Momenteel is de bescherming die door firewall en antivirus wordt geboden niet langer effectief tegen netwerkaanvallen en malware. Op de voorgrond staan ​​oplossingen van IDS/IPS-klasse die zowel bekende als onbekende bedreigingen kunnen detecteren en blokkeren.

INFO

• Over Mod_Security en GreenSQL-FW, lees het artikel “The Last Frontier”, ][_12_2010.
• Hoe je iptables leert om in een pakket te “kijken”, lees het artikel “Fire Shield”, ][_12_2010.

IDS/IPS-technologieën

Om een ​​keuze te maken tussen IDS of IPS, moet u hun werkingsprincipes en doel begrijpen. De taak van IDS (Inbraakdetectiesysteem) is dus het detecteren en registreren van aanvallen, en het waarschuwen wanneer een bepaalde regel wordt geactiveerd. Afhankelijk van het type kan IDS verschillende soorten netwerkaanvallen detecteren, pogingen tot ongeoorloofde toegang of escalatie van privileges, de opkomst van malware detecteren en de ontdekking van nieuwe aanvallen monitoren. port het. d. In tegenstelling tot een firewall die alleen sessieparameters controleert (IP, poortnummer en verbindingsstatus), “kijkt” IDS in het pakket (tot aan de zevende OSI-laag) en analyseert de verzonden gegevens. Er zijn verschillende soorten inbraakdetectiesystemen. APIDS (Application Protocol-based IDS) zijn erg populair, die monitoren beperkte lijst applicatieprotocollen voor specifieke aanvallen. Typische vertegenwoordigers van deze klasse zijn PHPIDS, dat verzoeken aan PHP-applicaties analyseert, Mod_Security, dat een webserver (Apache) beschermt, en GreenSQL-FW, dat gevaarlijke SQL-opdrachten blokkeert (zie het artikel “The Last Frontier” in [_12_2010).

Netwerk NIDS (Network Inbraakdetectiesysteem) is universeler, wat wordt bereikt dankzij de DPI-technologie (Deep Packet Inspection). Ze controleren er meer dan één specifieke toepassing, al het passerende verkeer, beginnend op kanaalniveau.

Sommige pakketfilters bieden ook de mogelijkheid om “naar binnen te kijken” en een bedreiging te blokkeren. Voorbeelden hiervan zijn de projecten OpenDPI en Fwsnort. Dit laatste is een programma voor het omzetten van de Snort-handtekeningendatabase in gelijkwaardige blokkeerregels voor iptables. Maar aanvankelijk was de firewall ontworpen voor andere taken, en de DPI-technologie is "duur" voor de engine, dus de functies voor het verwerken van extra gegevens zijn beperkt tot het blokkeren of markeren van strikt gedefinieerde protocollen. IDS markeert (waarschuwt) alleen alle verdachte acties. Om de aanvallende host te blokkeren, configureert de beheerder onafhankelijk de firewall terwijl hij de statistieken bekijkt. Uiteraard is hier geen sprake van een realtime respons. Daarom is IPS (Inbraakpreventiesysteem, aanvalspreventiesysteem) tegenwoordig interessanter. Ze zijn gebaseerd op IDS en kunnen zelfstandig het pakketfilter opnieuw opbouwen of de sessie beëindigen door een TCP RST te verzenden. Afhankelijk van het werkingsprincipe kan IPS “burst” worden geïnstalleerd of gebruik maken van mirroring van verkeer (SPAN) ontvangen van verschillende sensoren. De explosie wordt bijvoorbeeld geïnstalleerd door Hogwash Light BR, dat opereert op de OSI-laag. Zo’n systeem mag geen IP-adres hebben, waardoor het onzichtbaar blijft voor een aanvaller.

In het gewone leven is de deur niet alleen op slot, maar ook beveiligd door er een bewaker bij te laten, want alleen in dit geval kun je zeker zijn van de veiligheid. BIT als Dergelijke beveiliging wordt geboden door host-IPS (zie “Nieuwe defensieve grens” in][_08_2009), die het lokale systeem beschermt tegen virussen, rootkits en hacking. Ze worden vaak verward met antivirusprogramma's die een proactieve beveiligingsmodule hebben. Maar HIPS gebruikt in de regel geen handtekeningen, wat betekent dat ze de database niet voortdurend moeten bijwerken. Ze controleren veel meer systeemparameters: processen, integriteit systeembestanden register, vermeldingen in tijdschriften en nog veel meer.

