Показано с 1 по 1 из 1.

IDS - Intrusion Detection System

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    IDS - Intrusion Detection System

    Для начала рассмотрим как работает файерволл изнутри.

    При объединении возможности файерволла блокировать трафик и глубокого исследования трафика посредством IDS'а, мы получим новый инструмент : систему предотвращения атак (intrusion prevention systems или IPS).

    Определение IPS - это некое средство (аппаратное или программное) способное обнаруживать как известные, так и неизвестные атаки и предотвращать успешное осуществление этих атак. На данный момент существуют некоторые файерволлы, способные отслеживать номера очереди TCP, блокировать траффик определенных типов (таких как Code Red или Nimda) и даже функционировать как IPS. Однако, это не совсем то, что мы будем рассматривать. Здесь мы рассмотрим пять различных категорий IPS, ориентированных на предотвращение атак на уровнях, которые большинство файерволлов неспособны декодировать, по крайней мере, пока. Типы IPS, которые мы рассмотри, это :

    1. Встроенные NIDS (Network IDS - cистемы обнаружения атак на сетевом уровне)
    2. Файерволлы/IDS на уровне приложений
    3. Коммутаторы седьмого уровня
    4. IDS на уровне сетевых приложений
    5. Обманные системы

    Встроенные cистемы обнаружения атак на сетевом уровне

    Большинство NIDS должны иметь два сетевых интерфейса - один для управления и один для исследования трафика. Сетевой интерфейс, используемый для анализа трафика не имеет никакого IP адреса, что делает его “невидимым” - никто не сможет послать пакет на этот интерфейс или заставить этот интерфейс послать пакет. Встроенный NIDS будет работать как мост второго уровня, находясь между системой, которую необходимо защитить и всей остальной сетью.
    Таким образом весь трафик будет проходить через встроенный NIDS. Но, в отличии от обычного моста, встроенный NIDS будет анализировать пакеты на наличие в них уязвимостей, поиск которых предусмотрен конфигурацией. Если в пакете содержится фрагмент, который удовлетворяет сигнатуре, пакет может быть перенаправлен или заблокирован, а так же может быть занесена информация в логи. Здесь возможно применить IPS "промывки пакетов" - т.е. возможность переписать опасный пакет(ы) на что-либо неработающее. IPS подобного типа полезны, если вы не хотите, чтобы атакующий понял, что его атаки безуспешны или Вы хотите, чтобы атакующий продолжал свои атаки на одну из Ваших систем, позволяя Вам собрать больше улик. В этом случае так же полезно устанавливать обманную систему - в этом случае “промывается” только исходящий трафик из обманной системы. Встроенный NIDS предоставляет гораздо большие возможности, чем обычный NIDS с блокирующими возможностяии файерволлов. Как и при использовании большинства NIDS, пользователь может мониторить, в данном случае защищать, несколько серверов или сетей, используя одно устройство. Это может быть как хорошо, так и плохо. Если по каким-то причинам система перестанет работать, траффик не сможет пройти через нее. Если вы заботитесь об аптайме и соблюдении сервисных соглашений, это может вызвать большую проблему для вашей сети. Такие IPS рекомендуется использовать в том случае, если вы уже имели дело с NIDS. Поскольку эти IPS - модификации известных NIDS, написание правил для них весьма несложно и предоставляет возможность отлавливать новые атаки. Чтобы блокировать неизвестные атаки, используя NIDS, основанный на сигнатурах, Вам необходимо иметь некоторые базовые правила, например, на наличие NOOP-последовательностей. Однако, это не остановит все атаки. В случае встроенного NIDS, исследующего аномалии в протоколах есть возможность блокировать неизвестные атаки по протоколам, которые можно декодировать, а также имея информацию об этом протоколе. Обе эти системы имеют существенный недостаток, заключающийся в том, что они позволяют защитить только некоторые, наиболее часто используемые, приложения (такие как IIS, Apache, и т.д.). Если у Вас есть приложения, использующие одни из этих сервисов встроенный NIDS не предоставит Вам защиты от ошибок в реализации или конфигурировании.


