İzinsiz girişlerin tespiti ve önlenmesi için ücretsiz programların gözden geçirilmesi. Ağ saldırıları

30.05.2019

Kötü niyetli kişiler nadiren ellerinde "silahlar" olan bir ağa davetsizce izinsiz girerler. Kapılardaki kilitlerin sağlam olup olmadığını ve tüm pencerelerin kapalı olup olmadığını kontrol etmeyi tercih ederler. Ağınıza giren ve çıkan trafik kalıplarını, bireysel IP adreslerini gizlice analiz ederler ve bireysel kullanıcılara ve ağ cihazlarına yönelik görünüşte tarafsız sorgular yayınlarlar.

Bu akıllıca kamufle edilmiş düşmanları tespit etmek için, yüksek hassasiyete sahip akıllı ağ saldırısı tespit yazılımı yüklemeniz gerekir. Satın alınan ürün, yöneticiyi yalnızca bilgi güvenliği sisteminin açık bir şekilde ihlal edildiği durumlar hakkında değil, aynı zamanda ilk bakışta tamamen zararsız görünen şüpheli olaylar hakkında da uyarmalıdır, ancak gerçekte tam ölçekli bir hacker saldırısını gizler. Söylemeye gerek yok, sistem parolalarını kırmaya yönelik herhangi bir aktif girişim, derhal yöneticiye bildirilmelidir.

Modern şirketler, değerli bilgileri çalmaya veya bilgi sistemlerini devre dışı bırakmaya çalışan saldırganların tam anlamıyla çapraz ateşi altındadır. Bilgisayar korsanlarına karşı mücadelede izlenen görevler oldukça açıktır:

- yetkisiz erişim girişiminin bildirimi hemen yapılmalıdır;

- saldırının yansıması ve kayıpların en aza indirilmesi (davetsiz misafire direnmek için onunla iletişim oturumunu hemen kesmelisiniz);

- karşı saldırıya geçiş (saldırgan belirlenmeli ve cezalandırılmalıdır).

Bugün piyasadaki en popüler dört ağ saldırısı algılama sistemini test ederken kullanılan senaryo buydu:

- Davetsiz Misafir Uyarısı;

– eTrust İzinsiz Giriş Tespiti.

Ağ saldırılarını tespit etmeye yönelik bu yazılım sistemlerinin özellikleri Tablo'da verilmiştir. 3.2.

Network ICE'nin BlackICE'ı, yalnızca davetsiz misafirleri tespit etmek için tasarlanmış özel bir aracı uygulamasıdır. Davetsiz bir misafir bulduktan sonra, farklı ajanlardan alınan bilgileri analiz eden ve ağdaki saldırıyı yerelleştirmeye çalışan ICEcap kontrol modülüne bu olay hakkında bir rapor gönderir.

Alert Technologies'in Intruder Alert yazılımı, ağ güvenliği stratejilerini tanımlamada size en fazla esnekliği sağladığı için daha çok bir güvenlik araç takımı gibidir.

CyberSafe'in Centrax'ı, güvenlik kontrolleri, trafik izleme, saldırı algılama ve uyarı mesajları içeren hepsi bir arada bir pakettir.

Computer Associates'in eTrust İzinsiz Giriş Tespiti, hala gerçek zamanlı uyarılar, veri şifreleme ve izinsiz giriş tespiti içermesine rağmen, güvenlik izleme ve politika yönetiminde özellikle güçlüdür.

Tablo 3.2. Ağ saldırı tespit yazılım sistemlerinin özellikleri
Yazılım sistemi	Üretici firma	Sistem karakteristiği
BlackICE (özel aracı uygulaması)	ağ ICE	Uzak bir kullanıcının bilgisayarına veya bir kurumsal ağ ana bilgisayarına kurulur. Kullanıcının monitör ekranında bir saldırı hakkında bir uyarı verir. Ağ izleme araçlarıyla kurcalama girişimi hakkında bilgi verir. Sunucudan hacker saldırılarının yeni imzalarını indirme yeteneğine sahiptir. Bir ağ saldırısının kaynağını tanımlar.
Saldırgan Uyarısı (ağ saldırısı algılama aracı)	Uyarı Teknolojileri	Ağ güvenlik stratejisini seçer. Yüksek düzeyde ağ koruma kurallarını destekler. Hacker saldırılarının imzalarını indirir. Deneyimli servis teknisyenleri gerektirir.
Centrax (ağ saldırısı algılama aracı)	siber güvenli	Ağ güvenlik sistemini kontrol eder. Trafiği izler. Bir ağ saldırısı hakkında uyarı mesajları verir. Deneyimli servis teknisyenleri gerektirir.
eTrust Saldırı Tespiti (segment ağ trafiği analizörü)	Bilgisayar Ortakları	Koruma stratejilerini yönetir. Gerçek zamanlı saldırı uyarıları verir. Trafiği izler. Yöneticiyi güvenlik ilkesi ihlalleri konusunda uyarır. E-postada küfür varlığını bildirir. Saldırgan hakkında bilgi var

BlackICE temsilcileri tarafından oluşturulan uyarılar çok spesifiktir. Mesaj metni, yöneticinin kayıtlı etkinliğin doğasından ve çoğu durumda öneminden şüphe etmesine neden olmaz. Ayrıca ürün, yöneticinin kendi uyarı mesajlarının içeriğini özelleştirmesine izin verir, ancak genel olarak bu gerekli değildir.

Network ICE geliştirmelerinin ve ayrıca Intruder Alert paketinin çok kullanışlı bir özelliği, sunucudan en son hacker saldırı imzalarını indirme yeteneğidir.

Sonuç olarak hizmet taleplerini (hizmet reddi) reddetmek zorunda kalan kurumsal bir sunucuyu devre dışı bırakma girişimleri, müşterilerine küresel ağ üzerinden hizmet sağlayan şirketlerin işleri için oldukça ciddi bir tehditle doludur. Saldırının özü, saldırganın saldırıya uğrayan sunucuya yönelik binlerce SYN isteği (bağlantı kurmak için) oluşturmasıdır. Her istek sahte bir kaynak adresi ile sağlanır, bu da saldırının gerçekliğini doğru bir şekilde tanımlamayı ve saldırganın izini sürmeyi çok daha zor hale getirir. Bir sonraki SYN talebini alan sunucu, bunun yeni bir iletişim oturumunun başlangıcı olduğunu varsayar ve veri iletimi bekleme moduna geçer. Daha sonra hiçbir veri alınmamasına rağmen, sunucu bağlantıyı sonlandırmadan önce belirli bir süre (en fazla 45 saniye) beklemelidir. Birkaç dakika içinde bu yanlış isteklerden binlercesi sunucuya gönderilirse, aşırı yüklenecektir, bu nedenle belirli bir hizmetin sağlanması için gerçek istekleri işlemek için hiçbir kaynak kalmayacaktır. Yani bir SYN saldırısı sonucunda gerçek kullanıcılara hizmet verilmeyecektir.

Computer Associates'in eTrust Saldırı Tespiti dışında açıklanan tüm sistemler, önce ağ cihazlarına yüklenen ve ardından olası saldırılar hakkında bilgi toplayan ve konsola gönderen bir yazılım aracıları modelini kullanır. Aracılar, yerleşik koruma ilkelerinin ihlallerini tespit eder ve ardından uygun mesajları üretir.

Aracı tabanlı sistemler, anahtarlamalı ağlar için en iyi çözümdür çünkü bu tür ağlarda tüm trafiğin geçmesi gereken tek bir nokta yoktur. Aracı, tek bir bağlantıyı izlemek yerine, kurulu olduğu aygıt tarafından alınan veya gönderilen tüm paketleri izler. Sonuç olarak, saldırganlar anahtarda "oturamazlar".

Yukarıdakiler, Network ICE ürünleri örneği ile gösterilebilir. BlackICE programına, örneğin uzak bir kullanıcının bilgisayarında veya bir kurumsal veri iletim ağının düğümlerinden birinde, tamamen özerk bir işletim ortamında kurulan bir aracı rolü atanır. Bir bilgisayar korsanının uzak bir makineye saldırdığını tespit ettiğinde, aracı doğrudan ekranına bir uyarı verir. Şirket ağında benzer bir olay kaydedilirse, ağ izleme araçlarını içeren başka bir uygulamaya - ICEcap'e yetkisiz erişim girişimi hakkında bir mesaj gönderilir. İkincisi, kendisine bağlı farklı aracılardan gelen bilgileri toplar ve karşılaştırır ve bu, ağın güvenliğini gerçekten tehdit eden olayları hızlı bir şekilde tanımlamasını sağlar.

eTrust sistemi ise aksine, merkezi bir mimariye dayanmaktadır. Merkezi düğüme kurulur ve alt ağ segmentindeki trafiği analiz eder. Aracıların olmaması, bu ürünün anahtarlanmış bir ağdaki tüm olayları izlemesine izin vermez, çünkü tüm ağın bir bakışta görülebileceği tek bir "gözcü" seçmek mümkün değildir.

Hırsız Uyarısı paketi ve CyberSafe Centrax sistemi, kendi ağ saldırı algılama sisteminizi oluşturmak için daha çok araçlardır. Fırsatlarından tam olarak yararlanmak için, bir kuruluşun kadrosunda uygun niteliklere sahip programcılar olması veya bu tür işleri sipariş etmek için bir bütçesinin olması gerekir.

Açıklanan tüm ürünlerin kurulumu kolay olsa da, Hırsız Uyarısı ve Centrax sistemlerini yönetmek kolay değildir. Örneğin, Centrax bilinmeyen veya belirsiz içerikle ilgili bir uyarı mesajı verirse (ve bu durum testlerimizde birden fazla kez meydana geldi), yöneticinin, özellikle olaya atıfta bulunması gerekiyorsa, gerçekte ne olduğunu hızlı bir şekilde belirlemesi olası değildir. tanıyı netleştirmek için günlük dosyaları. . Bu dosyalar ayrıntılıdır, ancak geliştiriciler, görünüşe göre, sıradan bir insanın neyin tartışılabileceğine dair ipucu vermesinin yeterli olduğuna ve neler olup bittiğinin açık bir şekilde tanımlanacağına karar verdi. Bu sistemin günlükleri, verilen uyarıların açıklamalarını içerir, ancak uyarı tanımlayıcıları içermez. Yönetici, şüpheli isteklerin ilişkili olduğu bağlantı noktası adreslerini veya diğer işlemlerin parametrelerini görür, ancak tüm bunların ne anlama geldiği hakkında herhangi bir bilgi almaz.

Belirtilen durum, gerçek zamanlı mesajların değerini önemli ölçüde azaltır, çünkü olayın açıklamasının güvenlik sistemine gerçek bir tehdidi yansıtıp yansıtmadığını veya yalnızca daha kapsamlı bir trafik analizi yürütme girişimi olup olmadığını hemen anlamak imkansızdır. Başka bir deyişle, bu ürünleri ancak kuruluşunuzun kadrosunda deneyimli bilgi güvenliği uzmanları varsa satın almak mantıklıdır.

Computer Associates'in eTrust Saldırı Tespiti yazılımı, ağ etkinliğini izlemek ve korsan saldırılarını tespit etmek için kullanılan bir sistemden daha fazlasıdır. Bu ürün, yalnızca çeşitli protokollerin ve hizmet trafiğinin paketlerinin kodunu çözmekle kalmaz, aynı zamanda orijinal formatta kontrol konsoluna sonraki çıkış için onları durdurabilir. Sistem, tüm TSRYP trafiğini izler ve yerleşik bilgi güvenliği stratejilerinin ihlali konusunda yöneticiyi uyarır. Doğru, bu geliştirme, Davetsiz Misafir Uyarısı ile aynı kural küme ayrıntı düzeyini desteklemez.

