• IDS - co to je? Jak funguje systém detekce narušení (IDS).

    V recenzi podnikových IPS řešení na ruském trhu od Anti-Malware, vydané minulý týden, je vše v pořádku, až na samotnou recenzi ruských řešení. Dovolte mi trochu přidat ke svým kolegům.

    Jako většina produktů na našem trhu informační bezpečnost Systémy detekce/prevence útoků lze klasifikovat podle následujících dvou kritérií:

    • osvědčení:
      • nepřítomný
      • udělali minimum "na parádu"
      • vysoká úroveň certifikace
    • rozpoznání (rozšíření) produktu:
      • známé a používané ve světě
      • dostupné pouze na místním trhu

    Podle kombinace těchto dvou parametrů lze takto popsat typ prodejce, samozřejmě s přihlédnutím k tomu, že v praxi bude situace nejčastěji smíšená.

    Nyní se ve skutečnosti přesuneme k domácímu IPS / IDS, jehož samotná existence je do značné míry určena přítomností příslušných regulačních požadavků. Formalizované požadavky na tuto třídu řešení existují u FSB již dlouhou dobu (od roku 2002) a od loňského roku se objevil i FSTEC.

    FSB tuto třídu zařízení nazývá SOA (systémy detekce útoků) a rozlišuje 4 třídy – od G po A (od nižší po vyšší), přičemž každá následující třída zahrnuje veškerou funkcionalitu předchozích. Požadavky FSB jsou označeny „For Official use“ a jen tak je neseženete.

    FSTEC takové systémy nazývá IDS (systémy detekce narušení), což je neuvěřitelně pohodlné, protože certifikaci FSB a FSTEC nemůžete za nic splést =) S podstatou požadavků FSTEC je to trochu jednodušší: existuje minimálně obecná informace v dopise na webu FSTEC, kde je vysvětleno, že je stanoveno celkem šest tříd ochrany IDS (šestá je nejnižší). Na webových stránkách FSTEC nejsou žádné odpovídající ochranné profily pro třídy šest až čtyři (ačkoli dopis uvádí něco jiného), ale pokud chcete, můžete je najít na internetu.

    Celkem bylo podle požadavků FSB certifikováno šest výrobků (všechny tuzemské), podle nových požadavků FSTEC zatím pouze čtyři (dva tuzemské a dva dovozové). Zároveň existují i ​​IDS certifikované FSTEC pro shodu s technickými specifikacemi (TU) ještě před vstupem v platnost nových požadavků na IDS, ale dnes nás zajímají pouze domácí výrobci, a to jsou pouze dva z nich řešení.

    Konečný seznam domácích IDS a jejich certifikátů vypadá takto:

    Můžete se mnou polemizovat, ale podle mého názoru všechny tyto produkty jednoznačně spadají do kategorie „Papermen“, ať už pro ně taková definice může znít jakkoli urážlivě.

    Bohužel u některých řešení jsou veřejnosti dostupné jen kusé informace, což je zřejmě dáno jejich velmi specifickým rozsahem. Z hlediska domácích systémů detekce útoků se téměř nejinformativnějším zdrojem ukázala tato prezentace zástupce FSB D.N. Satan. Popisy všech produktů nalezených na internetu byly doplněny a aby se v příspěvku neduplikovaly informace z Katalogu, uvádím pouze odkazy na produkty.

    Schopnosti detekce narušení se dnes stávají nezbytnými doplňky infrastruktury zabezpečení informací každé velké společnosti. Otázka, zda je systém detekce narušení (IDS) nezbytný, již není otázkou pro odborníky na informační bezpečnost, ale čelí problému výběru takového systému pro konkrétní organizaci. Kromě toho je kvůli vysokým nákladům na takové produkty nutné pečlivěji zdůvodnit potřebu jejich použití.

    Typy systémů detekce narušení

    K dnešnímu dni existuje několik různých typů IDS, které se liší v různých algoritmech monitorování dat a přístupech k jejich analýze. Každému typu systému odpovídají určité vlastnosti použití, výhody a nevýhody.

    Jeden způsob klasifikace IDS je založen na pochopení toho, co vlastně řídí. Některé monitorují veškerý síťový provoz a analyzují síťové pakety, jiné jsou nasazeny na jednotlivých počítačích a monitorují operační systém, zda se v něm nenacházejí známky průniku, a jiné zpravidla monitorují jednotlivé aplikace.

    IDS chránící segment sítě

    Tato třída IDS je v současnosti nejrozšířenější mezi komerčními produkty. Systém se obvykle skládá z několika specializovaných serverů, které analyzují síťový provoz v různých segmentech sítě a přenášejí zprávy o možném útoku do konzole centralizované správy. Na serverech používaných IDS neběží žádné jiné aplikace, takže je lze chránit před útoky, včetně speciálních prostředků. Mnoho z nich může fungovat v režimu „stealth“, což ztěžuje odhalení útočníků a určení jejich polohy v síti.

    výhody:

    několik dobře umístěných systémů může ovládat velkou síť;

    jejich nasazení má malý dopad na stávající síť. Taková IDS jsou obvykle pasivní zařízení, která zachycují síťový provoz bez zatížení sítě toky služeb;

    systém může být docela bezpečný před útoky na sebe, kromě toho mohou být některé jeho uzly pro útočníky neviditelné.

    nedostatky:

    nedokáže rozpoznat útok spuštěný v době vysokého zatížení sítě. Někteří vývojáři se snaží tento problém vyřešit implementací IDS na základě hardwaru, který má více vysoká rychlost. Navíc potřeba rychle analyzovat pakety nutí vývojáře detekovat útok pomocí minimální náklady výpočetní prostředky, které vážně snižují účinnost detekce;

    mnoho výhod malých segmentových IDS (typicky jedno vysokorychlostní ethernetové spojení na server) a poskytují vyhrazená spojení mezi servery obsluhovanými stejným přepínačem. Většina přepínačů neposkytuje univerzální ovládací porty, což snižuje ovládací rozsah COB senzoru. V takových přepínačích jeden port často nemůže odrážet veškerý provoz procházející přepínačem;

    není schopen analyzovat zašifrované informace;

    nahlásit zahájený útok bez analýzy stupně průniku.

    IDS chránící jeden server

    Tyto systémy fungují tak, že analyzují aktivitu procesů na konkrétním serveru, na kterém jsou nainstalovány; shromažďovat informace o serveru, který ovládají. To umožňuje IDS analyzovat aktivity na serveru na vysoké úrovni detailů a určit, kteří uživatelé provádějí škodlivé aktivity na operačním systému serveru.

    Některá IDS této třídy mají schopnost spravovat skupinu serverů přípravou centralizovaných zpráv o možných útocích, které jsou shrnuty v konzole správce zabezpečení. Jiné generují zprávy kompatibilní se systémy správy sítě.

    výhody:

    detekovat útoky, které nedetekují IDS, které chrání segment sítě, protože mají představu o událostech lokalizovaných na konkrétním serveru;

    pracovat v síti, která používá šifrování dat, když jsou informace v jasné formě na serveru předtím, než jsou odeslány spotřebiteli;

    pracovat v přepínaných sítích.

    nedostatky:

    mechanismy pro shromažďování informací musí být nainstalovány a udržovány na každém serveru, který bude monitorován;

    může být napaden a blokován připraveným soupeřem;

    nejsou schopni kontrolovat situaci v celé síti, protože „vidí“ pouze síťové pakety přijaté serverem, na kterém jsou nainstalovány;

    potíže při odhalování a potírání útoků odmítnutí služby;

    využívat výpočetní zdroje serveru, který ovládají, a tím snižovat jeho efektivitu.

    Ochrana aplikací založená na IDS

    Tyto systémy řídí události, ke kterým dochází uvnitř samostatná aplikace a často odhalují útoky při analýze protokolů aplikačního systému. Schopnost komunikovat přímo s aplikací prostřednictvím servisního rozhraní a také velká zásoba aplikačních znalostí o aplikaci umožňuje této třídě IDS poskytnout podrobnější pohled na podezřelou aktivitu v aplikaci.

    výhody:

    monitorovat aktivity s velmi vysokou mírou podrobnosti, což jim umožňuje vysledovat neoprávněné aktivity jednotlivých uživatelů;

    schopný pracovat v šifrovaném prostředí.