    Коммутаторы седьмого уровня

    В большинстве случаев сис.админы используют коммутаторы седьмого уровня для распределения нагрузки между несколькими серверами. Для решения этой задачи можно исследовать информация в протоколе седьмого уровня (например, HTTP, DNS, SMTP) для принятия решения о коммутации или маршрутизации. В случае Web-приложения, можно исходя из URL направлять определенные запросы на конкретные сервера исходя из предопределенных правил. Компании, производящие подобные устройства начали добавлять функциональность, связанную с безопасностью, такую как защиту от DoS и DDoS. Аппаратно такие коммутаторы существенно отличаются от обычных, так как должны обеспечевать большую производительность даже в условиях самой требовательной сети - они могут без труда обрабатывать гигабитный и даже несколько-гигабитный трафик. Блокирование атак происходит аналогично сигнатурным встроенным NIDS. Установка коммутатора седьмого уровня перед файерволлом дает полную защиту всей сети. Из всего вышеупомянутого можно сделать вывод, что реализация IPS в виде коммутатора седьмого уровня имеет недостатки, аналогичные встроенным NIDS. Они могут останавливать только атаки, которые им известны, но также как и NIDS предоставляют возможность добавлять сигнатуры новых атак. Единственная атака, которую коммутатор седьмого уровня может остановить в отличии от остальных IPS - это DoS-атака, поскольку у них хватает мощности справляться с DoS-атаками без последствий для производительности остальной сети. Безопасность в них является второстепенной функциональностью, которая возможно только из-за того, что анализируется информация протокола седьмого уровня для решения главной задачи - маршрутизации/коммутации. Коммутаторы седьмого уровня легко расширяемы. Они могут быть настроены в режиме активного ожидания или в режиме распределения нагрузки. Такой возможности нет ни в одном из других IPS. Несмотря на то, что способность останавливать атаки у коммутаторов не столь высока, как при использовании последних двух технологий, описаных далее в этой статье, у них есть много других полезных возможностей, делающих коммутаторы стоящим средством. Так как изначально коммутаторы родились в мире сетей, они умеют распредять нагрузку между серверами, файерволами и NIDS, маршрутизировать используя протоколы BGP, OSPF и RIP и ориентированы на большую производительности и отказоустойчивость. Много возможностей, касаемых безопасности, предоставлены как дополнение к программному обеспечению коммутаторов, поэтому возможно использование уже существующих в сети коммутаторов.

    Файерволлы/IDS на уровне приложений

    Файерволлы и IDS уровня приложений обычно предлагаются как решение по предотвращению атак, нежели как традиционное IDS. Такие IPS устанавливаются на все сервера, которые необходимо защищать, поэтому они окупают себя только если объем администрирования всех установленных IPS не слишком высок. Файерволлы/IDS на уровне приложений настраиваются отдельно для каждого защищаемого приложения - вместо того, чтобы анализировать пакеты, такие IPS анализируют вызовы API, систему оправления памятью (например, попытки использовать переполнение буффера), взаимодействие приложений с операционной системой и допустимые взаимодействия пользователя с приложением, это часто помогает защититься от ошибок в реализации и от неизвестных атак. IPS уровня приложений может подстроится под Вашу систему перед защитой - во время это стадии IPS отслеживает пользовательское взаимодействие с приложениями и взаимодействие приложений с опреционной системой, чтобы определить, какие взаимоотношения являются допустимыми. После создания профайла или правил для приложения, IPS можно переводить в режим защиты. В отличии от встроенных NIDS и коммутаторов седьмого уровня, IPS уровня приложений являются “закрытыми системами”, то есть если происходит какое-либо действие, которое не было предопределено, IPS заблокирует его. Один из недостатков такой системы заключается в том, что во время создания профайла для приложения, пользователь должен использовать все возможные аспекты этого приложения, чтобы IPS выявил все возможные взаимодействия и создал для них правила. Если такого исчерпывающего тестирования не будет произведено, некоторые части приложения могут не работать. Другой недостаток проявляется когда приложение обновляется - в этом случае, возможно, придется заново создавать профайл для этого приложения, чтобы допустимые операции не были заблокированы. Эти типы IPS обеспечивают, пожалуй, наибольшую степень защиты для самописных и нестандартных/нераспространенных приложений. Поскольку файерволл/IPS загружается на каждый физический сервер, Вы можете изменять люые правила для обеспечения наибольшей степени защиты. Из всех IPS, описываемых в этой статье, файерволлы/IPS уровня приложения - единственные IPS, которые анализируют взаимодействие приложений с операционной системой и системой управления памятью.

