Sissetungituvastussüsteemid ehk IDS (Intrusion Detection System)ilmus mitte nii kaua aega tagasi, vähemalt võrreldes viirusetõrje või tulemüüridega. Võib-olla just sel põhjusel ei pea infoturbeteenistused alati vajalikuks neid lahendusi juurutada, keskendudes teistele infoturbe valdkonna süsteemidele. Kuid IDS-ist on praktiline kasu ja see on üsna märkimisväärne.

Erinevalt tulemüüridest, mis töötavad eelmääratletud poliitikate alusel, kasutatakse IDS-i kahtlase tegevuse jälgimiseks ja tuvastamiseks. Seega võib IDS-i nimetada oluliseks täienduseks võrguturbe infrastruktuurile. See on abigasissetungimise tuvastamise süsteemid, saab administraator tuvastadavolitamata juurdepääsu (sissetungimine või võrgurünnak) arvutisüsteemile või võrgule ning astuda samme rünnaku ärahoidmiseks.

Üldiselt tänan IDS, mis on tarkvara- või riistvaralahendus, ei saa administraator mitte ainult tuvastada sissetung või võrgurünnak, aga ka ennustada võimalikke tulevasi ründeid ja leida nende sissetungi vältimiseks turvaauke. Lõppude lõpuks teeb ründaja esmalt mitmeid toiminguid, näiteks võrguskannimist, et tuvastada sihtsüsteemi haavatavused. Lisaks suudab IT-teenus dokumenteerida olemasolevad ohud ja lokaliseerida ründe allika seoses kohaliku võrguga: välised või sisemised rünnakud.

Sissetungi tuvastamisest ennetamiseni

Omakorda tekkisid IDS-i baasil IPS-i (Intrusion Prevention System) ennetussüsteemid ehk iga IPS sisaldab IDS-moodulit. Oma funktsioonide poolest on nad üsna sarnased, kuid on ka erinevus, see on, et esimene süsteem on"passiivne" lahendus, mis jälgib võrgupakette, porte, võrdleb liiklust teatud reeglistikuga ja hoiatab pahavara tuvastamisel, samas kui IPS blokeerib selle võrku tungimise katsel. Sissetungimise ohu korral katkeb võrguühendus või blokeeritakse kasutajaseanss, mis peatab juurdepääsu IP-aadressidele, kontole, teenusele või rakendusele.

Lisaks on IPS-seadmed ründeohu tõrjumiseks võimelised tulemüüri või ruuterit ümber konfigureerima. Mõned lahendused kasutavad ka uute paikade väljalaskmist, kui hosti haavatavus suureneb.Siiski tuleb tunnistada, et IDS/IPS tehnoloogiad ei muuda süsteemi absoluutselt ohutuks.

Arhitektuuri omadused

IPS-süsteemide juurutamisel kasutatakse nelja peamist tehnoloogiat. Esimene on spetsiaalsete seadmete paigaldamine nii ettevõtte võrgu perimeetri ümber kui ka selle sees. Tavaliselt integreeritakse IPS infrastruktuuri, kuna see valik on palju kulutõhusam kui eraldiseisev lahendus. Esiteks seetõttu, et integreeritud seadme maksumus on madalam kui eraldiseisva seadme hind ja juurutamise maksumus on väiksem. Kolmandaks on töökindlus suurem, kuna liiklusahelas pole täiendavat lüli, mis oleks altid riketele.

Reeglina integreeritakse IPS ruuterisse, seejärel saab süsteem ligipääsu analüüsitavale liiklusele. See on teine ​​​​kasutatav tehnoloogia. Sellel valikul on aga puudus: ruuterisse integreeritud IPS suudab tõrjuda rünnakuid ainult võrgu perimeetril. Seetõttu rakendatakse sisemiste ressursside kaitsmiseks kohaliku võrgu lülitites rünnakute vältimise mehhanisme.

IDS/IPS-süsteemid paigaldatakse piki ettevõtte võrgu perimeetrit

IPS-i kolmas eelpost on seotud traadita tehnoloogiate kiiresti kasvava populaarsusega. Seetõttu varustatakse traadita pääsupunkte nüüd aktiivselt IPS-süsteemidega. Sellised lahendused on lisaks erinevate rünnete avastamisele ja tõkestamisele võimelised leidma volitamata pääsupunkte ja kliente.

Teine kaitseliin on tööjaam või server. Sel juhul installitakse tööjaama või serveri IPS-süsteem rakendustarkvarana OS-i peale ja seda nimetatakse hosti IPS-iks (HIPS). Sarnaseid lahendusi toodavad paljud tootjad. Näiteks, saate märkida tooteid , , , ja teisi.

Hosti IPS-i kasutamine vähendab kriitiliste värskenduste installimise sagedust, aitab kaitsta tundlikke andmeid ning aitab teil täita regulatiivseid nõudeid ja volitusi. See ühendab käitumusliku ja allkirjapõhise sissetungi ennetamise süsteemi (IPS), olekupõhise tulemüüri ja rakenduste blokeerimise, et kaitsta kõiki lõpp-punkte – lauaarvuteid, sülearvuteid ja servereid – tuntud ja tundmatute ohtude eest.

Peamised vead rakendamisel

IDS/IPS-süsteemid on üsna keerukas tööriist, mis nõuab rakendamisel teatud kvalifikatsiooni ja pidevat tähelepanu töötamise ajal. Kui seda ei tehta, genereerivad süsteemid sageli valesignaali, tuvastades liikluse valesti pahatahtlikuna.