    Někteří odborníci poznamenávají, že rozdíl mezi systémy založenými na ochraně aplikací a systémy založenými na ochraně jednoho serveru není vždy jasně viditelný, a proto budou v budoucnu obě třídy označovány jako systémy detekce narušení založené na ochraně jednoho serveru. server.

    Přístupy k analýze událostí.

    V současné době existují dva hlavní přístupy k analýze událostí: detekce signatur a detekce anomálií.

    IDS založené na podpisu

    Přístup detekce narušení založený na signaturách detekuje aktivitu, která odpovídá předem definované sadě událostí, které jednoznačně popisují známý útok. Systémy založené na signaturách proto musí být předem naprogramovány tak, aby detekovaly každý známý útok. Tato technika je mimořádně účinná a je hlavní metodou používanou v komerčních programech.

    výhody:

    velmi efektivní při odhalování útoků bez generování značného počtu falešných poplachů.

    nedostatky:

    systémy založené na signaturách musí být předem naprogramovány tak, aby detekovaly každý útok, a musí být neustále aktualizovány o signatury nových útoků;

    samotné signatury jsou v mnoha systémech této třídy definovány dosti úzce, což jim ztěžuje odhalování variant tradičních útoků, jejichž signatura se mírně liší od signatury v jejich databázi.

    Sergej Griňjajev,
    Kandidát technických věd, vedoucí vědecký pracovník
    [e-mail chráněný]

    Technologie systému detekce narušení počítačové sítě(OWL) je poměrně mladá a dynamická. Dnes v této oblasti probíhá aktivní formování trhu, včetně procesů absorpce a fúzí společností. Proto informace o systémech detekce narušení rychle zastarávají, což ztěžuje jejich srovnání. Specifikace. Spolehlivější je seznam produktů umístěný na internetu na stránkách SANS/NSA1, který je neustále upravován a doplňován. Pokud jde o informace v ruštině, téměř úplně chybí. V tomto článku se autor snažil zahrnout co nejvíce odkazů na internetové informační zdroje k tématu detekce narušení (seznam těchto zdrojů je uveden na konci článku a odkazy na něj jsou v textu označeny čísly ).

    Detekce narušení je oblastí aktivního výzkumu již více než dvě desetiletí. Předpokládá se, že počátek tohoto směru byl položen v roce 1980 článkem Jamese Andersona „Monitoring Threats zabezpečení počítače"2. O něco později, v roce 1987, byl tento směr rozvinut publikací článku "On the Intrusion Detection Model" od Dorothy Denning3. Poskytl metodologický přístup, který inspiroval mnoho výzkumníků a položil základy pro vytváření komerčních produktů v oboru detekce narušení.

    Experimentální systémy

    Výzkum detekce narušení provedený na počátku 90. let také přinesl řadu nových nástrojů4. Většinu z nich však studenti vyvinuli pouze s cílem prozkoumat základní pojmy teoretického přístupu a po ukončení studia autorů podpora a vývoj ustal. Tento vývoj zároveň vážně ovlivnil volbu směru dalšího výzkumu. Raný vývoj systémů detekce narušení byl založen hlavně na centralizované architektuře, ale kvůli prudkému nárůstu počtu telekomunikačních sítí pro různé účely se pozdější snahy soustředily na systémy s distribuovanou síťovou architekturou.

    Dva ze zde popsaných produktů, EMERALD a NetStat, jsou založeny na podobných přístupech. Třetí systém, Bro, vám umožňuje studovat problémy s pronikáním do sítě pomocí pokusů o přetížení nebo oklamání systému detekce narušení.

    SMARAGD

    EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), nejvíce moderní produkt ve své třídě, vyvinutý společností SRI (http://www.sri.com). Tato rodina nástrojů byla vytvořena za účelem zkoumání problémů spojených s detekcí anomálií (odchylky uživatele od normálního chování) a detekcí signatur (charakteristické „vzorce“ narušení).

    První práce SRI v této oblasti začala v roce 1983 vývojem statistického algoritmu schopného detekovat rozdíly v chování uživatelů5. O něco později byl subsystém analýzy signatur narušení doplněn o expertní systém P-BEST6. Výsledky výzkumu byly implementovány v jedné z raných verzí systému IDES7. Tento systém je schopen v reálném čase sledovat aktivity uživatelů připojených k více serverům. V letech 1992-1994 Vznikl komerční produkt NIDES8, určený rovněž pro ochranu jednotlivých serverů (host-based) a využívající expertní systém P-BEST. Dále vývojáři přidali do systému komponentu Resolver, která kombinovala výsledky statistické analýzy a analýzy signatur. Uživatelské rozhraní v NIDES bylo také výrazně vylepšeno.

    Poté byl vytvořen systém EMERALD. Vzal v úvahu výsledky experimentů s IDES / NIDES, ale tento systém byl již zamýšlen k zajištění bezpečnosti síťových segmentů (síťových). Hlavním cílem jeho vývoje je detekce narušení ve velkých heterogenních sítích. Taková prostředí je obtížnější kontrolovat a analyzovat kvůli distribuované povaze příchozích informací.

    EMERALD sdružuje uživatele do kolekce bez ohledu na spravované domény. Každá doména poskytuje potřebnou sadu síťových služeb a implementuje individuální bezpečnostní politiku a jednotlivé domény mohou mít vztah důvěryhodnosti s jinými doménami. V tomto případě použití jednoho centralizovaného zařízení pro ukládání a zpracování příchozích informací oslabuje bezpečnost systému jako celku. Právě pro takové případy je určen systém EMERALD, založený na principu „rozděl a panuj“.

    Hierarchický model poskytuje tři úrovně analýzy prováděné monitory služby, domény a prostředí. Tyto bloky mají společnou základní architekturu, která zahrnuje sadu analyzátorů pro detekci anomálií, analýzu signatur a komponentu resolveru. Ten kombinuje výsledky získané z analyzátorů dvou předchozích úrovní. Každý modul obsahuje knihovnu zdrojových objektů, která umožňuje přizpůsobit jeho součásti pro konkrétní aplikaci. Samotné zdroje lze znovu použít na více monitorech EMERALD. Na nižší úrovni služba monitoruje práci pro jednotlivé komponenty a síťové služby v rámci stejné domény, analyzuje data (logové soubory akcí, událostí atd.), provádí lokální analýzu signatur a statistické studie. Monitory domén zpracovávají informace přijaté od monitorů služeb a podrobněji zkoumají situaci v celé doméně a monitory prostředí provádějí analýzu oblasti mezi doménami. Monitory služeb mohou mezi sebou komunikovat pomocí virtuálních odkazů.

    Zkušenosti s NIDES prokázaly účinnost statistických metod u uživatelů a aplikací. Řízení aplikačních programů (například anonymní ftp server) bylo obzvláště efektivní, protože pro analýzu bylo zapotřebí méně aplikačních profilů. Proto EMERALD implementoval metodologii, ve které je správa profilů oddělena od analýzy.

    Analyzátory signatur servisní vrstvy monitorují komponenty domény, aby detekovaly předem určené sekvence akcí, které vedou k abnormálním situacím. Podobné analyzátory v monitorech vyšší úrovně tyto informace filtrují a na základě nich vyhodnocují, zda nedochází k útoku. Resolver, kromě komplexního účtování výsledků analýz, poskytuje možnost integrovat analyzátory třetích stran do EMERALD.

    Sofistikovaný útočník se bude snažit rozptýlit stopy své přítomnosti po síti a minimalizovat tak možnost jeho odhalení. V takových situacích se schopnost shromažďovat, sumarizovat a analyzovat informace z různých zdrojů v reálném čase stává hlavním rysem systému detekce narušení.

    Mezi výhody patří flexibilita a škálovatelnost, možnost rozšíření funkčnosti pomocí externích nástrojů EMERALD. Správa a podpora systémové infrastruktury a její informační základny v podobě znalostní báze pro expertní systém však vyžaduje značné úsilí a náklady.

    Netstat

    NetStat je nejnovější ze série nástrojů STAT vytvořených na Kalifornské univerzitě v Santa Barbaře. Výzkum projektu STAT se zaměřuje na detekci narušení v reálném čase. K tomu je analyzován stav systémů a procesy přechodu v nich9. Hlavní myšlenkou je, že určité sekvence akcí, které jednoznačně indikují přítomnost narušitele, převedou systém z výchozího (autorizovaného) stavu do neoprávněného.