Om de situatie volledig onder controle te houden, is het noodzakelijk gebeurtenissen zowel op netwerkniveau als op hostniveau te controleren en te correleren. Voor dit doel zijn hybride IDS gemaakt die gegevens uit verschillende bronnen verzamelen (dergelijke systemen worden vaak SIM - Security Information Management genoemd). Onder de OpenSource-projecten is Prelude Hybrid IDS een interessant project, dat gegevens verzamelt van bijna alle OpenSource IDS/IPS en het logformaat van verschillende applicaties begrijpt (ondersteuning voor dit systeem is enkele jaren geleden opgeschort; gecompileerde pakketten zijn nog steeds te vinden in de Linux- en *BSD-opslagplaatsen).

Zelfs een professional kan in de war raken door de verscheidenheid aan voorgestelde oplossingen. Vandaag ontmoeten we de meest prominente vertegenwoordigers van IDS/IPS-systemen.

Uniforme dreigingsbeheersing

Het moderne internet brengt een groot aantal bedreigingen met zich mee, dus zeer gespecialiseerde systemen zijn niet langer relevant. Het is noodzakelijk om een ​​alomvattende multifunctionele oplossing te gebruiken die alle beschermingscomponenten omvat: firewall, IDS/IPS, antivirus, proxyserver, inhoudsfilter en antispamfilter. Dergelijke apparaten worden UTM (Unified Bedreigingsbeheer, Uniforme dreigingsbeheersing). Voorbeelden van UTM zijn Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances of gespecialiseerde Linux-distributies zoals Untangle Gateway, IPCop Firewall, pfSense (lees hun recensie in het artikel “Network regulators”, ] [_01_2010 ).

Suricata

De bètaversie van deze IDS/IPS werd in januari 2010 na drie jaar ontwikkeling voor het publiek vrijgegeven. Een van de belangrijkste doelstellingen van het project is het creëren en testen van volledig nieuwe aanvalsdetectietechnologieën. Achter Suricata staat de vereniging OISF, die de steun geniet van serieuze partners, waaronder de jongens van het Amerikaanse ministerie van Binnenlandse Veiligheid. De meest relevante release van vandaag is nummer 1.1, uitgebracht in november 2011. De projectcode wordt gedistribueerd onder de GPLv2-licentie, maar financiële partners hebben toegang tot een niet-GPL-versie van de engine, die ze in hun producten kunnen gebruiken. Om maximale resultaten te bereiken, wordt bij het werk de gemeenschap betrokken, waardoor we een zeer hoog ontwikkelingstempo kunnen bereiken. Vergeleken met de vorige versie 1.0 is het codevolume in 1.1 bijvoorbeeld met 70% toegenomen. Sommige moderne IDS met een lange geschiedenis, waaronder Snort, maken niet erg effectief gebruik van multiprocessor-/multi-coresystemen, wat tot problemen leidt bij het verwerken van grote hoeveelheden gegevens. Suricata draait standaard in multi-threaded modus. Uit tests blijkt dat het zes keer sneller is dan Snort (op een systeem met 24 CPU en 128 GB RAM). Bij het bouwen met de parameter '--enable-cuda' wordt hardwareversnelling aan de GPU-kant mogelijk. IPv6 wordt in eerste instantie ondersteund (in Snort wordt het geactiveerd door de ‘—enable-ipv6’ sleutel) om verkeer te onderscheppen: LibPcap, NFQueue, IPFRing, IPFW). Over het algemeen kunt u dankzij de modulaire lay-out snel het gewenste element aansluiten om pakketten vast te leggen, te decoderen, te analyseren of te verwerken. Het blokkeren gebeurt met behulp van het standaard pakketfilter van het besturingssysteem (in Linux moet u de netlink-queue of libnfnetlink-bibliotheken installeren om de IPS-modus te activeren). De engine detecteert automatisch parseringsprotocollen (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP en SCTP), dus regels hoeven niet aan het poortnummer te worden gekoppeld (zoals Snort doet), u hoeft alleen maar stel de actie in het benodigde protocol. Ivan Ristic, de auteur van Mod_security, heeft een speciale HTP-bibliotheek gemaakt die in Suricata wordt gebruikt om HTTP-verkeer te analyseren. Ontwikkelaars streven in de eerste plaats naar detectienauwkeurigheid en het verhogen van de snelheid van regelcontrole.