Selleks, et sissetungitõkestussüsteemid töötaksid usaldusväärselt, tuleb täpsust reguleerida. Lisaks tuleb seadet pidevalt kohandada nii võrgukonfiguratsiooni muutumisel kui ka uute võrku ilmuvate ohtude suhtes.

Eksperdid nimetavad seitse peamist viga hosti IDS/IPS-süsteemide juurutamisel ja käitamisel.

Esiteks ei saa te keskmise ja kõrge riskiga allkirju blokeerida ilma kogutud andmeid eelnevalt analüüsimata. Selle asemel soovitame blokeerida ainult kõrge raskusastmega allkirjad. See pakub kaitset kõige tõsisemate haavatavuste eest väikese arvu valesündmustega. Keskmise ohutasemega signatuurid töötavad omakorda käitumisalgoritmi järgi ja nõuavad tavaliselt kohustuslikku eelkonfigureerimist.

Teiseks ei saa kõigis süsteemides kasutada samu põhimõtteid. Selle asemel peaksite oma arvutid jagama rakenduste ja õiguste alusel rühmadesse, alustades lihtsaimate süsteemide standardprofiilide loomisest.

Lisaks ei aktsepteeri Host IPS-süsteem põhimõtet "seadista ja unusta". Erinevalt viirusetõrjest on kaitse täpsuse ja tõhususe tagamiseks vajalik regulaarne jälgimine ja korrapärane süsteemihooldus.

Lisaks ei saa te samaaegselt lubada IPS-i, tulemüüri ja rakenduste blokeerimisrežiimi. Soovitatav on alustada IPS-iga, seejärel lisada tulemüür ja seejärel vajadusel lubada rakenduste blokeerimisrežiim.

Samuti ei tohiks te jätta oma IPS-i, tulemüüri või rakenduste blokeerimismehhanismi määramata ajaks adaptiivsesse režiimi. Selle asemel tuleks lubada adaptiivne režiim lühikesteks perioodideks, kui IT-administraatoril on võimalus jälgida loodavaid reegleid.

Lõpuks ei saa te kohe blokeerida midagi, mille süsteem tuvastab sissetungimisena. Esiteks peaksite veenduma, et vaadeldav liiklus on tõepoolest pahatahtlik. Sellised tööriistad nagu pakettide hõivamine, võrgu IPS ja teised aitavad seda teha.

Teemakohased publikatsioonid

29. aprill 2014 Paljud ettevõtted soetavad omal kulul mobiilseid vidinaid töötajatele, kes reisivad sageli töölähetustele. Nendes tingimustes on IT-teenusel tungiv vajadus juhtida seadmeid, millel on juurdepääs ettevõtte andmetele, kuid mis asuvad väljaspool ettevõtte võrgu perimeetrit.
28. veebruar 2014 Teatavasti ilmus kümme aastat tagasi maailma esimene mobiiliviirus Cabir. See oli mõeldud Nokia Series 60 telefonide nakatamiseks, rünnak seisnes selles, et nakatunud telefonide ekraanidele ilmus sõna "Caribe". Kaasaegsed mobiilseadmete viirused on palju ohtlikumad ja mitmekesisemad.
28. jaanuar 2014 Oma tööpõhimõttelt meenutavad virtuaalsed masinad füüsilisi. Seetõttu on nii virtuaalsed kui ka füüsilised sõlmed atraktiivsed küberkurjategijatele, kes ründavad ettevõtete võrke raha või konfidentsiaalse teabe varastamise eesmärgil.
30. detsember 2013 Lõpp-punktide kaitselahendused ilmusid turule mitte nii kaua aega tagasi, tegelikult pärast kohalike võrkude massilise juurutamise algust ettevõtetes. Nende toodete prototüüp oli tavaline viirusetõrje personaalarvuti kaitsmiseks.

Praegu ei ole tulemüüri ja viirusetõrje pakutav kaitse enam tõhus võrgurünnakute ja pahavara vastu. Esirinnas on IDS/IPS-klassi lahendused, mis suudavad tuvastada ja blokeerida nii tuntud kui ka tundmatuid ohte.

INFO

• Mod_Security ja GreenSQL-FW kohta lugege artiklit "The Last Frontier", ][_12_2010.
• Kuidas õpetada iptablesi paketi sisse vaatama, lugege artiklit "Fire Shield", ][_12_2010.

IDS/IPS tehnoloogiad

IDS-i või IPS-i vahel valiku tegemiseks peate mõistma nende tööpõhimõtteid ja eesmärki. Seega on IDS-i (Intrusion Detection System) ülesanne rünnete tuvastamine ja registreerimine, samuti teatamine teatud reegli käivitumisest. Sõltuvalt tüübist suudab IDS tuvastada erinevat tüüpi võrgurünnakuid, tuvastada volitamata juurdepääsu katseid või õiguste tõstmist, pahavara ilmumist, jälgida uue pordi avanemist jne. Erinevus seisneb tulemüüris, mis kontrollib ainult seansi parameetreid ( IP, pordi number jne). Sissetungi tuvastamise süsteeme on mitut tüüpi. Väga populaarsed on APIDS (Application Protocol-based IDS), mis jälgivad konkreetsete rünnakute jaoks piiratud rakendusprotokollide loendit. Selle klassi tüüpilised esindajad on PHPIDS, mis analüüsib PHP rakenduste päringuid, Mod_Security, mis kaitseb veebiserverit (Apache) ja GreenSQL-FW, mis blokeerib ohtlikud SQL-käsud (vt artiklit “The Last Frontier” [_12_2010).