    Většina centralizovaných systémů detekce narušení určuje, zda k narušení došlo, na základě „hákové stopy“. Modul Analyzer Trace Audit ve STAT filtruje a shrnuje tyto informace (trasování). Výsledky převedené do formy vhodné pro analýzu se nazývají signatury a představují nejdůležitější prvek v přístupu STAT. Posloupnost akcí popsaných podpisem vede systém přes řadu stavů do neautorizované podoby. Invaze je určena přechody mezi státy, které jsou pevně dané v souborech produkčních pravidel.

    Zpočátku byla metoda implementována v systému USTAT9 UNIX, určeném k ochraně jednotlivých serverů. Hlavními bloky USTAT jsou preprocesor, znalostní báze (základna faktů a báze pravidel), inferenční blok a řešič. Preprocesor filtruje a uspořádává data do formy, která funguje jako nezávislý systémový řídicí soubor. V základně pravidel jsou uložena pravidla přechodu stavu, která odpovídají předdefinovaným sekvencím narušení, a ve faktické bázi je uložen popis dynamicky se měnících stavů systému týkající se možných probíhajících narušení.

    Po zpracování nových informací o aktuálním stavu systému identifikuje inferenční blok všechny významné změny stavu a aktualizuje základ faktů. Výstupní blok také informuje řešitele o možná porušení ochrana. Řešitel zase upozorní administrátora na abnormální situaci nebo sám zahájí potřebné akce.

    Jednou z výhod tohoto přístupu je, že útok lze detekovat dříve, než je systém kompromitován, a proto mohou protiopatření začít dříve.

    USTAT používá tabulku inferenčních bloků ke sledování každého možného narušení, což umožňuje identifikovat koordinovaný útok z více zdrojů (ne prostřednictvím útočníkovy sekvence akcí, ale pomocí sekvence přechodů stavu systému). Pokud tedy dva útoky přivedou systém do stejného stavu, každá jejich následná akce se může projevit jako větev v předchozí sekvenci stavů. Toto větvení je dosaženo duplikováním řádků v tabulce výstupních bloků, přičemž každý řádek představuje jinou útočnou sekvenci.

    NetStat10 je další vývoj USTAT, zaměřený na podporu detekce narušení v síti serverů s jediným distribuovaným souborovým systémem. V současnosti probíhá řada významných změn v architektuře NetStat11, které povedou k přeorientování ze zabezpečení jednotlivých serverů na zabezpečení síťových segmentů. NetStat navíc obsahuje sadu sond, které jsou zodpovědné za detekci a vyhodnocování narušení v podsítích, na kterých působí.

    brácho

    Bro je výzkumný nástroj vyvinutý Lawrence Livermore National Laboratory (http://www.llnl.gov) Ministerstva energetiky USA. Je navržen tak, aby studoval problémy odolnosti proti poruchám systémů detekce narušení. Zvažte hlavní rysy komplexu Bro12.

    Kontrola přetížení- schopnost zvládnout velké objemy datových přenosů bez degradace šířku pásma. Narušitel se může pokusit přetížit síť cizími pakety, aby deaktivoval systém detekce narušení. V tomto případě bude IDS nuceno předat nějaké pakety, mezi nimiž mohou být ty, které vytvořili vetřelci, aby pronikli do sítě.

    Upozornění v reálném čase. Je to nezbytné pro včasnou informovanost a přípravu zásahových akcí.

    separační mechanismus. Oddělení politik filtrování dat, identifikace událostí a odezvy na události zjednodušuje provoz a údržbu systému.

    Škálovatelnost. Identifikace nových zranitelností a ochrana proti známým typům útoků vyžaduje schopnost rychle přidávat nové útočné skripty do interní knihovny skriptů.

    Schopnost odolávat útokům. Komplexní scénáře útoku nutně zahrnují prvky dopadu na systém detekce narušení.

    Systém má hierarchickou architekturu se třemi úrovněmi funkcí. Na spodní úrovni používá Bro nástroj libpcap k extrahování datových paketů ze sítě. Tento blok zajišťuje nezávislost hlavních bloků analýzy na technických vlastnostech telekomunikační sítě, ve které je systém nasazen, a také umožňuje filtrovat významnou část paketů na nižší úrovni. To umožňuje libpcap zachytit všechny pakety související s aplikačními protokoly (ftp, telnet atd.).

    Druhá úroveň (události) provádí kontrolu integrity paketu na hlavičce. Když jsou nalezeny chyby, je vygenerováno upozornění. možný problém. Poté se spustí ověřovací procedura a zjistí se, zda byl zaregistrován kompletní obsah balení.

    Události generované jako výsledek tohoto procesu jsou umístěny do fronty, která je dotazována interpretem skriptu zásad. Samotný skript je na třetí úrovni hierarchie. Interpret skriptů politik je napsán v interním jazyce Bro, který podporuje silné psaní. Interpret přidruží hodnoty případu ke kódu, aby tento případ zvládl, a poté kód interpretuje.

    Spuštění kódu může vést ke generování dalších událostí, protokolování upozornění v reálném čase nebo protokolování dat. Chcete-li přidat novou funkci do schopností Bro, musíte připravit popis obrázku, který identifikuje událost, a napsat příslušné obslužné rutiny událostí. Bro v současnosti ovládá čtyři aplikační služby: finger, ftp, portmapper a telnet.

    Bro běží na několika variantách operačního systému UNIX a je používán jako součást bezpečnostního systému Národní laboratoře. Od roku 1998 bylo v důsledku fungování Bro předáno mezinárodním organizacím CIAC a CERT / CC 85 zpráv o incidentech. Vývojáři berou na vědomí především výkon systému – nemá problémy se ztrátou paketů v síti FDDI se špičkovým výkonem až 200 paketů za sekundu.

    Komerční produkty

    Komerční programy, o kterých bude řeč, tvoří malou část z celkového počtu produktů na trhu1, 13-14. Srovnávací hodnocení komerčních produktů lze nalézt v řadě zpráv15-19. Systémy popsané v článku lze považovat za klasické příklady.

    Na rozdíl od výše diskutovaných experimentálních systémů je u komerčních produktů poměrně obtížné najít objektivní popis výhod a nevýhod, zejména pokud jde o zkušební testy. V současné době se vyvíjí jednotný standard pro testování systémů detekce narušení20.

    CMDS

    CMDS21,22 byl vyvinut společností Science Applications International (http://www.saic.com), ale nyní je spravován a prodáván společností ODS Networks (http://www.ods.com)23. Tento produkt je navržen pro zabezpečení serverů a monitorování hierarchické sítě strojů. Jsou podporovány statistické metody a metody detekce signatur a lze generovat zprávy o prognózách vývoje narušení. Pro analýzu anomálií používá CMDS Statistická analýza. Identifikuje se chování, které se odchyluje od běžné praxe uživatele. Statistiky zahrnují časy přihlášení/odhlášení, spouštění aplikací, počet otevřených, upravených nebo smazaných souborů, využití administrátorská práva, nejpoužívanější adresáře.

    Profily chování uživatelů se aktualizují každou hodinu a používají se k identifikaci sporného chování v každé ze tří kategorií (síťování, spouštění programu, informace o prohlížení). Odchylky od očekávaného (během hodiny) chování jsou vypočteny, a pokud jsou nad prahovou hodnotou, je vygenerováno upozornění.

    Rozpoznávání podpisů je podporováno expertním systémem CLIPS24. K reprezentaci pravidel CLIPS se používají fakta odvozená z popisů událostí, použitých názvů objektů a dalších dat.

    CMDS definuje signatury útoku v systémech UNIX související například s neúspěšným pokusem o vytvoření oprávnění superuživatele, selháním přihlášení, nepřítomnou aktivitou uživatele a kritickou úpravou souborů. Každá z těchto událostí má ekvivalentní sadu signatur pro operační systém Microsoft Windows NT.