Ancak, yetkisiz erişim girişimlerini tespit etmek ve uyarı mesajları vermek, savaşın sadece yarısıdır. Güvenlik duvarı yazılımı, bilgisayar korsanını durdurmalı ve karşı önlemler almalıdır. Bu anlamda, Intruder Alert ve Centrax paketleri, yapılandırma ayarları açısından çok fazla eleştiriye neden olan en iyi izlenimi veriyor. Network ICE yazılımı ve eTrust yazılımı tehdit edici iletişimleri anında kapatırken, Intruder Alert ve Centrax daha da ileri gider. Örneğin, Axent Technologies'den bir uygulama, hizmet reddi saldırısına uğrayan bir sunucuyu yeniden başlatmak gibi günlüğe kaydedilen olayların doğasına bağlı olarak belirli bir toplu iş dosyasını çalıştıracak şekilde yapılandırılabilir.

Saldırıyı püskürttükten sonra, hemen karşı saldırıya geçmek istiyorum. Black-ICE ve Centrax uygulamaları, bilgisayar korsanı kimliklerine sahip tabloları destekler. Bu tablolar, düşmanın saklandığı "in"e kadar tüm yolu izledikten sonra doldurulur. BlackICE yazılımının yetenekleri, özellikle ağın içinde veya dışında bulunan bir saldırının kaynağının belirlenmesi söz konusu olduğunda etkileyicidir: sayısız akıllı manevraya rağmen, hiçbir zaman gizli kalmayı başaramadık.

Ancak eTrust sistemi, her ağ kullanıcısının faaliyetlerinin doğasına nüfuz etme derecesi ile göze çarpar ve çoğu zaman onun yakın gözetim altında olduğundan şüphelenmez. Aynı zamanda, bu paket davetsiz misafirler hakkında, bulundukları yerde bile en eksiksiz (ve belki de en doğru) bilgiyi sağlar.

Centrax uygulaması, ikincil bir dosyaya "Vedomosti.xls" gibi anlamlı bir ad vererek ve böylece aşırı meraklı kullanıcıları yanıltarak, sözde sahte dosyalar oluşturabilir. Bu algoritma bize çok basit görünüyor, ancak iyi bir iş de yapabilir: onun yardımıyla, gizli bilgileri tanımlamak için şirket ağını "tarayan" çalışanları "yakalamak" mümkündür.

Dikkate alınan yazılım ürünlerinin her biri, şüpheli ağ etkinliği vakaları hakkında raporlar oluşturur. ICEcap ve eTrust İzinsiz Giriş Tespiti uygulamaları, bu tür raporların yüksek kalitesi ve bunlarla çalışmanın rahatlığı ile ayırt edilir. İkinci paket, belki de bir protokol kod çözücüsünden türetildiği için özellikle esnektir. Özellikle yönetici, ağ olaylarını protokoller, istemci istasyonları veya sunucular gibi bireysel kaynaklar açısından analiz edebilir. eTrust, önceden tasarlanmış birçok rapor formatı sağlar. İyi düşünülmüş yapıları, davetsiz misafirlerin tespitini büyük ölçüde kolaylaştırır ve suçlu kullanıcıları cezalandırmanıza olanak tanır.

Her ürünün kendi güçlü ve zayıf yönleri vardır, bu nedenle yalnızca belirli görevler için önerilebilir. Anahtarlamalı ağların korunması söz konusu olduğunda, Network ICE, Axent Technologies ve CyberSafe iyi seçimlerdir. eTrust Saldırı Tespiti, e-posta mesajlarındaki küfür gibi iş etiği ihlallerinin erken bildirimi için idealdir. Hırsız Uyarısı ve Centrax sistemleri, bilgi güvenliği danışmanları ve güvenlik profesyonellerinden oluşan bir kadroya sahip kuruluşlar için mükemmel araçlardır. Ancak, yüksek ücretli uzmanların hizmetlerini kullanmaya gücü yetmeyen şirketler için Network ICE ürünlerini yüklemenizi öneririz. Bu uygulamalar, daha önce gördüğümüz hiçbir sistem gibi gerçek bir güvenlik duvarı uzmanının yerini alacak.

Bu tür sistemlerin tam adı Saldırı önleme ve algılama sistemleri. Veya yaklaşımlardan biri olarak SOA diyorlar. SOA'nın çalışma prensibi, bilgi sisteminde meydana gelen aktiviteyi sürekli olarak izlemektir. Ayrıca, şüpheli etkinlik tespit edildiğinde, belirli kişileri önlemek ve sinyal vermek için belirli mekanizmalar alın. Bu tür sistemler karar vermelidir.

Saldırı tespitini azaltan çeşitli araçlar ve tipik yaklaşımlar vardır.

Koruma için tek bir güvenlik duvarının yeterli olduğu günler geride kaldı. Günümüzde işletmeler, işletmeyi olası tehdit ve risklerden sınırlamak için güçlü ve büyük yapılandırılmış koruma sistemleri uygulamaktadır. Hizmet reddi (DDoS) saldırıları gibi saldırıların ortaya çıkmasıyla, paketlerin kaynak adresi, saldırının yönlendirilmiş mi yoksa rastgele mi olduğu konusunda size net bir cevap veremez. Bir olaya nasıl yanıt vereceğinizi ve ayrıca bir saldırganı nasıl tanımlayacağınızı bilmeniz gerekir (Şekil 1).

Eylem için aşağıdaki özelliklerle bir saldırganı tanımlayabilirsiniz:

bariz delikler uygular
ağa girmek için tekrarlanan girişimlerde bulunur
izlerini kapatmaya çalışıyor
farklı zamanlarda saldırılar uygular

Resim 1

Saldırganları sıradan ve deneyimli olarak da ayırabilirsiniz. Birincisi, sunucuya başarısız bir erişim girişimi olması durumunda başka bir sunucuya gidecektir. İkincisi, aşağıdaki saldırıları uygulamak için kaynakla ilgili analizler yapacaktır. Örneğin, yönetici IDS günlüğünde birinin posta sunucunuzun bağlantı noktalarını taradığını görür, ardından SMTP komutları 25 numaralı bağlantı noktasındaki aynı IP adresinden gelir. Saldırganın davranış şekli, karakteri, niyetleri vb. hakkında çok şey söyleyebilir. Şekil 2, etkili saldırı tespiti için algoritmayı göstermektedir. Tüm saldırı algılama hizmetleri, ilk algoritmaları kullanır:

kötüye kullanım tespiti
anomali tespiti

Çizim - 2

Algılama sistemlerinin iyi bir şekilde yerleştirilmesi için aşağıdakileri içeren bir ağ şeması çizmeniz gerekir:

segment sınırları
ağ segmentleri
güvenilen ve güvenilmeyen nesneler
ACL'ler - Erişim Kontrol Listeleri
Hizmetler ve sunucular

Yaygın bir hata, bir saldırganın ağınızı analiz ederken aradığı şeydir. İzinsiz giriş tespit sistemi trafik analizi kullandığından, üreticiler performans düşüşü olmadan tüm paketleri durdurmak için ortak bir bağlantı noktası kullanmanın imkansız olduğunun farkındadır. Bu nedenle, algılama sistemlerinin etkin bir şekilde ayarlanması çok önemli bir görevdir.

Saldırı tespit araçları

İzinsiz giriş tespit teknolojisi aşağıdakileri gerçekleştirebilmelidir:

Popüler saldırıların tanınması ve belirli kişilere uyarılması
anlamak belirsiz saldırı veri kaynakları
Güvenlik dışı profesyoneller tarafından koruma yöntemlerini yönetme becerisi
Bilgi ağı konularının (programlar, kullanıcılar vb.)
Güvenlikten sorumlu personelin işlevlerinin serbest bırakılması veya azaltılması, mevcut rutin kontrol işlemleri

Sıklıkla Saldırı Tespit Sistemleri uygulama aralığını genişleten işlevleri uygulayabilir. Örneğin:

Verimlilik kontrolü. Güvenlik duvarındaki eksik kuralları belirlemek için algılama sistemini güvenlik duvarının arkasına yerleştirmek mümkündür.
Eski yazılımlarla ana bilgisayarların kontrolü
Belirli İnternet kaynaklarına erişimi engelleme ve kontrol etme. Güvenlik duvarı gibi yeteneklerden uzak olsalar da güvenlik duvarı alacak para yoksa saldırı tespit sisteminin fonksiyonlarını genişletebilirsiniz.
E-posta kontrolü. Sistemler, e-postalardaki virüsleri izleyebilir ve gelen ve giden e-postaların içeriğini analiz edebilir

Bilgi güvenliği profesyonellerinin deneyim ve zamanını en iyi şekilde kullanmak, tespit etmek ve ortadan kaldırmaktır. sebepler saldırıları kendilerini tespit etmek yerine Bir saldırının mümkün olduğu nedeni ortadan kaldırmak, birçok zaman ve finansal kaynak tasarrufu sağlayacaktır.

Saldırı tespit sistemlerinin sınıflandırılması

Saldırı tespit sistemlerinin birçok sınıflandırması vardır ancak bunlardan ilki uygulama prensibine göre yapılan sınıflandırmadır:

ana bilgisayar tabanlı - sistem belirli bir ağ düğümüne yönlendirilir
ağ tabanlı - sistem tüm ağ veya ağ segmentine yöneliktir

Belirli bilgisayarlara kurulan saldırı tespit sistemleri, genellikle işletim sistemi günlüklerinden ve çeşitli uygulamalardan gelen verileri analiz eder. Ancak son zamanlarda, işletim sistemi çekirdeğiyle yakından entegre olan programlar yayınlandı.

Saldırı tespit sistemlerinin avantajları

Anahtarlama, büyük ağların sanki birkaç küçük ağ parçasıymış gibi yönetilmesine olanak tanır. Saldırıların belirli bir düğüm düzeyinde algılanması, anahtarlamalı ağlarda daha verimli çalışma sağlar, çünkü algılama sistemlerini ihtiyaç duyulan yerlere bu düğümlere koymanıza izin verir.

Ağ katmanı sistemlerinde, ana bilgisayarda izinsiz giriş tespit sistemi yazılımının kurulu olması gerekmez. Bir ağ segmentini kontrol etmek için, bu segmentteki düğüm sayısından bağımsız olarak yalnızca bir sensöre ihtiyaç vardır.

Bir saldırgandan gönderilen bir paket geri döndürülmez. Ağ düzeyinde çalışan sistemler, canlı trafikle yani gerçek zamanlı olarak saldırı tespitini uygular. Analiz edilen bilgiler mahkemede delil teşkil edecek verileri içerir.

Ağ düzeyinde çalışan algılama sistemleri, işletim sisteminden bağımsızdır. Bu tür sistemler için paketi hangi işletim sisteminin oluşturduğu önemli değildir.

Örnek Karşılaştırma Teknolojisi

İlke, pakette belirli bir sabit bayt dizisinin varlığının bir analizinin olmasıdır - bir şablon veya imza. Örneğin, bir IPv4 protokolü ve TCP aktarım protokolü paketi 222 numaralı bağlantı noktasına yönelikse ve veri alanında şu dizeyi içeriyorsa: ahmak, bu bir saldırı olarak kabul edilebilir. Olumlu taraflar:

en basit saldırı tespit mekanizması;
desenin saldıran paketle tam olarak eşleşmesine izin verir;
tüm protokoller için çalışır;
örnek doğru bir şekilde tanımlanırsa bir saldırı sinyali güvenilirdir.

Olumsuz taraflar:

saldırı standart değilse, kaçırma şansı vardır;
kalıp çok genelse, yüksek oranda yanlış pozitif olması muhtemeldir;
Bir saldırı için birkaç örnek oluşturmak gerekli olabilir;
Mekanizma bir paketin analizi ile sınırlıdır, saldırının gidişatını ve gelişimini yakalamak mümkün değildir.