Võrgu NIDS (Network Intrusion Detection System) on universaalsemad, mis saavutatakse tänu DPI (Deep Packet Inspection) tehnoloogiale. Nad juhivad rohkem kui ühte konkreetset rakendust, kogu läbivat liiklust, alustades kanali tasemelt.

Mõned pakettfiltrid pakuvad ka võimalust "sisse vaadata" ja ohtu blokeerida. Näiteks OpenDPI ja Fwsnort projektid. Viimane on programm Snorti allkirjade andmebaasi teisendamiseks samaväärseteks iptablesi blokeerimisreegliteks. Kuid algselt oli tulemüür mõeldud muude ülesannete jaoks ja DPI-tehnoloogia on mootori jaoks "kallis", seega piirduvad täiendavate andmete töötlemise funktsioonid rangelt määratletud protokollide blokeerimise või märgistamisega. IDS lihtsalt märgistab (hoiatab) kõik kahtlased toimingud. Ründava hosti blokeerimiseks konfigureerib administraator statistika vaatamise ajal tulemüüri iseseisvalt ümber. Loomulikult ei ole siin tegemist reaalajas reageerimisega. Seetõttu on IPS (Intrusion Prevention System, rünnakute ennetamise süsteem) tänapäeval huvitavam. Need põhinevad IDS-il ja võivad iseseisvalt pakettfiltri uuesti üles ehitada või seansi lõpetada, saates TCP RST. Olenevalt tööpõhimõttest saab IPS-i paigaldada "purske" või kasutada mitmelt andurilt saadud liikluse peegeldamist (SPAN). Näiteks paigaldab plahvatuse Hogwash Light BR, mis töötab OSI kihil. Sellisel süsteemil ei pruugi olla IP-aadressi, mis tähendab, et see jääb ründajale nähtamatuks.

Tavaelus pole uks mitte ainult lukustatud, vaid ka kaitstud, jättes selle lähedusse valvuri, sest ainult sel juhul võite olla ohutuses kindel. BIT, hosti IPS toimib sellise turvalisusena (vt jaotist [_08_2009) "Uus kaitsepiir", mis kaitseb kohalikku süsteemi viiruste, juurkomplektide ja häkkimise eest. Neid aetakse sageli segi viirusetõrjetega, millel on ennetav kaitsemoodul. Kuid HIPS reeglina allkirju ei kasuta, mis tähendab, et nad ei vaja andmebaasi pidevat värskendamist. Need juhivad palju rohkem süsteemi parameetreid: protsesse, süsteemifailide ja registri terviklikkust, logikirjeid ja palju muud.

Olukorra täielikuks kontrollimiseks on vaja sündmusi kontrollida ja korreleerida nii võrgu kui ka hosti tasemel. Selleks on loodud hübriid-IDS-id, mis koguvad andmeid erinevatest allikatest (selliseid süsteeme nimetatakse sageli SIM - Security Information Management). OpenSource projektide hulgas on huvitav Prelude Hybrid IDS, mis kogub andmeid peaaegu kõigist OpenSource IDS/IPS-idest ja saab aru erinevate rakenduste logivormingust (selle süsteemi tugi peatati mitu aastat tagasi, koostatud pakette leiab endiselt Linuxi ja *BSD hoidlad).

Isegi professionaal võib pakutud lahenduste mitmekesisuses segadusse sattuda. Täna kohtume IDS/IPS süsteemide silmapaistvamate esindajatega.

Ühtne ohukontroll

Kaasaegne Internet kannab endas tohutul hulgal ohte, nii et kõrgelt spetsialiseeritud süsteemid pole enam asjakohased. Vajalik on kasutada terviklikku multifunktsionaalset lahendust, mis sisaldab kõiki kaitsekomponente: tulemüür, IDS/IPS, viirusetõrje, puhverserver, sisufilter ja rämpspostitõrjefilter. Selliseid seadmeid nimetatakse UTM-iks (Unified Threat Management, unified ohtujuhtimine). UTM-i näidete hulka kuuluvad Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate'i võrguturbeplatvormid ja -seadmed või spetsiaalsed Linuxi distributsioonid, nagu Untangle Gateway, IPCop Firewall, pfSense (lugege nende ülevaadet artiklist „Võrguregulaatorid”, ] [_01_2010) ).

Suricata

Selle IDS/IPS-i beetaversioon avaldati pärast kolmeaastast arendustööd 2010. aasta jaanuaris. Projekti üks peamisi eesmärke on luua ja testida täiesti uusi rünnakutuvastustehnoloogiaid. Suricata taga on ühendus OISF, mis naudib tõsiste partnerite toetust, sealhulgas USA sisejulgeolekuministeeriumi poisid. Täna on kõige asjakohasem väljalase number 1.1, mis ilmus 2011. aasta novembris. Projekti koodi levitatakse GPLv2 litsentsi alusel, kuid finantspartneritel on juurdepääs mootori mitte-GPL-i versioonile, mida nad saavad oma toodetes kasutada. Maksimaalse tulemuse saavutamiseks on töösse kaasatud kogukond, mis võimaldab saavutada väga kõrge arengutempo. Näiteks võrreldes eelmise versiooniga 1.0 suurenes koodi hulk 1.1-s 70%. Mõned pika ajalooga kaasaegsed IDS-id, sealhulgas Snort, ei kasuta mitmeprotsessorilisi/mitmetuumalisi süsteeme kuigi tõhusalt, mis toob kaasa probleeme suurte andmemahtude töötlemisel. Suricata töötab algselt mitme keermega režiimis. Testid näitavad, et see on kuus korda kiirem kui Snort (24 CPU ja 128 GB muutmäluga süsteemis). Kui ehitate parameetriga '--enable-cuda', on võimalik riistvaraline kiirendus GPU poolel. IPv6 on algselt toetatud (Snortis aktiveeritakse see klahviga "—enable-ipv6" liikluse pealtkuulamiseks: LibPcap, NFQueue, IPFRing, IPFW). Üldiselt võimaldab modulaarne paigutus kiiresti ühendada soovitud elemendi pakettide hõivamiseks, dekodeerimiseks, analüüsimiseks või töötlemiseks. Blokeerimine toimub standardse OS-i pakettfiltri abil (Linuxis tuleb IPS-režiimi aktiveerimiseks installida netlink-queue või libnfnetlink teegid). Mootor tuvastab automaatselt sõelumisprotokollid (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP ja SCTP), nii et reegleid ei pea siduma pordinumbriga (nagu Snort teeb), peate lihtsalt määrake soovitud protokolli toiming. Mod_security autor Ivan Ristic lõi spetsiaalse HTP teegi, mida Suricatas kasutati HTTP-liikluse analüüsimiseks. Arendajad püüavad eelkõige saavutada tuvastamise täpsust ja suurendada reeglite kontrollimise kiirust.