    NetProwler

    NetProwler25-27 vyrábí Axent (http://www.axent.com), součást Symantec Corporation (http://www.symantec.com) od konce roku 2000. Komponenta Intruder Alert detekuje útoky na servery a NetProwler (dříve známý jako ID-Track z Internet Tools) podporuje detekci narušení v segmentech sítě. Srdcem NetProwler je kompletní proces dynamické analýzy. Tato metoda integruje malé části informací extrahovaných ze sítě do složitějších událostí, což vám umožňuje kontrolovat události s předdefinovanými signaturami v reálném čase a generovat nové signatury. NetProwler má knihovnu signatur pro různé operační systémy a typy útoků, což uživatelům umožňuje vytvářet vlastní profily signatur pomocí Průvodce definicí signatur. Tímto způsobem mohou uživatelé popsat útoky skládající se z jedné, opakující se nebo série událostí. Signatura útoku obsahuje čtyři prvky: vyhledávací primitivum (vzor řetězce), hodnotové primitivum (hodnota nebo rozsah hodnot), uložené klíčové slovo (název protokolu) a operační systém (nebo aplikace spojená s útokem).

    NetProwler také podporuje schopnost automatické odezvy. Současně probíhá registrace a ukončení relace, zaslání informací o události do administrátorské konzole e-mailem a také informování dalšího personálu různými způsoby.

    NetRanger

    NetRanger28-31 od společnosti Cisco Systems (http://www.cisco.systems) je systém detekce narušení síťového segmentu. Od listopadu 1999 se produkt nazývá Cisco Secure Intrusion Detection System. Systém NetRanger pracuje v reálném čase a je škálovatelný na úroveň informační systém. Skládá se ze dvou složek – Sensors a Directors; senzory jsou implementovány v hardwaru a ředitel je v softwaru. Senzory jsou umístěny na strategických bodech sítě a monitorují projíždějící provoz. Mohou analyzovat hlavičky a obsah každého paketu a porovnávat vybrané pakety se vzorem. K určení typu útoku používají expertní systém založený na produkčních pravidlech.

    NetRanger má tři kategorie popisů útoků: základní, pojmenované (vyvolávající mnoho dalších událostí) a mimořádné (s velmi složitým podpisem). Pro zajištění kompatibility s většinou existujících síťových standardů je možná vlastní konfigurace signatur.

    Když je fakt útoku opraven, senzor zahájí sérii akcí - zapne alarm, zaregistruje událost, zničí relaci nebo úplně přeruší spojení. Ředitel zajišťuje centralizovanou správu systému NetRanger. To zahrnuje vzdálenou instalaci nových podpisů do senzorů, sběr a analýzu bezpečnostních dat.

    Stav objektů v systému (strojů, aplikací, procesů atd.) se zobrazuje na administrátorské konzoli ve formě textu nebo ikon, přičemž stav každého zařízení je reprezentován specifickou barvou: normální je zelená, hraniční je žlutá a kritická je červená . Senzory lze ovládat z konzole ředitele a do nich lze exportovat informace o útoku relační databáze data pro další analýzu.

    Centrax

    Donedávna byl systém ochrany proti neoprávněné manipulaci společnosti Centrax (http://www.centraxcorp.com) dodáván pod názvem Entrax. V březnu 1999 však Centrax koupila společnost Cybersafe (http://www.cybersafe.com), která provedla významné technické změny společnosti Entrax a přejmenovala produkt na Centrax32-34. Zpočátku byl systém Entrax zaměřen na zajištění bezpečnosti jednotlivých serverů. Centrax také monitoruje události v segmentu sítě. Systém se skládá ze dvou typů komponent – ​​ovládacích panelů a cílových agentů, kteří jsou obdobou ředitelů a senzorů v NetRangeru. Cíloví agenti jsou zase dvou typů: pro shromažďování informací na základě centralizované nebo síťové (distribuované) architektury. Cíloví agenti jsou neustále na strojích, které řídí (jednotlivá PC, souborové servery nebo tiskové servery), a přenášejí informace ke zpracování do řídicího centra. Pro efektivnější provoz je síťový cílový agent implementován na samostatném počítači. Agenti prvního typu podporují více než 170 signatur (pro viry, trojské koně, prohlížení objektů a změny hesel), zatímco síťoví agenti podporují pouze 40.

    Ovládací panel se skládá z několika bloků. Cílový správce stáhne zásady shromažďování a auditu pro cílové agenty, správce hodnocení prozkoumá servery, zda nejsou slabá zabezpečení, a nouzový správce zobrazí informace o zjištěných hrozbách a může na ně reagovat odpojením relace. Ovládací konzola pracuje s Windows NT, zatímco cíloví agenti pracují s Windows NT nebo Solaris.

    RealSecure

    RealSecure19, 35-37 od Internet Security Systems (http://www.iss.net) je dalším produktem detekce narušení v reálném čase. Má také třívrstvou architekturu a skládá se z modulů pro rozpoznávání segmentů sítě a jednotlivých serverů a modulu správce. Modul rozpoznávání segmentů funguje na specializovaných pracovních stanicích; je zodpovědný za detekci a reakci na narušení. Každý takový modul monitoruje provoz v určitém segmentu sítě a hledá signatury útoku. Po zjištění nelegální akce na ni může síťový modul reagovat přerušením spojení, odesláním e-mailu nebo zprávy na pager nebo jinou uživatelsky definovanou akcí. Vysílá také poplachový signál do administrátorské jednotky nebo ústředny.

    Rozpoznávací modul pro servery je doplňkem síťového modulu. Analyzuje soubory protokolu za účelem zjištění útoku; určuje, zda byl útok úspěšný nebo ne; poskytuje některé další informace, které nejsou dostupné v reálném čase. Každý takový modul se instaluje na pracovní stanici nebo server a plně prověřuje systémové protokolové soubory pro srovnávací testy narušení bezpečnosti. Moduly tohoto typu zabraňují dalším průnikům ukončením uživatelských procesů a pozastavením uživatelských účtů. Modul může odesílat alarmy, protokolovat události a provádět další uživatelem definované akce. Všechny moduly rozpoznávání jsou kombinovány a konfigurovány administrativním modulem z jediné konzoly.

    veřejné systémy

    Kromě komerčních a výzkumných systémů existují volně distribuované veřejné programy pro detekci narušení. Jako příklad uveďme dva programy – Shadow a Network Flight Recorder, které jsou podporovány společným úsilím US Naval Ground Operations Center, Network Flight Recorder, US National Security Agency a SANS38 Institute, a také nástroj Tripwire. Úroveň jejich podpory je mnohem nižší než u komerčních systémů, nicméně mnoha uživatelům pomohou pochopit a zhodnotit principy fungování IDS, jejich možnosti a omezení. Takové systémy jsou zajímavé i tím, že je k dispozici jejich zdrojový kód.

    Stín

    Systém Shadow39, 40 obsahuje tzv. senzorové stanice a analyzátory. Senzory jsou obvykle umístěny v kritických bodech sítě, například na vnější straně firewallů, zatímco analyzátory jsou umístěny uvnitř chráněného segmentu sítě. Senzory extrahují hlavičky paketů a ukládají je do speciálního souboru. Analyzátor čte tyto informace každou hodinu, filtruje je a generuje další protokol. Logika Shadow je taková, že pokud jsou události již identifikovány a existuje pro ně strategie reakce, nejsou generovány varovné zprávy. Tento princip vychází ze zkušeností s jinými IDS, které měly mnoho falešných výstrah, které zbytečně rozptylovaly uživatele.

    Senzory využívají k extrakci paketů nástroj libpcap, který vyvinula Lawrence Berkeley Laboratories Network Research Group41. Stanice data předem nezpracovává, aniž by donutila útočníka kontrolovat jeho pakety. Hlavní analýza probíhá v modulu tcpdump, který obsahuje paketové filtry. Filtry mohou být jednoduché nebo se skládají z několika jednoduchých filtrů. Jednoduchý filtr, například tcp_dest_port_23, vybere pakety TCP s cílovým portem 23 (telnet). Některé typy narušení je obtížné detekovat pomocí filtrů tcpdump (zejména těch, které používají občasné síťové sondování). Pro tyto účely používá Shadow nástroj založený na perlu, modul one_day_pat.pl.

    Shadow běží na mnoha systémech UNIX, včetně FreeBSD a Linuxu, a k zobrazení informací používá webové rozhraní.

    Síťový letový záznamník

    Network Flight Recorder (NFR) od stejnojmenné společnosti původně existoval v komerční i open source verzi42-44. Poté se změnila distribuční politika: NFR uzavřel zdrojový kód bezplatné verze, protože byl méně účinný než komerční produkt, a uživatelé jej mohli zaměnit za komerční verzi. NFR však stále plánuje ponechat komerční produkt dostupný pro studium, ale s největší pravděpodobností již ne ve zdrojových kódech.

