Hantar kerja baik anda di pangkalan pengetahuan adalah mudah. Gunakan borang di bawah
Pelajar, pelajar siswazah, saintis muda yang menggunakan pangkalan pengetahuan dalam pengajian dan kerja mereka akan sangat berterima kasih kepada anda.
Disiarkan pada http://www.allbest.ru/
Disiarkan pada http://www.allbest.ru/
Pengesanan serangan. Cari kelemahan dalam komponen sistem maklumat
- KANDUNGAN
- SENARAI SINGKATAN DAN ISTILAH
- PENGENALAN
- 1 . KONSEP PENGURUSAN KESELAMATAN ADAPTIF
- 1.1 Peringkat serangan
- 2 . TEKNOLOGI ANALISIS KESELAMATAN
- 2.1 Alat untuk menganalisis keselamatan protokol dan perkhidmatan rangkaian
- 2.2 Alat analisis keselamatan OS
- 3 . TEKNOLOGI PENGESANAN SERANGAN
- 3.1 Kaedah untuk menganalisis maklumat rangkaian
- 3.2 Klasifikasi sistem pengesanan serangan IDS
- 3.3 Cari kelemahan dalam sistem moden IDS
- 3.3.1 Kaedah mencari perbezaan
- 3.3.2 Pengujian
- 3.3.3 Hasil penyelidikan
- 3.3.4 Cari kelemahan dalam IDS
- 3.4 Komponen dan seni binaIDS
- 3.5 Teknik untuk bertindak balas terhadap serangan
- KESIMPULAN
- SASTERA
- SENARAI SINGKATAN DAN ISTILAH
- CIS - sistem maklumat korporat
- NIB - sistem keselamatan maklumat
- OS - sistem pengendalian
- Perisian - perisian
- DBMS - sistem pengurusan pangkalan data
- IS - sistem maklumat
- DB - pangkalan data
- IDS -- Pengesanan Pencerobohan Sistem
- PENGENALAN
Internet hari ini adalah teknologi yang secara radikal mengubah keseluruhan cara hidup kita: kadar kemajuan saintifik dan teknologi, sifat kerja, kaedah komunikasi. Aplikasi Berkesan teknologi maklumat merupakan faktor strategik yang diiktiraf umum dalam meningkatkan daya saing syarikat. Banyak perusahaan di dunia bergerak untuk menggunakan kemungkinan luas Internet dan perniagaan elektronik, elemen penting yang merupakan transaksi elektronik (melalui Internet dan rangkaian awam lain).
E-dagang, jualan maklumat dalam talian dan banyak perkhidmatan lain menjadi aktiviti utama bagi banyak syarikat, dan sistem maklumat korporat (CIS) mereka adalah alat utama untuk pengurusan perniagaan dan, sebenarnya, cara yang paling penting pengeluaran.
Faktor penting yang mempengaruhi pembangunan sistem maklumat korporat perusahaan ialah mengekalkan komunikasi perusahaan yang besar dan pelbagai melalui Internet sambil pada masa yang sama memastikan keselamatan komunikasi ini. Oleh itu, menyelesaikan masalah keselamatan maklumat yang berkaitan dengan penggunaan meluas Internet, Intranet dan Extranet adalah salah satu tugas paling mendesak yang dihadapi oleh pembangun dan pembekal teknologi maklumat.
Masalah memastikan keselamatan maklumat CIS secara tradisinya diselesaikan dengan membina sistem keselamatan maklumat (ISS), keperluan yang menentukannya ialah pemeliharaan pelaburan yang dibuat dalam pembinaan CIS. Dalam erti kata lain, sistem keselamatan maklumat mesti berfungsi secara telus sepenuhnya untuk aplikasi yang sedia ada dalam CIS dan serasi sepenuhnya dengan teknologi rangkaian yang digunakan dalam CIS.
ISS yang dicipta oleh perusahaan mesti mengambil kira kemunculan teknologi dan perkhidmatan baharu, serta memenuhi keperluan am keperluan hari ini untuk sebarang elemen CIS, seperti:
penggunaan piawaian terbuka",
penggunaan penyelesaian bersepadu;
memastikan kebolehskalaan dalam julat yang luas. Pergi ke piawaian terbuka merupakan salah satu yang utama
trend dalam pembangunan alat keselamatan maklumat. Piawaian seperti IPSec dan PKI memastikan keselamatan komunikasi luaran perusahaan dan keserasian dengan produk syarikat rakan kongsi atau pelanggan jauh yang sepadan. Sijil digital X.509 juga merupakan asas standard untuk mengesahkan pengguna dan peranti hari ini. Produk keselamatan masa depan pastinya harus mengekalkan piawaian ini hari ini.
Penyelesaian bersepadu bermaksud kedua-dua penyepaduan alatan keselamatan dengan elemen rangkaian lain (OS, penghala, perkhidmatan direktori, pelayan dasar QoS, dll.), dan penyepaduan pelbagai teknologi keselamatan di antara mereka untuk memastikan perlindungan komprehensif sumber maklumat perusahaan, contohnya, penyepaduan skrin tembok api dengan gerbang VPN dan penterjemah alamat IP.
Apabila CIS berkembang dan berkembang, sistem keselamatan maklumat mesti boleh skala dengan mudah tanpa kehilangan integriti dan kebolehkawalan. Kebolehskalaan perlindungan bermakna membolehkan anda memilih penyelesaian yang optimum dari segi kos dan kebolehpercayaan dengan kemungkinan meningkatkan sistem perlindungan secara beransur-ansur. Penskalaan memastikan operasi perusahaan yang cekap jika ia mempunyai banyak cawangan, berpuluh-puluh perusahaan rakan kongsi, ratusan pekerja terpencil dan berjuta-juta pelanggan berpotensi.
Untuk memastikan perlindungan sumber CIS yang boleh dipercayai, teknologi yang paling maju dan menjanjikan mesti dilaksanakan di ISS keselamatan maklumat. Ini termasuk:
perlindungan data kriptografi untuk memastikan kerahsiaan, integriti dan ketulenan maklumat;
teknologi pengesahan untuk mengesahkan ketulenan pengguna dan objek rangkaian;
teknologi antara tembok api untuk melindungi rangkaian korporat daripada ancaman luar apabila menyambung ke rangkaian komunikasi awam;
teknologi saluran selamat maya dan rangkaian VPN untuk melindungi maklumat yang dihantar melalui saluran komunikasi terbuka;
pengenalan terjamin pengguna melalui penggunaan token (kad pintar, memori sentuh, kunci untuk port USB, dll.) dan cara pengesahan lain;
kawalan capaian di peringkat pengguna dan perlindungan terhadap capaian tanpa kebenaran kepada maklumat;
sokongan untuk infrastruktur pengurusan kunci awam PKI;
teknologi pengesanan pencerobohan untuk penyelidikan aktif keselamatan sumber maklumat;
teknologi anti-virus menggunakan sistem pencegahan dan perlindungan anti-virus khusus;
pengurusan keselamatan maklumat berpusat berdasarkan dasar keselamatan perusahaan bersatu;
pendekatan bersepadu untuk memastikan keselamatan maklumat, memastikan gabungan teknologi dan alatan keselamatan maklumat yang rasional.
1. KONSEP PENGURUSAN KESELAMATAN ADAPTIF
1.1 Peringkat serangan
Serangan ke atas sistem maklumat komputer dianggap sebagai sebarang tindakan yang dilakukan oleh penceroboh untuk melaksanakan ancaman dengan mengeksploitasi kelemahan sistem maklumat. Kerentanan sistem maklumat komputer difahami sebagai sebarang ciri atau elemen sistem maklumat komputer, yang penggunaannya oleh penceroboh boleh membawa kepada pelaksanaan ancaman.
Seni bina CIS merangkumi empat peringkat.
* tahap perisian aplikasi (perisian) yang bertanggungjawab untuk interaksi dengan pengguna. Contoh elemen IS yang beroperasi pada tahap ini ialah penyunting teks WinWord, editor elektronik Jadual Excel, program mel Outlook, dsb.
* peringkat sistem pengurusan pangkalan data (DBMS), bertanggungjawab untuk menyimpan dan memproses data IS. Contoh elemen IS yang beroperasi pada tahap ini ialah Oracle DBMS, MS Pelayan SQL, Sybase dan MS Access.
* peringkat sistem pengendalian (OS), bertanggungjawab untuk mengekalkan DBMS dan perisian aplikasi. Contoh elemen IS yang beroperasi pada tahap ini termasuk Microsoft Windows NT/2000/XP, Sun Solaris dan Novell Netware.
* peringkat rangkaian, bertanggungjawab untuk interaksi nod IS. Contoh elemen IS yang beroperasi pada tahap ini ialah susunan protokol TCP/IP, IPS/SPX dan SMB/NetBIOS.
Penyerang mempunyai pelbagai peluang untuk melanggar keselamatan sistem maklumat korporat. Keupayaan ini boleh dilaksanakan pada keempat-empat peringkat CIS yang disenaraikan di atas. Contohnya, untuk mendapatkan NSD untuk maklumat kewangan dalam MS SQL Server DBMS, penyerang boleh melaksanakan salah satu daripada pilihan berikut:
a) memintas data yang dihantar melalui rangkaian (peringkat rangkaian);
Apabila membina paling tradisional alatan komputer perlindungan, model kawalan akses klasik yang dibangunkan pada tahun 1970-an dan 80-an telah digunakan. Keberkesanan mekanisme perlindungan tradisional seperti kawalan akses, pengesahan, penapisan dan lain-lain yang tidak mencukupi adalah disebabkan oleh fakta bahawa apabila ia dicipta, banyak aspek yang berkaitan dengan serangan moden tidak diambil kira.
Mari kita pertimbangkan peringkat serangan ke atas sistem maklumat korporat (Rajah 1.1).
pertama, peringkat persediaan, terdiri daripada penyerang yang mencari prasyarat untuk melakukan serangan tertentu. Pada peringkat ini, penyerang mencari kelemahan dalam sistem
nasi. 1.1 Peringkat serangan
Pada peringkat kedua, utama - pelaksanaan serangan - eksploitasi kelemahan yang ditemui dijalankan. Pada peringkat ketiga dan terakhir, penyerang melengkapkan serangan dan cuba menyembunyikan kesan pencerobohan. Pada dasarnya, peringkat pertama dan ketiga itu sendiri boleh menjadi serangan. Sebagai contoh, penyerang yang mencari kelemahan menggunakan pengimbas keselamatan dianggap sebagai serangan itu sendiri.
Perlu diingatkan bahawa mekanisme perlindungan sedia ada yang dilaksanakan dalam tembok api, pelayan pengesahan, dan sistem kawalan akses hanya berfungsi pada peringkat melaksanakan serangan. Ia akan menjadi lebih berkesan untuk mencegah serangan, iaitu, untuk mengelakkan prasyarat untuk pelaksanaan pencerobohan. Sistem lengkap Keselamatan maklumat mesti berfungsi dengan berkesan pada ketiga-tiga peringkat serangan.
Organisasi sering tidak mengambil kira hakikat bahawa pentadbir dan pengguna kerap menukar konfigurasi IS. Perubahan ini mungkin memperkenalkan OS baharu dan kelemahan aplikasi. Di samping itu, teknologi maklumat dan rangkaian berubah dengan cepat, dan perisian baharu muncul dengan kerap. Pembangunan berterusan teknologi rangkaian tanpa ketiadaan analisis berterusan keselamatan mereka dan kekurangan sumber untuk memastikan perlindungan membawa kepada fakta bahawa dari masa ke masa keselamatan sistem maklumat korporat berkurangan, apabila ancaman baru yang tidak diambil kira dan kelemahan sistem muncul.
1.2 Pengurusan keselamatan adaptif
Dalam kebanyakan kes, organisasi menggunakan pendekatan sedikit demi sedikit untuk menyelesaikan isu keselamatan yang timbul. Pendekatan ini biasanya didorong terutamanya oleh tahap semasa sumber yang ada. Selain itu, pentadbir keselamatan cenderung hanya bertindak balas terhadap risiko keselamatan yang mereka fahami. Hanya pemantauan berterusan yang ketat terhadap keselamatan CIS dan pendekatan bersepadu yang memastikan dasar keselamatan bersatu boleh mengurangkan risiko keselamatan dengan ketara.
Pendekatan penyesuaian kepada keselamatan membolehkan anda memantau, mengesan dan bertindak balas mod sebenar masa untuk menangani risiko keselamatan menggunakan proses dan alatan yang direka bentuk dan diurus dengan baik.
