Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2942 / 490 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Лекция 7:

Системы обнаружения вторжений

Ключевые слова: подозрительная активность, программное обеспечение, вторжение, ПО, потоки данных, TCP/IP, номер порта, информационное наполнение, экранирование, контроль целостности, межсетевой экран, ЛВС, сеть, сервер приложений, внутренняя сеть, статистика, внутренний злоумышленник, Хакер, активность, маршрутизатор, 'inline', атака, CMD, Интернет, IIS, web-сервера, RED, im-черви, запись, командный интерпретатор, Windows, переполнение буфера, internet server, API, ISAPI, доступ, команда, представление, IDA, место, прямой, GET, базы данных, Системы мониторинга сетей, OpenView, SNMP, активный пользователь, обмен сообщениями, полоса пропускания, EML, входная строка, потенциал, одноранговая сеть, сетевой администратор, отправка сообщения, пейджер, обработка сигналов, ACID, analysis, intrusion, detection, freebsd, GPL, SIG, CVS, группа пользователей, эффективная реализация, протоколирование, среда передачи, сеть Ethernet, графическая среда, intel, гигабайт, маршрутное имя, бинарный файл, уровень детализации, fast, сокет, SMB, mysql, пользователи базы данных, файл, vi, Документирование программы, адресное пространство, маска сети, Telnet, AIMS, AOL, instant messenger, chat, препроцессор, unified, машина баз данных, сервер баз данных, конфигурация базы данных, filename, self-limiting, ICMP, ping, NetBIOS, сенсор, концентраторы, rule, attack, bad, traffic, ddos, глобальная сеть, сервер dns, experimental, exploit, finger, IMAP, internet message access protocol, gopher, multimedia, NNTP, сервер телеконференций, IDS, P2P, policy, POP3, pop, ловушка, RPC, удаленный вызов процедур, троянская программа, rlogin, scan, низкоуровневая команда, почтовый сервер, интерфейс командной строки, TFTP, virus-like, CGI, client, frontpage, параметры командной строки, interface, MSB, внешняя база данных, CVE, удаленное администрирование, SSL, MODULE, основной раздел, vulnerability, управление доступом, управление конфигурацией, chris, IPsec, administrative tools, two-pass, UDP, IPX, MSG, TTL, TOS, идентификатор фрагмента, flagging, ACK, echo, offset, SID, rev, priority, %URI, tagged, stateless, метасимволы, отрицание, документирование, файл паролей, целостность файлов, gene, PS/2, rpm, CFG, почтовый клиент, переменные окружения, acceptable, системная переменная, идентификатор устройства, описатель файла, номер описателя файла, режим доступа к файлу, тип файла, идентификатор пользователя, хэш-код, HAVAL, MD5, SHA-1, SHS, режим доступа

В предыдущей лекции мы ознакомились с сетевыми анализаторами и многими полезными вещами, которые можно делать с их помощью. Анализаторы можно использовать даже для выявления подозрительной активности в сети. Еще один шаг в этом направлении можно сделать, используя программное обеспечение, называемое системами обнаружения вторжений. По сути эти программы представляют собой модифицированные анализаторы, которые видят все потоки данных в сети, пытаются выявить потенциально вредный сетевой трафик и предупредить вас, когда таковой появляется. Основной метод их действия заключается в исследовании проходящего трафика и сравнении его с базой данных известных шаблонов вредоносной активности, называемых сигнатурами. Использование сигнатур очень похоже на работу антивирусных программ. Большинство видов атак на уровне TCP/IP имеют характерные особенности. Система обнаружения вторжений может выявлять атаки на основе IP-адресов, номеров портов, информационного наполнения и произвольного числа критериев. Существует другой способ обнаружения вторжений на системном уровне, состоящий в контроле целостности ключевых файлов. Кроме того, развиваются новые методы, сочетающие концепции обнаружения вторжений и межсетевого экранирования или предпринимающие дополнительные действия помимо простого обнаружения (см. врезку "Новое поколение систем обнаружения вторжений"). Однако в этой лекции основное внимание уделено двум наиболее популярным способам обнаружения вторжений в сети и системах: сетевое обнаружение вторжений и контроль целостности файлов.