    Stejně jako Shadow používá NFR mírně upravenou verzi nástroje libpcap k extrahování náhodných paketů ze sítě (kromě hlaviček umí extrahovat i tělo paketu). Databáze a modul analýzy obvykle fungují na stejné platformě mimo firewally. Kopie NFR mohou být také umístěny na interních strategických bodech podnikové sítě pro detekci potenciálních hrozeb ze strany vlastních uživatelů společnosti.

    NFR obsahuje vlastní programovací jazyk (N) pro sniffování paketů. Filtry napsané v N jsou kompilovány do bajtkódu a interpretovány runtime modulem.

    Moduly pro generování výstrah a reportů se používají po filtrování a generování výstupních formulářů. Alarmový modul může zasílat informace o události e-mailem nebo faxem.

    Tripwire

    Tripwire je nástroj pro hodnocení integrity souborů původně vyvinutý na Purdue University (Indiana, USA). Stejně jako NFR je tento program součástí veřejných i komerčních systémů. Zdrojový kód veřejné verze pro UNIX je volně distribuován. Tripwire se od většiny ostatních nástrojů IDS liší tím, že detekuje změny v již zkontrolovaném systému souborů.

    Tripwire počítá kontrolní součty nebo kryptografické podpisy souborů. Pokud byly takové podpisy vypočítány za bezpečných podmínek a je zaručeno, že budou uloženy (například offline offline na nepřepisovatelném médiu), lze je použít k určení možných změn. Tripwire lze nakonfigurovat tak, aby hlásil všechny změny v kontrolovaném systému souborů správci. Může provádět kontroly integrity v určitých časech a informovat administrátory o výsledcích, aby mohli obnovit systém souborů. Na rozdíl od většiny IDS umožňuje Tripwire obnovu spolu s detekcí narušení.

    Logika Tripwire nezávisí na typu události, nicméně tento program nedetekuje průniky, které nemění kontrolované soubory.

    Nejnovější komerční verze Tripwire je 2.X pro platformy UNIX a Windows NT 4.0. Verze 2.0 pro Red Hat Linux 5.1 a 5.2 je zdarma. Verze 1.3 je k dispozici ve zdrojovém kódu a představuje stav programu k roku 1992.

    Podle vývojářů všechny komerční verze od verze 2.0 obsahují možnost skrytého kryptografického podpisu, vylepšený jazyk politik a prostředky pro zasílání zpráv správci systému e-mailem.

    Vládní programy USA

    Rozdíly od komerčních systémů

    IDS by mělo především identifikovat podezřelou aktivitu v síti, vydávat varování a pokud je to možné, nabízet možnosti, jak takovou aktivitu zastavit. Na první pohled by požadavky na komerční a vládní systémy měly být stejné; jsou však mezi nimi důležité rozdíly.

    V únoru 1999 uspořádalo Ministerstvo energetiky USA, Národní bezpečnostní rada a Úřad pro vědeckou a technologickou politiku administrativy USA sympozium nazvané „Nepřátelská detekce“. programový kód, průniky a anomální chování. Zúčastnili se ho zástupci komerčního a veřejného sektoru. Příspěvek přijatý na sympoziu identifikoval prvky, které by v komerčních produktech neměly být. Faktem je, že firmy mají zájem chránit důvěrné informace pouze pro obchodní účely Vláda má také zájem na ochraně svých vlastních sítí, ale hlavním úkolem pro ni není dosahovat zisku, ale chránit národní bezpečnost.To je velmi důležitý bod.Vládní organizace musí v první řadě zajistit detekci průniků do státních informačních sítí cizími zpravodajskými agenturami. Zdroje a schopnosti protivníka sponzorované cizí vládou mohou převyšovat možnosti nejlepšího komerčního IDS.

    Je tu ještě jeden důležitý rozdíl. Společnosti stačí získat obecný popis podezřelé činnosti, aby se jejímu dopadu co nejdříve zabránilo; je také důležité, aby vládní organizace zjistily motivy, které vedly pachatele. V některých situacích může vláda selektivně zachycovat informace pro účely zpravodajských informací nebo pro vynucení soudního příkazu. Komerční softwarové produkty ani dnes, ani v blízké budoucnosti nebudou integrovány se specializovanými státními systémy pro zachycování informací (jako je Carnivore).

    Sympozium prohlásilo, že výrobci komerčních produktů nebudou vyvíjet metody pro objektivní hodnocení programů detekce narušení. Proto neexistují žádné obecně uznávané metody pro hodnocení programů této třídy. Takové nastavení v zásadě vyhovuje podnikatelům, ale vládní organizace, jejichž hlavním úkolem je chránit národní bezpečnost, potřebují vědět, co PDS dělá a jak funguje.

    Dalším problémem je, že komerční IDS jsou volně dostupné. Pokud je použijete pro vládní potřeby, pak potenciální narušitel, který se naučil, ve kterých systémech se používají vládní organizace, mohl koupit stejný produkt a po jeho důkladném prostudování najít zranitelná místa. Aby se takovým situacím předešlo, vládní agentury by měly používat speciálně navržené nekomerční produkty. Dnes Spojené státy vyvinuly speciální vládní požadavky na programy detekce narušení, které stávající komerční IDS nesplňují.

    CIDDS

    CIDDS (Common Intrusion Detection Director System, také známý jako CID Director) je specializované hardwarové a softwarové operační prostředí vyvinuté jako součást projektu Intrusion Detection Tools (IDT) projektu US Air Force Information Warfare Center (AFIWC). AFIWC je subjekt odpovědný za vývoj IDS pro sítě amerických vzdušných sil. Zahrnuje Air Force Computer Security Service (AFCERT), která je zodpovědná za rozvoj každodenních operací pro správu a zabezpečení informačních sítí.

    CIDDS přijímá data o konektivitě a aktivitě v reálném čase z automatického měření bezpečnostních incidentů (ASIM), senzorových systémů a dalších přístrojových IDS. Shromážděná data je možné analyzovat jako v automatický režim a se zapojením odborných analytiků.

    Software CID Director se skládá z programů C, C++ a Java a také ze skriptů a SQL dotazů z databáze Oracle. Ředitel ukládá informace do místní databáze Oracle a poskytuje uživateli možnost analyzovat indikátory potenciálně nebezpečných činností, se kterými se setkáváme v sítích amerického letectva. Povoleno a) detekce potenciálně nebezpečných, škodlivých nebo neoprávněných činností, ke kterým dochází v průběhu času; b) odhalování akcí, které mají účel určité počítače nebo typy sítí; c) detekce činností, které procházejí nebo zahrnují více sítí; d) analýza trendů a globálních cílů. CIDDS také zahrnuje schopnost přehrávat data připojení v reálném čase a analyzovat sekvence úhozů.

    CIDDS poskytuje centralizované ukládání a analýzu dat pro systém ASIM. Director přijímá data z různých senzorů, které monitorují stav všech sítí BBC. Tyto sítě mohou být homogenní nebo heterogenní a slouží různým misím vzdušných sil. CIDDS slouží jako centrální databáze a bod analýzy pro všechny uvedené sítě.

    Plány budoucího rozvoje zahrnují instalaci CIDDS na různých úrovních ve všech strukturách letectva. Všechny systémy budou posílat základní informace do jediné databáze AFCERT.

    Každý počítač CID Director je připojen k senzorovému systému ASIM. Senzorový software se skládá z modulů C a Java, skriptů prostředí UNIX (Bourne) a konfiguračních souborů, které spolupracují na filtrování paketů a analýze síťových podmínek. V podstatě se jedná o nástroj pro zachycení a analýzu heterogenních datových paketů. Jeho software monitoruje provoz IP, TCP, UDP a ICMP a identifikuje podezřelou aktivitu. Existují dva režimy provozu senzoru - dávkový a v reálném čase.

    ASIM v reálném čase používá ke shromažďování provozu stejný softwarový modul jako v režimu burst. Jsou však identifikovány události v reálném čase, které mohou naznačovat pokusy o neoprávněný přístup, a v okamžiku jejich výskytu je na senzorovém serveru okamžitě zahájen nouzový proces a je odesláno upozornění administrátorovi. Upozornění v reálném čase obvykle obsahují pouze základní informace. Další údaje o akcích útočníka lze získat z následného přepisu akcí.