Tulemuste väljund on ühtne, nii et saate nende analüüsimiseks kasutada standardseid utiliite. Tegelikult töötavad kõik Snorti jaoks kirjutatud taustaprogrammid, liidesed ja analüsaatorid (Barnyard, Snortsnarf, Sguil jne) Suricataga ilma muudatusteta. See on ka suur pluss. HTTP-side logitakse üksikasjalikult standardses Apache-failivormingus.

Suricata tuvastusmehhanism põhineb reeglitel. Siin ei leiutanud arendajad veel midagi, vaid lubasid ühendada teiste projektide jaoks loodud rattakomplekte: Sourcefire VRT (saab värskendada Oinkmasteri kaudu) ja Emerging Threats Pro. Esimestel väljaannetel oli tugi ainult osaline ning mootor ei tuvastanud ega laadinud mõnda reeglit, kuid nüüd on see probleem lahendatud. Rakendatud on patenteeritud reeglite formaat, mis väliselt sarnaneb Snorti omaga. Reegel koosneb kolmest komponendist: toimingust (läbi, kukutab, keeldub või hoiatab), päisest (allika ja sihtkoha IP/port) ja kirjeldusest (mida otsida). Seadistused kasutavad muutujaid (flowint-mehhanism), mis võimaldab näiteks luua loendureid. Sel juhul saab voost pärineva teabe hilisemaks kasutamiseks salvestada. Selline parooli arvamise katsete jälgimise lähenemisviis on tõhusam kui Snorti lävepõhine lähenemine. Plaanis on luua IP-reputatsiooni mehhanism (nagu Cisco SensorBase, vt artiklit "Touch Cisco" [_07_2011).

Kokkuvõtteks märgin, et Suricata on kiirem mootor kui Snort, mis ühildub täielikult taustaprogrammidega ja suudab kontrollida suuri võrguvooge. Projekti ainsaks puuduseks on hõre dokumentatsioon, kuigi kogenud administraator ei pea seadeid välja selgitama. Paigalduspaketid on jaotushoidlates juba ilmunud ja selged juhised lähtekoodi iseseisvaks kokkupanekuks on saadaval projekti veebisaidil. Suricatale on ehitatud valmis distributsioon Smooth-sec.

Samhain

Avatud lähtekoodiga litsentsi alusel välja antud Samhain on hostipõhine IDS, mis kaitseb üksikut arvutit. See kasutab mitmeid analüüsimeetodeid, et jäädvustada kõik süsteemis toimuvad sündmused:

• oluliste failide allkirjade loomine andmebaasi esmakordsel käivitamisel ja selle järgnev võrdlemine "reaalajas" süsteemiga;
• logikirjete jälgimine ja analüüs;
• süsteemi sisenemise/väljapääsu kontroll;
• avatud võrguportide ühenduste jälgimine;
• failide juhtimine varjatud protsesside installitud SUID-ga.

Programmi saab käivitada varjatud režiimis (kasutades kerneli moodulit), kui kerneli protsesse ei ole võimalik mälus tuvastada. Samhain toetab ka mitme erineva OS-iga töötavate sõlmede jälgimist, salvestades kõik sündmused samas punktis. Sel juhul saadavad kaugsõlmedesse installitud agendid kogu kogutud teabe (TCP, AES, signatuur) krüpteeritud kanalisse serverisse (yule), mis salvestab selle andmebaasi (MySQL, PostgreSQL, Oracle). Lisaks vastutab server klientsüsteemide oleku kontrollimise, uuenduste ja konfiguratsioonifailide levitamise eest. Teavituste ja kogutud teabe saatmise jaoks on rakendatud mitmeid võimalusi: e-post (post allkirjastatakse võltsimise vältimiseks), syslog, logifail (allkirjastatud), Nagios, konsool jne. Haldamiseks saab kasutada mitut selgelt määratletud rollidega administraatorit .

Pakett on saadaval peaaegu kõigi Linuxi distributsioonide hoidlates. Projekti veebisait sisaldab Samhaini Windowsi installimise kirjeldust.