De uitvoer van de resultaten is uniform, zodat u standaardhulpprogramma's kunt gebruiken om ze te analyseren. Eigenlijk werken alle back-ends, interfaces en analysers die voor Snort zijn geschreven (Barnyard, Snortsnarf, Sguil, etc.) zonder aanpassingen met Suricata. Dit is ook een groot pluspunt. HTTP-communicatie wordt gedetailleerd vastgelegd in een standaard Apache-bestandsformaat.

Het detectiemechanisme in Suricata is gebaseerd op regels. Hier hebben de ontwikkelaars nog niets uitgevonden, maar de verbinding toegestaan ​​van wielsets die voor andere projecten zijn gemaakt: Sourcefire VRT (kan worden bijgewerkt via Oinkmaster) en Emerging Threats Pro. In de eerste releases was de ondersteuning slechts gedeeltelijk en herkende en laadde de engine sommige regels niet, maar nu is dit probleem opgelost. Geïmplementeerd en eigen formaat regels, die lijkt op die van Snort. Een regel bestaat uit drie componenten: een actie (passeren, laten vallen, afwijzen of waarschuwen), een header (bron- en bestemmings-IP/poort) en een beschrijving (waar u op moet letten). De instellingen maken gebruik van variabelen (flowint-mechanisme), waardoor bijvoorbeeld tellers kunnen worden aangemaakt. In dit geval kan informatie uit de stream worden opgeslagen voor later gebruik. Deze aanpak voor het bijhouden van pogingen om wachtwoorden te raden is effectiever dan de op drempels gebaseerde aanpak van Snort. Het is de bedoeling om een ​​IP-reputatiemechanisme te creëren (zoals Cisco’s SensorBase, zie het artikel “Touch Cisco” in][_07_2011).

Samenvattend merk ik op dat Suricata een snellere engine is dan Snort, volledig compatibel met backends en in staat is om grote netwerk stroomt. Het enige nadeel van het project is echter de schaarse documentatie ervaren beheerder Het kost niets om de instellingen uit te zoeken. Installatiepakketten zijn al in de distributierepository's verschenen en duidelijke instructies voor het zelfstandig samenstellen van de broncode zijn beschikbaar op de projectwebsite. Er is een kant-en-klare distributie Smooth-sec, gebouwd op Suricata.

Samhain

Samhain is uitgebracht onder een OpenSource-licentie en is een hostgebaseerde IDS die een individuele computer beschermt. Het maakt gebruik van verschillende analysemethoden om alle gebeurtenissen die zich in het systeem voordoen volledig vast te leggen:

• het creëren van een handtekeningdatabase bij de eerste lancering belangrijke bestanden en de verdere vergelijking ervan met een ‘levend’ systeem;
• monitoring en analyse van loggegevens;
• controle van binnenkomst/uitgang in het systeem;
• monitoring van verbindingen met open netwerkpoorten;
• controle over bestanden met de geïnstalleerde SUID van verborgen processen.

Het programma kan in stealth-modus worden gestart (met behulp van een kernelmodule) wanneer kernelprocessen niet in het geheugen kunnen worden gedetecteerd. Samhain ondersteunt ook de monitoring van meerdere knooppunten met verschillende besturingssystemen, waarbij alle gebeurtenissen op hetzelfde punt worden vastgelegd. In dit geval sturen agenten die op externe knooppunten zijn geïnstalleerd alle verzamelde informatie (TCP, AES, handtekening) naar een gecodeerd kanaal naar de server (yule), die deze opslaat in een database (MySQL, PostgreSQL, Oracle). Daarnaast is de server verantwoordelijk voor het controleren van de status van clientsystemen, het distribueren van updates en configuratiebestanden. Er zijn verschillende opties geïmplementeerd voor meldingen en het verzenden van verzamelde informatie: e-mail (e-mail is ondertekend om manipulatie te voorkomen), syslog, logbestand (ondertekend), Nagios, console, enz. Het beheer kan worden uitgevoerd met behulp van verschillende beheerders met duidelijk gedefinieerde rollen .