    Senzor ASIM v režimu burst shromažďuje síťový provoz po určitou dobu s konfigurovatelnou dobou trvání, obvykle 24 hodin. Po shrnutí jsou data analyzována a v případě potřeby je lze zobrazit z místní konzole nebo přenést do centrály AFIWC/AFCERT . Každý den jsou shromážděná data zašifrována a přenesena do AFIWC/AFCERT pro analýzu specializovaným analytikem, který určí, zda jsou identifikované aktivity škodlivé, neautorizované nebo normálně autorizované.

    Závěr

    V současné době v oblasti IDS dochází k přechodu k tvorbě systémů zaměřených na ochranu segmentů sítě. Americký trh se vyznačuje následující situací: komerční systémy se výrazně liší od softwarových produktů, které jsou doporučovány pro použití ve vládních agenturách. Nutno podotknout, že jde o obecný trend v oblasti IT – pro zajištění bezpečnosti veřejných institucí by měly být používány pouze speciálně vytvořené systémy, které nejsou na trhu dostupné. Ty mají charakteristický rozdíl: nezaměřují se na automatické algoritmy pro rozpoznávání známek narušení, ale na expertní analytiky, kteří denně vyhodnocují přenášená data.

    Tuzemští vývojáři by měli věnovat pozornost volně distribuovaným systémům dostupným ve zdrojových kódech. V podmínkách, kdy v této oblasti prakticky neexistuje žádný domácí vývoj, nám dostupnost zdrojových kódů programů umožní studovat vlastnosti produktů této třídy a zahájit vlastní vývoj.

    Zdroje informací uvedené v článku

    1. Stocksdale, Gregory. (Národní bezpečnostní agentura). Inventář nástrojů pro detekci narušení SANS/NSA. WWW: http://www.sans.org/NSA/idtools.htm.
    2. Anderson, James P. Monitorování a sledování počítačových bezpečnostních hrozeb. Fort Washington, PA: James P. Anderson Co.
    3. Denning, Dorothy E. (SRI International). Model detekce narušení. IEEE Transactions on Software Engineering (SE-13), 2 (únor 1987): 222-232.
    4. Mukherjee, Biswanath; Heberlein, L. Todd; & Levitt, Karl N. (University of California, Davis). Detekce narušení sítě. IEEE Network 8, 3 (květen/červen 1994): 26.-41. WWW: http://seclab.cs.ucdavis.edu/papers.html.
    5. Anderson, Debra a kol. (SRI International). Detekce neobvyklého chování programu pomocí statistické složky expertního systému detekce narušení NextGeneration (NIDES) (SRICSL-95-06). Menlo Park, CA: Computer Science Laboratory, SRI International, květen 1995. WWW: http://www.sdl.sri.com/nides/index5.html.
    6. Lindqvist, Ulf & Porras, Phillip A. Detekce zneužití počítače a sítě prostřednictvím sady nástrojů produkčního expertního systému (P-BEST). Sborník 1999 IEEE Symposium on Security and Privacy. Oakland, CA, 9. až 12. května 1999. WWW: http://www2.csl.sri.com/emerald/pbest-sp99-cr.pdf.
    7. Lunt, Teresa F. a kol. (SRI International). Expertní systém detekce narušení v reálném čase (IDES). WWW: http://www2.csl.sri.com/nides.index5.html.
    8. Anderson, Debra; Frivold, Thane; & Valdes, Alfonso. (SRI International). Expertní systém další generace detekce narušení (NIDES), shrnutí (SRI-CSL-95-07). Menlo Park, CA: Computer Science Laboratory, SRI International, květen 1995. WWW: http://www.sdl.sri.com/nides.index5.html.
    9. Kemmerer, Richard A. a kol. (University of California, Santa Barbara). STAT projekty. WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html.
    10. Kemmerer, Richard A. (University of California, Santa Barbara). NSTAT: Modelově založený systém detekce narušení sítě v reálném čase (TRCS97-18). listopadu 1997. WWW: .
    11. Vigna, Giovanni & Kemmerer, Richard A. (University of California, Santa Barbara). NetSTAT: Přístup k detekci narušení založený na síti. Sborník příspěvků ze 14. výroční konference o aplikacích počítačové bezpečnosti. Scottsdale, AZ, prosinec 1998. Dostupný WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html .
    12. Paxson, Vern. (Lawrence Berkeley National Laboratory). Bro: Systém pro detekci síťových narušitelů v reálném čase, sborník příspěvků ze 7. bezpečnostního sympozia USENIX. San Antonio, TX, leden 1998. WWW: http://www.aciri.org/vern/papers.html.
    13. Sobirey, Michaele. Stránka ID systémů Michaela Sobireye WWW: http://www-rnks.informatik.tucottbus.de/~sobirey/ids.html.
    14. Centrum pro analýzu technologie informačního zabezpečení. Zpráva o nástrojích pro zajištění informací. WWW: http://www.iatac.dtic.mil/iatools.htm.
    15. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Systémy detekce narušení: Podezřelé nálezy. WWW: http://www.data.com/lab_tests/intrusion.html.
    16. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Systémy detekce narušení: Podezřelé nálezy-II. WWW: http://www.data.com/lab_tests/intrusion2.html.
    17. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Systémy detekce narušení: Podezřelé nálezy-III. WWW: http://www.data.com/lab_tests/intrusion3.html.
    18. Scambray, Joel; McClure, Stuart; & Broderick, John. (InfoWorld Media Group Inc.). Řešení detekce narušení sítě. InfoWorld 20, 18 (4. května 1998). WWW: http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm.
    19. Phillips, Ken. (PC týden). Jedna, pokud síť, dvě, pokud OS. WWW: http://www.zdnet.com/products/stories/reviews/0.4161.389071.00.html.
    20. Lincolnova laboratoř MIT. Hodnocení detekce narušení DARPA. WWW: http://www.ll.mit.edu/IST/ideval/index.html.
    21. Van Ryan, Jane. Středisko SAIC pro technologie informační bezpečnosti vydává CMDS Verson 3.5 .WWW: http://www.saic.com/news/may98/news05-15-98.html.
    22. Proctor, Paul E. (SAIC). Koncepty počítačového systému detekce zneužití (CMDS). WWW: http://cpits-web04.saic.com/satt.nsf/externalbycat.
    23. ODS Networks Inc. CDMS: Počítačový systém detekce zneužití. WWW: http://www.ods.com/security/products/cmds.shtml.
    24. Riley, Gary. CLIPS: Nástroj pro budování expertních systémů. WWW: http://www.ghg.net/clips/CLIPS.html.
    25. Společnost AXENT Technologies Inc. NetProwler-Advanced Network Intrusion Detection. WWW: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html.
    26. Společnost AXENT Technologies Inc. netprowler. WWW: http://www.axent.com/product/netprowler/default.htm.
    27. Společnost AXENT Technologies Inc. Netprowler II. WWW: http://www.axent.com/product/netprowler/npbrochure.htm.
    28. Cisco. NetRanger.WWW: http://www.cisco.com/warp/public/778/security/netranger.
    29. Cisco. Systém detekce narušení NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/prodlit
      /netra_ov.htm
    30. Cisco. Systém detekce narušení NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_ds.htm.
    31. Cisco. NetRanger - Obecné pojmy. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm.
    32. Společnost CyberSafe Corp. Centrax FAQ. WWW: http://www.centraxcorp.com/faq.html .
    33. Společnost CyberSafe Corp. Centrax: Nové funkce a vylepšení v Centrax 2.2. WWW: http://www.centraxcorp.com/centrax22.html.
    34. Společnost CyberSafe Corp. .WWW Centrax FAQ: http://www.centraxcorp.com/faq.html .
    35. Internet Security Systems. Skutečně bezpečné. WWW: http://www.iss.net/prod/realsecure.pdf.
    36. Internet Security Systems. Systémové požadavky RealSecure. WWW: RS%20sys%20reqs">http://www.iss.net/reqspec/reqDisplay.php3?pageToDisplay=RS%20sys%20reqs.
    37. Internet Security Systems. RealSecure Attack Signatures. WWW: http://www.iss.net/reqspec/linkDisplay.php3?pageToDisplay=RS%20a.s.%20from%20DB.
    38. Stocksdale, Greg. Dokumenty CIDER. WWW: http://www.nswc.navy.mil/ISSEC/CID/.
    39. Irwin, Vicki; Northcutt, Stephen; & Ralph, Bill. (Naval Surface Warfare Center). Vytvoření schopnosti monitorování a analýzy sítě – krok za krokem. WWW: http://www.nswc.navy.mil/ISSEC/CID/step.htm.
    40. Northcutt, Stephene. (Naval Surface Warfare Center, Dahlgren). Detekce narušení: Styl stínu – průvodce krok za krokem. Zpráva institutu SANS (listopad 1988).
    41. Floyd, Sally a kol. (Lawrence Berkeley National Laboratory). LBNL's Network Research Group. FTP: http://ftp.ee.lbl.gov/.
    42. Network Flight Recorder, Inc. Sledování sítě krok za krokem pomocí NFR. WWW: http://www.nswc.navy.mil/ISSEC/CID/nfr.htm.
    43. Ranum, Marcus J. a kol. (Network Flight Recorder, Inc.). Implementace obecného nástroje pro monitorování sítě. WWW: http://www.nfr.net/forum/publications/LISA-97.htm.
    44. Network Flight Recorder, Inc. Síťový letový záznamník v akci! WWW: http://www.nfr.net/products/technology.html.

