti siete v reálnom čase Dragon Security Information Manager.

Počítačoví spolupracovníci

eTrust Intrusion Detection (predtým SessionWall) poskytuje prostriedky na zabezpečenie a monitorovanie lokálnej siete. Tento vysoko efektívny a pomerne jednoduchý softvérový produkt poskytuje možnosti monitorovania, detekcie útokov, riadenia WWW prevádzky a protokolovania. Rozsiahla knižnica vzorov útokov eTrust Intrusion Detection sa pravidelne aktualizuje, aby automaticky zisťovala útoky, ktoré zodpovedajú vzorom.

Systém je možné použiť ako sniffer, navyše umožňuje obmedziť prístup k uzlom internetu pomocou pravidiel obsahujúcich kľúčové slová. eTrust tiež vedie kvantitatívne záznamy o prevádzke v sieti.

Zistili sa vírusy a nebezpečné komponenty Java/ActiveX. Pokusy používateľov uhádnuť heslo pre vstup do systému sú identifikované a zaznamenané, čo môže byť následne užitočné pri organizačných rozhodnutiach vedenia spoločnosti.

eTrust Intrusion Detection poskytuje kontextové prezeranie všetkých paketov cirkulujúcich v lokálnej sieti a ich blokovanie, ak existujú kľúčové slová definované správcom.

Bezpečnosť NFR

Spoločnosť bola založená v roku 1996 s cieľom vyvíjať pokročilé IDS systémy.

Systém NFR NID zabezpečuje monitorovanie sieťovej prevádzky v reálnom čase, identifikuje podozrivú aktivitu, rôzne útoky, zakázané správanie používateľov v sieti a rôzne štatistické odchýlky. Použité senzory môžu pracovať rýchlosťou 1 Gbps a 100 Mbps bez straty paketov. Na rozdiel od tradičných systémov IDS (porovnanie prevádzky so signatúrami útokov), NFR NID využíva špecializovanú znalostnú bázu, kontroluje aktivitu v sieti pomocou známych exploitov, čo umožňuje odhaliť nové typy útokov v prevádzke, ako Code Red a Nimda.

NFR HID funguje na úrovni hostiteľa, umožňuje identifikovať slabé miesta a slabé bezpečnostné politiky, odhaliť podozrivú aktivitu používateľov a monitorovať chránený hostiteľ na úrovni sieťových útokov. Je schopný podporovať až 10 tisíc hostiteľov, čo je veľmi výhodné vo veľkých sieťach. Systém používa dva typy programov agentov: Agent analýzy protokolov monitoruje súbory protokolu jadra a siete vrátane syslogov. Network Node Agent monitoruje sieťovú prevádzku a deteguje DoS útoky na chránenom hostiteľovi (odmietnutie služby), FTP útoky na získavanie hesiel, Web phf útoky, CGI skeny, BackOrifice skeny atď. Je vhodný pre prácu v sieťach so šifrovaním a v prepínaných siete.

Tripwire

História vývoja Tripwire a NFR, ako aj niektoré funkčné vlastnosti ich produktov, sú načrtnuté v rovnakom prehľade v. Všimnite si, že existujú tri hlavné produkty tejto spoločnosti, ktorých názvy hovoria samy za seba (pre servery, pre sieťové zariadenia a pre webové stránky). Ich hlavnou technologickou vlastnosťou je výpočet kontrolných súčtov hlavných súborov a modulov.

Odfrknite si

Snort je ľahký systém detekcie narušenia. Program analyzuje prenosový protokol, deteguje rôzne útoky, ako sú pretečenie vyrovnávacej pamäte, skenovanie, útoky CGI, pokusy o určenie OS atď. Snort používa špeciálne pravidlá na vyhľadávanie útokov v prevádzke. Systém je jednoduchý na nastavenie a údržbu, no pomerne veľa sa dá nastavovať „ručne“, bez pohodlného grafického rozhrania.

Program pracuje v troch režimoch: sniffer, záznamník paketov a systém detekcie narušenia siete. V prvom prípade systém skenuje pakety na úrovni siete a odosiela informácie o nich do konzoly, v druhom zapisuje protokolové súbory na disk, v treťom analyzuje sieťovú prevádzku, aby sa zhodovala so signatúrami útoku a signalizuje ich.

Internetwork Research group, BBN Technologies

Produkty série NIDS SecureNet zahŕňajú zariadenia určené pre vysokorýchlostné siete (SecureNet 5000 a 7000), ochranu osobných počítačov (SecureNet 2000), ako aj monitorovací systém SecureNet Provider a vyhradený softvér SecureNet Pro.

Systém SecureHost (host-based IDS) je navrhnutý tak, aby chránil PC a servery zavedením špeciálnych senzorov - agentských programov. Agenti zabezpečujú rozhodovanie v reálnom čase v prípade útoku v súlade s prijatou politikou ochrany. Softvérový balík Intrusion SecureHost pozostáva z riadiacej konzoly založenej na Microsoft Windows 2000 Server a agentov spustených na systémoch so systémom Microsoft Windows NT, Windows 2000 alebo Sun Solaris 2.8.

ohnivá búrka

Vysokorýchlostný NIDS Firestorm, ktorý vyvinul Gianni Tedesco a je voľne distribuovaný, je v súčasnosti prezentovaný hlavne ako senzor so systémom Linux. Vlastnosti systému sú:

• informácie sa zhromažďujú pomocou knižníc libpcap, ktoré umožňujú zachytávať pakety zo sieťovej prevádzky;
• systém podporuje pravidlá napísané pre Snort;
• ľahko konfigurovateľné úpravou súboru firestorm.conf;
• rozumie prevádzkovému režimu stavovej kontroly (technológia kontroly paketov založená na stave protokolu);
• pripravuje protokolové súbory vo formáte ASCII alebo tcpdump;
• koreluje udalosti;
• dáva signály o útoku na vzdialené zariadenie- konzola.

