Курс лекций «Проблемы безопасности в информационных технологиях»



бет32/44
Дата13.09.2017
өлшемі4.51 Mb.
#839
түріКурс лекций
1   ...   28   29   30   31   32   33   34   35   ...   44

IDS, IPS


Система обнаружения вторжений (СОВ) (Intrusion Detection System (IDS)) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютера. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)


Обычно архитектура СОВ включает в себя:


  • сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы

  • подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров

  • хранилище, обеспечивающее накопление первичных событий и результатов анализа

  • консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

В сетевой IDS, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные IDS используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В host IDS сенсор обычно является программным агентом, который ведет наблюдение за активностью системы, на который он установлен. Также существуют гибридные версии перечисленных видов IDS.


  • Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или коммутатору, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

  • Основанная на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.

  • Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

  • Узловая СОВ (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

  • Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

В пассивной IDS при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system), СОВ производит ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Firewall является механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики firewall-а. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. IDS могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки. Сегодня IDS становятся необходимым дополнением инфраструктуры безопасности.

Система предотвращения вторжений (Intrusion Prevention System (IPS)) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами, корректировать CRC и др.




  • Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

  • IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки «человек посередине», фальсификацию (spoofing) MAC-адресов.

  • Поведенческий анализ сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.

  • Система предотвращения вторжений для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.

Роль и место IDS в сети часто путают с контролем доступа и firewall-ами прикладного уровня. Существует несколько заметных отличий между этими технологиями. При некоторой схожести, то, как они обеспечивают сетевую безопасность или безопасность системы, отличается заметно.

В типичном случае IPS спроектирована так, что она функционирует в сети как полностью «невидимая». Обычно IPS-системы не имеют IP-адреса в защищаемой сети, но могут реагировать на трафик самым разнообразным способом. Обычные варианты реакции IPS включают отбрасывание пакетов, сброс соединений, генерация сигналов тревоги или даже помещение нарушителя в сетевой карантин. Хотя некоторые IPS имеют возможность реализации правил, подобных правилам firewall-а, обычно это сделано просто для удобства и не является основной функцией продукта.

Firewall прикладного уровня работает на заметно других технологиях. Firewall прикладного уровня использует прокси для предоставления ему контроля доступа к сети и трафика уровня приложения. Application firewall-ы имеют IP-адрес и к ним можно напрямую обращаться по этому адресу.






Достарыңызбен бөлісу:
1   ...   28   29   30   31   32   33   34   35   ...   44




©kzref.org 2022
әкімшілігінің қараңыз

    Басты бет