Devlet Uyum Teknolojisi

Saldırı doğası gereği tek bir paket değil, bir paket akışı olduğundan, bu yöntem bir veri akışıyla çalışır. Bir karar verilmeden önce her bağlantıdan birkaç paket kontrol edilir.
Önceki mekanizma ile karşılaştırıldığında, hat ahmak belki iki paket fo Ve Ö. İki yöntemin işleyişinin sonucunun açık olduğunu düşünüyorum.
Olumlu taraflar:

bu yöntem önceki yöntemden biraz daha karmaşıktır;
model geçerliyse bir saldırı raporu doğrudur;
saldırıyı örnekle güçlü bir şekilde ilişkilendirmenizi sağlar;
tüm protokoller için çalışır;
bir saldırıdan kaçmak önceki yönteme göre daha zordur.

Olumsuz taraflar:

Tüm negatif kriterler önceki yöntemdekiyle aynıdır.

Protokol şifre çözme ile analiz

Bu yöntem, bireysel protokollerde saldırı denetimi uygular. Mekanizma protokolü tanımlar ve uygun kuralları uygular. Olumlu taraflar:

protokol kesin olarak tanımlanmışsa, yanlış pozitif olasılığı azalır;
deseni saldırıya katı bir şekilde bağlamanıza izin verir;
protokollerle çalışma kurallarının ihlali durumlarını belirlemenizi sağlar;
birine dayalı olarak farklı saldırı türlerini yakalamanıza olanak tanır.

Olumsuz taraflar:

Mekanizmanın ayarlanması zordur;
Protokol standardı tutarsızlıklara izin veriyorsa, yüksek oranda yanlış pozitif olması muhtemeldir.

Statik Analiz

Bu yöntem, saldırıları tespit etmek için mantığın uygulanmasını içerir. İstatistiksel bilgiler trafiği analiz etmek için kullanılır. Bu tür saldırıları tespit etmenin bir örneği, port taramalarını tespit etmek olabilir. Mekanizma için tek bir host üzerinde uygulanabilen portlar için limit değerler verilmiştir. Böyle bir durumda, toplamda tek bir yasal bağlantı, saldırının bir tezahürünü verecektir. Olumlu taraflar:

Sadece bu mekanizma ile tespit edilebilen saldırı türleri vardır.

Olumsuz taraflar:

Bu tür algoritmalar karmaşık ince ayar gerektirir.

Anomali Tabanlı Analiz

Bu mekanizma, saldırıları net bir şekilde tespit etmek için değil, normalden farklı şüpheli faaliyetleri tespit etmek için kullanılır. Böyle bir mekanizma kurmanın temel sorunu, kriterin tanımıdır. normal aktivite. Ayrıca normal trafikten izin verilen ve saldırı olmayan sapmaları da hesaba katmanız gerekir. Olumlu taraflar:

Düzgün yapılandırılmış bir çözümleyici, bilinmeyen saldırıları bile algılar, ancak yeni kurallar ve saldırı imzaları oluşturmak için ek çalışma gerekir.

Olumsuz taraflar:

Mekanizma, her bir unsur için saldırının bir tanımını göstermiyor, ancak durumla ilgili şüphesini bildiriyor.
Sonuç çıkarmak için yeterli yararlı bilgi yok. Ağ genellikle işe yaramaz olarak yayınlanır.
Belirleyici faktör çalışma ortamıdır.

Tespit edilen saldırılara tepki çeşitleri

Bir saldırıyı tespit etmek savaşın yarısıdır, ayrıca belirli eylemlerde bulunmanız gerekir. Bir saldırı tespit sisteminin etkinliğini belirleyen yanıt seçenekleridir. Aşağıda aşağıdaki yanıt seçenekleri bulunmaktadır.

Ağ saldırılarını algılama prosedürü.

1. Ağ saldırılarının sınıflandırılması

1.1. Paket koklayıcılar

Paket dinleyicisi, karışık modda çalışan bir ağ kartı kullanan bir uygulama programıdır ( bu modda, fiziksel kanallar aracılığıyla alınan tüm paketler ağ bağdaştırıcısı tarafından işlenmek üzere uygulamaya gönderilir.). Bu durumda, sniffer, belirli bir etki alanı aracılığıyla iletilen tüm ağ paketlerini yakalar.

1.2. IP sahtekarlığı

IP sahtekarlığı, sistem içinde veya dışında bir bilgisayar korsanı yetkili kullanıcı olarak göründüğünde meydana gelir. Bu iki şekilde yapılabilir. İlk olarak, bir bilgisayar korsanı, yetkili IP adresleri aralığındaki bir IP adresini veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adresi kullanabilir. IP sızdırma saldırıları genellikle diğer saldırıların başlangıç noktasıdır. Klasik bir örnek, başka birinin adresinin bilgisayar korsanının gerçek kimliğini gizlemesiyle başlayan bir DoS saldırısıdır.

Tipik olarak, IP sahtekarlığı, bir istemci ve sunucu uygulaması arasında veya eşler arasındaki bir iletişim kanalı üzerinden iletilen normal bir veri akışına yanlış bilgiler veya kötü amaçlı komutlar eklemekle sınırlıdır. İki yönlü iletişim için bir bilgisayar korsanı, trafiği sahte bir IP adresine yönlendirmek için tüm yönlendirme tablolarını değiştirmelidir. Ancak bazı bilgisayar korsanları uygulamalardan yanıt almayı bile denemez. Asıl görev sistemden önemli bir dosya almak ise başvuruların cevapları önemli değil.

Bilgisayar korsanı yönlendirme tablolarını değiştirmeyi ve trafiği sahte bir IP adresine yönlendirmeyi başarırsa, bilgisayar korsanı tüm paketleri alacak ve onlara yetkili bir kullanıcıymış gibi yanıt verebilecektir.

1.3. Hizmet Reddi ( Hizmet Reddi - DoS)

DoS, hacker saldırılarının en bilinen şeklidir. Bu tür saldırılara karşı yüzde yüz koruma oluşturmak en zorudur.

En ünlü DoS türleri:

TCP SYN Flood Ölüm Kabilesi Flood Ağının Ping'i ( TFN);
Kabile Sel Ağı 2000 TFN2K);
Trinco;
Stacheldracht;
Üçlü.

DoS saldırıları diğer saldırı türlerinden farklıdır. Ağa erişim sağlamak veya bu ağdan herhangi bir bilgi almak için tasarlanmamışlardır. Bir DoS saldırısı, ağın, işletim sisteminin veya uygulamanın izin verilen sınırlarını aşarak bir ağın normal kullanım için kullanılamamasına neden olur.

Bazı sunucu uygulamalarını kullanırken (Web sunucusu veya FTP sunucusu gibi) DoS saldırıları, bu uygulamalar için mevcut olan tüm bağlantıları alıp onları meşgul durumda tutarak normal kullanıcılara hizmet verilmesini engellemek olabilir. DoS saldırıları, TCP ve ICMP gibi ortak İnternet protokollerini kullanabilir ( İnternet Kontrol Mesaj Protokolü). Çoğu DoS saldırısı, yazılım hatalarına veya güvenlik açıklarına değil, sistem mimarisindeki genel zayıflıklara dayanır. Bazı saldırılar, ağ performansını istenmeyen ve gereksiz paketlerle doldurarak veya ağ kaynaklarının mevcut durumunu yanlış tanıtarak geçersiz kılar. ISP ile koordinasyon gerektirdiğinden bu tür bir saldırıyı önlemek zordur. Ağınızı doldurmayı amaçlayan trafik sağlayıcıda durdurulmazsa, ağın girişinde bunu artık yapamazsınız, çünkü tüm bant genişliği meşgul olacaktır. Bu tür bir saldırı aynı anda birçok cihaz üzerinden gerçekleştirildiğinde, saldırı dağıtık bir DoS ( DDoS - dağıtılmış DoS).

1.4. Şifre saldırıları

Bilgisayar korsanları, kaba kuvvet gibi çeşitli yöntemler kullanarak parola saldırıları gerçekleştirebilir ( kaba kuvvet saldırısı), Truva atı, IP sızdırma ve paket koklama. Oturum açma ve parola genellikle IP sahtekarlığı ve paket koklama kullanılarak elde edilebilse de, bilgisayar korsanları genellikle parolayı tahmin etmeye ve birden çok erişim denemesi kullanarak oturum açmaya çalışır. Bu yaklaşıma basit yineleme denir. (kaba kuvvet saldırısı). Genellikle, böyle bir saldırı, paylaşılan bir kaynağa erişmeye çalışan özel bir program kullanır ( örneğin sunucuya). Sonuç olarak, bir bilgisayar korsanı kaynaklara erişim kazanırsa, bunu şifresi tahmin edilen normal bir kullanıcı olarak alır. Bu kullanıcının önemli erişim ayrıcalıkları varsa, bir bilgisayar korsanı gelecekteki erişim için kendisi için bir "ağ geçidi" oluşturabilir; bu, kullanıcı parolasını değiştirse ve oturum açsa bile çalışır.

Kullanıcılar aynı ( çok iyi olsa bile) birçok sisteme erişim için şifre: kurumsal, kişisel ve İnternet sistemleri. Parolanın gücü en zayıf ana bilgisayarınkine eşit olduğundan, bu ana bilgisayar aracılığıyla parolayı öğrenen bir bilgisayar korsanı, aynı parolanın kullanıldığı diğer tüm sistemlere erişim sağlar.

1.5. Ortadaki Adam saldırıları

Bir Ortadaki Adam saldırısı için, bir bilgisayar korsanının ağ üzerinden gönderilen paketlere erişmesi gerekir. Sağlayıcıdan başka herhangi bir ağa iletilen tüm paketlere bu tür erişim, örneğin bu sağlayıcının bir çalışanı tarafından elde edilebilir. Paket koklayıcılar, taşıma protokolleri ve yönlendirme protokolleri genellikle bu tür saldırılar için kullanılır. Saldırılar bilgi çalmak, mevcut oturumu kesmek ve özel ağ kaynaklarına erişim sağlamak, trafiği analiz etmek ve ağ ve kullanıcıları hakkında bilgi edinmek, DoS saldırıları gerçekleştirmek, iletilen verileri bozmak ve ağ oturumlarına yetkisiz bilgileri girmek için gerçekleştirilir.

1.6. Uygulama Katmanı Saldırıları

Uygulama katmanı saldırıları birkaç şekilde gerçekleştirilebilir. Bunlardan en yaygın olanı, sunucu yazılımındaki zayıflıklardan yararlanmaktır ( sendmail, HTTP, FTP). Bilgisayar korsanları bu zayıflıkları kullanarak uygulamayı çalıştıran kullanıcı adına bilgisayara erişim sağlayabilir ( genellikle bu basit bir kullanıcı değil, sistem erişim haklarına sahip ayrıcalıklı bir yöneticidir.). Uygulama katmanı saldırı ayrıntıları, yöneticilerin sorunu düzeltici modüller kullanarak düzeltmesini sağlamak için geniş çapta yayınlanmaktadır ( yamalar). Uygulama katmanı saldırılarındaki temel sorun, genellikle güvenlik duvarından geçmesine izin verilen bağlantı noktalarını kullanmalarıdır. Örneğin, bir Web sunucusundaki iyi bilinen bir zayıflıktan yararlanan bir bilgisayar korsanı, bir TCP saldırısında genellikle 80 numaralı bağlantı noktasını kullanır.Bir Web sunucusu, Web sayfalarını kullanıcılara gösterdiğinden, güvenlik duvarı bu bağlantı noktasına erişim sağlamalıdır. Güvenlik duvarının bakış açısından, saldırı 80 numaralı bağlantı noktasında standart trafik olarak değerlendirilir.