    Detekce narušení je proces detekce neoprávněného přístupu nebo pokusů o neoprávněný přístup ke zdrojům AS.

    Systém detekce narušení (IDS) je obecně softwarový a hardwarový systém, který řeší tento problém.

    Podpis - soubor událostí nebo akcí, které jsou charakteristické tohoto typu bezpečnostní hrozby.

      Senzor přijímá síťový paket.

      Paket je předán do jádra k analýze.

      Kontroluje se shoda podpisu.

      Pokud nejsou žádné shody, je z uzlu přijat další paket.

      Pokud existuje shoda, zobrazí se varovná zpráva.

      Je volán modul odpovědí.

    Chyby prvního a druhého druhu:

      Chyby druhého druhu, kdy je pachatel vnímán bezpečnostní systém jako subjekt oprávněného přístupu.

    Všechny systémy, které používají podpisy pro ověřování přístupu, jsou náchylné k chybám typu II, včetně antivirů běžících na antivirové databázi.

    Provoz systému IDS je v mnoha ohledech podobný firewallu. Senzory přijímají síťový provoz a jádro se porovnáváním přijatého provozu se záznamy existujících databází podpisů snaží identifikovat stopy neoprávněných pokusů o přístup. Modul odezvy je další komponenta, kterou lze použít k rychlému zablokování hrozby, například lze vygenerovat nové pravidlo brány firewall.

    Existují dvě hlavní kategorie IDS:

      IDS na úrovni sítě. V takových systémech senzor pracuje na hostiteli (uzlu) vyhrazeném pro tento účel, chráněném segmentu sítě. Obvykle funguje v režimu poslechu pro analýzu veškerého síťového provozu v segmentu.

      IDS na úrovni hostitele. Pokud senzor pracuje na úrovni hostitele, lze pro analýzu použít následující informace:

      1. Příspěvky standardní prostředky. protokolování OS.

        Informace o použitých zdrojích.

        Profily očekávaného chování uživatelů.

    Každý typ IDS má své výhody a nevýhody.

    IDS na úrovni sítě nesnižuje celkový výkon systému, zatímco IDS na úrovni hostitele je efektivnější při detekci útoků a umožňuje analýzu aktivity spojené s konkrétním hostitelem. V praxi je vhodné používat oba tyto typy.

    Logování a auditování

    Subsystém protokolování a auditování je povinnou součástí každého AS. Protokolování (logování) je mechanismus odpovědnosti systému zabezpečení informací, který zaznamenává všechny události související s bezpečností informací. Audit– analýza protokolování informací za účelem rychlého zjištění a předcházení porušení režimu bezpečnosti informací.

    Účely mechanismu registrace a auditu:

      Zajištění odpovědnosti uživatele a správce.

      Zajištění možnosti rekonstrukce sledu událostí (například při incidentech).

      Detekce pokusů o narušení režimu informační bezpečnosti.

      Odhalování technické problémy přímo nesouvisí s informační bezpečností.

    Zaprotokolované údaje se zapisují do knihy jízd, což je chronologicky uspořádaný soubor záznamů o výsledcích činnosti subjektů AS ovlivňujících režim informační bezpečnosti. Hlavní pole takového protokolu jsou následující:

      Časové razítko.

      Typ události.

      Iniciátor události.

      Výsledek události.

    Protože systémové protokoly jsou hlavními zdroji informací pro následný audit a detekci narušení bezpečnosti, měla by být vznesena otázka jejich ochrany před neoprávněnými úpravami. Logovací systém by měl být navržen tak, aby žádný jednotlivý uživatel, včetně administrátorů, nemohl svévolně upravovat záznamy v systémovém logu.

    Vzhledem k tomu, že soubory protokolu jsou uloženy na jednom nebo druhém médiu, může dříve nebo později nastat problém s nedostatkem místa na tomto médiu, přičemž reakce systému může být odlišná, například:

      Pokračujte v provozu systému bez protokolování.

      Uzamkněte systém, dokud nebude problém vyřešen.

      Automaticky odstranit nejstarší záznamy v systémovém protokolu.

    První možnost je z bezpečnostního hlediska nejméně přijatelná.

    Nezbytným prvkem ochrany před síťovými útoky jsou dnes systémy detekce a prevence narušení (IDS / IPS, Intrusion detection system / Intrusion prevent system, podobný ruský termín - IDS / SOA). Hlavním účelem těchto systémů je identifikovat skutečnosti neoprávněného přístupu k nim firemní síť a přijetí vhodných protiopatření: informování specialistů na informační bezpečnost o narušení, odpojení spojení a překonfigurování firewallu tak, aby blokoval další akce útočníka, tedy ochranu před útoky hackerů a malware.

    Obecný popis technologie

    Existuje několik technologií IDS, které se liší v typech zjišťovaných událostí a metodologii používané k identifikaci incidentů. Kromě funkcí monitorování a analýzy událostí za účelem identifikace incidentů plní všechny typy IDS následující funkce:

    • Záznam informací o události. Obvykle jsou informace uloženy lokálně, ale mohou být zaslány do jakéhokoli centralizovaného logovacího systému nebo systému SIEM;
    • Upozornění bezpečnostních administrátorů na incidenty zabezpečení informací. Tento typ upozornění se nazývá výstraha a lze jej provést prostřednictvím několika kanálů: e-mail, SNMP trap, zprávy systémového protokolu, konzola pro správu systému IDS. Je také možná programovatelná reakce pomocí skriptů.
    • Generování zprávy. Zprávy jsou vytvářeny tak, aby shrnuly všechny informace o požadovaných událostech.

    Technologie IPS doplňuje technologii IDS o to, že dokáže hrozbu samostatně nejen identifikovat, ale i úspěšně blokovat. V tomto scénáři je funkce IPS mnohem širší než funkce IDS:

    • IPS blokuje útok (přerušení relace uživatele, který porušuje bezpečnostní politiku, blokování přístupu ke zdrojům, hostitelům, aplikacím);
    • IPS mění chráněné prostředí (mění konfiguraci síťových zařízení, aby se zabránilo útoku);
    • IPS mění obsah útoku (např. odstraní infikovaný soubor ze zprávy a odešle jej již vyčištěný příjemci, nebo funguje jako proxy, analyzuje příchozí požadavky a zahazuje data v hlavičkách paketů).

    Ale kromě zjevných výhod mají tyto systémy i své nevýhody. Například IPS nemusí být vždy schopen přesně identifikovat incident zabezpečení informací nebo zaměnit normální provoz nebo chování uživatelů za incident. V první variantě je zvykem mluvit o falešně negativní události, ve druhé variantě se mluví o falešně pozitivní události. Je třeba mít na paměti, že není možné zcela vyloučit jejich výskyt, takže organizace může v každém případě nezávisle rozhodnout, která z těchto dvou skupin rizik by měla být minimalizována nebo přijata.

    Existují různé detekční techniky přes incidenty Technologie IPS. Většina implementací IPS používá součet těchto technologií k zajištění vyššího stupně detekce hrozeb.

    1. Detekce útoků na základě signatur.

    Podpis je šablona, ​​která definuje odpovídající útok. Detekce útoku na podpis je proces porovnání podpisu s možným incidentem. Příklady podpisů jsou:

    • telnet připojení uživatele „root“, což by bylo porušením určité firemní bezpečnostní politiky;
    • příchozí e-mail s předmětem " obrázky zdarma“, s přiloženým souborem „freepics.exe“;
    • protokol operačního systému s kódem 645, což znamená, že auditování hostitele je zakázáno.