Keselamatan rangkaian adaptif terdiri daripada tiga elemen utama:
* teknologi analisis keselamatan (penilaian keselamatan);
* teknologi pengesanan pencerobohan;
* teknologi pengurusan risiko.
Penilaian risiko terdiri daripada mengenal pasti dan menilai kelemahan (berdasarkan keterukan kerosakan kepada potensi kesan), subsistem rangkaian (berdasarkan tahap kritikal), ancaman (berdasarkan kemungkinan pelaksanaannya), dsb. Memandangkan konfigurasi rangkaian sentiasa berubah, proses penilaian risiko mesti dijalankan secara berterusan. Pembinaan sistem perlindungan CIS harus dimulakan dengan penilaian risiko.
Analisis keselamatan ialah mencari kelemahan dalam rangkaian. Rangkaian terdiri daripada sambungan, nod, hos, stesen kerja, aplikasi dan pangkalan data. Kesemua mereka perlu menilai keberkesanan perlindungan mereka dan mencari kelemahan yang tidak diketahui di dalamnya.
Kami menyenaraikan beberapa masalah yang dikenal pasti oleh teknologi analisis keselamatan:
a) "pintu belakang" dalam sistem dan program "kuda Trojan";
b) kata laluan yang lemah;
c) mudah terdedah kepada pencerobohan daripada sistem yang tidak dilindungi dan serangan penafian perkhidmatan;
d) ketiadaan kemas kini yang diperlukan(tampalan, pembaikan terkini) OS;
e) konfigurasi ME yang salah, pelayan Web dan pangkalan data dan banyak lagi.
Pengesanan serangan ialah proses menilai aktiviti mencurigakan yang berlaku pada rangkaian korporat. Pengesanan serangan dilaksanakan melalui analisis atau OS masa nyata dan log aplikasi atau trafik rangkaian. Komponen pengesanan serangan yang terletak pada nod atau segmen rangkaian menilai pelbagai peristiwa dan tindakan, termasuk tindakan yang mengeksploitasi kelemahan yang diketahui (Rajah 1.2)
Komponen penyesuaian model Pengurusan Keselamatan Adaptif (ANS) bertanggungjawab untuk mengubah suai proses analisis keselamatan dengan memberikan maklumat terkini tentang kelemahan baharu. Ia juga mengubah suai komponen pengesanan pencerobohan, melengkapkannya maklumat terkini tentang serangan.
nasi. 1.2. Interaksi analisis keselamatan dan sistem pengesanan serangan
Contoh komponen penyesuaian ialah mekanisme untuk mengemas kini pangkalan data program antivirus untuk mengesan virus baharu. Komponen pengurusan mestilah berkebolehan menjana laporan dan menganalisis arah aliran yang berkaitan dengan pembentukan sistem keselamatan organisasi.
Penyesuaian data mungkin termasuk pelbagai bentuk respons, yang mungkin termasuk:
1. menghantar pemberitahuan kepada sistem pengurusan rangkaian melalui protokol SNMP, melalui e-mel atau alat kelui kepada pentadbir;
2. penyiapan automatik sesi dengan nod atau pengguna yang menyerang, konfigurasi semula tembok api atau lain-lain peranti rangkaian(contohnya, penghala);
Model keselamatan rangkaian adaptif (Rajah 1.3) membolehkan anda mengawal hampir semua ancaman dan bertindak balas terhadapnya tepat pada masanya dengan cara yang sangat berkesan; ia juga membolehkan anda mengurangkan penyalahgunaan rangkaian dan meningkatkan kesedaran pengguna, pentadbir dan pengurusan syarikat tentang peristiwa keselamatan pada rangkaian. Perlu diingatkan bahawa model ini tidak membuang mekanisme keselamatan yang telah digunakan (kawalan akses, pengesahan, dll.). Ia mengembangkan fungsi mereka dengan teknologi baharu.
nasi. 1.3 Model keselamatan adaptif
Untuk mengemas kini sistem keselamatan maklumat mereka, organisasi perlu menambah penyelesaian sedia ada dengan komponen yang bertanggungjawab untuk analisis keselamatan, pengesanan serangan dan pengurusan risiko.
2 . TEKNOLOGI ANALISIS KESELAMATAN
Dalam organisasi yang menggunakan CIS, adalah perlu untuk sentiasa menyemak sejauh mana mekanisme perlindungan maklumat yang dilaksanakan atau digunakan mematuhi peruntukan dasar keselamatan yang diterima pakai dalam organisasi. Tugas ini secara berkala timbul apabila menukar dan mengemas kini komponen IS, menukar konfigurasi OS, dsb.
Walau bagaimanapun, pentadbir rangkaian tidak mempunyai masa yang mencukupi untuk menjalankan pemeriksaan jenis ini untuk semua nod pada rangkaian korporat. Oleh itu, pakar dalam jabatan keselamatan maklumat memerlukan alat yang memudahkan analisis keselamatan mekanisme keselamatan maklumat yang digunakan. Alat analisis keselamatan, sering dipanggil pengimbas keselamatan, membantu mengautomasikan proses ini.
Alat analisis keselamatan berfungsi pada peringkat pertama serangan. Dengan mengesan dan menghapuskan kelemahan dengan segera, mereka dengan itu menghalang kemungkinan serangan, yang mengurangkan kos operasi langkah keselamatan.
Alat analisis keselamatan yang paling banyak digunakan ialah perkhidmatan rangkaian dan protokol. Ini disebabkan, pertama sekali, kepada kesejagatan protokol yang digunakan. Pengetahuan dan penggunaan meluas protokol seperti IP, TCP, HTTP, FTP, SMTP, dll., membolehkan darjat tinggi keberkesanan menyemak keselamatan sistem maklumat yang beroperasi dalam persekitaran rangkaian.
Alat kedua yang paling biasa ialah alat analisis keselamatan OS. Ini juga disebabkan oleh kepelbagaian dan kelaziman sesetengah sistem pengendalian (contohnya, UNIX dan Windows NT).*
Alat analisis keselamatan aplikasi pada masa ini hanya wujud untuk sistem aplikasi yang digunakan secara meluas seperti penyemak imbas Web dan DBMS.
Penggunaan alat analisis keselamatan membolehkan anda mengenal pasti dengan cepat semua nod rangkaian korporat yang tersedia pada masa ujian, mengenal pasti semua perkhidmatan dan protokol yang digunakan dalam rangkaian, tetapan mereka dan peluang untuk pengaruh yang tidak dibenarkan (kedua-duanya dari dalam rangkaian korporat dan dari luar). Berdasarkan hasil pengimbasan, alat ini membangunkan cadangan dan langkah demi langkah untuk menghapuskan kekurangan yang dikenal pasti.
2.1 Alat untuk menganalisis keselamatan protokol dan perkhidmatan rangkaian
Interaksi pelanggan dalam mana-mana rangkaian adalah berdasarkan penggunaan protokol rangkaian dan perkhidmatan yang menentukan prosedur untuk bertukar maklumat antara dua atau lebih nod. Semasa membangunkan protokol dan perkhidmatan rangkaian, ia tertakluk kepada keperluan (biasanya jelas tidak mencukupi) untuk memastikan keselamatan maklumat yang diproses.
Menggunakan alat analisis keselamatan di peringkat rangkaian, anda boleh menguji bukan sahaja keupayaan capaian tanpa kebenaran kepada rangkaian korporat daripada Internet. Alat ini boleh digunakan untuk menilai tahap keselamatan organisasi dan untuk memantau keberkesanan konfigurasi perisian rangkaian dan perkakasan.
Pada masa ini, lebih daripada sedozen diketahui pelbagai cara, mengautomasikan carian untuk kelemahan dalam protokol dan perkhidmatan rangkaian. Sistem analisis keselamatan komersial termasuk Pengimbas Internet daripada Sistem Keselamatan Internet, Inc., NetSonar daripada Cisco, Pengimbas CyberCop daripada Network Associates dan beberapa yang lain.
Gambar rajah tipikal analisis keselamatan (menggunakan sistem Pengimbas Internet sebagai contoh) ditunjukkan dalam Rajah. 2.1
nasi. 2.1. Skim analisis keselamatan (menggunakan contoh sistem Pengimbas Internet)
Alat analisis keselamatan kelas ini menganalisis bukan sahaja kelemahan perkhidmatan dan protokol rangkaian, tetapi juga perisian sistem dan aplikasi yang bertanggungjawab untuk bekerja dengan rangkaian. Perisian tersebut termasuk Web, FTP dan pelayan mel, SAYA, penyemak imbas, dsb.
2.2 Alat analisis keselamatan OS
Alat kelas ini direka bentuk untuk menyemak tetapan OS yang menjejaskan keselamatannya. Tetapan ini termasuk:
ѕ Akaun pengguna (akaun), seperti panjang kata laluan dan tarikh tamat tempoh;
* hak pengguna untuk mengakses fail sistem kritikal;
* fail sistem yang terdedah;
* patch yang dipasang, dsb.
Sistem analisis keselamatan peringkat OS juga boleh digunakan untuk memantau konfigurasi OS.
Tidak seperti alat analisis keselamatan peringkat rangkaian, sistem ini mengimbas bukan dari luar, tetapi dari dalam sistem yang dianalisis, iaitu, mereka tidak meniru serangan daripada penyerang luar. Selain keupayaan untuk mengesan kelemahan, beberapa sistem analisis keselamatan pada tahap OS (contohnya, Pengimbas Sistem daripada Sistem Keselamatan Internet) membolehkan anda menghapuskan beberapa masalah yang dikesan secara automatik atau melaraskan parameter sistem yang tidak memenuhi dasar keselamatan yang diterima pakai. dalam organisasi.
3 . TEKNOLOGI PENGESANAN SERANGAN
Rangkaian dan teknologi maklumat berubah dengan begitu cepat sehingga mekanisme perlindungan statik, yang termasuk sistem kawalan akses, tembok api dan sistem pengesahan, dalam banyak kes tidak dapat memberikan perlindungan yang berkesan. Oleh itu, ia diperlukan kaedah dinamik, membolehkan anda mengesan dan mencegah pelanggaran keselamatan dengan cepat. Satu teknologi yang boleh mengesan pelanggaran yang tidak dapat dikenal pasti menggunakan model kawalan akses tradisional ialah teknologi pengesanan pencerobohan.
Pada asasnya, proses pengesanan serangan ialah proses menilai aktiviti mencurigakan yang berlaku pada rangkaian korporat. Dalam erti kata lain, pengesanan pencerobohan ialah proses mengenal pasti dan bertindak balas terhadap aktiviti mencurigakan yang ditujukan kepada sumber pengkomputeran atau rangkaian.
3.1 Kaedah untuk menganalisis maklumat rangkaian
Keberkesanan sistem pengesanan serangan sebahagian besarnya bergantung kepada kaedah yang digunakan untuk menganalisis maklumat yang diterima. Sistem pengesanan pencerobohan pertama, dibangunkan pada awal 1980-an, menggunakan kaedah statistik untuk mengesan serangan. Pada masa ini ke Analisis statistik beberapa teknik baharu telah ditambah, bermula dengan sistem pakar dan logik kabur dan berakhir dengan penggunaan rangkaian saraf.
Kaedah statistik. Kelebihan utama pendekatan statistik ialah penggunaan alat statistik matematik yang telah dibangunkan dan terbukti dan penyesuaian kepada tingkah laku subjek.
Pertama, profil ditentukan untuk semua subjek sistem yang dianalisis. Sebarang sisihan profil yang digunakan daripada rujukan dianggap sebagai aktiviti yang tidak dibenarkan. Kaedah statistik adalah universal kerana analisis tidak memerlukan pengetahuan tentang kemungkinan serangan dan kelemahan yang mereka eksploitasi. Walau bagaimanapun, apabila menggunakan teknik ini, masalah timbul:
a) sistem "statistik" tidak sensitif kepada susunan peristiwa; dalam sesetengah kes, peristiwa yang sama, bergantung pada susunan ia berlaku, mungkin mencirikan aktiviti yang tidak normal atau normal;
b) sukar untuk menetapkan nilai sempadan (ambang) ciri-ciri yang dipantau oleh sistem pengesanan serangan untuk mengenal pasti aktiviti anomali dengan secukupnya;
c) Sistem "statistik" boleh "dilatih" oleh penyerang dari semasa ke semasa supaya tindakan serangan dianggap biasa.