1.7. ağ zekası

Ağ zekası, halka açık verileri ve uygulamaları kullanarak ağ hakkındaki bilgilerin toplanmasıdır. Bir ağa karşı saldırı hazırlarken, bir bilgisayar korsanı genellikle ağ hakkında mümkün olduğunca fazla bilgi almaya çalışır. Ağ keşfi, DNS sorguları, ping taramaları ve bağlantı noktası taramaları şeklini alır. DNS sorguları, belirli bir etki alanının kime ait olduğunu ve bu etki alanına hangi adreslerin atandığını anlamanıza yardımcı olur. Eko Testi ( ping taraması DNS tarafından keşfedilen adreslerin ), belirli bir ortamda hangi ana bilgisayarların gerçekten çalıştığını görmenizi sağlar. Bir ana bilgisayar listesi verildiğinde, bilgisayar korsanı, bu ana bilgisayarlar tarafından desteklenen hizmetlerin eksiksiz bir listesini derlemek için bağlantı noktası tarama araçlarını kullanır. Ve son olarak, bilgisayar korsanı, ana bilgisayarlarda çalışan uygulamaların özelliklerini analiz eder. Sonuç olarak, bilgisayar korsanlığı için kullanılabilecek bilgiler elde edilir.

1.8. güven suistimali

Bu tür bir eylem değil "saldırı" veya "fırtına". Ağda var olan güven ilişkilerinin kötü niyetli bir şekilde istismar edilmesidir. Bir örnek, içinde kurulu bir sistemle güven ilişkisi olan bir güvenlik duvarının dışına kurulan bir sistemdir. Harici bir sistemin saldırıya uğraması durumunda, bir bilgisayar korsanı, güvenlik duvarı tarafından korunan bir sisteme girmek için güven ilişkilerini kullanabilir.

1.9. bağlantı noktası yönlendirme

Bağlantı noktası iletme, güvenliği ihlal edilmiş bir ana bilgisayarın, aksi takdirde kesinlikle reddedilecek olan bir güvenlik duvarı üzerinden trafik göndermek için kullanıldığı bir güven ihlali biçimidir. Bu erişimi sağlayabilecek bir uygulamaya örnek netcat'tir.

1.10. Yetkisiz Erişim

Yetkisiz erişim, ayrı bir saldırı türü olarak kabul edilemez. Çoğu ağ saldırısı yetkisiz erişim elde etmek için gerçekleştirilir. Bir telnet girişini almak için, bir bilgisayar korsanının önce sistemlerinde bir telnet istemi alması gerekir. Telnet portuna bağlandıktan sonra ekranda bir mesaj belirir. "bu kaynağı kullanmak için yetki gerekiyor" (Bu kaynağı kullanmak için yetkilendirme gereklidir.). Bundan sonra bilgisayar korsanı erişim girişiminde bulunmaya devam ederse, bunlar dikkate alınacaktır. "yetkisiz". Bu tür saldırıların kaynağı hem ağın içinde hem de dışında olabilir.

1.11. Virüsler ve türdeki uygulamalar "Truva atı"

İstemci iş istasyonları, virüslere ve Truva atlarına karşı çok savunmasızdır. "Truva atı"- bu bir yazılım eki değil, faydalı bir uygulama gibi görünen, ancak aslında zararlı bir rol oynayan gerçek bir programdır.

2. Ağ saldırılarına karşı koyma yöntemleri

2.1. Aşağıdaki araçları kullanarak paket koklama tehdidini azaltabilirsiniz:

2.1.1. Kimlik Doğrulama - Güçlü kimlik doğrulama, paket koklamaya karşı ilk savunmadır. Altında "kuvvetli" atlanması zor bir kimlik doğrulama yöntemini anlıyoruz. Bu tür kimlik doğrulamaya bir örnek, tek seferlik parolalardır ( OTP - Tek Kullanımlık Şifreler). OTP, sahip olduklarınızı bildiklerinizle birleştiren iki faktörlü bir kimlik doğrulama teknolojisidir. "Kart" altında ( jeton) oluşturan bir donanım veya yazılım aracı anlamına gelir ( rastgele olarak) benzersiz bir kerelik bir kerelik şifre. Bir bilgisayar korsanı bu şifreyi bir sniffer kullanarak öğrenirse, bu bilgi işe yaramaz çünkü o noktada şifre zaten kullanılmış ve geçersiz olacaktır. Sniffing ile başa çıkmanın bu yolu, yalnızca şifre koklama ile başa çıkmak için etkilidir.

2.1.2. Anahtarlamalı Altyapı - Bir ağ ortamında paket koklamayla mücadele etmenin bir başka yolu, bilgisayar korsanlarının yalnızca bağlı oldukları bağlantı noktasındaki trafiğe erişebilmeleri için anahtarlı bir altyapı oluşturmaktır. Anahtarlanmış altyapı, koklama tehdidini ortadan kaldırmaz, ancak ciddiyetini önemli ölçüde azaltır.

2.1.3. Anti-sniffers - Sniffer ile mücadele etmenin üçüncü bir yolu, ağınızda çalışan sniffer'ları tanıyan donanım veya yazılım yüklemektir. Bu araçlar tehdidi tamamen ortadan kaldıramaz, ancak diğer birçok ağ güvenlik aracı gibi genel koruma sistemine dahil edilirler. Lafta "anti-koklayıcılar" ana bilgisayarların yanıt süresini ölçün ve ana bilgisayarların işlem yapması gerekip gerekmediğini belirleyin "ekstra" trafik.

2.1.4. Şifreleme - Paket koklama ile başa çıkmanın en etkili yolu, koklamayı engellemez ve koklayıcıların çalışmalarını tanımaz, ancak bu işi işe yaramaz hale getirir. İletişim kanalı kriptografik olarak güvenliyse, bu, bilgisayar korsanının mesajı değil, şifreli metni (yani, anlaşılmaz bir bit dizisi) ele geçirdiği anlamına gelir.

2.2. Kimlik sahtekarlığı tehdidi azaltılabilir ( ama yok etme) aşağıdaki önlemler yoluyla:

2.2.1. Erişim Kontrolü - IP sahtekarlığını önlemenin en kolay yolu, erişim kontrolünü doğru şekilde kurmaktır. IP sahtekarlığının etkinliğini azaltmak için, erişim kontrolü, ağınızın içinde bulunması gereken bir kaynak adrese sahip harici bir ağdan gelen tüm trafiği kesecek şekilde yapılandırılmıştır. Bu, yalnızca dahili adreslere yetki verildiğinde IP sahtekarlığıyla mücadeleye yardımcı olur. Bazı harici ağ adresleri de yetkilendirilmişse, bu yöntem etkisiz hale gelir.

2.2.2. Filtreleme RFC 2827 - bir şirket ağının kullanıcıları tarafından yabancı ağları yanıltma girişimlerinin bastırılması. Bunun için kaynak adresi Banka'nın IP adreslerinden biri olmayan giden trafiği reddetmek gerekir. "RFC 2827" olarak bilinen bu tür filtreleme, bir ISP tarafından da gerçekleştirilebilir ( ISS). Sonuç olarak, belirli bir arabirimde beklenen bir kaynak adresi olmayan tüm trafik reddedilir.

2.2.3. IP sahtekarlığıyla başa çıkmanın en etkili yöntemi, paket koklama durumundakiyle aynıdır: Saldırıyı tamamen etkisiz hale getirmeniz gerekir. IP sahtekarlığı, yalnızca kimlik doğrulama IP adreslerine dayalıysa işlev görebilir. Bu nedenle, ek kimlik doğrulama yöntemlerinin tanıtılması, bu tür saldırıları işe yaramaz hale getirir. En iyi ek kimlik doğrulama türü kriptografiktir. Bu mümkün değilse, tek kullanımlık şifreler kullanılarak iki faktörlü kimlik doğrulama iyi sonuçlar verebilir.

2.3. DoS saldırıları tehdidi aşağıdaki yollarla azaltılabilir:

2.3.1. Kimlik sahtekarlığı önleme özellikleri - Yönlendiricileriniz ve güvenlik duvarlarınızdaki kimlik sahtekarlığı önleme özelliklerini doğru şekilde yapılandırmak DoS riskini azaltmaya yardımcı olur. Bu özellikler en azından RFC 2827 filtrelemesini içermelidir.Bir bilgisayar korsanı gerçek kimliğini gizleyemedikçe, saldırı girişiminde bulunma olasılığı düşüktür.

2.3.2. Anti-DoS İşlevleri - Yönlendiriciler ve güvenlik duvarlarında anti-DoS işlevlerinin uygun şekilde yapılandırılması, saldırıların etkinliğini sınırlayabilir. Bu özellikler, herhangi bir anda yarı açık kanalların sayısını sınırlar.

2.3.3. Trafik miktarını sınırlama ( trafik hızı sınırlaması) – sağlayıcı ile sözleşme ( ISS) trafik miktarını sınırlama hakkında. Bu tür filtreleme, ağdan geçen kritik olmayan trafik miktarını sınırlamanıza olanak tanır. Yaygın bir örnek, yalnızca tanılama amacıyla kullanılan ICMP trafiği miktarını sınırlamaktır. saldırılar ( D) DoS genellikle ICMP kullanır.

2.3.4. IP adreslerini engelleme - DoS saldırısını analiz ettikten ve saldırının gerçekleştirildiği IP adresleri aralığını belirledikten sonra, bunları engellemek için sağlayıcıyla iletişime geçin.

2.4. Düz metin parolalar kullanılmayarak parola saldırılarından kaçınılabilir. Tek seferlik parolalar ve/veya kriptografik kimlik doğrulama, bu tür saldırıların tehdidini neredeyse ortadan kaldırabilir. Tüm uygulamalar, ana bilgisayarlar ve cihazlar yukarıdaki kimlik doğrulama yöntemlerini desteklemez.

Normal şifreler kullanırken tahmin edilmesi zor bir şifre bulmanız gerekir. Minimum şifre uzunluğu en az sekiz karakter olmalıdır. Parola büyük harfli karakterler, sayılar ve özel karakterler içermelidir ( #, %, $, vb.). En iyi şifrelerin tahmin edilmesi ve hatırlanması güçtür, bu da kullanıcıları şifreleri kağıda yazmaya zorlar.

2.5. Ortadaki Adam saldırıları, yalnızca kriptografi kullanılarak etkin bir şekilde ele alınabilir. Bir bilgisayar korsanı, şifrelenmiş bir oturumun verilerini ele geçirirse, ekranda ele geçirilen bir mesaj değil, anlamsız bir dizi karakter olacaktır. Bir bilgisayar korsanı bir şifreleme oturumu hakkında bilgi alırsa ( ör. oturum anahtarı), bu, şifreli bir ortamda bile Ortadaki Adam saldırısını mümkün kılabilir.

2.6. Uygulama katmanı saldırılarını tamamen ortadan kaldırmak mümkün değildir. Bilgisayar korsanları, internette sürekli olarak yeni uygulama güvenlik açıkları keşfediyor ve yayınlıyor. En önemli şey iyi bir sistem yönetimidir.

Bu tür saldırılara karşı güvenlik açığınızı azaltmak için atabileceğiniz adımlar:

özel analitik uygulamalar kullanarak işletim sistemlerinin günlük dosyalarını ve ağ günlük dosyalarını okumak ve/veya analiz etmek;
işletim sistemlerinin ve uygulamaların sürümlerinin zamanında güncellenmesi ve en son düzeltme modüllerinin yüklenmesi ( yamalar);
saldırı tanıma sistemlerinin kullanımı ( kimlik bilgileri).