StoneGate'i sissetungimise ennetamise süsteem

Selle lahenduse töötas välja Soome ettevõte, mis loob ettevõtlusklassi võrguturbe tooteid. See rakendab kõiki populaarseid funktsioone: IPS, kaitse DDoS ja 0day rünnakute eest, veebi filtreerimine, krüpteeritud liikluse tugi jne. StoneGate IPS abil saate blokeerida viiruseid, nuhkvara, teatud rakendusi (P2P, IM jne). Veebi filtreerimiseks kasutatakse pidevalt uuendatavat mitmesse kategooriasse jagatud saitide andmebaasi. Erilist tähelepanu pööratakse AET (Advanced Evasion Techniques) turvasüsteemide möödaviigu kaitsmisele. Läbipaistva juurdepääsukontrolli tehnoloogia võimaldab jagada ettevõtte võrgu mitmeks virtuaalseks segmendiks ilma tegelikku topoloogiat muutmata ja määrata igaühe jaoks individuaalsed turvapoliitikad. Liiklusjärelevalve poliitikad konfigureeritakse standardreegleid sisaldavate mallide abil. Need eeskirjad luuakse võrguühenduseta. Administraator kontrollib loodud eeskirju ja laadib need alla IPS-i kaughostidesse. Sarnaseid sündmusi StoneGate IPS-is töödeldakse vastavalt SIM/SIEM süsteemides kasutatavale põhimõttele, mis hõlbustab oluliselt analüüsimist. Mitu seadet saab hõlpsasti ühendada klastriks ja integreerida teiste StoneSofti lahendustega – StoneGate Firewall/VPN ja StoneGate SSL VPN. Haldust pakub ühtne halduskonsool (StoneGate Management Center), mis koosneb kolmest komponendist: Management Server, Log Server ja Management Client. Konsool võimaldab mitte ainult konfigureerida IPS-i tööd ning luua uusi reegleid ja eeskirju, vaid ka jälgida ja vaadata logisid. See on kirjutatud Java keeles, seega on saadaval Windowsi ja Linuxi versioonid.

StoneGate IPS tarnitakse nii riistvarapaketina kui ka VMware pildina. Viimane on mõeldud paigaldamiseks oma seadmetele või virtuaalsesse infrastruktuuri. Muide, erinevalt paljude sarnaste lahenduste loojatest lubab arendusfirma alla laadida pildi testversiooni.

IBMi turvavõrgu sissetungimise ennetamise süsteem

IBMi rünnakute ennetamise süsteem kasutab patenteeritud protokollianalüüsi tehnoloogiat, mis pakub ennetavat kaitset 0-päevaste ohtude eest. Nagu kõik IBM Security seeria tooted, põhineb see protokolli analüüsi moodulil – PAM (Protocol Analysis Module), mis ühendab endas traditsioonilise rünnakutuvastuse signatuurimeetodi (Proventia OpenSignature) ja käitumisanalüsaatori. Samal ajal eristab PAM 218 rakendustaseme protokolli (rünnakud VoIP, RPC, HTTP jne kaudu) ja andmevorminguid nagu DOC, XLS, PDF, ANI, JPG, et ennustada, kuhu pahatahtlik kood võib olla põimitud. Liikluse analüüsimiseks kasutatakse enam kui 3000 algoritmi, millest 200 püüab DoS-i kinni. Tulemüüri funktsioonid võimaldavad lubada juurdepääsu ainult kindlatele portidele ja IP-dele, välistades vajaduse lisaseadme kaasamise järele. Virtual Patchi tehnoloogia blokeerib viirused nende levimisel ja kaitseb arvuteid, kuni installitakse värskendus, mis parandab kriitilise haavatavuse. Vajadusel saab administraator ise allkirja luua ja kasutada. Rakenduse juhtimismoodul võimaldab hallata P2P, IM, ActiveX elemente, VPN tööriistu jms ning vajadusel neid blokeerida. Rakendatud on DLP-moodul, mis jälgib konfidentsiaalse teabe edastamise ja andmete teisaldamise katseid kaitstud võrgus, mis võimaldab hinnata riske ja blokeerida lekkeid. Vaikimisi tuvastatakse kaheksa tüüpi andmeid (krediitkaardi numbrid, telefoninumbrid...), ülejäänud organisatsioonispetsiifilise teabe määrab administraator regulaaravaldiste abil iseseisvalt. Praegu esineb suurem osa haavatavustest veebirakendustes, seega sisaldab IBM-i toode spetsiaalset veebirakenduse turbemoodulit, mis kaitseb süsteeme levinud rünnakutüüpide eest: SQL-i süstimine, LDAP-i süstimine, XSS-i, JSON-kaaperdamine, PHP-failide kaasajad, CSRF jne. .d.

Rünnaku tuvastamisel on tegutsemiseks mitu võimalust – hosti blokeerimine, hoiatuse saatmine, rünnakuliikluse salvestamine (tcpdumpiga ühilduvasse faili), hosti karantiini paigutamine, kasutaja seadistatava toimingu sooritamine ja mõned muud. Reeglid kirjutatakse üles igale pordile, IP-aadressile või VLAN-tsoonile. High Availability režiim tagab, et kui üks mitmest võrgus olevast IPS-seadmest ebaõnnestub, liigub liiklus läbi teise ja loodud ühendusi ei katkestata. Kõik riistvara sees olevad alamsüsteemid – RAID, toiteallikas, jahutusventilaator – on dubleeritud. Seadistamine veebikonsooli abil on võimalikult lihtne (koolituskursused kestavad vaid ühe päeva). Kui teil on mitu seadet, ostate tavaliselt IBM Security SiteProtectori, mis pakub tsentraliseeritud haldust, logianalüüsi ja aruandlust.