Ia juga harus diambil kira bahawa kaedah statistik tidak boleh digunakan dalam kes di mana tiada corak tingkah laku biasa untuk pengguna atau apabila tindakan tidak dibenarkan adalah tipikal untuk pengguna.
Sistem pakar terdiri daripada satu set peraturan yang menangkap pengetahuan seorang pakar manusia. Penggunaan sistem pakar adalah kaedah pengesanan serangan biasa di mana maklumat serangan dirumuskan dalam bentuk peraturan. Peraturan ini boleh ditulis, sebagai contoh, sebagai urutan tindakan atau sebagai tandatangan. Apabila mana-mana peraturan ini dipenuhi, keputusan dibuat tentang kehadiran aktiviti yang tidak dibenarkan. Kelebihan penting pendekatan ini ialah ketiadaan penggera palsu yang hampir lengkap.
Pangkalan data sistem pakar harus mengandungi skrip untuk kebanyakan serangan yang diketahui pada masa ini. Untuk kekal sentiasa dikemas kini, sistem pakar memerlukan pengemaskinian berterusan pangkalan data. Walaupun sistem pakar menawarkan peluang yang baik Untuk melihat data log, kemas kini yang diperlukan sama ada boleh diabaikan atau dilakukan secara manual oleh pentadbir. Sekurang-kurangnya, ini menghasilkan sistem pakar dengan keupayaan yang lemah. Dalam kes yang paling teruk, kekurangan penyelenggaraan yang betul mengurangkan keselamatan keseluruhan rangkaian, mengelirukan penggunanya tentang tahap keselamatan sebenar.
Kelemahan utama adalah ketidakupayaan untuk menangkis serangan yang tidak diketahui. Lebih-lebih lagi, walaupun perubahan kecil kepada serangan yang sudah diketahui boleh menjadi halangan serius kepada fungsi sistem pengesanan serangan.
Rangkaian saraf. Kebanyakan kaedah pengesanan serangan moden menggunakan beberapa bentuk analisis ruang terkawal, sama ada berasaskan peraturan atau pendekatan statistik. Ruang terkawal boleh menjadi log atau trafik rangkaian. Analisis bergantung pada set peraturan yang telah ditetapkan yang dibuat oleh pentadbir atau sistem pengesanan pencerobohan itu sendiri.
Sebarang pemisahan serangan dari semasa ke semasa atau antara berbilang penyerang adalah sukar untuk dikesan menggunakan sistem pakar. Disebabkan oleh pelbagai jenis serangan dan penggodam, walaupun ad hoc, kemas kini berterusan kepada pangkalan data peraturan sistem pakar tidak akan menjamin pengenalpastian tepat bagi julat penuh serangan.
Penggunaan rangkaian neural merupakan salah satu cara untuk mengatasi masalah sistem pakar ini. Tidak seperti sistem pakar, yang boleh memberi pengguna jawapan yang pasti tentang pematuhan ciri-ciri yang dipertimbangkan dengan peraturan yang tertanam dalam pangkalan data, rangkaian saraf menganalisis maklumat dan memberi peluang untuk menilai sama ada data itu konsisten dengan ciri-cirinya. dilatih untuk mengenali. Walaupun tahap korespondensi perwakilan rangkaian saraf boleh mencapai 100%, kebolehpercayaan pilihan bergantung sepenuhnya pada kualiti sistem dalam menganalisis contoh tugas.
Pertama, rangkaian saraf dilatih untuk mengenal pasti dengan betul menggunakan sampel contoh yang telah dipilih sebelumnya. bidang subjek. Tindak balas rangkaian saraf dianalisis dan sistem diselaraskan sedemikian rupa untuk mencapai hasil yang memuaskan. Sebagai tambahan kepada tempoh latihan awal, rangkaian saraf memperoleh pengalaman dari semasa ke semasa kerana ia menganalisis data khusus domain.
Kelebihan penting rangkaian saraf dalam mengesan penyalahgunaan ialah keupayaan mereka untuk "mempelajari" ciri-ciri serangan yang disengajakan dan mengenal pasti elemen yang tidak seperti yang diperhatikan pada rangkaian sebelum ini.
Setiap kaedah yang diterangkan mempunyai beberapa kelebihan dan kekurangan, jadi kini hampir sukar untuk mencari sistem yang melaksanakan hanya satu daripada kaedah yang diterangkan. Sebagai peraturan, kaedah ini digunakan dalam kombinasi.
3.2 Klasifikasi sistem pengesanan serangan IDS
Mekanisme yang digunakan dalam sistem pengesanan serangan IDS (Intrusion Detection System) moden adalah berdasarkan beberapa kaedah umum yang tidak saling eksklusif. Banyak sistem menggunakan gabungan ini.
Klasifikasi IDS boleh dilakukan:
* dengan kaedah tindak balas;
* kaedah mengesan serangan;
ѕ kaedah mengumpul maklumat tentang serangan.
Berdasarkan kaedah tindak balas, perbezaan dibuat antara IDS pasif dan aktif. IDS pasif hanya mengesan bahawa serangan telah berlaku, menulis data ke fail log dan mengeluarkan amaran. IDS aktif cuba mengatasi serangan, contohnya dengan mengkonfigurasi semula tembok api atau menjana senarai akses penghala.
Berdasarkan kaedah mengesan serangan, sistem IDS biasanya dibahagikan kepada dua kategori:
a) pengesanan tingkah laku anomali (berasaskan anomali);
b) pengesanan salah guna atau berasaskan tandatangan.
Teknologi pengesanan tingkah laku anomali adalah berdasarkan perkara berikut. Tingkah laku pengguna yang tidak normal (iaitu serangan atau beberapa jenis tindakan bermusuhan) sering menunjukkan dirinya sebagai penyelewengan daripada tingkah laku biasa. Contoh tingkah laku anomali ialah sejumlah besar sambungan dalam tempoh masa yang singkat, beban yang tinggi pemproses pusat, dsb.
Jika profil tingkah laku biasa pengguna boleh diterangkan dengan jelas, maka sebarang penyelewengan daripadanya boleh dikenal pasti sebagai tingkah laku anomali. Walau bagaimanapun, tingkah laku anomali tidak selalunya serangan. Sebagai contoh, penghantaran serentak sejumlah besar permintaan daripada pentadbir rangkaian mungkin dikenal pasti oleh sistem pengesanan serangan sebagai serangan "penafian perkhidmatan".
Apabila menggunakan sistem dengan teknologi ini, dua kes mungkin:
1. pengesanan tingkah laku anomali yang bukan serangan dan mengklasifikasikannya sebagai serangan;
2. terlepas serangan yang tidak memenuhi definisi tingkah laku anomali. Kes ini lebih berbahaya daripada mengklasifikasikan tingkah laku anomali secara palsu sebagai serangan.
Teknologi pengesanan anomali tertumpu pada mengenal pasti jenis serangan baharu. Walau bagaimanapun, kelemahannya ialah keperluan untuk latihan berterusan. Teknologi ini masih belum meluas. Ini disebabkan oleh hakikat bahawa ia sukar untuk dilaksanakan secara praktikal.
Pengesanan penyalahgunaan terdiri daripada menerangkan serangan dalam bentuk tandatangan dan mencari tandatangan ini dalam ruang terkawal (trafik rangkaian atau log). Tandatangan serangan boleh menjadi corak tindakan atau rentetan aksara yang mencirikan aktiviti anomali. Tandatangan ini disimpan dalam pangkalan data yang serupa dengan yang digunakan dalam sistem antivirus. Teknologi pengesanan serangan ini sangat serupa dengan teknologi pengesanan virus, dan sistem boleh mengesan segala-galanya serangan yang diketahui. Walau bagaimanapun, sistem jenis ini tidak dapat mengesan jenis serangan baharu namun tidak diketahui.
Pendekatan yang dilaksanakan dalam sistem sebegini agak mudah dan atas dasar inilah hampir semua sistem pengesanan serangan yang ditawarkan di pasaran hari ini berasaskan.
Klasifikasi yang paling popular adalah berdasarkan kaedah mengumpul maklumat tentang serangan:
a) pengesanan serangan di peringkat rangkaian (berasaskan rangkaian);
b) pengesanan serangan di peringkat hos (berasaskan hos);
c) pengesanan serangan di peringkat aplikasi (berasaskan aplikasi).
Sistem berasaskan rangkaian berfungsi seperti penghidu, "mendengar" trafik pada rangkaian dan menentukan kemungkinan tindakan penyerang. Sistem sedemikian menganalisis trafik rangkaian, biasanya menggunakan tandatangan serangan dan analisis on-the-fly. Analisis on-the-fly melibatkan pemantauan trafik rangkaian dalam masa sebenar atau hampir masa nyata dan menggunakan algoritma pengesanan yang sesuai.
Sistem berasaskan hos direka untuk memantau, mengesan dan bertindak balas terhadap tindakan penceroboh pada hos tertentu. Terletak pada hos yang dilindungi, mereka menyemak dan mengenal pasti tindakan yang ditujukan terhadapnya. Sistem ini menganalisis OS atau log aplikasi.
Biasanya, analisis log adalah pelengkap kepada kaedah pengesanan serangan lain, terutamanya pengesanan serangan on-the-fly. Menggunakan kaedah ini membolehkan taklimat dijalankan selepas serangan dikesan untuk membangunkan langkah berkesan untuk mencegah serangan serupa pada masa hadapan.
Sistem berasaskan aplikasi adalah berdasarkan mencari masalah dalam aplikasi tertentu.
Setiap jenis sistem pengesanan pencerobohan ini (peringkat rangkaian, peringkat hos dan peringkat aplikasi) mempunyai kelebihan dan kelemahan tersendiri. IDS hibrid, yang merupakan gabungan pelbagai jenis sistem biasanya merangkumi keupayaan daripada beberapa kategori.
3.3 Cari kelemahan dalam sistem IDS moden
Sehingga baru-baru ini, dipercayai bahawa sistem pengesanan serangan rangkaian yang dibina mengikut seni bina klasik boleh menghentikan banyak perkara serangan rangkaian. Tetapi ternyata mereka boleh dikompromi dengan mudah dan terdapat kemungkinan untuk menyembunyikan fakta menjalankan jenis serangan tertentu - terutamanya jika penyerang mengetahui nuansa tertentu operasi sistem yang diserang.
Sistem rangkaian sistem pengesanan serangan (IDS - Intrusion Detection System), yang dibina pada seni bina klasik, boleh dikompromi dengan mudah, walaupun sebelum ini dipercayai bahawa penggunaannya boleh menghentikan banyak serangan rangkaian.
Di antara banyak serangan rangkaian, seseorang boleh membezakan kelas serangan tandatangan, di mana blok data yang tidak boleh diubah bagi tahap interaksi rangkaian tertentu dihantar. Kebanyakan alat IDS moden menggunakan kaedah pengesanan pencerobohan berasaskan tandatangan; ia mudah digunakan dan, dengan pelaksanaan mekanisme carian tandatangan yang betul, membolehkan anda mencapai hasil pengesanan yang tinggi. Perlu ditekankan: kaedah menyembunyikan serangan yang dicadangkan oleh Thomas Ptacek dan Timothy Newsham memungkinkan untuk menyembunyikan daripada IDS fakta bahawa hanya serangan tandatangan dilakukan.
Kejayaan penggunaan kaedah penyembunyian adalah berdasarkan andaian bahawa susunan protokol yang dilaksanakan dalam IDS dan sistem (sasaran) yang diserang adalah berbeza. Perbezaan sedemikian boleh disebabkan oleh beberapa sebab:
· tidak hadir standard tunggal untuk protokol rangkaian; piawaian sedia ada tidak meliputi segala-galanya negeri yang mungkin interaksi rangkaian, dan pembangun bebas memilih penyelesaian kepada masalah yang kelihatan wajar bagi mereka;
· seperti mana-mana produk perisian, IDS mengandungi ralat yang diperkenalkan pada peringkat pembangunan atau pelaksanaan;
· IDS mungkin tersalah konfigurasi semasa pemasangan atau pentadbiran;
· IDS dan sistem yang diserang menyelesaikan pelbagai masalah.