2.7. Ağ zekasından tamamen kurtulmak imkansızdır. Çevresel yönlendiricilerde ICMP yankı ve yankı yanıtını devre dışı bırakırsanız, ping işleminden kurtulursunuz, ancak ağ hatalarını teşhis etmek için gereken verileri kaybedersiniz. Ayrıca bağlantı noktalarını, önce ping atmadan da tarayabilirsiniz. Mevcut olmayan IP adreslerinin de taranması gerekeceğinden bu işlem daha uzun sürecektir. Ağ ve ana bilgisayar düzeyindeki IDS sistemleri, devam eden ağ keşiflerini yöneticiye bildirmekte genellikle iyidir, bu da onların yaklaşan bir saldırıya daha iyi hazırlanmalarını ve ISP'yi bilgilendirmelerini sağlar ( ISS) ağında aşırı merak uyandıran bir sistemin kurulu olduğu.

2.8. Ağınızdaki güven düzeylerini daha sıkı kontrol ederek güven ihlali riskini azaltabilirsiniz. Güvenlik duvarı dışındaki sistemlere, güvenlik duvarı tarafından korunan sistemler asla kesinlikle güvenilmemelidir. Güven ilişkileri belirli protokollerle sınırlandırılmalı ve mümkünse yalnızca IP adresleri tarafından değil, aynı zamanda diğer parametrelerle de doğrulanmalıdır.

2.9. Bağlantı noktası yönlendirmeyle başa çıkmanın ana yolu, güçlü güven modelleri kullanmaktır ( bkz. nokta 2.8 ). Ayrıca, IDS ana bilgisayar sistemi ( GİZLER).

2.10. Yetkisiz erişimle mücadele yolları oldukça basittir. Buradaki ana şey, bir bilgisayar korsanının yetkisiz bir protokol kullanarak sisteme erişim sağlama yeteneğini azaltmak veya tamamen ortadan kaldırmaktır. Örnek olarak, bilgisayar korsanlarının dış kullanıcılara Web hizmetleri sağlayan bir sunucudaki telnet bağlantı noktasına erişmesini engellemeyi düşünün. Bu bağlantı noktasına erişim olmadan, bir bilgisayar korsanı ona saldıramaz. Güvenlik duvarına gelince, asıl görevi en basit yetkisiz erişim girişimlerini önlemektir.

2.11. Virüsler ve Truva atları ile mücadele, kullanıcı seviyesinde ve ağ seviyesinde çalışan etkili anti-virüs yazılımları yardımı ile gerçekleştirilir. Virüsten koruma araçları, çoğu virüsü ve Truva atını algılar ve yayılmalarını önler.

3. Ağ saldırıları tespit edildiğinde eylemlerin algoritması

3.1. Çoğu ağ saldırısı, otomatik olarak yüklenen bilgi koruma araçları tarafından engellenir ( güvenlik duvarları, güvenilir önyükleme araçları, ağ yönlendiricileri, virüsten koruma araçları vb.).

3.2. Bunları engellemek veya sonuçların ciddiyetini azaltmak için insan müdahalesi gerektiren saldırılar, DoS saldırılarını içerir.

3.2.1. DoS saldırıları, ağ trafiği analiz edilerek tespit edilir. Saldırının başlangıcı ile karakterize edilir " sürme» Sahte adreslere sahip kaynak yoğun paketler kullanan iletişim kanalları. İnternet bankacılığı sitesine böyle bir saldırı, meşru kullanıcıların erişimini zorlaştırır ve web kaynağına erişilemez hale gelebilir.

3.2.2. Bir saldırı algılanırsa, sistem yöneticisi aşağıdaki eylemleri gerçekleştirir:

daha az yüklü bir kanalı (daha geniş bant genişliğine sahip bir kanal) belirlemek için yönlendiricinin manuel olarak yedek kanala geçişini ve geri dönüşünü gerçekleştirir;
saldırının gerçekleştirildiği IP adresleri aralığını ortaya çıkarır;
sağlayıcıya belirtilen aralıktaki IP adreslerini engellemesi için bir istek gönderir.

3.3. Bir DoS saldırısı, tipik olarak, tespit edilmesini daha zor hale getirmek için bir müşterinin kaynaklarına yapılan başarılı bir saldırıyı gizlemek için kullanılır. Bu nedenle, bir DoS saldırısı tespit edildiğinde, olağandışı işlemleri tespit etmek, (mümkünse) engellemek ve işlemleri onaylamak için alternatif bir kanal üzerinden müşterilerle iletişime geçmek için en son işlemleri analiz etmek gerekir.

3.4. Müşteriden yetkisiz eylemler hakkında bilgi alınması durumunda, mevcut tüm kanıtlar kaydedilir, bir iç soruşturma yapılır ve kolluk kuvvetlerine başvuruda bulunulur.

ZIP dosyasını indirin (24151)

Belgeler işe yaradı - bir "beğen" koyun:

Bu programın temel amacı hacker saldırılarını tespit etmektir. Bildiğiniz gibi, çoğu korsan saldırısının ilk aşaması, ağ envanteri ve keşfedilen ana bilgisayarlarda bağlantı noktası taramasıdır. Bağlantı noktası taraması, işletim sistemi türünü belirlemeye ve olası güvenlik açığı bulunan hizmetleri (örneğin, posta veya WEB sunucusu) algılamaya yardımcı olur. Bağlantı noktası taramasından sonra birçok tarayıcı, test istekleri göndererek ve sunucunun yanıtını analiz ederek hizmet türünü belirler. APS yardımcı programı, saldırganla bir değiş tokuş yapar ve saldırının gerçekliğini benzersiz bir şekilde tanımlamanıza olanak tanır.

Ek olarak, yardımcı programın amacı:

çeşitli saldırı türlerinin tespiti (öncelikle bağlantı noktası tarama ve hizmet tanımlama) ve ağdaki programların ve ağ solucanlarının görünümü (APS veritabanında solucanlar ve Arka Kapı bileşenleri tarafından kullanılan yüzden fazla bağlantı noktası vardır);
bağlantı noktası tarayıcılarını ve ağ güvenliğini test etme (tarayıcının çalışmasını kontrol etmek için, bir test bilgisayarında APS'yi çalıştırmanız ve bir bağlantı noktası taraması yapmanız gerekir - APS protokollerini kullanarak, tarayıcının hangi kontrolleri ve hangi sırayla göreceğini belirlemek kolaydır );
Güvenlik Duvarının test edilmesi ve operasyonel kontrolü - bu durumda, APS yardımcı programı Güvenlik Duvarı kurulu bir bilgisayarda başlatılır ve bilgisayara karşı bağlantı noktası taraması ve (veya diğer saldırılar) gerçekleştirilir. APS bir alarm oluşturursa, bu, Güvenlik Duvarının çalışmadığının veya yanlış yapılandırıldığının bir işaretidir. APS, Güvenlik Duvarı'nın doğru çalışmasını gerçek zamanlı olarak izlemek için Güvenlik Duvarı ile korunan bir bilgisayarın arkasında sürekli olarak çalışabilir;
ağ solucanlarının ve Arka Kapı modüllerinin çalışmasını engelleme ve algılama - algılama ve engelleme ilkesi, aynı bağlantı noktasının yalnızca bir kez dinlemek için açılabilmesine dayanır. Bu nedenle Truva atları ve Backdoor programları tarafından kullanılan portların çalıştırılmadan önce açılması işlerini aksatacak, başlattıktan sonra portun başka bir program tarafından kullanıldığının algılanmasına yol açacaktır;
Truva atlarına karşı koruma ve programların testi, IDS sistemleri - en yaygın Truva atlarının yüzden fazla bağlantı noktası APS veritabanına dahil edilmiştir. Bazı Truva Atı önleme araçları, kontrol edilen bilgisayarın bağlantı noktalarını tarama (veya Windows API'sini kullanarak tarama yapmadan dinleme bağlantı noktalarının bir listesini oluşturma) yeteneğine sahiptir - bu tür araçlar şüpheli Truva Atlarını ("şüpheli" bağlantı noktaları listesiyle birlikte) bildirmelidir - ortaya çıkan liste, APS veritabanındaki liste bağlantı noktalarıyla kolayca karşılaştırılabilir ve kullanılan aracın güvenilirliği hakkında sonuçlar çıkarılabilir.

Programın prensibi, veritabanında açıklanan portları dinlemeye dayanmaktadır. Liman veritabanı sürekli güncellenir. Veritabanı, her bağlantı noktasının kısa bir açıklamasını içerir - kısa açıklamalar, bağlantı noktasını kullanan virüslerin adlarını veya bu bağlantı noktasına karşılık gelen standart hizmetin adını içerir. Dinleme bağlantı noktasına bağlanma girişimi algılandığında, program bağlantı gerçeğini protokole kaydeder, bağlantıdan sonra alınan verileri analiz eder ve bazı hizmetler için sözde afişi iletir - iletilen belirli bir metin veya ikili veri seti bağlantıdan sonra gerçek hizmet tarafından.

Dmitry Kostrov,
CJSC "Ekvant"
[e-posta korumalı]

Büyüme ve güç değil, zeka
Savaşta zafer vaat ediyor.
William Shakespeare

Bilgisayar saldırı tespit sistemleri (IDS - Saldırı Tespit Sistemleri), bilgisayar güvenliği ile ilgili sorunların sayısının son yıllarda nasıl arttığı göz önüne alındığında, herhangi bir modern işletmenin ağları için bilgi güvenliği sistemlerinin en önemli unsurlarından biridir (Şekil 1). . IDS teknolojisi bilgilerin tam olarak korunmasını sağlamasa da, yine de bu alanda çok önemli bir rol oynamaktadır. Makalede ("BYTE / Rusya", No. 10 "2001) konunun yanı sıra bazı deneysel ve ticari sistemlerin kısa bir tarihi tartışıldı. Burada piyasadaki modern ürünleri ve daha ayrıntılı olarak tartışacağız. IDS'nin daha da geliştirilmesi için talimatlar.

IDS sistemleri pazarı 1997'den beri hızla gelişiyor. Bu sırada ISS (http://www.iss.com) Real Secure adlı ürününü sundu. Bir yıl sonra Cisco Systems (http://www.cisco.com), IDS geliştirmenin fizibilitesini fark ederek, Wheel Group ile birlikte NetRanger ürününü satın aldı. SAIC ve Haystack Labs'ın Centrax Corporation (http://www.centrax.com) ile birleşmesinden burada bahsetmemek mümkün değil.

Konvansiyonel IDS'lerin yalnızca bilinen saldırı türlerini zamanında tespit ettiğine dikkat edilmelidir. Anti-virüs programlarıyla aynı modda çalışırlar: bilinenler yakalanır, bilinmeyenler yakalanmaz. Bilinmeyen bir saldırıyı tespit etmek, yapay zeka sistemleri ve uyarlanabilir güvenlik yönetimi alanında sınır oluşturan zor bir iştir. Modern IDS, ağ cihazlarının ve işletim sisteminin çalışmasını izleyebilir, yetkisiz eylemleri tespit edebilir ve neredeyse gerçek zamanlı olarak bunlara otomatik olarak yanıt verebilir. Mevcut olayları analiz ederken, geçmiş olaylar dikkate alınabilir, bu da zaman içinde aralıklı saldırıları tanımlamayı ve böylece gelecekteki olayları tahmin etmeyi mümkün kılar.

1980'lerde, saldırganların çoğu, bilgisayar ağlarına yetkisiz sızma için programlar ve yöntemler oluşturmuş ve bilgisayar korsanlığı konusunda uzmandı; otomatik araçlar nadiren kullanılırdı. Şimdi, otomatik izinsiz giriş araçları ve açıklardan yararlanma (istismar, yazılımda bilinen hataları kullanan ve bir saldırgan tarafından normal ortamı bozmak için kullanılan kötü amaçlı bir koddur) bu alanda zayıf bir bilgi düzeyine sahip çok sayıda "amatör" ortaya çıktı. yazılım ve donanım kompleksinin çalışması). Başka bir deyişle, otomatik izinsiz giriş araçları geliştikçe, çoğu davetsiz misafirin bilgi ve beceri düzeyi azaldı.