McAfee Network Security Platform 7

McAfee toodetud IntruShield IPS oli kunagi üks populaarsemaid IPS-lahendusi. Nüüd on selle põhjal välja töötatud McAfee Network Security Platform 7 (NSP). Lisaks kõigile klassikalise NIPS-i funktsioonidele on uuel tootel ettevõttesisesest võrgust edastatavate pakettide analüüsimise tööriistad, mis aitavad tuvastada nakatunud arvutite algatatud pahatahtlikku liiklust. McAfee kasutab Global Threat Intelligence tehnoloogiat, mis kogub teavet sadadelt tuhandetelt üle maailma paigaldatud anduritelt ning hindab kõigi läbivate unikaalsete failide, IP- ja URL-aadresside ning protokollide mainet. Tänu sellele suudab NSP tuvastada botneti liiklust, tuvastada 0-päevaseid ohte ja DDoS rünnakuid ning ründe lai katvus vähendab valepositiivsete tulemuste tõenäosust.

Iga IDS/IPS ei saa virtuaalmasinates töötada, sest kogu vahetus toimub sisemistes liidestes. Kuid NSP-l pole sellega probleeme, see suudab analüüsida liiklust nii VM-ide vahel kui ka VM-ide ja füüsilise hosti vahel. Sõlmede jälgimiseks kasutatakse Reflex Systemsi agentimoodulit, mis kogub liiklusinfot VM-i ja edastab selle analüüsimiseks füüsilisse keskkonda.

Mootor eristab enam kui 1100 rakendust, mis töötavad seitsmendal OSI kihil. See uurib liiklust sisuanalüüsi mootori abil ja pakub lihtsaid haldustööriistu.

Lisaks NIPS-ile toodab McAfee hosti IPS-i – Host Intrusion Prevention for Desktop, mis pakub igakülgset arvutikaitset, kasutades ohtude tuvastamise meetodeid, nagu käitumise ja allkirjade analüüs, ühenduse oleku jälgimist tulemüüri abil ja maine hindamist rünnakute blokeerimiseks.

Kuhu IDS/IPS juurutada?

IDS/IPS-ist maksimaalse kasu saamiseks peaksite järgima järgmisi soovitusi.

• Süsteem tuleb juurutada kaitstud võrgu või alamvõrgu sissepääsu juures ja tavaliselt tulemüüri taga (blokeeritavat liiklust pole mõtet juhtida) – nii vähendame koormust. Mõnel juhul paigaldatakse segmendi sisse andurid.
• Enne IPS-funktsiooni aktiveerimist peaksite süsteemi mõnda aega käivitama režiimis, mis ei blokeeri IDS-i. Tulevikus tuleb reegleid perioodiliselt kohandada.
• Enamik IPS-i seadeid põhinevad tüüpilistel võrkudel. Teatud juhtudel võivad need osutuda ebaefektiivseks, mistõttu on vaja täpsustada sisemiste alamvõrkude IP ja kasutatavad rakendused (pordid). See aitab riistvaral paremini mõista, millega see tegeleb.
• Kui IPS-süsteem on installitud "plahvatuslikult", on vaja jälgida selle jõudlust, vastasel juhul võib seadme rike kogu võrgu lihtsalt halvata.

Järeldus

Võitjaid me välja ei selgita. Valik sõltub igal konkreetsel juhul eelarvest, võrgu topoloogiast, vajalikest turvafunktsioonidest, administraatori soovist seadistustega nokitseda ja loomulikult riskidest. Kommertslahendused saavad toetust ja on varustatud sertifikaatidega, mis võimaldab neid lahendusi kasutada isikuandmete töötlemisega seotud organisatsioonides. OpenSource litsentsi alusel levitatud Snort on hästi dokumenteeritud, omab piisavalt suurt andmebaasi ja head kogemust. administraatorite seas nõudlus. Ühilduv Suricata pilt võib kaitsta suure liiklusega võrku ja, mis kõige tähtsam, on täiesti tasuta.

Sissetungi tuvastamise ja ennetamise süsteem

Sissetungi ennetamise süsteem(IDS/IPS, sissetungimise tuvastamise süsteem / sissetungimise ennetamise süsteem) on mõeldud sissetungijate rünnakute tuvastamiseks, logimiseks ja ennetamiseks serverile, integreeritud teenustele (post, veebisait jne) ja Interneti-lüüsiga kaitstud kohalikule võrgule.

Liikluse blokeerimise reeglid hõlmavad troojalaste, nuhkvara, botnettide, p2p-klientide ja torrent-jälgijad, viirused, võrgud TOR(kasutatakse filtreerimisreeglitest möödahiilimiseks), anonüümisaatorid ja palju muud.

Teenust saate konfigureerida vahekaardil Reeglid – sissetungimise vältimine:

Märkides või tühjendades " Luba IDS/IPS"Saate sissetungi ennetamise teenuse vastavalt lubada/keelata.

Väljal " Kohalike alamvõrkude loend" lisage UTM-i teenindavad kohalikud võrgud. Tavaliselt on need kohalike UTM-i liideste võrgud ja neile võib olla suunatud ka teie ettevõtte kohaliku võrgu kaugsegmentide võrke. Ärge kunagi määrake võrke, mis kuuluvad välistesse UTM-i võrguliidestesse ja välisvõrkudesse. Siin loetletud võrgud osalevad sissetungi ennetamise teenuse reeglites kohalike võrkudena, mis iseloomustavad liiklust kohalikesse võrkudesse/võrkudest. Kohalikku segmentidevahelist liiklust ei jäeta süsteemikontrollidest välja.

Valik " Salvestage logikirjeid" võimaldab valida süsteemilogide salvestusaja: 1, 2 või 3 kuud.