Het pakket is beschikbaar in bijna alle repositories Linux-distributies, op de projectwebsite staat een beschrijving van hoe je Samhain op Windows installeert.

StoneGate inbraakpreventiesysteem

Deze oplossing is ontwikkeld door een Fins bedrijf dat producten maakt bedrijfsklasse in de bol netwerk veiligheid. Het implementeert alle populaire functies: IPS, bescherming tegen DDoS- en 0day-aanvallen, webfiltering, ondersteuning voor gecodeerd verkeer, enz. Met StoneGate IPS kunt u virussen, spyware en bepaalde applicaties (P2P, IM, enz.) blokkeren. Voor webfiltering wordt een voortdurend bijgewerkte database van sites gebruikt, onderverdeeld in verschillende categorieën. Er wordt bijzondere aandacht besteed aan het beschermen van de bypass van AET-veiligheidssystemen (Advanced Evasion Techniques). Dankzij de transparante toegangscontroletechnologie kunt u een bedrijfsnetwerk opsplitsen in verschillende virtuele segmenten zonder de echte topologie te veranderen, en voor elk afzonderlijk beveiligingsbeleid instellen. Verkeersinspectiebeleid wordt geconfigureerd met behulp van sjablonen met standaardregels. Dit beleid wordt offline gemaakt. De beheerder verifieert het gemaakte beleid en downloadt dit naar de externe IPS-hosts. Soortgelijke gebeurtenissen in StoneGate IPS worden verwerkt volgens het principe dat wordt gebruikt in SIM/SIEM-systemen, wat de analyse enorm vergemakkelijkt. Verschillende apparaten kunnen eenvoudig worden gecombineerd tot een cluster en worden geïntegreerd met andere StoneSoft-oplossingen - StoneGate Firewall/VPN en StoneGate SSL VPN. Het beheer wordt verzorgd door één enkele beheerconsole (StoneGate Management Center), bestaande uit drie componenten: Management Server, Log Server en beheer Cliënt. Met de console kunt u niet alleen de werking van IPS configureren en nieuwe regels en beleid maken, maar ook logboeken controleren en bekijken. Het is geschreven in Java, dus er zijn versies beschikbaar voor Windows en Linux.

StoneGate IPS wordt zowel als hardwarepakket geleverd en in de vorm VMware-afbeelding. Dit laatste is bedoeld voor installatie op eigen apparatuur of in een virtuele infrastructuur. Trouwens, in tegenstelling tot de makers van veel vergelijkbare oplossingen, staat het ontwikkelingsbedrijf je toe om te downloaden testversie afbeelding.

IBM Security Network Inbraakpreventiesysteem

Het aanvalspreventiesysteem van IBM maakt gebruik van gepatenteerde protocolanalysetechnologie die proactieve bescherming biedt tegen 0day-bedreigingen. Zoals alle producten in de IBM Security-serie is het gebaseerd op een protocolanalysemodule - PAM (Protocol Analysis Module), die de traditionele handtekeningmethode voor aanvalsdetectie (Proventia OpenSignature) combineert met een gedragsanalysator. Tegelijkertijd maakt PAM onderscheid tussen 218 protocollen op applicatieniveau (aanvallen via VoIP, RPC, HTTP, enz.) en dataformaten zoals DOC, XLS, PDF, ANI, JPG om te voorspellen waar kwaadaardige code kan worden ingebed. Er worden meer dan 3.000 algoritmen gebruikt om het verkeer te analyseren, waarvan er 200 DoS ‘vangen’. Met firewallfuncties kunt u de toegang beperken tot slechts bepaalde personen poorten en IP, waardoor er geen extra apparaat nodig is. Virtual Patch-technologie blokkeert virussen terwijl ze zich verspreiden en beschermt computers totdat er een update wordt geïnstalleerd die een kritieke kwetsbaarheid verhelpt. Indien nodig kan de beheerder zelf een handtekening aanmaken en gebruiken. Met de applicatiecontrolemodule kunt u P2P-, IM-, ActiveX-elementen, VPN-tools enz. beheren en indien nodig blokkeren. Implementatie van een DLP-module die transmissiepogingen monitort vertrouwelijke informatie en verplaatsing van gegevens binnen het beschermde netwerk, waardoor u risico's kunt inschatten en lekken kunt blokkeren. Standaard worden acht soorten gegevens herkend (creditcardnummers, telefoonnummers...), de rest van de organisatiespecifieke informatie stelt de beheerder zelfstandig in met behulp van normale uitdrukkingen. Momenteel komen de meeste kwetsbaarheden voor in webapplicaties, dus het IBM-product bevat een speciale Web Application Security-module die systemen beschermt tegen veel voorkomende soorten aanvallen: SQL-injectie, LDAP-injectie, XSS, JSON-kaping, PHP-bestandsincluders, CSRF, enz. . .D.