    Гибридные коммутаторы

    Эта технология - нечто среднее между файерволлами/IPS уровня приложения и коммутаторами седьмого уровня. Подобно коммутаторам седьмого уровня, гибридные коммутаторы устанавливаются перед сервером(ами), но вместо использования набора правил обычных NIDS, использется политика, схожая с файерволлами/IPS уровня приложений - они анализируют трафик на наличие опасного контента, определенного конфигурируемыми правилами. Некоторые компании предлагают утилиты для определения потенциальных уязвимостей приложений. Используя подобные утилиты можно просканировать приложения и полученные сведения импортировать в IPS как набор правил. Это сильно облегчает работу администритора по конфигурированию правил для защиты приложений. Гибридные коммутаторы работают таким же образом, что и коммутаторы седьмого уровня, но помимо набора сигнатур, с помощью которых можно остановить атаки, направленные на веб-сервер, они еще имеют достаточное подробное представление об этом веб-сервере и о приложениях, которые используются в нем. Пользовательский запрос блокируется, если он не удовлетворяет ни одному из разрешающих правил. Если защищаемое приложение обрабатывает большое количество трафика, гибридный коммутатор можно совместить с коммутатором седьмого уровня для обеспечения большей производительности - коммутатор седьмого уровня в этом случае настраивается таким образом, чтобы посылать трафик только определенного типа на гибридный коммутатор для дальнейшего исследования, уменьшая таким образом количество запросов, которые обрабадываются гибридным коммутатором, и увеличивая общую производительность.

    Обманные системы

    Сначала "обманная система" анализирует весь трафик и определяет, какой трафик пропускать, аналогично стадии создания профайлов в файерволлах/IPS уровня приложений. Затем, при обнаружении попытки подключиться к сервису, который несуществует вообще, или по крайне мере, на этом сервере, "обманная система" посылает ответ атакующему. Ответ будет "помечен" какой-нибудь фальшивой инфорамцией и когда атакующий вернется и попытается взломать сервер, IPS увидит "помеченные" данные и остановит весь трафик, идущий со стороны атакующего. На самом деле, атакующему даже не обязательно атаковать фальшивый веб-сервер, чтобы быть замеченным. В зависимости от конфигурации системы, "помеченные" данные могут находиться не только в теле пакета. Это позволит поймать атакующего даже если он/она попытается атаковать существующий веб-сервер.


    Все типы IPS предоставляют разные уровни защиты и у каждого IPS есть свои преимущества и недостатки. Рассматривая методы работы каждого IPS, вы должны определить, какой из выше описанных типов IPS больше всего подходит для вашей задачи. Что касается наиболее сильной защиты, то в этом плане не существует универсального решения. Вы можете использовать несколько решений одновременно. Например, можно использовать коммутатор седьмого уровня перед вашим файерволлом, чтобы защититься от DOS-атак и неизвестных атак, в совокупности с файерволлами/IPS уровня приложений или гибридным коммутатором для защиты web-серверов и встроенным NIDS для защиты.




    Встроенные системы определения сетевых аттак (NIDS):

    ISS Guard: http://www.iss.net/products_services...work/guard.php
    hogwash: http://hogwash.sourceforge.net/
    Netscreen: http://www.netscreen.com/products/idp.html
    TippingPoint: http://www.tippingpoint.com/products/unityone_nds.html
    Intruvert: http://www.intruvert.com/products/index.htm

    Коммутаторы седьмого уровня:

    Radware: http://www.radware.com/
    TopLayer: http://www.toplayer.com/
    Foundry: http://www.foundrynet.com/

    Файерволлы/IDS уровня приложений:

    Okena: http://www.okena.com/
    Entercept: http://www.entercept.com/

    Гибридные коммутаторы:

    Appshild: http://www.f5.com/solutions/applicat...anctum_sb.html
    Kavado: http://www.kavado.com/

    Обманные системы:

    Forescout: http://www.forescout.com/

  2. Реклама
     

Похожие темы

  1. Ответов: 22
    Последнее сообщение: 06.06.2010, 21:24
  2. IBM Proventia Network Intrusion Prevention System (IPS)
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 26.01.2010, 09:49
  3. Intrusion Detection Systems (ids)
    От IgorKr в разделе Общая сетевая безопасность
    Ответов: 2
    Последнее сообщение: 14.09.2009, 11:34
  4. Zombie Detection System
    От HATTIFNATTOR в разделе Другие программы по безопасности
    Ответов: 6
    Последнее сообщение: 28.10.2007, 18:48
  5. Ответов: 0
    Последнее сообщение: 26.07.2007, 09:03

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01621 seconds with 18 queries