Sissetungitõrjesüsteemi kasutamisel ei ole soovitatav kasutada võrguarvutite sisemisi DNS-servereid, kuna süsteem analüüsib seda läbivaid DNS-päringuid ja tuvastab nende põhjal nakatunud seadmed. Kui kasutate sisemist AD-domeeni, on soovitatav määrata ainsa DNS-serverina arvutites Ideco UTM-i DNS-server ja UTM-i DNS-serveri sätetes määrata kohaliku domeeni jaoks edasisuunamise tsoon.

Ajakiri

Logis saate vaadata sissetungitõrjesüsteemi hoiatuslogide 100 viimast rida.

Täielikud süsteemilogid asuvad serveris kataloogis /var/log/suricata

drop.log - teave tagasilükatud pakettide kohta.

fast.log – hoiatuslogid.

suricata.log – teenuse toimingute logid.

Hoiatuslogid näitavad gruppi (Classification), kuhu käivitatud reegel kuulub, reegli ID-d ja lisainfot.

Reeglid

Vahekaardil Reeglid saadaval sissetungimise vältimise süsteemi reeglite rühma vaatamiseks ja lubamiseks/keelamiseks.

Reeglirühma lubamisel/keelamisel rakenduvad sätted koheselt, ilma et oleks vaja teenust taaskäivitada.

Erandid

Teatud sissetungimise vältimise süsteemi reeglid on võimalik välja lülitada valepositiivsete tulemuste korral või muudel põhjustel.

Vahekaardil „Erandid” saate lisada reegli ID (selle numbri, vt allpool logianalüüsi näidet).

Tähelepanu! Aja jooksul, kui andmebaase värskendatakse, võivad reegli ID-d muutuda.

Logi analüüsi näide

Näide 1

04/04/2017-19:31:14.341627 [**] ET P2P BitTorrenti DHT pingitaotlus [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Väljade selgitus:

04/04/2017-19:31:14.341627 - sündmuse kuupäev ja kellaaeg.

Süsteemi toiming, Drop - pakett on blokeeritud, mis tahes muu teave sellel väljal tähendab hoiatust, teavitamist.

[ 1:2008581:3 ] – reegli ID rühmas (ID asub märkide ":" vahel). Kui reegel tuleb lisada eranditele, tuleb sinna lisada number 2008581.

[**] ET CINS Active Threat Intelligence Halva maine IP-grupp 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

IP-arvuti 192.168.10.14 logide üksikasjalikumaks analüüsiks käivitage serverikonsoolis käsk:

grep "10.80.1.13:" /var/log/suricata/fast.log

Meile tuleb üsna palju liine, mille ühendus on erinevate ohukategooriate järgi liigitatud IP-aadressidega.

Tarkvaraanalüüsi tulemusena tuvastati ja eemaldati arvutist reklaamvara programm, millele lokaalselt installitud viirusetõrje ei reageerinud.

Tehnilised nõuded

Sissetungi ennetamise süsteem nõuab töötamiseks märkimisväärseid arvutusressursse. Eelistatakse mitmetuumalisi (4 või enama tuumaga) protsessoreid. Minimaalne RAM-i kogus süsteemi kasutamiseks: 8 GB.

Pärast süsteemi sisselülitamist on soovitatav kontrollida, kas teie protsessoril on piisavalt võimsust, et kontrollida lüüsi läbivat liiklust.

Peatükis Järelevalve – süsteemiressursid. Koormuse keskmine parameeter (1, 5 ja 15 minuti keskmine koormus) ei tohiks olla suurem kui installitud protsessori füüsiliste tuumade arv.

Praegu on lugematu arv erinevat tüüpi pahavara. Viirusetõrjetarkvara eksperdid teavad hästi, et ainult viirusesignatuuride andmebaasidel põhinevad lahendused ei saa olla tõhusad teatud tüüpi ohtude vastu. Paljud viirused on võimelised kohanema, muutma failide, protsesside ja teenuste suurust ja nimesid.

Kui faili potentsiaalset ohtu ei suuda välised märgid tuvastada, saate selle käitumise järgi kindlaks teha selle pahatahtlikkuse. Host Intrusion Prevention System (HIPS) viib läbi käitumisanalüüsi.

HIPS on spetsiaalne tarkvara, mis jälgib faile, protsesse ja teenuseid kahtlase tegevuse suhtes. Teisisõnu kasutatakse ennetavat HIPS-kaitset pahavara blokeerimiseks ohtliku koodi täitmise kriteeriumi alusel. Tehnoloogia kasutamine võimaldab säilitada optimaalse süsteemi turvalisuse, ilma et oleks vaja andmebaase uuendada.

HIPS ja tulemüürid on omavahel tihedalt seotud komponendid. Kui tulemüür juhib sissetulevat ja väljaminevat liiklust reeglistiku alusel, siis HIPS kontrollib protsesside käivitamist ja toimimist arvutisse tehtud muudatuste põhjal vastavalt juhtimisreeglitele.

HIPS-moodulid kaitsevad teie arvutit tuntud ja tundmatute ohtude eest. Kui pahavara või ründaja teeb kahtlaseid toiminguid, blokeerib HIPS selle tegevuse, teavitab kasutajat ja pakub edasisi lahendusi. Millistele muutustele HIPS täpselt keskendub?

Siin on ligikaudne nimekiri tegevustest, mida HIPS tähelepanelikult jälgib:

Hallake teisi installitud programme. Näiteks e-kirjade saatmine tavalise meilikliendi abil või teatud lehtede käivitamine vaikebrauseris;

Katse teha muudatusi teatud süsteemiregistrikirjetes, et programm käivituks teatud sündmuste toimumisel;

Teiste programmide lõpetamine. Näiteks viirusetõrje skanneri keelamine;

Enne teisi programme töötavate seadmete ja draiverite installimine;

Protsessoritevaheline juurdepääs mälule, mis võimaldab sisestada ründekoodi usaldusväärsesse programmi

Mida oodata edukalt HIPSilt?