Maklumat yang dihantar melalui rangkaian mungkin diproses secara berbeza oleh IDS dan sistem sasaran, dan disebabkan oleh perbezaan dalam susunan protokol, adalah mungkin untuk mencipta urutan paket yang akan diterima oleh IDS tetapi ditolak oleh sistem sasaran. Dalam kes ini, IDS tidak tahu bahawa sistem sasaran tidak menerima paket, dan penyerang boleh menggunakan ini untuk menyembunyikan fakta serangan dengan menghantar paket yang dibuat khas. Dengan mencipta situasi di mana sistem sasaran menjatuhkan paket dan sistem pengesanan serangan menerimanya, penyerang nampaknya "memasukkan" data ke dalam penganalisis peristiwa IDS (Rajah 3.1).
nasi. 3.1 Kaedah sisipan
Secara umum, kita boleh mengatakan bahawa kaedah penyisipan boleh digunakan apabila susunan protokol dalam IDS dilaksanakan kurang ketat berbanding dalam sistem sasaran. Penyelesaian semula jadi untuk masalah ini adalah untuk mencipta susunan protokol yang seketat mungkin. Walau bagaimanapun, dalam kes ini, ia menjadi mungkin untuk menggunakan kaedah penyembunyian lain - kaedah pengelakan, di mana sistem sasaran akan menerima, dan sistem pengesanan pencerobohan rangkaian akan membuang paket (Rajah 3.2).
Rajah.3.2 Kaedah mengelak
3.3.1 Kaedah mencari perbezaan
Jadi, untuk berjaya menggunakan kaedah penyembunyian, anda perlu mencari perbezaan dalam pelaksanaan tindanan TCP/IP. Untuk tujuan ini, paket rangkaian ujian yang disediakan khas digunakan untuk menganalisis tindak balas IDS dan sistem sasaran.
Untuk memahami cara menyediakan urutan ujian paket rangkaian, penggunaan teknik penyembunyian serangan perlu dipertimbangkan dengan lebih terperinci. Oleh itu, untuk menjalankan kaedah penyisipan, perlu memilih urutan paket ujian sedemikian sehingga sistem sasaran tidak melihatnya. Sebab mengapa sistem sasaran tidak akan memproses jujukan mungkin berbeza - sama ada timbunan protokol sistem sasaran akan memutuskan bahawa jujukan itu tidak betul, atau blok data yang dihantar akan ditimpa, contohnya, selepas memproses serpihan IP atau TCP yang bertindih.
Selepas mengesan jujukan paket rangkaian yang tidak dilihat oleh sistem sasaran, mereka meneruskan ke fasa kedua ujian - mengkaji tindak balas IDS untuk menerima jujukan ini. Apakah urutan paket rangkaian yang akan dianggap betul dan diproses? Jika satu atau lebih jujukan sedemikian ditemui, gabungan sistem sasaran dan IDS boleh dianggap mempunyai kelemahan sisipan. Dengan kaedah pengelakan, sebaliknya adalah benar: anda perlu mencari urutan paket yang akan diterima oleh sistem sasaran, tetapi IDS tidak akan memproses.
Untuk kaedah mencari perbezaan, pertama sekali, tahap interaksi rangkaian di mana carian dijalankan telah dikenal pasti. Semasa penyelidikan, alat IDS yang beroperasi dalam rangkaian TCP/IP telah dipertimbangkan. Untuk susunan protokol ini, model empat peringkat diguna pakai: saluran, rangkaian, pengangkutan dan aplikasi. Untuk mencipta gambaran lengkap tentang perbezaan sedia ada, metodologi carian mempengaruhi kesemua 4 peringkat. Di samping itu, adalah perlu untuk mengenal pasti tanda-tanda paket rangkaian yang mana sistem memutuskan bahawa paket yang masuk adalah tidak betul dan harus dibuang.
Serpihan TCP ialah segmen TCP yang merupakan sebahagian daripada satu sesi. (Spesifikasi protokol TCP tidak beroperasi dengan konsep ini; kami memerlukannya untuk menerangkan metodologi kami.) Contoh serpihan TCP: dalam proses bekerja melalui sambungan telnet, banyak segmen TCP dihantar dalam satu sesi, mengandungi hanya satu aksara yang dimasukkan oleh pengguna. Dalam metodologi kami untuk mencari kelemahan, kemungkinan perbezaan telah dicari dalam aspek pelaksanaan susunan protokol berikut;
· memproses pengepala bingkai yang salah lapisan pautan(Ethernet);
· pemprosesan paket lapisan rangkaian (IP) yang salah;
· pemprosesan pengepala segmen lapisan pengangkutan (TCP) yang salah;
· pemprosesan serpihan IP;
· pemprosesan serpihan TCP;
· pemprosesan pelbagai kombinasi bendera TCP;
· memproses paket dengan salah nombor siri protokol TCP;
· mengendalikan sesi HTTP yang salah.
Aspek pelaksanaan yang disenaraikan mungkin berbeza dengan ketara antara sistem. Kepentingan khusus ialah isu yang berkaitan dengan pemprosesan trafik berpecah-belah: piawaian tidak mempunyai sebarang cadangan yang harus dipatuhi oleh pembangun semasa memproses trafik berpecah-belah yang tidak normal (serpihan bertindih sebahagian atau sepenuhnya), jadi butiran pelaksanaan tindanan inilah yang diperlukan untuk dititikberatkan.
Untuk mencari perbezaan, urutan khas pakej ujian telah dibangunkan.
a) Pemprosesan tajuk. Tujuan ujian ini adalah untuk menentukan cara pengepala paket rangkaian diproses dan pengepala mana yang dianggap tidak betul oleh sistem. Ujian dijalankan dalam empat peringkat:
* pemprosesan paket lapisan pautan data yang salah;
* pemprosesan pengepala IP yang salah;
* pemprosesan pengepala TCP yang salah;
* menghantar segmen TCP dengan nombor giliran yang salah.
b) Pemprosesan serpihan. Kelas ini ujian direka bentuk untuk menentukan bahagian pelaksanaan tindanan yang dikaitkan dengan pemprosesan serpihan TCP dan IP. Ujian dijalankan dalam empat peringkat:
* menghantar serpihan IP dengan tajuk saluran dan lapisan rangkaian yang salah;
* menghantar serpihan TCP dengan saluran yang salah, rangkaian dan tahap pengangkutan;
* menghantar serpihan IP dan TCP dalam urutan yang berbeza (urutan rawak, susunan terbalik, menghantar paket berulang);
* menghantar sebahagian dan sepenuhnya bertindih paket IP dan TCP.
c) Pemprosesan bendera TCP. Ujian ini direka untuk menentukan bagaimana sistem akan mengendalikan pelbagai kombinasi Bendera segmen TCP apabila menghantar aliran data. Lapan kombinasi bendera ACK, SYN, FIN telah dipertimbangkan. Saya berminat dengan keadaan baharu sambungan TCP, tindak balas sistem sasaran (yang TCP membahagikan sistem akan dihantar sebagai tindak balas) dan kelakuan sistem pengesanan pencerobohan.
d) Pemprosesan sesi HTTP. Ujian ini menguji pemprosesan permintaan HTTP tidak sah yang bermula dengan dua aksara permulaan baris (0x0D, 0x0A, 0x0D, 0x0A). Mengikut spesifikasi, permintaan kepada pelayan Web mesti berakhir dengan simbol ini. Ujian ini berkait rapat dengan logik pemprosesan segmen TCP dengan nombor giliran yang salah, keputusan yang diperoleh sebelum ini.
3.3.2 Pengujian
Pengujian pelaksanaan sistem pengendalian dan tindanan IDS telah dijalankan pada prototaip yang terdiri daripada dua komputer yang disambungkan. Rangkaian Ethernet. Hos dari mana ujian dijalankan dipanggil "sistem serangan", dan hos yang diuji dipanggil "sistem sasaran" (Rajah 3). Hos mempunyai fail bernama PHF. Akses kepada fail ini akses simulasi kepada skrip phf yang terdedah (Dalam kes permintaan HTTP daripada sistem yang menyerang ke fail ini, pelayan Web menghantar kandungannya kepada penyerang, yang menunjukkan kejayaan serangan itu. Ia sama sekali tidak perlu untuk melaksanakan skrip itu sendiri pada pelayan Web: jika pelayan Web mengembalikan kandungan fail, kita boleh menganggap bahawa serangan itu berlaku. Penyerang boleh melihat hasil serangan pada skrin menggunakan penganalisis rangkaian Snort yang sedang berjalan. Jika berjaya, Snort memintas kandungan fail PHF. Akses kepada fail PHF tidak dipilih secara rawak. Pertama, akses kepada PHF juga dipertimbangkan. -Kedua, kelemahan ini ditemui pada tahun 1996 dan semua IDS yang dipertimbangkan mempunyai peraturan untuk mencari tandatangan sedemikian .
nasi. 3.3 Susun atur ujian
Penciptaan urutan ujian paket telah dijalankan menggunakan program NetStuff yang dibangunkan khas, iaitu
penjana paket lanjutan yang membolehkan anda melakukan perkara berikut:
* Mewujudkan sambungan. Program ini boleh digunakan untuk mewujudkan sambungan TCP dengan pelayan jauh. Sebagai parameter untuk jabat tangan tiga langkah, pengguna boleh memilih alamat IP penghantar dan penerima, nombor port penghantar dan penerima, dan juga menetapkan nombor ISN permulaan.
* Pemutusan sambungan. Fungsi khas disediakan untuk menamatkan sambungan yang telah ditetapkan sebelum ini. Pengguna diberi keupayaan untuk menentukan alamat IP dan nombor port pengirim dan penerima, serta nombor urutan semasa.
* Menghantar pakej. Fungsi utama program ini adalah untuk menghantar data dalam paket TCP/IP. Program ini mempunyai keupayaan untuk menghantar data dalam satu paket dan dalam beberapa serpihan TCP atau IP. Apabila menghantar paket, adalah mungkin untuk mengkonfigurasi semua medan yang diketahui bagi pautan, rangkaian dan protokol lapisan pengangkutan. Jumlah semak segmen TCP dan paket IP dikira secara automatik.
Untuk menghantar data dalam bentuk serpihan, anda boleh memilih protokol di mana pemecahan dijalankan dan bilangan serpihan. Jika perlu, anda boleh memastikan bahawa tandatangan serangan dipecahkan dan dihantar dalam beberapa serpihan. Dengan memecahkan data anda kepada beberapa bahagian, anda boleh menyesuaikan setiap bahagian semasa menukar medan pengepala. Ia juga mungkin untuk mengubah suai muatan yang dibawa oleh serpihan.
Perhatian khusus diberikan kepada pemilihan sistem untuk ujian: adalah perlu untuk mempertimbangkan kedua-dua alat IDS komersil dan diedarkan secara bebas.
Snort 1.8.4 dipilih sebagai sistem IDS yang sedang dikaji. beta untuk Linux, Snort 1.8. untuk Win32, eTrust Intrusion Detection 1.0 daripada Computer Associates, Dragon 5.0 daripada Enterasys Networks, RealSecure 6.0 daripada Internet Security Systems. Dua sistem pertama diedarkan secara bebas; selebihnya memerlukan kunci demo yang tidak mengehadkan fungsi. Sistem pengendalian yang dilindungi oleh IDS: Windows 98 SE v4.10.2222; Windows 2000 SP2 v5.00.2195; Windows NT 4.0 SP3; Linux Merah Hat 7.2 pada kernel 2.4.7-10.
Pencarian untuk kelemahan mengikuti senario berikut.
* Pelaksanaan susunan protokol interaksi rangkaian sistem sasaran telah dikaji. Untuk tujuan ini, penjana paket NetStuff dan urutan ujian paket rangkaian yang disediakan sebelum ini telah digunakan. Permintaan telah dimulakan ke fail PHF yang disimpan pada pelayan Web sistem sasaran. Jika pelayan Web memproses permintaan dan mengembalikan kandungan fail, kita boleh mengatakan bahawa pelaksanaan khusus timbunan sistem sasaran menerima urutan ujian semasa; jika tidak, timbunan sistem sasaran tidak dapat memproses permintaan itu.
* Ujian IDS telah dijalankan dengan cara yang sama. Jika IDS dapat mengesan tandatangan serangan "phf" dan mengeluarkan mesej serangan, maka kita boleh mengatakan bahawa IDS menerima urutan ujian.
* Selepas mengkaji ciri-ciri pelaksanaan tindanan, keputusan yang diperoleh telah dipertimbangkan dan perbezaan dalam operasi tindanan sistem dicari. Jadi, jika sistem sasaran tertentu meninggalkan data baharu semasa memproses serpihan IP yang bertindih, tetapi IDS meninggalkan data lama, kita boleh mengatakan bahawa perbezaan telah ditemui.