Avšak (ako je to často v prípade slobodného softvéru), tento systém je náchylný na útoky. Existuje možnosť útoku na tento systém, ktorý spôsobí zablokovanie NIDS. Útok už bol popísaný v news feedoch, problémom sa ukázala chyba modulu spracovania pamäte.

Psionické technológie

TriSentry (predtým nástroje Abacus Project) sú navrhnuté tak, aby zlepšili bezpečnosť firemnej siete detekciou rôznych útokov. Systém sa skladá z troch základných komponentov: PortSentry, HostSentry a LogSentry. IDS je navrhnutý tak, aby fungoval v prostredí UNIX.

PortSentry je jednoduchý detektor skenovania, ktorý ukončí komunikáciu medzi hostiteľom obete a útočníkom. Hostiteľ „resetuje“ miestne trasy, nastavuje pravidlá dynamického prístupu a pridáva hostiteľa špeciálne súbory TCP wrappers hosts.deny, a to všetko sa deje v reálnom čase.

Program HostSentry umožňuje bezpečnostnému správcovi zistiť nezvyčajnú aktivitu používateľa (Login Anomaly Detection, LAD).

LogSentry (predtým známy ako Logcheck) automaticky monitoruje súbory systémové denníky narušenia bezpečnosti v poštových systémoch. Táto sada programov, ktorá sa predtým dodávala s firewallom TIS Gauntlet, bola výrazne prepracovaná, aby mohla auditovať širší rozsah systémov.

Lancope

Hardvérový a softvérový systém StealthWatch je výkonný systém na monitorovanie, detekciu a reakciu na útoky vo vysokorýchlostnom prostredí. Na rozdiel od tradičných systémov má architektúru založenú na toku, ktorá vám umožňuje odhaliť nové útoky bez prístupu k databáze existujúcich podpisov. Nová architektúra poskytuje pokročilú detekciu útokov na základe anomálnej aktivity, prevádzku vo vysokorýchlostnom prostredí (od 100 Mbps full duplex po 1 Gbps) a výrazne menšiu odozvu na falošné útoky.

OneSecure

AT The OneSecure Intrusion Detection and Prevention (IDP), spoločnosť navrhla špeciálny mechanizmus – Multi-Method Detection (MMD), ktorý kombinuje najznámejšie metódy detekcie zraniteľností.

Regresné technológie

Spoločnosť ponúka dva produkty: ManTrap poskytuje ochranu pre najkritickejšie servery, ManHunt deteguje útoky na úrovni siete, a to aj v gigabitovom prostredí. Používajú sa distribuované senzory a centrálny server spracovania a rozhodovania. Technika vyvinutá spoločnosťou (zero-day) zároveň odhaľuje nielen známe, ale aj nové útoky.

Produkty Emerald, NetStat, Shadow a Bro sú podrobne diskutované v "BYTE/Russia", č. 10"2001.

Nové trendy

Prepínače sa čoraz častejšie používajú v firemné siete, pretože majú väčšiu šírku pásma ako rozbočovače a chránia pred útokmi pomocou programov na zachytenie dôverných informácií. Problémy s používaním NIDS však pretrvávajú. Existujú prepínače so zrkadlením portov (porty SPAN), ktoré kopírujú údaje prechádzajúce prepínačom na vyhradený port. Teoreticky je pomocou SPAN portu možné kontrolovať celý dátový tok, ak však množstvo zrkadlenej prevádzky prekročí povolenú hranicu, začnú straty paketov.

Pre gigabitovú sieť už existujú riešenia, no je tu ďalší problém – šifrovanie. Žiaden sebaúctyhodný správca dnes nepracuje na diaľku so svojimi systémami bez SSH alebo SSL a keďže prenos dát je šifrovaný, problém s používaním IDS zostáva. Spočíva v nemožnosti dešifrovať všetku komunikáciu a v dôsledku toho kontrolovať signatúry útoku. V blízkej budúcnosti takmer všetci výrobcovia (ak chcú zaujať svoje právoplatné miesto na trhu IDS) dokončia svoje produkty na použitie v gigabitovej sieti.

Ďalšou otázkou je zber informácií a ich analýza. Aj ten najserióznejší bezpečnostný špecialista je tiež človek a nemusí si všimnúť niektoré detaily, ktoré pred ním zatajia prípravu alebo vykonanie útoku na hostiteľa spoločnosti. Projekty Spice and Spade boli spustené na vývoj technológie na detekciu anomálnej aktivity a mali by pomôcť pri riešení tohto problému.

IDS sa nepochybne vyvíja smerom k zberu a korelácii informácií. V tomto prípade by informácie mali pochádzať z rôznych zdrojov (senzorov). S najväčšou pravdepodobnosťou sa rozdiely medzi NIDS a HIDS postupne stratia a v budúcnosti sa vytvoria (aspoň v jednoduchých prípadoch) centralizované riadiace systémy s rozhodovacími schopnosťami, ktoré výrazne znížia zaťaženie správcov zodpovedných za bezpečnosť počítačov. siete.