HIPS-il peab olema piisavalt volitusi, et peatada pahavara aktiivseks muutumine. Kui ohtliku programmi peatamiseks on vaja kasutaja kinnitust, on süsteem ebaefektiivne. Sissetungi ennetamise süsteemil peab olema konkreetne reeglistik, mida kasutaja saab rakendada. Uute reeglite loomise toimingud peaksid olema kättesaadavad (kuigi peaks olema teatud erandeid). HIPS-iga töötav kasutaja peab selgelt mõistma oma muudatuste tagajärgi. Vastasel juhul võivad tarkvara ja süsteemi vahel tekkida konfliktid. Täiendavat teavet sissetungimise vältimise süsteemi töö kohta leiate spetsiaalsetest foorumitest või viirusetõrje abifailist.

Tavaliselt töötab HIPS-tehnoloogia protsessi käivitamisel. See katkestab toimingud, kui need on pooleli. Siiski on HIPS-i tooteid, millel on eeltuvastus, kui käivitatava faili potentsiaalne oht tehakse kindlaks enne selle tegelikku käivitamist.

Kas on riske?

HIPS-iga seotud riskid on valepositiivsed tulemused ja valed kasutajaotsused. Süsteem vastutab teatud muudatuste eest, mida teised programmid teevad. Näiteks jälgib HIPS alati registriteed HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, vastutab programmide automaatse laadimise eest süsteemi käivitamisel.

Ilmselgelt kasutavad paljud turvalised programmid seda registrikirjet automaatseks käivitumiseks. Kui selles võtmes tehakse muudatusi, küsib HIPS kasutajalt edasisi toiminguid: muudatuste lubamine või keelamine. Väga sageli klõpsavad kasutajad lihtsalt luba ilma teabesse süvenemata, eriti kui nad installivad sel hetkel uut tarkvara.

Mõned HIPS-id teavitavad teiste kasutajate samalaadsetest otsustest, kuid vähese arvu puhul on need ebaolulised ja võivad kasutajat eksitada. Jääb vaid loota, et enamik kasutajaid tegi õige valiku enne teid. Süsteem töötab suurepäraselt võimaliku ohu tuvastamisel ja häireteate kuvamisel. Veelgi enam, isegi kui HIPS tuvastas ohu õigesti, võib kasutaja sooritada vale toimingu ja seeläbi arvutit nakatada.

Järeldus: HIPS on mitmekihilise kaitse oluline element. Samuti on soovitatav kasutada süsteemiga teisi turvamooduleid. HIPS-i optimaalseks ja tõhusaks toimimiseks peavad kasutajal olema teatud teadmised ja kvalifikatsioon.

Põhineb Malwarebytes Unpacked blogil

Kas leidsite kirjavea? Tõstke esile ja vajutage Ctrl + Enter

Sissetungi ennetamise süsteemid (IPS-süsteemid).
Arvuti kaitsmine volitamata juurdepääsu eest.

Tänapäeval on kõige levinum sissetungimise vältimise süsteemide tüüp PUUSAD(ingliskeelsest Host-based Intrusion Prevention Systemist – sissetungi ennetamise süsteem hosti tasemel). HIPS-tehnoloogia on turvatoodete ja -süsteemide aluseks, lisaks on HIPS-kaitse elemendid hakanud kasutama traditsioonilisi vahendeid pahavara vastu võitlemiseks – näiteks viirusetõrjeprogrammid.

Kui rääkida HIPS-tüüpi sissetungi ennetussüsteemide eelistest, siis peamine on kahtlemata erakordselt kõrge kaitsetase. Infoturbe eksperdid nõustuvad, et HIPS-süsteemid suudavad pakkuda peaaegu 100% kaitset mis tahes, isegi uusima pahavara eest, samuti mis tahes katsete eest lubada juurdepääsu konfidentsiaalsele teabele. See on kaitse, mis täidab suurepäraselt oma põhifunktsiooni – kaitsta. Ükski traditsiooniline infoturbe tööriist ei saa kiidelda sellise kaitsetasemega.

HIPS-i tööriistad ja tehnikad on SafenSofti infoturbe võimaluste keskmes. Meie tooted ühendavad kõik sissetungi ennetussüsteemide ja traditsiooniliste turvalahenduste eelised. SoftControli ennetav kaitse hoiab ära kõik loata juurdepääsu katsed koduarvutite (SysWatch Personal ja SysWatch Deluxe), ettevõtte võrgu tööjaamade (Enterprise Suite), sularahaautomaatide ja makseterminalide (TPSecure ja TPSecure Teller) andmetele ja tarkvarakeskkonnale. Meie patenteeritud V.I.P.O.® rakenduste juhtimistehnoloogia ühendab endas 3 kaitsekihti: juhib kõiki töötavaid rakendusi, kasutab kahtlaste protsesside käitamiseks dünaamilist liivakasti ning juhib rakenduste juurdepääsu failisüsteemile, registrivõtmetele, välisseadmetele ja võrguressurssidele. SoftControl lahendused on võimelised töötama paralleelselt viirusetõrje pakettidega, pakkudes arvutitarkvara keskkonna täielikku kaitset. Kohalikus võrgus töötades on SoftControli toodetel mugav tsentraliseeritud haldus ja administraatori teavitamissüsteem ohtudest. Erinevalt traditsioonilistest turbetööriistadest ei nõua SoftControli lahendused signatuuriandmebaaside pidevat uuendamist.