ѕ peringkat akhir carian - percubaan untuk melakukan serangan tersembunyi dengan memasukkan atau menyembunyikan. Untuk tujuan ini, keputusan yang diperolehi dalam perenggan sebelumnya telah digunakan. Jika ada kemungkinan untuk mendapatkan kandungan fail PHF tanpa IDS mengesannya, kita boleh mengatakan bahawa kelemahan baharu telah ditemui.
3.3.3 Hasil kajian
Memang terdapat perbezaan dalam pelaksanaan susunan protokol sistem sasaran dan IDS. Perbezaan ini adalah berdasarkan huraian yang tidak lengkap kerja internet dan kesilapan reka bentuk. Kebanyakan perbezaan ini adalah berdasarkan susunan berbeza di mana trafik berpecah-belah diproses. Terdapat juga kelemahan yang jelas dalam IDS, contohnya, IDS Snort dan Dragon menerima paket IP dengan salah checksum, dan IDS RealSecure 6.0 dan eTrust 1.0 - dengan versi yang salah protokol IP.
Banyak perbezaan adalah berdasarkan pelaksanaan timbunan yang salah. Ini menyebabkan situasi yang sama dikendalikan secara berbeza pelbagai sistem. Contohnya ialah kelemahan dalam pengendalian IDS Dragon apabila menganalisis trafik yang diarahkan ke Linux RedHat OS. (Jadual 1)
Jadual 1. Kaedah penyembunyian. Naga 5.0
|
OS sasaran |
Jenis serangan |
Penerangan |
|
|
Linux Red Hat 7.2 |
Intersegmental |
Hantar tandatangan serangan dalam paket yang mengandungi bendera FIN. Sistem sasaran akan memprosesnya dan bertindak balas, tetapi IDS tidak akan memprosesnya. |
|
|
Hantar permintaan sewenang-wenangnya kepada sistem sasaran dalam bentuk aliran serpihan TCP. Strim mesti mengandungi serpihan yang sama. Selepas ini, hantar tandatangan serangan yang dipecahkan kepada beberapa serpihan TCP - sistem tidak akan mengesannya. |
|||
|
Hantar tandatangan serangan sebagai aliran serpihan TCP yang dihantar dalam susunan terbalik. IDS tidak memproses serpihan tersebut. |
|||
|
Intrasegmental |
Hantar tandatangan serangan dalam pelbagai serpihan IP sedemikian rupa sehingga selepas serpihan yang mengandungi sebahagian tandatangan, serpihan dengan parameter yang sama tiba, tetapi mengandungi data sewenang-wenangnya dan jumlah semak IP yang salah atau alamat MAC yang salah. Sistem sasaran tidak akan mempertimbangkan serpihan kedua, tetapi IDS akan mempertimbangkannya dan membiarkannya sebagai betul. |
||
|
Hantar tandatangan serangan dalam pelbagai serpihan TCP sedemikian rupa sehingga sebelum serpihan yang mengandungi sebahagian tandatangan, serpihan dengan parameter yang sama tiba, tetapi mengandungi data sewenang-wenang dan jumlah semak IP yang salah atau diarahkan ke alamat MAC yang salah. Sistem sasaran tidak akan mempertimbangkan serpihan pertama, tetapi IDS akan mempertimbangkannya dan membiarkannya sebagai betul. |
a) Menerima paket yang diarahkan ke alamat Ethernet yang salah.
b) Menerima paket dengan jumlah semak IP yang salah.
d) Tiada pemprosesan data jika ia tiba dalam segmen TCP dengan set bendera FIN.
e) Penerimaan data sepenuhnya jika ia tiba dalam paket dengan nombor giliran yang salah. (Mengikut spesifikasi protokol TCP, lokasi muatan yang dibawa oleh segmen TCP tertentu ditentukan dengan ketat oleh nombor gilirannya; jika nombor itu salah, sistem sasaran "memotong" data tambahan.)
f) Penerimaan serpihan IP yang diarahkan ke alamat Ethernet yang salah.
g) Penerimaan serpihan IP dengan jumlah semak IP yang salah.
h) IDS tidak memproses aliran serpihan TCP jika serpihan berulang dihantar dalam aliran. Selepas melakukan tindakan sedemikian, IDS gagal dan tidak lagi dapat memproses sebarang serpihan TCP.
i) IDS tidak memproses aliran serpihan TCP yang tiba dalam susunan terbalik.
j) IDS mengekalkan data baharu apabila menghantar serpihan TCP yang bertindih separa, manakala sistem pengendalian mengekalkan data lama.
Juga menarik ialah keputusan IDS RealSecure 6.0, yang menganalisis trafik untuk Windows 2000. (Jadual 2)
Jadual 2. Kaedah penyembunyian. eTrust ID 1.0
|
OS sasaran |
Jenis serangan |
Penerangan |
|
|
Intersegmental |
Hantar tandatangan serangan dalam beberapa serpihan IP sedemikian rupa sehingga serpihan yang mengandungi tandatangan sebahagiannya bertindih IDS tidak dapat memproses serpihan tersebut |
||
|
Hantar tandatangan serangan sedemikian rupa sehingga sebelum serpihan yang mengandungi sebahagian tandatangan, serpihan dengan parameter yang sama tiba, tetapi mengandungi data arbitrari dan protokol peringkat lebih tinggi selain TCP. Sistem sasaran tidak akan mempertimbangkan paket pertama, tetapi IDS akan mempertimbangkannya dan membiarkannya sebagai betul. |
|||
|
Hantar tandatangan serangan dalam pelbagai serpihan TCP sedemikian rupa sehingga sebelum serpihan yang mengandungi sebahagian tandatangan, serpihan dengan parameter yang sama tiba, tetapi mengandungi data sewenang-wenang dan mengimbangi data kurang daripada 20 paket. Sistem sasaran tidak akan mempertimbangkan paket pertama, tetapi IDS akan mempertimbangkannya dan membiarkannya sebagai betul. |
|||
|
Intrasegmental |
Hantar tandatangan serangan dalam serpihan IP yang berbeza dengan cara yang sebelum serpihan yang mengandungi sebahagian tandatangan, serpihan dengan parameter yang sama tiba, tetapi mengandungi data sewenang-wenang dan alamat MAC destinasi yang salah atau versi protokol IP yang salah. Sistem sasaran tidak akan mempertimbangkan paket pertama, tetapi IDS akan mempertimbangkannya dan membiarkannya sebagai betul. |
||
|
Hantar tandatangan serangan dalam serpihan IP yang berbeza dengan cara yang sebelum serpihan yang mengandungi sebahagian tandatangan, serpihan dengan parameter yang sama tiba, tetapi mengandungi data sewenang-wenang dan alamat MAC destinasi yang salah atau versi protokol IP yang salah. Dalam kes ini, sistem sasaran tidak akan mempertimbangkan paket pertama, tetapi IDS akan mempertimbangkannya dan membiarkannya sebagai betul. |
* RealSecure 6.0 menerima paket yang diarahkan ke alamat Ethernet yang salah.
* IDS menerima paket dengan versi protokol IP yang salah.
* IDS menerima data sepenuhnya jika ia dihantar dalam segmen TCP dengan nombor giliran yang salah, manakala sistem pengendalian "memotong" lebihan data.
* IDS menerima serpihan IP yang diarahkan ke alamat Ethernet yang salah.
* IDS menerima serpihan IP dengan versi protokol IP yang salah.
* IDS menerima serpihan TCP yang diarahkan ke alamat Ethernet yang salah.
* IDS menerima serpihan TCP dengan versi protokol IP yang salah.
* IDS tidak dapat memproses aliran serpihan TCP jika ia dihantar dalam susunan rawak.
Kebanyakan variasi dalam pemprosesan adalah berkaitan dengan keputusan tentang data yang perlu disimpan. Ini sudah cukup fakta menarik, kerana apabila membangunkan IDS, adalah perlu untuk membawa pelaksanaan tindanan sedekat mungkin dengan tindanan sistem pengendalian yang akan dijalankan oleh IDS. Jika menggunakan perbezaan dalam pemprosesan pengepala untuk menjalankan serangan tidak selalu jelas kepada pembangun, maka perbezaan dalam pemprosesan serpihan harus diambil kira terlebih dahulu. Jika tidak, melakukan serangan terselindung amat dipermudahkan.
Perkara yang sama berlaku untuk memproses aliran serpihan TCP, contohnya Dragon 5.0 dan RealSecure 6.0 tidak dapat mengendalikan beberapa kes: Dragon 5.0 hanya ranap selepas menerima serpihan TCP pendua dan tidak memproses aliran serpihan TCP yang tiba dalam susunan terbalik; RealSecure 6.0 tidak dapat memproses serpihan TCP yang tiba dalam susunan rawak. Ternyata untuk mengganggu IDS, anda hanya boleh menghantar tandatangan serangan dalam urutan serpihan TCP yang berbeza. Dragon 5.0 tidak menganggap segmen TCP dengan set bendera FIN, walaupun ia membawa maklumat yang berguna.
Jadual 3. Kaedah penyembunyian. Snort 1.8 untuk Win32
|
OS sasaran |
Jenis serangan |
Penerangan |
|
|
Intersegmental |
Sama seperti kes sebelumnya, kecuali untuk susunan jujukan serpihan dengan data arbitrari. Serpihan dengan data arbitrari mesti berlalu selepas serpihan dengan sebahagian daripada tandatangan |
||
|
Kaedah yang sama dengan aksara 0x0D 0x0A 0x0D 0x0A pada mulanya. Sama seperti versi 1.8.3 untuk Linux, tetapi mesti menghantar serpihan TCP bertindih dengan offset data sifar dalam pengepala TCP |
|||
|
Windows NT, Windows 2000 |
Intersegmental |
Hantar tandatangan serangan dalam pelbagai serpihan IP sedemikian rupa sehingga selepas serpihan yang mengandungi sebahagian tandatangan, serpihan IP dengan nombor dan offset yang sama, tetapi dengan data sewenang-wenangnya, tiba. IDS akan meninggalkan serpihan kedua, sistem sasaran akan meninggalkan yang pertama. |
Dokumen yang serupa
Serangan komputer dan teknologi untuk pengesanan mereka. Sistem rangkaian untuk mengesan serangan dan tembok api. Alat perisian untuk analisis keselamatan dan pengurangan ancaman. Perlaksanaan perisian mengenal pasti serangan untuk sistem maklumat perusahaan.
kerja kursus, ditambah 03/16/2015
Klasifikasi serangan rangkaian mengikut tahap model OSI, mengikut jenis, mengikut lokasi penyerang dan objek yang diserang. Masalah keselamatan rangkaian IP. Ancaman dan kelemahan rangkaian wayarles. Klasifikasi sistem pengesanan serangan IDS. Konsep XSpider.
kerja kursus, ditambah 11/04/2014
Kaedah menggunakan teknologi rangkaian saraf dalam sistem pengesanan pencerobohan. Sistem pakar untuk mengesan serangan rangkaian. Rangkaian buatan, algoritma genetik. Kebaikan dan keburukan sistem pengesanan pencerobohan berdasarkan rangkaian saraf.
ujian, ditambah 30/11/2015
Model umum proses pengesanan serangan. Justifikasi dan pemilihan parameter dan perisian terkawal untuk membangunkan sistem pengesanan serangan. Ancaman dan kelemahan utama. Menggunakan sistem pengesanan serangan dalam rangkaian bertukar.
tesis, ditambah 06/21/2011
Sistem analisis keselamatan Pengimbas Internet sebagai satu cara untuk menyelesaikan salah satu aspek pengurusan yang penting keselamatan rangkaian- pengesanan kelemahan. Prinsip operasinya, kelebihan dan kekurangannya, ciri-ciri berfungsi dalam rangkaian maklumat.
ujian, ditambah 03/22/2012
Algoritma untuk pengendalian protokol STP. Status port dalam protokol SpanningTree. Jenis, perihalan protokol, pengagregatan saluran. Skim kemungkinan serangan, kaedah pengesanan. Cantuman-capah pokok, penafian perkhidmatan setempat, menghidu yang diprovokasi.
kerja kursus, ditambah 04/07/2015
Penyelidikan jenis serangan rangkaian yang paling biasa. Kepintaran rangkaian. Ciri-ciri kaedah perlindungan terhadap serangan rangkaian menggunakan program khas. Mengkaji kelebihan dan kekurangan firewall. Limpahan penampan. Program virus.
abstrak, ditambah 23/12/2014
Kemudahan dan keupayaan sistem pencegahan serangan Snort, jenis pemalam: prapemproses, modul pengesanan, modul output. Kaedah pengesanan serangan dan rantai peraturan sistem Snort. Konsep utama, prinsip operasi dan tindakan terbina dalam iptables.
ujian, ditambah 01/17/2015
Penerangan tentang teknologi maklumat dan model ancaman. Alat perlindungan perimeter rangkaian, tembok api. Sistem pengesanan pencerobohan, pengelasannya mengikut tahap sistem maklumat. Pendekatan untuk menangkis serangan secara automatik dan mencegah pencerobohan.
tesis, ditambah 06/05/2011
Masalah keselamatan sistem pengendalian. Fungsi subsistem keselamatan. Pengenalan pengguna, ancaman perisian (serangan). Jenis serangan rangkaian. Kitaran hayat pembangunan produk perisian selamat. Menilai serangan ke atas perisian.