Birçok farklı saldırı türü vardır ve bunlar artan potansiyel tehlike sırasına göre şu şekilde sıralanabilir:

şifre tahmini
çoğaltma kodu
şifre kırma
bilinen güvenlik açıklarından yararlanma
denetim sistemlerini devre dışı bırak/atla
veri hırsızlığı
arka kapılar (programa yazarken yapılan hatalar nedeniyle oluşan veya programcılar tarafından hata ayıklama için bırakılan özel girişler)
koklayıcı ve süpürücü kullanımı (içerik kontrol sistemleri)
gerekli verileri elde etmek için ağ tanılama programlarını kullanma
otomatik güvenlik açığı tarayıcılarını kullanma
IP paketlerinde veri sahtekarlığı
Hizmet Reddi (DoS) saldırıları
web sunucularına saldırılar (CGI betikleri)
gizli tarama teknolojileri
dağıtılmış saldırı araçları.

Artık saldırı birkaç saniyeden fazla sürmez ve çok hassas hasara neden olabilir. Örneğin, bir hizmet reddi saldırısı, bir Web mağazasını veya çevrimiçi alışverişi uzun süre devre dışı bırakabilir. Bu saldırılar en yaygın olanlarıdır ve bunlara karşı korunma yolları hızla gelişmektedir.

Herhangi bir IDS'nin amacı, bir saldırıyı mümkün olduğunca az hatayla tespit etmektir. Bu durumda saldırının nesnesi (kurban) genellikle aşağıdaki sorulara cevap almak ister.

Sistemime ne oldu?
Neye saldırıldı ve saldırı ne kadar tehlikeli?
Saldırgan kim?
Saldırı ne zaman ve nereden başladı?
Darbe nasıl ve neden gerçekleşti?

Saldırgan, sırayla, genellikle aşağıdakileri bulmaya çalışır. ·

Bir saldırının hedefi nedir?
Güvenlik açıkları var mı ve bunlar nelerdir?
Ne zararı olabilir?
Hangi istismarlar veya sızma araçları mevcut?
Maruz kalma riski var mı?

IDS türleri

Zafer ümidi zaferi yakınlaştırır,
zaferin kesinliği bizi ondan mahrum eder.
Titus Livy

Her şeyden önce, IDS yetkisiz faaliyetleri tespit etmek için çeşitli yöntemler kullanır. Güvenlik duvarı (güvenlik duvarı) üzerinden yapılan saldırılarla ilgili sorunlar iyi bilinmektedir. Güvenlik duvarı, belirli hizmetlere (bağlantı noktalarına) erişime izin verir veya erişimi reddeder, ancak açık bir bağlantı noktasından geçen bilgi akışını kontrol etmez. IDS, sırayla, sisteme veya ağa bir bütün olarak yapılan bir saldırıyı tespit etmeye çalışır ve güvenlik yöneticisini bu konuda uyarır, saldırgan ise fark edilmediğine inanır.

Burada evin hırsızlardan korunması ile bir benzetme yapabilirsiniz. Kilitli kapılar ve pencereler bir güvenlik duvarıdır. Ve hırsızlık bildirimi alarmı IDS'ye karşılık gelir.

IDS'yi sınıflandırmanın çeşitli yolları vardır. Böylece, yanıt yöntemine göre pasif ve aktif IDS ayırt edilir. Pasif olanlar sadece saldırının gerçekliğini kaydeder, günlük dosyasına veri yazar ve uyarı verir. Aktif IDS'ler, örneğin güvenlik duvarını yeniden yapılandırarak veya yönlendirici erişim listeleri oluşturarak saldırıya karşı koymaya çalışır. Analojiye devam edecek olursak, evdeki alarm hırsızı korkutmak için sesli sireni açarsa bu aktif bir IDS analogu, polise sinyal veriyorsa bu pasif bir IDS'ye karşılık gelir. .

Saldırı tespit yöntemine göre imza tabanlı ve anomali tabanlı sistemler ayırt edilir. İlk tür, bilgileri önceden kurulmuş bir saldırı imzaları veritabanıyla karşılaştırmaya dayanır. Buna karşılık, saldırıları türe göre sınıflandırmak mümkündür (örneğin, Ölümün Sesi, Şirin). Ancak bu tür sistemler yeni, bilinmeyen saldırı türlerini yakalayamaz. İkinci tip, olayların sıklığının kontrolüne veya istatistiksel anormalliklerin tespitine dayanır. Böyle bir sistem, yeni saldırı türlerini tanımlamaya odaklanmıştır. Bununla birlikte, dezavantajı sürekli eğitim ihtiyacıdır. Ev güvenliği örneğinde, bu daha gelişmiş IDS sisteminin analoğu, evinize kimin geldiğini bilen, yabancıları dikkatle izleyen ve sokaktaki acil bir durum hakkında bilgi toplayan komşulardır. Bu, anormal IDS türüne karşılık gelir.

Saldırı hakkında bilgi toplama yöntemine göre en popüler sınıflandırma: ağ tabanlı, ana bilgisayar tabanlı, uygulama tabanlı. Birinci tip sistem, ağdaki trafiği "dinleyen" ve davetsiz misafirlerin olası eylemlerini belirleyen bir dinleyici gibi çalışır. Saldırı "hosttan hosta" ilkesine göre aranır. Anahtarlama, şifreleme ve yüksek hızlı protokollerin (100 Mbps'den fazla) kullanıldığı ağlarda bu tür sistemlerin çalışması yakın zamana kadar zordu. Ancak son zamanlarda NetOptics (http://www.netoptics.com) ve Finisar (http://www.finisar.com) şirketlerinin anahtarlamalı bir ortamda, özellikle SPAN-port teknolojilerinde (Switched Port Analyzer) çalışmak için çözümler ortaya çıktı. ) ve Ağ Dokunun (Test Erişim Bağlantı Noktası). Network Tap (bağımsız bir cihaz olarak veya anahtarda yerleşik olarak), anahtardaki tüm trafiği izlemenize olanak tanır. Aynı zamanda, Cisco ve ISS, bu tür sistemlerin yüksek hızlı ağlarda uygulanmasında bazı ilerlemeler kaydetmiştir.

İkinci tip, ana bilgisayar tabanlı sistemler, izinsiz giriş yapanların belirli bir ana bilgisayar üzerindeki eylemlerini izlemek, tespit etmek ve bunlara yanıt vermek için tasarlanmıştır. Korunan ana bilgisayarda bulunan sistem, kendisine yönelik eylemleri kontrol eder ve algılar. Uygulama tabanlı üçüncü tip IDS, belirli bir uygulamadaki sorunları bulmaya dayanır. Farklı sistem türlerinin bir kombinasyonu olan hibrit IDS de vardır.

Modern IDS'nin işleyişi ve çeşitli saldırı türleri

IDS işleyişinin genel şeması, Şek. 2. Son zamanlarda, dağıtılmış IDS (dIDS) olarak adlandırılan sistemler hakkında birçok yayın yapılmıştır. dIDS, büyük bir ağın farklı bölümlerinde bulunan ve birbirine ve merkezi bir yönetim sunucusuna bağlı olan birçok IDS'den oluşur. Böyle bir sistem, çeşitli IDS'lerden gelen saldırı hakkındaki bilgileri merkezileştirerek kurumsal alt ağın güvenliğini artırır. dIDS aşağıdaki alt sistemlerden oluşur: merkezi bir analiz sunucusu, ağ aracıları, bir saldırı hakkında bilgi toplamak için bir sunucu.

Pirinç. 2. IDS işleyişinin genel şeması.

Merkezi analiz sunucusu genellikle bir veritabanından ve saldırılarla ilgili bilgileri kaydetmenize ve uygun bir Web arabirimi kullanarak verileri değiştirmenize olanak tanıyan bir Web sunucusundan oluşur.

Ağ Aracısı, dIDS'nin en önemli bileşenlerinden biridir. Amacı bir merkezi analiz sunucusuna bir saldırıyı bildirmek olan küçük bir programdır.

Saldırı bilgisi toplama sunucusu, mantıksal olarak merkezi bir analiz sunucusuna dayanan dIDS sisteminin bir parçasıdır. Sunucu, ağ aracılarından alınan bilgilerin gruplandırıldığı parametreleri belirler. Gruplandırma aşağıdaki parametrelere göre yapılabilir:

saldırganın IP adresi;
alıcı bağlantı noktası;
temsilci numarası;
tarih, saat;
protokol
saldırı türü vb.

IDS'nin etkinliğine ilişkin sayısız suçlama ve şüpheye rağmen, kullanıcılar hem ticari araçları hem de serbestçe dağıtılan araçları zaten yaygın olarak kullanıyorlar. Geliştiriciler, ürünlerini bir saldırıya aktif olarak yanıt verme yeteneği ile donatır. Sistem saldırıyı tespit etmekle kalmaz, aynı zamanda durdurmaya çalışır ve saldırgana karşı misilleme de yapabilir. En yaygın aktif yanıt türleri, oturum sonlandırma ve güvenlik duvarının yeniden yapılandırılmasıdır.

Güvenlik duvarı gibi harici aygıt sürücüleri kullanmadığından, oturum sonlandırma en popüler olanıdır. Örneğin, TCP RESET paketleri (doğru sıra/onay numarası ile) bağlantının her iki ucuna da gönderilir. Ancak, saldırganların bu tür korumayı atlama yolları zaten mevcuttur ve açıklanmıştır (örneğin, bir TCP/IP paketinde PUSH bayrağını kullanmak veya geçerli işaretçi hilesini kullanmak).

İkinci yol - güvenlik duvarını yeniden yapılandırmak, bir saldırganın sistemde bir güvenlik duvarının varlığını öğrenmesini sağlar. Saldırgan, ana bilgisayara büyük bir ping paketi akışı göndererek ve bir süre sonra erişimin durduğunu (ping geçmediğini) görerek, ana bilgisayarda yeni ping reddetme kuralları ayarlayarak IDS'nin güvenlik duvarını yeniden yapılandırdığı sonucuna varabilir. Ancak, bu korumayı aşmanın yolları vardır. Bunlardan biri güvenlik duvarını yeniden yapılandırmadan önce açıklardan yararlanmaktır. Ayrıca daha kolay bir yol var. Bir ağa saldıran bir saldırgan, iyi bilinen şirketlerin IP adreslerini (ipspoofing) gönderen adresi olarak ayarlayabilir. Buna yanıt olarak, güvenlik duvarı yeniden yapılandırma mekanizması, bu şirketlerin sitelerine (örneğin, ebay.com, cnn.com, cert.gov, aol.com) erişimi düzenli olarak kapatır, ardından öfkeli kullanıcılardan destek servisine sayısız çağrı gelir. "kapalı" şirketler başlar. ve yönetici bu mekanizmayı devre dışı bırakmak zorunda kalır. Bu, sürekli çalışması komşu evlerin sakinlerinin uykuya dalmasına izin vermeyen geceleri bir araba alarmını kapatmayı çok andırıyor. Bundan sonra, araba hırsızları için araba çok daha erişilebilir hale gelir.

Aynı zamanda, trafik "dinleme" modunda çalışan IDS'yi tespit etmek için halihazırda araçlar olduğu da unutulmamalıdır (http://www.securitysoftwaretech.com/antisniff/download.html); ek olarak, birçok IDS, DoS (hizmet reddi) saldırılarına karşı hassastır.