Обзор лекции

Изучаемые концепции:

  • Типы систем обнаружения вторжений
  • Сигнатуры для систем обнаружения вторжений
  • Ложные срабатывания в сетевых системах обнаружения вторжений
  • Правильное размещение систем обнаружения вторжений
  • Настройка систем обнаружения вторжений
  • Контроль целостности файлов

Используемые инструменты:

Snort, модуль Snort Webmin, Snort for Windows, Tripwire

Сетевая система обнаружения вторжений может защитить от атак, которые проходят через межсетевой экран во внутреннюю ЛВС. Межсетевые экраны могут быть неправильно сконфигурированы, пропуская в сеть нежелательный трафик. Даже при правильной работе межсетевые экраны обычно пропускают внутрь трафик некоторых приложений, который может быть опасным. Порты часто переправляются с межсетевого экрана внутренним серверам с трафиком, предназначенным для почтового или другого общедоступного сервера. Сетевая система обнаружения вторжений может отслеживать этот трафик и сигнализировать о потенциально опасных пакетах. Правильно сконфигурированная сетевая система обнаружения вторжений может перепроверять правила межсетевого экрана и предоставлять дополнительную защиту для серверов приложений.

Сетевые системы обнаружения вторжений полезны при защите от внешних атак, однако одним из их главных достоинств является способность выявлять внутренние атаки и подозрительную активность пользователей. Межсетевой экран защитит от многих внешних атак, но, когда атакующий находится в локальной сети, межсетевой экран вряд ли сможет помочь. Он видит только тот трафик, что проходит через него, и обычно слеп по отношению к активности в локальной сети. Считайте сетевую систему обнаружения вторжений и межсетевой экран взаимодополняющими устройствами безопасности - вроде надежного дверного замка и системы сигнализации сетевой безопасности. Одно из них защищает вашу внешнюю границу, другое -внутреннюю часть (рис. 7.1).

Защита с помощью сетевой системы обнаружения вторжений и межсетевого экрана

Рис. 7.1. Защита с помощью сетевой системы обнаружения вторжений и межсетевого экрана

Имеется веская причина, чтобы внимательно следить за трафиком внутренней сети. Как показывает статистика ФБР, более 70 процентов компьютерных преступлений исходят из внутреннего источника. Хотя мы склонны считать, что наши коллеги не сделают ничего, чтобы нам навредить, но иногда это бывает не так. Внутренние злоумышленники - не всегда ночные хакеры. Это могут быть и обиженные системные администраторы, и неосторожные служащие. Простое действие по загрузке файла или по открытию файла, присоединенного к электронному сообщению, может внедрить в вашу систему "троянскую" программу, которая создаст дыру в межсетевом экране для всевозможных бед. С помощью сетевой системы обнаружения вторжений вы сможете пресечь подобную активность, а также другие возможные компьютерные интриги. Хорошо настроенная сетевая система обнаружения вторжений может играть роль электронной "системы сигнализации" для вашей сети.

Новое поколение систем обнаружения вторжений

Системы обнаружения вторжений на основе выявления аномальной активности

Вместо применения статических сигнатур, с помощью которых можно выявлять только явно вредоносную деятельность, системы нового поколения отслеживают нормальные уровни для различных видов активности в сети. Если наблюдается внезапный всплеск трафика FTP, то система предупредит об этом. Проблема с системами такого рода состоит в том, что они весьма склонны к ложным срабатываниям - то есть выдаче сигналов тревоги, когда в сети имеет место нормальная, допустимая деятельность. Так, в примере с FTP-трафиком загрузка особенно большого файла будет возбуждать сигнал тревоги.

Следует учитывать также, что системе обнаружения вторжений на основе выявления аномальной активности требуется время, чтобы построить точную модель сети. Вначале система генерирует так много тревожных сигналов, что пользы от нее почти никакой. Кроме того, подобные системы обнаружения вторжений можно обмануть, хорошо зная сеть. Если хакеры достаточно незаметны и используют протоколы, которые активно применяются в сети, они не привлекут внимания систем такого рода. С другой стороны, важное преимущество подобных систем - отсутствие необходимости постоянно обновлять набор сигнатур. Когда эта технология достигнет зрелости и достаточной интеллектуальности, она, вероятно, станет употребительным методом обнаружения вторжений.

Системы предотвращения вторжений

Новый тип сетевых систем обнаружения вторжений, называемый системами предотвращения вторжений, декларирован как решение всех проблем корпоративной безопасности. Основная идея состоит в том, чтобы при генерации тревожных сигналов предпринимать ответные действия, такие как написание на лету индивидуальных правил для межсетевых экранов и маршрутизаторов, блокирующих активность подозрительных IP-адресов, запрос или даже контратака систем-нарушителей.

Хотя эта новая технология постоянно развивается и совершенствуется, ей еще слишком далеко до проведения анализа и принятия решений на уровне человека. Факт остается фактом - любая система, которая на 100% зависит от машины и программного обеспечения, всегда может быть обманута посвятившим себя этому человеком (хотя некоторые проигравшие шахматные гроссмейстеры могут с этим не согласиться). Примером системы предотвращения вторжений с открытыми исходными текстами служит Inline Snort Джеда Хейла - свободный модуль для сетевой системы обнаружения вторжений Snort, обсуждаемой в данной лекции.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?