Setiap hari, pentadbir rangkaian tenggelam dalam aliran pemberitahuan tentang potensi atau kelemahan yang telah ditemui dalam perisian. Mencari lubang kritikal, prosedur untuk memasang patch dan menyemak keserasiannya dengan perisian berfungsi adalah tugas utama pentadbir rangkaian korporat yang besar. Langkah pertama yang jelas dalam mencapai keselamatan yang mencukupi ialah mengenal pasti kelemahan dalam sistem dan aplikasi. Pertama sekali, kami akan mentakrifkan beberapa konsep yang digunakan dalam bidang keselamatan maklumat. Yang penting di sini ialah:
kelemahan— menunjukkan kerentanan sistem untuk berkompromi, seperti akses tanpa kebenaran, pendedahan maklumat sulit, dsb.;
ancaman- mewakili tindakan atau alat yang boleh mengambil kesempatan daripada kelemahan untuk menjejaskan sistem;
serang— mentakrifkan butiran bagaimana ancaman tertentu berdasarkan kerentanan boleh digunakan. Adalah agak mungkin bahawa kelemahan diketahui dan ancaman yang sepadan telah dibangunkan, tetapi adalah mustahil untuk membayangkan bagaimana untuk mengatur serangan yang sesuai;
perlindungan- tindakan yang bertujuan untuk melindungi sistem daripada serangan yang mengancam titik terdedah.
Sistem komputer tidak sempurna, mereka terdedah kepada banyak ancaman, dan kerosakan akibat serangan boleh menjadi ketara. Serangan datang dalam pelbagai bentuk: sesetengahnya melanggar kerahsiaan atau integriti data, manakala yang lain boleh menjadikan sistem tidak boleh diakses oleh pengguna. Walaupun penurunan kerugian akibat serangan berbanding tahun lalu, magnitudnya masih kekal ketara. Menurut Institut Keselamatan Komputer, kerugian daripada virus menduduki tempat ketiga pada 13%, di belakang serangan kecurian maklumat dan penafian perkhidmatan (DoS). Walau bagaimanapun, adalah mustahil untuk memberikan penilaian yang tepat tentang mereka dalam bidang keselamatan komputer, kerana banyak kerugian tidak akan dapat dikesan; data pada orang lain hanya disembunyikan di dalam laci belakang meja dan dilupakan atau disembunyikan daripada pihak pengurusan untuk mengelakkan masalah.
Untuk mengurus risiko yang wujud dalam sistem maklumat, pengurus dan pengguna mesti dilengkapi dengan maklumat tentang kelemahan dan ancaman yang berkaitan dengannya. Pengetahuan tentang ancaman sedia ada dan analisis risiko membolehkan pengurus IT mengambil langkah perlindungan yang paling berkesan. Dalam sesetengah kes, adalah lebih murah untuk menerima kerugian yang dijangkakan. Sebagai contoh, apabila kelemahan wujud tetapi tidak mungkin dieksploitasi, anda akan mendapat sedikit keuntungan dengan melindungi daripada kelemahan itu.
Tugas seterusnya yang dihadapi oleh setiap pentadbir rangkaian selepas menemui kelemahan ialah susunan pemasangan tampalan, dan ia lebih kompleks daripada yang sebelumnya. Setiap kali terdapat risiko bahawa perubahan yang dibuat tidak serasi dengan perisian yang berfungsi. Kepelbagaian seni bina dan pertumbuhan rangkaian perusahaan meningkatkan kerumitan tugas ini, memerlukan sumber dan masa yang ketara daripada syarikat. Pengurusan patch ialah sebahagian daripada bab Pengurusan Konfigurasi yang lebih besar bagi ITIL (Perpustakaan Infrastruktur IT) dan, menurut penyelidikan Kumpulan META, berada di kedudukan ketiga dalam senarai keutamaan untuk pengurus IT (selepas pemantauan rangkaian dan pengedaran perisian ke stesen kerja). Mencari kelemahan ialah salah satu tugas audit keselamatan, yang mungkin juga termasuk ujian pencerobohan sistem. Sebaliknya, kelemahan yang ditemui dalam keputusan audit adalah data input untuk menilai risiko sedia ada.
Mari beralih kepada alatan yang membantu penganalisis keselamatan mengautomasikan proses mencari kelemahan. Ini termasuk pengimbas kerentanan, yang boleh dibahagikan kepada beberapa jenis (pembina peta rangkaian, pengesan OS dan aplikasi pasif dan aktif, pengimbas rangkaian, pengimbas khusus untuk aplikasi, pelayan Web dan sistem individu).
| Sebahagian daripada laporan Nessus tentang kelemahan yang terdapat dalam sistem Unix |
Secara tradisinya, pengimbasan dijalankan sebagai operasi aktif: atas arahan pengguna, produk perisian menghasilkan kod program kecil dan menghantarnya saluran komunikasi kepada sistem yang diuji. Mencari kelemahan bertukar menjadi prosedur berbahaya, yang kadangkala membawa kepada keruntuhan sistem. Kos pengimbasan aktif boleh menjadi tinggi apabila anda mengambil kira masa henti sistem, ketidakpuasan hati kakitangan dan kekerapan pengimbasan. Pengimbasan pasif alternatif adalah berdasarkan andaian bahawa sistem komputer mendedahkan banyak maklumat menarik semasa interaksi biasa antara satu sama lain.
Di antara banyak alat komersil dan percuma yang tersedia, kami telah memilih beberapa alat yang paling biasa di Ukraine. Produk sedemikian telah wujud sejak sekian lama, tetapi hanya beberapa tahun yang lalu ia berkembang menjadi pakej yang berkuasa dan mesra pengguna. Antara lain, pengimbas mengesan ralat dalam perisian sistem dan aplikasi, virus, kelemahan dalam dasar kawalan dan capaian, dan sistem yang dikonfigurasikan dengan buruk. Sesetengah pengimbas kerentanan membenarkan anda mengedarkan patch dan kod untuk membetulkan pepijat yang dikesan. Terdapat produk yang boleh beroperasi dalam persekitaran yang diedarkan, termasuk menggunakan ejen untuk mengumpul maklumat yang lebih terperinci tentang sistem individu. Salah satu tugas utama yang mesti dikuasai oleh pengimbas keselamatan ialah menjana laporan berkualiti tinggi pada tahap perincian yang berbeza-beza untuk dibentangkan kepada kumpulan pengguna yang berbeza.
Pengimbas kerentanan tidak ubat yang ideal, dan mereka mempunyai beberapa kelemahan yang disenaraikan di bawah.
- Positif palsu. Cara yang paling sesuai untuk memerangi di sini ialah pemeriksaan manual setiap kelemahan kritikal yang ditemui melalui pemeriksaan sistem individu, tetapi ini mengambil masa yang lama. Menggunakan berbilang penganalisis juga akan mengurangkan angka ini. Anda akan mendapat hasil yang berbeza jika, sebagai contoh, anda cuba mengimbas rangkaian Windows dengan hak pentadbir atau pengguna standard.
- Mengabaikan kelemahan. Cara yang paling baik Penyelesaian kepada masalah ini ialah menggunakan versi terkini program dengan pemalam yang dikemas kini dan menjalankan dua atau tiga pengimbas. Lagipun, masing-masing hanya boleh mencari apa yang dia tahu.
- Kurang kecerdasan. Adalah lebih baik untuk bergantung pada pendapat penganalisis keselamatan untuk membuat keputusan muktamad daripada pada sekeping kod perisian yang tidak dapat melihat dan menilai postur keselamatan global organisasi anda.
Perkara utama ialah pengimbasan hanya perlu, tetapi tidak mencukupi, untuk meningkatkan keselamatan rangkaian kebanyakan syarikat.
Pengimbas aktif
Sebelum menekan butang Mulakan anda perlu mengambil beberapa langkah persediaan. Pertama sekali, anda perlu mengehadkan bilangan semakan kepada yang paling penting dan berkaitan dengan rangkaian korporat anda. Selepas beberapa lelaran, bilangan semakan akan berkurangan daripada ribuan kepada beberapa ratus. Pengalaman juga tidak lama lagi akan mengajar anda bahawa sesetengah ujian lebih berkemungkinan gagal dalam situasi tertentu berbanding yang lain. Satu perkara penting untuk diperhatikan di sini ialah anda tidak seharusnya bergantung pada keputusan imbasan automatik sahaja sebagai asas untuk laporan audit anda. Kerentanan yang dikesan hanyalah data awal untuk siasatan lanjut melalui ujian tambahan atau pemeriksaan langsung sistem individu. Di sini kami mungkin mengesyorkan menggunakan berbilang pengimbas keselamatan atau alat pengesahan lain, mis. utiliti percuma nmap untuk menganalisis port terbuka atau MBSA dan HFNETCHECK daripada Microsoft untuk persekitaran Windows.
Kami akan memulakan semakan ringkas kami tentang pengimbas aktif dengan produk bukan komersial yang paling popular - Nessus untuk Unix OS - dan NeWT (Nessus on Windows Technology) - analognya untuk platform Windows. Kedua-duanya adalah percuma, tetapi jika anda ingin mengimbas rangkaian yang lebih besar daripada kelas C dan masih menggunakan sokongan teknikal pengeluar, anda perlu membayar untuk lesen NeWT. Nessus benar-benar projek kolektif - lebih daripada 50 ribu pengguna telah membuat pengubahsuaian tertentu padanya sepanjang sejarah kewujudannya.
Nessus/NeWT mempunyai begitu banyak pilihan untuk pengimbasan dan konfigurasi sehingga menakutkan ramai orang. Kedua-dua produk menjalankan hampir 3 ribu ujian unik yang membolehkan penganalisis keselamatan menyemak pelbagai jenis kelemahan, khususnya pintu belakang, penyalahgunaan CGI, DoS, RPC, SNMP, SMTP, mendapat akses kepada komputer jauh, termasuk yang istimewa, lubang dalam shell selamat dan pelayan Web. Kedua-dua produk mempunyai pilihan untuk melarang pemeriksaan berbahaya, yang boleh menyebabkan kegagalan perkhidmatan yang diuji, pembekuan dan juga ranap sistem.
Walaupun teknologi pengimbasan serupa, produk masih agak berbeza. Nessus adalah berdasarkan seni bina pelayan pelanggan, dan pengguna mempunyai akses kepada konsol pentadbiran yang membolehkan mereka menjalankan tugas imbasan sambil menyimpan pangkalan data pada mesin lain selain pelayan. Konsol pengguna grafik boleh berdasarkan Java, Win32 atau X11. NeWT menyimpan keputusan ujian pada mesin tempat ia dipasang. Untuk mendapatkan maklumat yang lebih tepat dan terperinci tentang sistem dalam domain Windows, kami mengesyorkan anda membuat kumpulan domain dan pengguna yang mempunyai hak akses istimewa untuk pendaftaran jauh, yang akan membolehkan anda menentukan versi Pek Perkhidmatan pada sistem jauh dan kelemahan Internet Explorer.
Hasil imbasan boleh dibentangkan dalam pelbagai format(sebagai fail HTML untuk NeWT) dan dikelaskan mengikut keterukan kelemahan yang dikesan: mesej tinggi, sederhana, rendah dan bermaklumat. Setiap kerentanan disertakan dengan teks yang menerangkan masalah dan menerangkan cara membetulkannya. Ini dilengkapi dengan pautan ke senarai Kerentanan dan Pendedahan Biasa (CVE) dan Microsoft TechNet, yang menawarkan akses pentadbir kepada maklumat tambahan dan tampung.