    Tato metoda je velmi účinná při detekci známých hrozeb, ale neúčinná u neznámých (bez signatur) útoků.

    2. Detekce útoku pomocí anomálního chování

    Tato metoda je založena na porovnávání běžné aktivity událostí s aktivitou událostí, které se odchylují od normální úrovně. IPS využívající tuto metodu mají takzvané „profily“, které odrážejí normální chování uživatelů, síťových uzlů, připojení, aplikací a provozu. Tyto profily jsou vytvářeny během „období učení“ po určitou dobu. Profil může například zaznamenat 13% nárůst návštěvnosti webu ve všední dny. IPS v budoucnu při porovnávání využívá statistické metody různé vlastnosti skutečná aktivita se zadanou prahovou hodnotou, při jejím překročení je odeslána příslušná zpráva do řídící konzoly správce zabezpečení. Profily lze vytvářet na základě mnoha atributů převzatých z analýzy chování uživatelů. Například počtem odeslaných e-maily, počet neúspěšných pokusů o přihlášení, úroveň zatížení procesoru serveru za určité časové období atd. Výsledkem je, že tato metoda umožňuje efektivně blokovat útoky, které obcházely filtrování analýzy signatur, a tím poskytovat ochranu před útoky hackerů.

    Technologie IDS/IPS v ALTELL NEO

    IDS/IPS používané naší společností v nové generaci firewallů ALTELL NEO je založeno na otevřené technologii Suricata, která se dokončuje v souladu s našimi úkoly. Na rozdíl od IDS/IPS Snortu používaného jinými vývojáři má námi používaný systém řadu výhod, například umožňuje používat GPU v režimu IDS, má pokročilejší systém IPS, podporuje multitasking (který poskytuje vyšší výkon), a mnohem více, včetně plné podpory formátu pravidel Snort.

    Je třeba mít na paměti, že pro správný chod IDS / IPS potřebuje aktuální databáze podpisů. ALTELL NEO k tomuto účelu využívá otevřenou národní databázi zranitelností a Bugtraq. Databáze jsou aktualizovány 2-3x denně, což zajišťuje optimální úroveň zabezpečení informací.

    Systém ALTELL NEO může pracovat ve dvou režimech: režim detekce narušení (IDS) a režim prevence narušení (IPS). Povolení funkcí IDS a IPS se provádí na rozhraní zařízení vybraném správcem – jednom nebo více. Je také možné volat funkce IPS při konfiguraci pravidel brány firewall pro konkrétní typ provozu, který chcete kontrolovat. Funkční rozdíl IPS IDS znamená, že v režimu IPS mohou být síťové útoky blokovány v reálném čase.

    Funkčnost systému detekce a prevence narušení v ALTELL NEO

    Funkce Podpěra, podpora
    1. Detekce zranitelnosti (využívá) komponentu ActiveX
    2. Detekce provozu přenášeného uzly vnitřní lokální sítě, typická pro reakce po úspěšném útoku
    3. Detekce síťového provozu příkazových a řídicích serverů botnetu (Bot C&C)
    4. Detekce síťového provozu souvisejícího s protokoly a programy pro rychlé zasílání zpráv
    5. Detekce síťového provozu z kompromitovaných síťových uzlů
    6. Detekce síťového provozu směrovaného na servery DNS
    7. Detekce provozu typického pro útoky typu Denial of Service (DoS, Denial of Service)
    8. Detekce síťového provozu z uzlů z Drop listu Spamhaus
    9. Detekce síťového provozu z hostitelů, o kterých je známo, že jsou zdroji útoků na základě seznamu Dshield
    10. Detekce síťového provozu specifického pro programy využívající zranitelnosti (exploits)
    11. Detekce provozu specifického pro počítačové hry
    12. Detekce síťového provozu ICMP, typického pro síťové útoky, jako je skenování portů
    13. Detekce síťového provozu typického pro útoky na služby IMAP
    14. Detekce neplatného síťového provozu, který porušuje bezpečnostní politiku organizace
    15. Detekce síťového provozu charakteristického pro škodlivé programy (malware)
    16. Detekce síťového provozu specifického pro síťové červy pomocí protokolu NetBIOS
    17 . Detekce síťového provozu, programy pro sdílení souborů peer-to-peer (P2P, sítě peer-to-peer)
    18. Detekce síťové aktivity, která může být v rozporu se zásadami zabezpečení vaší organizace (například provoz VNC nebo používání anonymního přístupu FTP)
    19. Detekce provozu typického pro útoky na POP3 služby
    20. Detekce síťového provozu ze síťových uzlů Russian Business Network
    21. Detekce útoků na služby RPC (remote procedure call).
    22. Detekce síťového provozu pomocí skenerů portů
    23. Detekce balíčků obsahujících assembler, nízkoúrovňové instrukce, nazývané také příkazový kód (např. útoky s přetečením vyrovnávací paměti)
    24. Detekce provozu charakteristické pro útoky na služby SMTP
    25. Zjišťování síťového provozu SNMP
    26. Objev pravidel pro různé programy SQL databáze
    27. Detekce síťového provozu protokolu Telnet v síti
    28. Detekce síťového provozu charakteristické pro útoky na TFTP (triviální FTP)
    29. Detekce provozu pocházejícího od odesílatele pomocí sítě Tor, aby zůstala anonymní
    30. Detekce provozu trojských koní
    31. Detekce útoků na uživatelské agenty
    32. Přítomnost signatur běžných virů (jako doplněk k antivirovému enginu ALTELL NEO)
    33. Detekce síťového provozu typického pro útoky na VoIP služby
    34. Detekce zranitelnosti (zneužití) pro webové klienty
    35. Detekce útoků na webové servery
    36. Detekce útoků na základě SQL injection (útoky sql-injection)
    37. Detekce síťového provozu charakteristik síťových červů
    38. Ochrana před útoky hackerů

    Bezpečnostní pravidla jsou vyvíjena a zdokonalována komunitou Emerging Threats a vycházejí z dlouholetých kombinovaných zkušeností odborníků v oblasti ochrany před síťovými útoky. Pravidla se aktualizují automaticky přes zabezpečený kanál (k tomu musí být v ALTELL NEO nakonfigurováno připojení k internetu). Každému pravidlu je přiřazena priorita podle třídy útoku z hlediska frekvence použití a důležitosti. Standardní úrovně priority jsou od 1 do 3, přičemž priorita "1" je vysoká, priorita "2" je střední a priorita "3" je nízká.

    V souladu s těmito prioritami lze přiřadit akci, kterou systém detekce a prevence narušení ALTELL NEO provede v reálném čase, když je detekován síťový provoz, který odpovídá podpisu pravidla. Akce může být:

    • Upozornění(režim IDS) - provoz je povolen a přesměrován k příjemci. Do protokolu událostí se zapíše varování. Tato akce je standardně nastavena pro všechna pravidla;
    • Pokles(režim IPS) - analýza paketů se zastaví, další porovnání shody se zbývajícími pravidly se neprovádí. Paket je zahozen a do protokolu je zapsáno varování;
    • Odmítnout(režim IPS) - v tomto režimu je paket zahozen a do logu je zapsáno varování. V tomto případě je odpovídající zpráva odeslána odesílateli a příjemci balíku;
    • Složit(režim IDS a IPS) - v tomto režimu se analýza paketů zastaví, další porovnávání shody se zbývajícími pravidly se neprovádí. Paket je předán na místo určení, nevygeneruje se žádné varování.

    Hlášení o provozu procházejícím systémem detekce a prevence narušení ALTELL NEO lze generovat v centralizovaném řídicím systému ALTELL NEO vlastní konstrukce, který shromažďuje počáteční data (varování) z jednoho nebo více zařízení ALTELL NEO.


    Testování zdarma

    Funkčnost systému IDS/IPS zabudovaného v ALTELL NEO ve verzi UTM si můžete zdarma vyzkoušet vyplněním malé přihlášky. Můžete si také zvolit konfiguraci zařízení (přídavná paměť, rozšiřující moduly, verze softwaru atd.) a vypočítat jeho přibližnou cenu pomocí

    Přečtěte si více: