Сторонние средства обеспечения безопасности

Системы обнаружения вторжений

Для обеспечения хорошей защиты веб-сервера необходимо наличие нескольких уровней безопасности. В то время как сетевой экран обеспечивает контролируемую точку доступа к серверу IIS, целью систем обнаружения вторжений (IDS) является корректная идентификация несанкционированных действий. Системы IDS автоматизируют процесс обнаружения аномалий в сети посредством сбора информации из различных ее точек и анализа на наличие тревожных признаков. Данные устройства являются пассивными, и большинство из них не может блокировать сетевой трафик или контролировать доступ в сеть.

Принципы работы систем обнаружения вторжений

Система IDS проверяет пакеты сетевого трафика для идентификации угроз, разрушающих периметровую защиту, исходящих как от санкционированных, так и от несанкционированных пользователей. Данный процесс осуществляется при помощи сопоставления строк и анализа контекста согласно набору правил, определяющему искомые объекты. Эти правила варьируются в зависимости от роли пользователя и основываются на наборе следующих показателей и параметров.

• Защита входа. Определенные события, например, неудачный вход.
• Профили. Анализ непосредственного использования в сравнении с базовым профилем.
• Признаки известных атак. Обнаруживаемая сетевая активность, относящаяся к таким явлениям, как некорректные заголовки TCP или неожиданные массовые рассылки электронных сообщений.

Функция сравнения строк выполняет поиск последовательности символов для выявления возможных угроз. Анализ контекста, известный как анализ признаков, построен на аналитическом сценарии сравнения контекста строк. Сравнение строк осуществляется быстро, и оно склонно к выявлению ложных опасностей. Анализ контекста уменьшает количество ложных обнаружений, но занимает больше времени.

Системы IDS высшего класса полностью декодируют протоколы для выявления пакетов и их содержимого для всестороннего исследования с применением больших баз данных признаков атак. Можно настроить IDS на нужное соответствие скорости работы и качества, а также расширить базу данных признаков для идентификации любых уникальных сетевых характеристик. Настройка систем обнаружения вторжений на уменьшение ошибочных тревог предназначена для предотвращения большого количества ложных обнаружений, из-за которого возрастает объем лишней работы и обеспокоенность пользователей. Необходимо четко определить метод обработки всех тревог системы IDS для обеспечения действий по реагированию на возможную атаку. Это следует сделать до включения системы в работу.

Совет. Работа системы обнаружения вторжений основывается на правилах и заключается в распознавании и реагировании на бесчисленное множество возможных атак, поэтому система может пропустить атаку. Эту опасность можно снизить, обеспечив соответствие правил известным атакам и постоянное наблюдение за сетевой активностью. Ложное срабатывание представляет собой тревогу, сгенерированную системой IDS в результате событий, на самом деле не являющихся атакой. Примером такой ситуации может быть резервное копирование пользователем всей папки проекта на съемный носитель для вполне легальных целей.

Многие приложения IDS автоматически реагируют на нарушение правил, например, отправляют сообщение электронной почты администратору или отключают привилегии пользователя. Они ведут запись сведений об использовании сети для дальнейшего подробного анализа событий. Вследствие огромного объема фиксируемых данных многие системы IDS содержат анализаторы журналов, о которых пойдет речь далее.

Используются два типа IDS: узловые системы обнаружения вторжений (HIDS) и сетевые системы обнаружения вторжений (NIDS). В большой сети следует использовать оба типа устройств, а в малой – систему NIDS.

Узловая система обнаружения вторжений

Система HIDS представляет собой приложение, устанавливаемое на жизненно важные узлы демилитаризованной зоны, например, на веб-сервер, и отслеживающее события только на этом устройстве. Устройства HIDS фиксируют аутентификацию пользователей, процессы приложений, подключение и изменение файлов для обнаружения атак типа Back Orifice или атак замедленного действия. Для экономии процессорного времени эти системы настраиваются на отслеживание активности определенных программ, например, автоматическое выполнение макросов и активность признаков вирусов-червей.

Централизованные узловые IDS (CHIDS) являются разновидностью HIDS, в которой реализовано централизованное управление анализом посредством отправки отслеженных файлов, журналов и параметров реестра центральной консоли анализа. Это свойство повышает безопасность устройств, так как вся важная информация отправляется за пределы узла, что обеспечит анализ данных даже в случае нарушения его защиты. Гибридные IDS дополняют технологию HIDS отслеживанием сетевого трафика, входящего или исходящего от определенного узла. Технология NIDS, в отличие от HIDS, отслеживает весь сетевой трафик на предмет атак, использующих соединения между компьютерами сети.

Предупреждение. Помните, что необходимо принимать в расчет наличие персонала для установки и обслуживания продуктов, обеспечивающих комплексную безопасность. Многие из обсуждаемых продуктов предъявляют повышенные требования к системе. Например, система обнаружения вторжений (IDS) генерирует гигабайты данных журнала и отнимает большое количество аппаратных ресурсов. Может понадобиться обновление оборудования, которое по цене в некоторых случаях превышает стоимость самой системы IDS. Необходимо найти оптимальное соотношение между требованиями к системе и вашим бюджетом.

Сетевые системы обнаружения вторжений

Система NIDS представляет собой своеобразный щит перед сетью, обеспечивающий отслеживание входящего и исходящего трафика для выявления атаки до того, как она откроет доступ к ресурсам сети. Среди всех технологий IDS NIDS обеспечивает самый широкий спектр действий и обнаруживает наибольшее число атак, включая атаки на отказ в обслуживании.

NIDS следует применять в сегменте сети, расположенном с внешней стороны от демилитаризованной зоны, и затем непосредственно в сегменте DMZ. Это позволит отслеживать любую активность во внешней среде и в демилитаризованной зоне. Система NIDS состоит из набора приложений-агентов, стратегически расположенных внутри сети для отслеживания сетевой активности, и представляет собой как аппаратное, так и программное устройство.

Совет. Система обнаружения не только обеспечивает безопасность. Одной из наиболее серьезных проблем современного бизнеса является злоумышленное использование внутренней сети. Система IDS может собирать информацию об использовании сети сотрудниками, отслеживая выполняемые задачи, затраты ресурсов или превышение полномочий.