Walaupun laporan NeWT adalah komprehensif, tiada fleksibiliti tambahan dalam penjanaannya untuk mengelompokkan kelemahan mengikut kriteria yang berbeza dan membentangkannya kepada kumpulan yang berbeza (kakitangan teknikal, pengurusan pertengahan, pengurusan kanan). NewWT juga mempunyai fungsi yang berguna— perbandingan dua laporan untuk tempoh tertentu. Pakej ini mudah dipasang, dikemas kini dan dipertingkatkan dengan setiap versi baharu. Kelemahannya termasuk peningkatan bilangan positif palsu.
Salah satu pesaing utama produk yang disemak ialah Pengimbas Keselamatan Rangkaian Retina yang dibangunkan oleh eEye Digital Security. Ini ialah pengimbas keselamatan berciri penuh dengan pelbagai ujian untuk platform Unix dan Windows, ia juga termasuk keupayaan untuk membetulkan banyak masalah yang dikesan secara automatik dan mencipta tugas audit anda sendiri.
Dengan ciri pembetulan automatik, pentadbir yang mempunyai hak yang sesuai boleh membetulkan pendaftaran dengan mudah dan menyelesaikan masalah akses pada tapak jauh pada rangkaian. Juga mengagumkan ialah fungsi audit, yang membolehkan anda membangunkan pertanyaan anda sendiri tentang kelemahan yang ditemui sebelum ini yang terpaksa anda tinggalkan buat sementara waktu pada rangkaian anda. Seperti Nessus, anda boleh memilih salah satu audit yang tersedia dalam set atau membuat sendiri untuk melakukan pemeriksaan tertentu. Pengimbasan sangat pantas dan agak tepat, tetapi hasilnya kadangkala bercanggah antara satu sama lain. Sebagai contoh, port yang muncul sebagai terbuka dalam satu sesi imbasan mungkin dikenal pasti sebagai ditutup dalam yang lain (jika tiada sebarang perubahan), dan masalah yang diselesaikan dikembalikan dalam laporan seperti sedia ada. Untuk bersikap adil, perlu diperhatikan bahawa log terperinci dikekalkan untuk membantu menentukan sama ada patch tertentu telah dipasang. Sesetengah kelemahan hanya boleh disahkan jika anda cuba melaksanakan ancaman menggunakan program khas (eksploit), yang membawa risiko besar. Oleh itu, lebih baik menggunakan alat tambahan untuk menyemak, contohnya utiliti nmap, yang Retina gunakan untuk mengimbas port dalam enjinnya. Telah diperhatikan bahawa pengimbas menjana beberapa positif palsu jika pengguna mempunyai hak akses kepada sistem tertentu atau merupakan pentadbir domain dalam rangkaian Windows. Walau bagaimanapun, tanpa pengesahan, produk memberikan hasil yang boleh dipercayai, yang mungkin disebabkan oleh menyemak kehadiran fail tertentu pada sistem, dan bukannya menyemak operasi perkhidmatan yang sepadan.
Retina mempersembahkan hasil imbasan dalam format yang mudah dibaca, mudah dinavigasi dan menawarkan pautan kepada Buletin BugTrack, CVE dan Microsoft Security untuk setiap kelemahan. Laporan itu juga boleh direka bentuk semula dengan cara anda sendiri - ciri yang agak jarang berlaku di kalangan pengimbas. Retina memasang hanya pada platform Windows.
Dengan bantuan Pengimbas Keselamatan Rangkaian GFI LANguard, pengguna dapat menyelesaikan tugas pengimbasan peringkat permulaan. Produk ini tidak mempunyai beberapa ciri lanjutan Retina, dan ia tidak mempunyai banyak ujian dan kedalaman memeriksa beberapa kawasan dan perkhidmatan kritikal seperti Nessus/NeWT. Semua pengimbas mengalami positif palsu, dan GFI tidak terkecuali (contohnya, pada pendapatnya, masalah komuniti awam SNMP wujud dalam mana-mana peranti rangkaian).
Seperti Retina, GFI mengumpulkan hasil mengikut kategori dan kerentanan, dengan pengesyoran untuk pemulihan dan pautan ke Buletin BugTrack, CVE dan Microsoft Security. Penjana laporan juga membolehkan anda membuat dan menjana laporan tersuai dan membandingkan laporan dalam dua tempoh untuk menentukan perubahan dalam kelemahan yang ditemui.
Syarikat kecil boleh memanfaatkan keupayaan untuk mengedarkan patch ke komputer jauh, tetapi mereka mesti melakukan analisis awal setiap patch untuk mengelakkan kemungkinan konflik dengan aplikasi dan perkhidmatan sedia ada. Satu pilihan alternatif ialah menggunakan perkhidmatan Windows Update. Syarikat sederhana dan besar pastinya akan memilih produk khusus untuk mengedarkan patch dan program, yang akan membolehkan kawalan penuh ke atas pemasangan, kembali ke versi terdahulu, menjalankan audit, dsb. Pengimbas ini lebih murah daripada Retina, dan mungkin lebih disukai oleh mereka yang ingin membeli versi komersil dan murah pengimbas. Anda boleh mencuba salinan program yang berfungsi sepenuhnya selama 30 hari dengan memuat turunnya dari tapak web syarikat.
Pengimbas seperti SARA, SAINT, Netrecon, NetIQ Security Analyzer, xSpider juga patut diberi perhatian, tetapi kekal di luar skop semakan kami. Nampaknya penulis bahawa yang paling menjanjikan ialah penggunaan gabungan Nessus/NeWT dan Retina, yang menjadi pilihan ramai pengguna apabila perlu untuk menggabungkan kecekapan dengan prestasi.
Pengimbas pasif
Rangkaian moden ialah infrastruktur yang dinamik dan berkembang, di mana peranti dan perkhidmatan baharu sentiasa muncul, selalunya dengan kelemahan sendiri dan konfigurasi yang salah. Semua pengimbas aktif yang telah dibincangkan sebelum ini memungkinkan untuk mendapatkan hanya tera dengan keadaan sekarang keselamatan dan tidak mengambil kira perubahan sifat rangkaian. Masalah ini diselesaikan oleh pengimbas keselamatan pasif, yang membolehkan anda mengesan kelemahan tanpa menghantar apa-apa ke rangkaian. pakej tunggal. Produk sedemikian secara pasif mendengar trafik di nod rangkaian penting, menjalankan analisis tandatangan dan protokol untuk mengemas kini peta rangkaian. Mereka cuba menentukan OS, versi aplikasi, kelemahan yang diketahui dan protokol yang berjalan pada port bukan standard dengan membandingkan pengepala IP dan UDP dengan perpustakaan OS sedia ada dan melakukan analisis sepanduk perkhidmatan yang tersedia. Anda boleh menjana laporan dengan cepat atau dalam tempoh tertentu, mendapatkan maklumat tentang kelemahan sistem dan aplikasi klien pada rangkaian. Pengubahsuaian dan penulisan pilihan tandatangan anda sendiri juga disertakan dalam set standard keupayaan mereka.
 |
| Pengimbas kerentanan pasif NeVO sedang beraksi |
| Interaksi penderia IDS dan pengimbas pasif |
Pengimbas pasif dipasang dengan cara yang sama seperti sistem IDS atau penganalisis paket (penghidu), dan sentiasa memantau trafik. Perusahaan besar tidak dapat mengimbas sekerap yang mereka perlukan, dan pengimbas pasif melengkapkan pengimbas aktif dalam menyelesaikan tugas ini.
Perbezaan antara pengimbas pasif dan sistem pengesanan pencerobohan ialah mereka mendengar trafik untuk mengenal pasti kelemahan, yang boleh ditentukan dengan memeriksa maklumat paket dan sesi dan bukannya serangan. Adalah mungkin untuk menentukan paket dari mana rangkaian perlu dianalisis, dengan itu menjimatkan kitaran pemproses. Ia juga mudah untuk menetapkan nilai ambang, seperti masa menunggu selepas melengkapkan semakan sistem individu atau bilangan peristiwa tertentu yang mesti berlaku sebelum maklumat tentangnya direkodkan dalam pangkalan data.
Pengimbas pasif tidak dapat mengesan semua yang dapat dilihat oleh pengimbas aktif, dan oleh itu berfungsi bersama-sama dengan mereka, IDS rangkaian dan berpuluh-puluh pentadbir. Pengimbas aktif melepasi mesin yang dimatikan semasa pengimbasan atau yang bukan milik syarikat anda. Jika mesin mempunyai kelemahan, tetapi perkhidmatan yang sepadan tidak digunakan, pentadbir boleh menjadualkan tampalan sedemikian rupa untuk "menyembuhkan" mesin ini bertahan atau menghentikan sementara perkhidmatan berbahaya.
Lain-lain tugas penting Cabaran yang dihadapi oleh pengimbas pasif ialah korelasi peristiwa daripada IDS. Yang terakhir ini terkenal dengan masalah mereka seperti kejayaan mereka, iaitu positif palsu yang boleh menyebabkan ramai penganalisis keselamatan gila dan membuat mereka mahu melumpuhkan IDS sama sekali. Reaksi pengeluar tidak lama lagi. Teknologi baharu ini memadankan maklumat masuk tentang serangan dengan pengetahuan tentang teknologi rangkaian, sistem pengendalian dan aplikasi. Tiga syarikat—Sistem Keselamatan Internet, Cisco dan Tenable Network Security—telah memasuki pasaran dengan produk yang direka untuk menjadikan IDS lebih selamat dan teknologi pintar, meminimumkan bilangan tandatangan dan mesej penggera. Contohnya, tiada gunanya menjana mesej penggera tentang serangan virus/cacing pada sistem yang dilindungi oleh tampung yang sesuai. Oleh itu, menapis mesej yang tidak perlu mengurangkan masa yang diperlukan untuk menyemaknya dari jam ke minit setiap hari. Walau bagaimanapun, seperti mana-mana sistem penapis, teknologi ini mempunyai sendiri positif palsu, kadang-kadang hilang maklumat penting. Mari kita terangkan secara ringkas setiap penyelesaian.
Tenable Lightning Console membolehkan anda mengaitkan kelemahan yang dikesan oleh pengimbas aktif (NeWT/Nessus) dan pasif (NeVO) dengan peristiwa yang dijana oleh sistem IDS (Snort, Dragon, ISS, Intrushield, dll.). Lightning Console mengklasifikasikan setiap peristiwa sebagai berbahaya atau tidak mengancam, yang mungkin mengakibatkan isu kritikal terlepas jika pengimbas keselamatan ketinggalan di belakang pemasangan IDS maklumat terkini. Masalah ini dapat dikurangkan dengan banyaknya dengan menggabungkan pengimbasan aktif dan pasif.
ISS Fusion ialah produk yang menyekat atau membenarkan mesej penggera daripada Proventia Appliance atau penderia RealSecure IDS berdasarkan maklumat yang dikumpul oleh Pengimbas Internet ISS. Penyelesaian ini menyepadukan pengurusan melalui konsol Pelindung Tapak ISS, yang mengawal penderia NIDS dan HIDS serta Pengimbas Internet. ISS Fusion, menggunakan maklumat yang diterima daripada Pengimbas Internet, cuba menilai kemungkinan serangan yang berjaya dengan tahap kebarangkalian yang tinggi. Program ini mengklasifikasikan mesej penggera kepada empat tahap - "Kebarangkalian kejayaan", "Kebarangkalian kegagalan", "Serangan gagal" dan "Tidak tahu". Dengan sejumlah besar penapis yang berkuasa, SiteProtector menawarkan analisis bilangan pilihan yang hampir tidak terhad untuk bekerja dengan acara.
Cisco Threat Response ialah produk bebas dalam barisan syarikat. Ia boleh disepadukan dengan konsol pengurusan sensor IDS dan dengan produk VPN dan Penyelesaian Pengurusan Keselamatan yang lain. Sebagai tambahan kepada penderia Cisco, ISS Real Secure juga disokong. Kelemahan utama CTR ialah ia menggabungkan pengimbasan dan pengurusan kerentanan ke dalam satu sistem komputer, menjadikannya sukar untuk mengumpul maklumat dan mengimbas merentasi rangkaian besar, terutamanya yang disubnet oleh tembok api dan penghala.
Tingkah laku CTR sangat reaktif, yang unik antara produk yang disebutkan. Dengan kata lain, program ini tidak cuba menentukan sama ada mangsa terdedah sehingga ia menerima mesej penggera. CTR mengambil pendekatan yang sangat lama untuk pengurangan hingar, menghasilkan sejumlah besar peristiwa kritikal, tetapi setiap peristiwa disertakan dengan maklumat terperinci untuk siasatan lanjut.