Bu alandaki en gelişmişler, posix dünyasının "özgür" geliştiricileridir. En basit saldırılar, imza tabanlı IDS kullanımıyla ilişkili güvenlik açıklarından yararlanır. Örneğin, ücretsiz Snort ürününün bir sürümünün kullanımı aşağıdaki gibi geçersiz kılınabilir. UNIX'in kullanıcı adlarını, grup üyeliklerini ve kabuğu depoladığı /etc/passwd dosyasına erişmeye çalışırken Snort, bu etkinliği algılamak için aşağıdaki imzayı kullanır:

Uyarı tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (mesaj:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev: 1;)

Ancak, istekteki karakterleri basitçe değiştirebilirsiniz - GET /etc//\//passwd veya /etc/rc.d/.././\passwd ve bu imzayı atlayabilirsiniz.

Tabii ki, IDS sistem geliştiricileri bu değişikliklerin farkındalar ve uzun süredir saldırıları yakalıyorlar, ancak hala kötü yazılmış saldırı imzaları var.

Polimorfik kabuk koduna dayalı saldırılar var. Bu kod http://ktwo.ca/ yazarı tarafından geliştirilmiştir ve virüslerin kullanımına dayanmaktadır. Bu teknoloji, anormallik veya protokol analizi tabanlı sistemlere göre imza tabanlı sistemlere karşı daha etkilidir. Polimorfik kod, dizi eşleştirme sistemlerini atlamak için çeşitli yöntemler kullanır (buna http://cansecwest.com/noplist-v1-1.txt adresinden ulaşılabilir).

Ayrıca paket parçalama, IDS hizmet reddi, birden fazla kullanıcı arasında saldırı bölme, terminal tipini "ebcdic" olarak değiştirerek "ebcdic" kodlu saldırı kodlama, şifreli bir kanal üzerinden saldırı gerçekleştirme, gözetleme modülü bağlantı noktası bastırma, yönlendirme tablosu kullanan saldırıları da hatırlayabiliriz. izinsiz giriş tespit sistemine trafiğin girmesini önlemek için değişiklik, vb.

IDS sistemleri, yalnızca harici değil, aynı zamanda dahili ihlalleri de tespit etmek için kullanılır. Uygulamanın gösterdiği gibi, bazen harici olanlardan çok daha fazlasıdır. İç saldırılar genel saldırı türleri arasında değildir. Harici davetsiz misafirlerin aksine, dahili kullanıcı, gizli bilgileri dağıtanlar da dahil olmak üzere intranet kaynaklarına resmi erişimi olan yetkili bir kullanıcıdır. Yaygın uygulama, iç tehditlere karşı korumaya çok daha az dikkat edilirken, intranetin çevresini korumak için bilgi güvenliği hizmetlerini kullanmaktır. IDS'nin yardım ettiği yer burasıdır. Dahili saldırılara karşı koruma sağlamak için bir IDS kurmak kolay bir iş değildir; kurallar ve kullanıcı profilleri ile özenli bir çalışma gerektirir. Dahili saldırılarla mücadele etmek için farklı IDS'lerin bir kombinasyonu kullanılmalıdır.

Şirketler ve ürünler

Piyasada en uygun çözümün seçimini sağlayan birkaç düzine ticari IDS sistemi bulunmaktadır. Ne yazık ki, henüz yerli ürün yok, ancak iki Rus şirketi izinsiz giriş tespit sistemlerini bu yılın sonuna kadar piyasaya sürmeye hazırlanıyor.

Yirmiden fazla şirketin ürünleri aşağıda açıklanmıştır. Yazara göre, makaledeki konumlarının sırası kabaca Rusya'daki şöhret derecesine karşılık geliyor.

Cisco Sistemleri

Cisco IDS ürün serisi, farklı seviyeler için çözümler içermektedir. Aralarında 4210 (Şekil 3) 10/100Base-T (45 Mbit/s) ortamı için optimize edilmiş, 4235 - 10/100/1000Base ortamı için optimize edilmiş üç 42xx sistemi v.2.2.1 (ağ tabanlı) içerir - 10/100/1000Base-TX (500 Mbps) için TX, (200 Mbps) ve 4250.

IDS alt sistemi, Catalyst anahtarında bulunur - Catalyst 6000 İzinsiz Giriş Tespit Sistemi Modülü (çevrilmiş tümleşik ağ tabanlı).

Entercept tarafından geliştirilen Cisco IDS Host Sensor 2.0 ve Cisco IDS Host Sensor Web Sunucusu, host tabanlı güvenlik sağlar. Yönlendirici düzeyindeki IDS (Güvenlik Duvarı Özellik Seti 12.1(4)T), en tehlikeli 59 saldırı türünü (ağ tabanlı sistem) püskürtme yeteneğine sahiptir. PIX 535, 525, 515E, 506E, 501 (v.6.2.2) güvenlik duvarı düzeyinde IDS kullanıldığında, 55'ten fazla en tehlikeli saldırı türü yansıtılır (ağ tabanlı sistem). Güvenlik sistemleri, CiscoWorks VPN/Security Management Solution (VMS) veya Cisco IDS yazılım sürümü 3.1(2) kullanılarak yönetilir. Pirinç. Şekil 4, ana bilgisayar adlarını öğrenmeye çalışırken Cisco ağ sensörünün nasıl çalıştığını gösterir.

Pirinç. 4. Ana bilgisayar adlarını bulmaya çalışırken Cisco ağ sensörünün çalışması.

İnternet Güvenlik Sistemleri

ISS, bu alanda bir adım atmıştır ve izinsiz giriş tespit sistemlerinin uygulanmasında liderdir. Ayrıca farklı seviyeler için eksiksiz bir çözüm ailesi sunar.

RealSecure Network Sensor, kritik bir ağ segmentinde özel bir bilgisayara kurulmak üzere tasarlanmış bir yazılım çözümüdür. Sensör, ağ trafiğini analiz ederek ve bunu saldırı imzası veritabanıyla karşılaştırarak çeşitli güvenlik politikası ihlallerini tespit eder (Şekil 5).

RealSecure Gigabit Sensör sistemi, patentli yedi seviyeli bir analiz algoritması kullanarak saniyede 500 binden fazla paketi işler ve diğer sistemler tarafından kaçırılan çok sayıda saldırıyı tespit eder. Esas olarak büyük bir yük ile çalışan ağlarda kullanılır.

RealSecure Sunucu Sensörü, belirli bir ağ düğümüne yönelik her düzeydeki saldırıları algılamanıza olanak tanır. Ayrıca izlenen düğüm üzerinde güvenlik analizi ve zafiyet tespiti de yapabilir.

RealSecure Desktop Protector (eski adıyla BlackICE Agent), kurumsal ağ iş istasyonlarına yönelik gerçek zamanlı saldırıları tespit etmek için tasarlanmıştır.

RealSecure for Nokia, ISS ve Nokia tarafından geliştirilen bir yazılım ve donanım çözümüdür. RealSecure Network Sensor ve Nokia IP Network Security Solutions'ın tüm işlevlerini birleştirir. Sistem, FreeBSD tabanlı güvenli IPSO işletim sistemi altında çalışır.

RealSecure Guard, bir güvenlik duvarı ve gerçek zamanlı izinsiz giriş tespit sisteminin özelliklerini birleştiren bir yazılım çözümüdür. Korumalı ve açık ağ bölümleri (inline-IDS olarak adlandırılır) arasına kurulur ve yasaklanmış veya tehlikeli paketleri aramak için içinden geçen tüm trafiği analiz eder. Sistem, hem ağ segmentlerindeki hem de ayrı, en önemli düğümlerdeki saldırıları algılayabilir.

Listelenen RealSecure sistemlerini yönetmek için, hem İnternet Tarayıcı hem de Sistem Tarayıcı sistemleri için merkezi yönetimin ana bileşeni olarak hizmet veren RealSecure SiteProtector modülü kullanılır. Büyük, coğrafi olarak dağıtılmış ağlarda veya aynı anda birkaç ISS çözümü kullanan kuruluşlarda kullanım için tasarlanmıştır.

Daha basit RealSecure WorkGroup Manager modülü, yalnızca RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor ve RealSecure for Nokia'yı yönetmek için tasarlanmıştır. Diğer ISS çözümlerinin yokluğunda ve ağda az sayıda sensörle (beşe kadar) kullanılabilir.

RealSecure Komut Satırı Arayüzü, yalnızca RealSecure Ağ Sensörü ve Gigabit Sensörünün komut satırı yönetimi için tasarlanmıştır. Bu kontrol modülü yerel kullanıma odaklanmıştır.

Symantec

Intruder Alert ve NetProwler ürünleri (şu anda sırasıyla 3.6 ve 3.5.1 sürümleri yayınlanmıştır) yukarıda bahsedilen incelemede ("BYTE/Rusya", No. 10"2001, s. 14) yeterli ayrıntıda açıklanmıştır.

Enterasys Ağları

Enterasys Networks, eski Cabletron Systems şirketinin bir parçasıdır. IDS Dragon'u (ağ tabanlı tür) yayınlar. Sistemin altıncı versiyonunun iç mimarisi, ölçeklenebilirliği artırdı. Sistem, Network Sensor, Squire Host Sensor, web arayüzlü kontrol modülü Dragon Policy Manager ve gerçek zamanlı merkezi ağ güvenliği izleme sistemi Dragon Security Information Manager bileşenlerini içerir.

Bilgisayar Ortakları

eTrust İzinsiz Giriş Tespiti (eski adıyla SessionWall), yerel bir ağın güvenliğini sağlamak ve izlemek için araçlar sağlar. Bu son derece verimli ve oldukça basit yazılım ürünü, izleme, saldırı algılama, WWW trafik kontrolü ve günlük kaydı yetenekleri sağlar. eTrust Saldırı Tespiti'nin kapsamlı saldırı düzeni kitaplığı, kalıplarla eşleşen saldırıları otomatik olarak algılamak için düzenli olarak güncellenir.

Sistem bir sniffer olarak kullanılabilir, ayrıca anahtar kelimeleri içeren kurallar kullanarak İnternet düğümlerine erişimi kısıtlamanıza izin verir. eTrust ayrıca ağdaki trafiğin nicel bir kaydını tutar.

Virüsler ve tehlikeli Java/ActiveX bileşenleri algılandı. Kullanıcının sisteme girmek için bir şifre tahmin etme girişimleri belirlenir ve kaydedilir, bu da daha sonra şirket yönetiminin organizasyonel kararları için faydalı olabilir.

eTrust İzinsiz Giriş Tespiti, yerel ağda dolaşan tüm paketlerin bağlamsal olarak görüntülenmesini ve yönetici tarafından tanımlanan anahtar kelimeler varsa bunları engellemesini sağlar.

NFR Güvenlik

Şirket, gelişmiş IDS sistemleri geliştirmek amacıyla 1996 yılında kurulmuştur.

NFR NID sistemi, ağ trafiğinin gerçek zamanlı olarak izlenmesini, şüpheli etkinliklerin, çeşitli saldırıların, ağdaki yasaklanmış kullanıcı davranışlarının ve çeşitli istatistiksel sapmaların belirlenmesini sağlar. Kullanılan sensörler paket kaybı olmadan 1 Gbps ve 100 Mbps'de çalışabilmektedir. Geleneksel IDS sistemlerinden (saldırı imzalarıyla trafiğin karşılaştırılması) farklı olarak NFR NID, özel bir bilgi tabanı kullanır, bilinen açıkları kullanarak ağdaki etkinliği kontrol eder ve bu da, Code Red ve Nimda gibi trafikteki yeni saldırı türlerini tespit etmeyi mümkün kılar.