Ketiga-tiga produk menyediakan pendekatan yang berbeza kepada teknologi IDS berasaskan sasaran yang muncul. Fusion bergantung sepenuhnya pada pengimbasan aktif berkala menggunakan Pengimbas Internet, berbanding CTR, yang mengimbas mangsa selepas menerima amaran serangan, dan Lightning Console, yang menggunakan pengimbasan pasif dan aktif, beroperasi hampir dengan masa nyata dan mencapai yang paling banyak. nisbah optimum kelajuan/ketepatan tindak balas.
Kami berkemungkinan akan melihat produk pada masa hadapan yang menggabungkan teknologi pengimbasan pasif dengan teknologi IDS/IPS dalam satu kotak dan menyediakan penyelesaian kos yang lebih rendah.
Pilihan mesti seimbang
Jika anda ingin menganalisis rangkaian 10-20 komputer, kemungkinan besar anda akan membayar lebih dengan membeli beberapa pengimbas komersial dengan pelbagai keupayaan. Dalam kes mengimbas rangkaian yang terdiri daripada lebih daripada 100 komputer, penggunaan pengimbas kerentanan aktif membawa kepada aliran maklumat di mana ia mudah dikelirukan dan tidak mengambil langkah yang perlu tepat pada masanya.
Untuk rangkaian dengan sistem pengesanan pencerobohan terpasang (IDS), adalah perlu untuk menggunakan gabungan pengimbas aktif dan pasif, diikuti dengan korelasi peristiwa daripada semua komponen perlindungan untuk mengurangkan mesej penggera.
Sesetengah syarikat memilih untuk tidak menghabiskan masa pada pengimbasan aktif sama sekali, sebaliknya melindungi sistem individu dengan tembok api dan/atau sistem pengesanan pencerobohan. Sebaliknya, proses pengurusan konfigurasi/kelemahan yang lebih baik menghapuskan keperluan untuk pengimbasan biasa dan juga sistem perlindungan pencerobohan.
Syarikat kecil mungkin mendapat manfaat daripada pemasangan tampalan automatik yang terbina dalam pengimbas, tetapi syarikat besar akan memilih sistem pengurusan khusus seperti IBM Tivoli, Criston Precision, CA Unicenter.
Syarikat yang mempunyai profesional keselamatan pada kakitangan akan membuat kaitan dengan salah satu daripada pakej percuma dengan keupayaan untuk menambah semakan anda sendiri dan membuat pengubahsuaian.
Pada masa yang sama, penggunaan pakej berkuasa oleh bukan pakar boleh membawa kepada keputusan negatif tanpa meningkatkan tahap keselamatan. Bagi syarikat tersebut, audit berkala dijalankan oleh syarikat luar, atau bahkan penyumberan luar sistem keselamatan mereka akan menghasilkan pulangan yang lebih besar.
Ini semua adalah contoh sahaja dan bukan cadangan yang ketat. Cuba bangunkan kriteria anda sendiri yang paling sesuai dengan persekitaran anda. Banyak produk mempunyai ciri tertentu yang mungkin penting atau tidak penting kepada anda. Buat pilihan anda berdasarkan prestasi, fungsi dan kos setiap produk.
Bahagian ini menerangkan kaedah yang dicadangkan untuk mengesan kelemahan aplikasi web berdasarkan pemantauan kelakuan aplikasi web.
Aplikasi kaedah
Seperti yang dinyatakan dalam Pengenalan, alat pengesanan kerentanan sedia ada menggunakan kaedah kotak putih dan kotak hitam. Dalam kes pertama, kod sumber dianalisis dan / atau fail konfigurasi aplikasi web. Bahagian kod yang berpotensi mengandungi kelemahan atau tetapan konfigurasi yang tidak selamat dikenal pasti. Dalam kes kedua, carian untuk kelemahan dijalankan "dari luar" - Permintaan HTTP dihantar ke aplikasi web dan respons dianalisis. Dalam kes ini, tugas timbul untuk mengenal pasti struktur aplikasi web, menentukan jenis pelayan dan membina set ujian permintaan HTTP dan analisis tindak balas HTTP seterusnya. Tetapi alatan ini tidak mengawal gelagat aplikasi web dalam erti kata yang ditakrifkan dalam Bahagian 3, manakala kelemahan yang tidak dapat dikesan boleh menampakkan diri dengan tepat dalam akses kepada objek persekitaran. Kaedah yang dicadangkan untuk mengesan kelemahan melibatkan membandingkan trafik HTTP masuk dengan kerja dalaman aplikasi web. Kaedah ini direka bentuk untuk mengesan kelemahan yang membawa kepada operasi aplikasi web pada objek persekitaran yang tidak boleh diterima dari sudut pandangan profil tingkah laku biasa dan/atau perubahan dalam nilai operasi yang boleh diterima.
Kaedah ini direka untuk mengesan kelemahan dalam bilangan arbitrari aplikasi web. Diandaikan bahawa kawalan tingkah laku akan dilaksanakan untuk semua aplikasi web yang maklumat tingkah lakunya boleh diakses alat, melaksanakan kaedah. Untuk setiap aplikasi web, profil tingkah laku biasa disusun. Tingkah laku semasa dibandingkan dengan yang diterangkan dalam profil tingkah laku biasa dan sekiranya berlaku penyelewengan, anomali direkodkan dan kelemahan diandaikan. Ia bertujuan supaya profil tingkah laku biasa disimpan sebagai fail atau entri pangkalan data untuk membolehkan perkongsian profil oleh beberapa alat pengesanan kerentanan berdasarkan kaedah biasa. Skim storan profil ini juga membenarkan proses selari membina profil tingkah laku biasa dan mengesan kelemahan berdasarkan profil yang dihasilkan.
Teknologi analisis keselamatan
Teknologi analisis keselamatan ialah satu set kaedah untuk mengesan kelemahan teknologi dan operasi dalam perisian AS. Teknologi ini dilaksanakan menggunakan sistem penilaian keselamatan atau pengimbas keselamatan, yang merupakan perisian khusus. Mari kita lihat dengan lebih dekat kaedah pengesanan kelemahan teknologi dan operasi dan menganalisis kemungkinan menggunakan alat sedia ada yang melaksanakan kaedah ini untuk mengenal pasti kelemahan perisian nod GSPD dan NCC. Pengenalpastian dan penghapusan tepat pada masanya kelemahan teknologi dan operasi yang dikesan dalam perisian GSPD dan nod NCC akan menghalang jenis VN berikut:
VN bertujuan untuk mendapatkan data mengenai sumber data dan infrastruktur sistem kawalan pusat dan nod GSPD;
VN bertujuan untuk mengganggu prestasi sistem kawalan pusat dan unit GPS;
VN bertujuan untuk mengaktifkan "penanda halaman" yang dilaksanakan dalam perisian nod GSPD dan NCC.
Proses mengenal pasti kelemahan teknologi dalam perisian AS boleh dijalankan menggunakan salah satu kaedah berikut:
Secara analisis teks sumber perisian AC;
Dengan bantuan kod boleh laku perisian AC;
Dengan mensimulasikan VN pada perisian AC.
Pengesanan kelemahan teknologi dalam perisian AS dengan menganalisis teks sumber Perisian, sebagai peraturan, dijalankan dengan merangka algoritma untuk program dan kemudian menyemak ketepatannya. Algoritma pengendalian program AS boleh disediakan dalam bentuk rajah blok atau diformalkan menggunakan pelbagai alat matematik. Contohnya, sistem pengesanan kelemahan ASTMA (Assembler - Tensor-Multiple Apparatus) dan SOTMA (Verbal Description - Tensor-Multiple Apparatus), dibangunkan di cawangan Penza Pusat Saintifik dan Teknikal Atlas, menggunakan radas matematik set tensor dalam proses menganalisis teks sumber program. Satu lagi contoh sistem analisis keselamatan jenis ini ialah penganalisis teks sumber program C dan C++ (AIST-S), dibangunkan di ZAO CBI-Service. Kelemahan utama kaedah mengesan kelemahan ini ialah kerumitan pelaksanaan praktikalnya yang tinggi, serta kekurangan metodologi yang jelas untuk menganalisis teks sumber yang akan memastikan ketiadaan kelemahan dalam kod perisian AS yang dianalisis.
Kemudahan sedia ada alat analisis keselamatan yang melaksanakan kaedah menganalisis kod sumber perisian tidak boleh digunakan untuk mengesan kelemahan teknologi dalam perisian nod GSPD dan NCC, kerana sebahagian besar kod sumber perisian nod GSPD dan NCC "ditutup", iaitu, harta intelek pengeluar perisian, dan tidak tertakluk kepada pengedaran di luar syarikat pembangunan. Prosedur pembongkaran, yang boleh digunakan untuk mendapatkan kod sumber perisian GSPD dan nod NCC daripada modul program boleh laku, tidak dapat menjamin dengan jelas bahawa kod sumber yang diperoleh hasil daripada prosedur ini sepadan dengan program yang dibongkar. Ini disebabkan oleh fakta bahawa semasa proses pembongkaran tidak selalu mungkin untuk menentukan perbezaan antara arahan boleh laku dan data program.
Pengesanan kelemahan teknologi dalam perisian AS menggunakan analisis kod boleh laku Perisian dilaksanakan dengan menjalankan program AC dalam persekitaran ujian, yang menyemak pelaksanaan program ini yang betul. Semasa pelaksanaan program, beberapa pertanyaan dijana untuknya, selepas itu reaksi program yang sedang diuji dianalisis, i.e. bagaimana kod boleh laku program mempengaruhi keadaan persekitaran ujian. Jika, sebagai hasil daripada permintaan yang dijana, persekitaran ujian masuk ke dalam keadaan tidak selamat, membawa, sebagai contoh, kepada kerosakan sistem, maka kesimpulan dibuat tentang kehadiran beberapa kelemahan dalam program yang sedang diuji. Kaedah mengesan kelemahan ini memungkinkan untuk mengenal pasti beberapa ralat yang diperkenalkan pada peringkat teknologi, contohnya, ralat yang membawa kepada limpahan penampan, ralat dalam akses memori yang salah, melampaui sempadan tatasusunan data, dll. Kelemahan utama kaedah yang dipertimbangkan ialah kekurangan jaminan untuk mengesan semua kelemahan teknologi perisian AS, kerana tidak mungkin untuk mensimulasikan semua kemungkinan keadaan persekitaran di mana program AS dilaksanakan. Contoh pelaksanaan praktikal kaedah yang diterangkan untuk mengesan kelemahan teknologi ialah pakej perisian ujian, dibangunkan di pusat keselamatan maklumat khusus Universiti Teknikal Negeri St. Petersburg.
Alat sedia ada untuk mengesan kelemahan teknologi dengan menganalisis kod boleh laku hanya boleh digunakan untuk menganalisis keselamatan perisian NCC, kerana ia berdasarkan sistem pengendalian standard seperti Windows dan UNIX. Pada masa ini, dalam pasaran keselamatan maklumat domestik tiada alat untuk menganalisis keselamatan perisian nod GPSD yang menggunakan sistem pengendalian khusus (contohnya, Cisco IOS OS untuk penghala dan suis Cisco).
Kaedah terakhir untuk mengesan kelemahan teknologi adalah dengan tiruan VN pada pembesar suara dan analisis keputusan simulasi VN ini. Jika proses pemodelan VN berjaya, sistem membuat kesimpulan bahawa terdapat kelemahan dalam perisian sistem yang diuji. Contoh sistem analisis keselamatan kelas ini ialah: penganalisis kerentanan "NKVD"(LLC "Pusat Wilayah Kirov maklumat perniagaan"), sistem analisis keselamatan Pengimbas Cisco Selamat(syarikat Cisco Systems), pakej perisian analisis keselamatan Pengimbas Internet(syarikat Sistem Keselamatan Internet), pengimbas keselamatan Nessus(Nessus Project), dsb. Kelebihan kaedah mengesan kelemahan ini termasuk kesederhanaan pelaksanaannya, dan kelemahannya ialah ketidakupayaan untuk mengesan kelemahan AS yang tiada dalam pangkalan data sistem analisis keselamatan.
Alat analisis keselamatan yang dibincangkan di atas, beroperasi dengan mensimulasikan VN, boleh digunakan untuk mengenal pasti kelemahan perisian kedua-dua nod GSPD dan sistem kawalan pusat. Walau bagaimanapun, perlu diingatkan bahawa pada masa ini sistem kelas ini, yang dibentangkan pada pasaran keselamatan maklumat domestik, hanya boleh digunakan dalam GSPD yang beroperasi berdasarkan susunan protokol TCP/IP.