NFR HID, ana bilgisayar düzeyinde çalışır, güvenlik açıklarını ve zayıf güvenlik politikalarını belirlemenize, şüpheli kullanıcı etkinliğini tespit etmenize ve korunan ana bilgisayarı ağ saldırıları düzeyinde izlemenize olanak tanır. Büyük ağlarda çok uygun olan 10 bine kadar ana bilgisayarı destekleyebilir. Sistem iki tür aracı programı kullanır: Günlük Analizi Aracısı, sistem günlükleri dahil olmak üzere çekirdeği ve ağ günlük dosyalarını izler. Ağ Düğümü Aracısı ağ trafiğini izler ve korunan ana bilgisayara yapılan DoS saldırılarını (hizmet reddi), FTP parola kapma saldırılarını, Web phf saldırılarını, CGI taramalarını, BackOrifice taramalarını vb. algılar. Şifreli ağlar ve anahtarlanmış ağlar için çok uygundur.

tripwire

Tripwire ve NFR'nin gelişim tarihi ve ürünlerinin bazı işlevsel özellikleri, aynı incelemede özetlenmiştir. Bu şirketin, adları kendileri için konuşan üç ana ürünü olduğunu unutmayın (Sunucular, Ağ Aygıtları ve Web Sayfaları için). Ana teknolojik özellikleri, ana dosya ve modüllerin sağlama toplamlarının hesaplanmasıdır.

horlamak

Snort, hafif bir saldırı tespit sistemidir. Program aktarım protokolünü analiz eder, arabellek taşmaları, tarama, CGI saldırıları, işletim sistemini belirleme girişimleri vb. gibi çeşitli saldırıları tespit eder. Snort, trafikteki saldırıları bulmak için özel kurallar kullanır. Sistemin kurulumu ve bakımı kolaydır, ancak uygun bir grafik arayüz olmadan "elle" kurulacak çok şey vardır.

Program üç modda çalışır: sniffer, paket kaydedici ve ağ saldırı tespit sistemi. İlk durumda, sistem paketleri ağ düzeyinde tarar ve bunlarla ilgili bilgileri konsola gönderir; ikinci durumda, günlük dosyalarını diske yazar; üçüncü durumda, eşleşen saldırı imzaları için ağ trafiğini analiz eder ve bunları sinyaller. .

Ağlar Arası Araştırma grubu, BBN Technologies

NIDS, SecureNet serisi ürünler, yüksek hızlı ağlar (SecureNet 5000 ve 7000), kişisel bilgisayar koruması (SecureNet 2000), ayrıca SecureNet Sağlayıcı izleme sistemi ve özel SecureNet Pro yazılımı için tasarlanmış cihazları içerir.

SecureHost (ana bilgisayar tabanlı IDS) sistemi, özel sensörler - aracı programları tanıtarak bilgisayarları ve sunucuları korumak için tasarlanmıştır. Ajanlar, benimsenen koruma politikasına uygun olarak bir saldırı durumunda gerçek zamanlı karar vermeyi sağlar. Intrusion SecureHost yazılım paketi, Microsoft Windows 2000 Server tabanlı bir yönetim konsolu ve Microsoft Windows NT, Windows 2000 veya Sun Solaris 2.8 çalıştıran sistemlerde çalışan aracılardan oluşur.

ateş fırtınası

Gianni Tedesco tarafından geliştirilen ve ücretsiz olarak dağıtılan yüksek hızlı NIDS Firestorm, şu anda esas olarak Linux çalıştıran bir sensör olarak sunulmaktadır. Sistemin özellikleri şunlardır:

bilgiler, ağ trafiğinden paketlerin yakalanmasına izin veren libpcap kitaplıkları kullanılarak toplanır;
sistem Snort için yazılmış kuralları destekler;
firestorm.conf dosyasını düzenleyerek kolayca yapılandırılabilir;
durumsal denetim çalışma modunu anlar (protokolün durumuna dayalı paket denetim teknolojisi);
günlük dosyalarını ASCII veya tcpdump formatında hazırlar;
olayları ilişkilendirir;
uzak bir cihaza (konsol) yönelik bir saldırı hakkında sinyaller verir.

Ancak (genellikle özgür yazılımda olduğu gibi), bu sistem saldırıya açıktır. Bu sisteme NIDS'nin askıda kalmasına neden olacak bir saldırı olasılığı vardır. Saldırı haber beslemelerinde zaten anlatılmıştı, sorunun bir bellek işleme modülü hatası olduğu ortaya çıktı.

Psionik Teknolojiler

TriSentry (eski adıyla Abacus Project araçları), çeşitli saldırıları tespit ederek bir şirketin ağının güvenliğini artırmak için tasarlanmıştır. Sistem üç temel bileşenden oluşur: PortSentry, HostSentry ve LogSentry. IDS, UNIX ortamında çalışmak üzere tasarlanmıştır.

PortSentry, kurban ana bilgisayar ile saldırgan arasındaki iletişimi sonlandıran basit bir tarama dedektörüdür. Ana bilgisayar yerel yolları "sıfırlar", dinamik erişim kurallarını ayarlar ve ana bilgisayarı özel TCP sarmalayıcı hosts.deny dosyalarına gerçek zamanlı olarak ekler.

HostSentry programı, güvenlik yöneticisinin olağandışı kullanıcı etkinliğini (Oturum Anormalliği Algılama, LAD) algılamasına olanak tanır.

LogSentry (eski adıyla Logcheck), posta sistemlerindeki güvenlik ihlalleri için sistem günlük dosyalarını otomatik olarak izler. Daha önce TIS Gauntlet güvenlik duvarı ile birlikte gönderilen bu program seti, daha geniş bir sistem yelpazesini denetlemek için önemli ölçüde yeniden tasarlandı.

Lancope

StealthWatch donanım ve yazılım sistemi, yüksek hızlı bir ortamda saldırıları izlemek, tespit etmek ve bunlara yanıt vermek için güçlü bir sistemdir. Geleneksel sistemlerden farklı olarak, mevcut imzaların veritabanına erişmeden yeni saldırıları tespit etmenizi sağlayan akış tabanlı bir mimariye sahiptir. Yeni mimari, anormal aktiviteye dayalı gelişmiş saldırı algılama, yüksek hızlı bir ortamda çalışma (100 Mbps tam dupleksten 1 Gbps'ye kadar) ve yanlış saldırılara önemli ölçüde daha az yanıt verir.

OneSecure

Şirket, OneSecure Saldırı Tespiti ve Önleme (IDP) sisteminde, güvenlik açıklarını tespit etmek için en iyi bilinen yöntemleri birleştiren özel bir mekanizma olan Çok Yöntemli Algılama (MMD) sundu.

Başvuru Teknolojileri

Şirket iki ürün sunar: ManTrap, en kritik sunucular için koruma sağlar, ManHunt, gigabit ortamı dahil olmak üzere ağ düzeyinde saldırıları algılar. Dağıtılmış sensörler ve merkezi bir işlem ve karar verme sunucusu kullanılır. Aynı zamanda şirketin geliştirdiği teknik (sıfır gün) sadece bilinenleri değil, yeni saldırıları da ortaya çıkarıyor.

Emerald, NetStat, Shadow ve Bro ürünleri "BYTE/Rusya", No. 10"2001'de detaylı olarak tartışılmaktadır.

Yeni trendler

Anahtarlar, hub'lardan daha fazla bant genişliğine sahip oldukları ve hassas bilgileri ele geçirmek için sniffer yazılımı kullanan saldırılara karşı korudukları için kurumsal ağlarda giderek daha fazla kullanılmaktadır. Ancak, NIDS kullanımıyla ilgili sorunlar devam etmektedir. Anahtardan geçen verileri özel bir bağlantı noktasına kopyalayan bağlantı noktası yansıtmalı (SPAN bağlantı noktaları) anahtarlar vardır. Teorik olarak SPAN bağlantı noktasını kullanarak tüm veri akışını kontrol etmek mümkündür, ancak yansıtılan trafik miktarı izin verilen sınırı aşarsa paket kayıpları başlar.

Bir gigabit ağı için zaten çözümler var, ancak başka bir sorun daha var - şifreleme. Bugün hiçbir kendine saygısı olan yönetici, sistemleriyle SSH veya SSL olmadan uzaktan çalışmaz ve veri aktarımı şifreli olduğu için IDS kullanma sorunu devam eder. Tüm trafiğin şifresini çözmenin ve sonuç olarak saldırı imzalarını kontrol etmenin imkansızlığından oluşur. Yakın gelecekte hemen hemen tüm üreticiler (IDS pazarında hak ettikleri yeri almak istiyorlarsa) ürünlerini gigabit ağında kullanmak üzere sonuçlandıracaklar.

Diğer bir konu ise bilgi toplanması ve analizidir. En ciddi güvenlik uzmanı bile insandır ve bir şirket sunucusuna yönelik bir saldırının hazırlanmasını veya yürütülmesini ondan saklayacak bazı ayrıntıları fark etmeyebilir. Anormal aktiviteyi tespit etmek için teknoloji geliştirmek için Spice and Spade projeleri başlatıldı ve bu sorunun çözülmesine yardımcı olmaları gerekiyor.

Şüphesiz, IDS bilgi toplama ve ilişkilendirme yönünde gelişmektedir. Bu durumda bilgi çeşitli kaynaklardan (sensörler) gelmelidir. Büyük olasılıkla, NIDS ve HIDS arasındaki farklar yavaş yavaş ortadan kalkacak ve gelecekte karar verme yeteneklerine sahip merkezi yönetim sistemleri (en azından basit durumlarda) oluşturulacak ve bu da bilgisayar güvenliğinden sorumlu yöneticiler üzerindeki yükü önemli ölçüde azaltacaktır. ağlar.

En son makaleler

2022-03-23 06:03:04
Cihaz nedir ve gadget'tan farkı nedir?
2022-03-23 06:03:04
MSI P35 NEO Anakarta Genel Bakış MSI P35 Neo ve MSI P35 Neo Combo - Intel P35 Chipset Tabanlı Anakartlar
2022-03-17 22:04:42
Tablo içeren metin belgelerinin tasarımı üzerine pratik çalışma

Popüler Makaleler

Editörün Seçimi

2022-03-12 11:39:54

TalkBack özelliği nasıl kapatılır?
Android işletim sistemi, sıradan kullanıcıların bazılarının farkında bile olmadığı birçok özelliğe sahiptir. O "cips"lerden biri...
2022-03-12 11:39:54

Alternatif donanım yazılımına genel bakış HTC Desire A8181 Bravo HTC Desire için donanım yazılımı dosyası nasıl yüklenir
HTC Desire A8181'in mutlu bir sahibiyim. Bir yıl önce aldığımda sevincim sınır tanımıyordu. Bir süre sonra Samsung çıktı...
2022-03-12 11:39:54

Yanıp sönen veya yanıp sönen Alcatel telefon, akıllı telefon ve tablet
Alcatel, modaya uygun cep telefonları, akıllı telefonlar ve tabletlerin üretiminde uzmanlaşmıştır, sadece mükemmel ürünlerle değil...
2022-03-12 11:39:54

Samsung Galaxy'de veriler nasıl sıfırlanır (donanımdan sıfırlama, fabrika ayarlarına sıfırlama)
Donanımdan sıfırlamanın kullanılabilirliği: Mevcut Akıllı telefonunuzun fabrika ayarlarına donanımdan sıfırlama yapmanız gerekebilecek birçok neden vardır (Sabit...
2022-03-12 11:39:54

Sense kabuğu ile HTC Desire için en iyi bellenim - Runnymede ve RuHD RuHD for Desire Kurulumu
Evet, biraz konu dışı, ama yine de geçen gün kendim parladım, zaten oldukça eski, smarfon ve tecrübem var. Dedikleri gibi, aynı ürün yazılımı ile ortak bir şey ...