Er zijn verschillende actiemogelijkheden wanneer een aanval wordt gedetecteerd: het blokkeren van de host, het verzenden van een waarschuwing, het opnemen van het aanvalsverkeer (naar een bestand dat compatibel is met tcpdump), het in quarantaine plaatsen van de host, het uitvoeren van een door de gebruiker configureerbare actie en enkele andere. Beleid wordt opgeschreven voor elke poort, IP-adres of VLAN-zone. Hoge modus Beschikbaarheid zorgt ervoor dat als een van de verschillende IPS-apparaten op het netwerk uitvalt, het verkeer via een ander apparaat stroomt en dat bestaande verbindingen niet worden onderbroken. Alle subsystemen binnen de hardware - RAID, voeding, koelventilator - zijn gedupliceerd. Instellen via de webconsole is zo eenvoudig mogelijk (trainingen duren slechts één dag). Als u meerdere apparaten heeft, koopt u doorgaans IBM Security SiteProtector, dat gecentraliseerd beheer, loganalyse en rapportage biedt.

McAfee Netwerkbeveiligingsplatform 7

IntruShield IPS, geproduceerd door McAfee, was ooit een van de populaire IPS-oplossingen. Nu is McAfee Network Security Platform 7 (NSP) op basis daarvan ontwikkeld. Naast alle functies van de klassieke NIPS Nieuw product hebben tools ontvangen voor het analyseren van pakketten die binnen het interne bedrijfsnetwerk worden verzonden, wat helpt bij het detecteren van kwaadaardig verkeer dat door geïnfecteerde computers wordt geïnitieerd. McAfee maakt gebruik van Global Threat Intelligence-technologie, die informatie verzamelt van honderdduizenden sensoren die over de hele wereld zijn geïnstalleerd en de reputatie evalueert van alle unieke bestanden, IP- en URL-adressen en protocollen die passeren. Hierdoor kan NSP botnetverkeer detecteren, 0-day-bedreigingen en DDoS-aanvallen identificeren, en de brede dekking van de aanval verkleint de kans op valse positieven.

Niet elke IDS/IPS kan in de omgeving werken virtuele machines, omdat alle uitwisseling plaatsvindt via interne interfaces. Maar NSP heeft hier geen problemen mee, het kan verkeer analyseren tussen VM’s, maar ook tussen VM’s en de fysieke host. Om knooppunten te monitoren wordt een agentmodule van Reflex Systems gebruikt, die verkeersinformatie in de VM verzamelt en voor analyse naar de fysieke omgeving verzendt.

De engine onderscheidt ruim 1100 applicaties die op de zevende OSI-laag draaien. Het scant het verkeer met behulp van een inhoudanalyse-engine en biedt eenvoudige hulpmiddelen beheer.

Naast NIPS brengt McAfee host IPS uit: Host Inbraakpreventie voor desktop, dat voorziet in uitgebreide bescherming PC, met behulp van methoden voor het detecteren van bedreigingen, zoals het analyseren van gedrag en handtekeningen, het monitoren van de status van verbindingen met behulp van een firewall en het beoordelen van de reputatie om aanvallen te blokkeren.

Waar IDS/IPS implementeren?

Om het maximale uit IDS/IPS te halen, dient u zich aan de volgende aanbevelingen te houden:

• Het systeem moet worden ingezet bij de ingang van een beveiligd netwerk of subnet en meestal achter een firewall (het heeft geen zin om verkeer te controleren dat wordt geblokkeerd) - op deze manier verminderen we de belasting. In sommige gevallen worden sensoren in het segment geïnstalleerd.
• Voordat u de IPS-functie activeert, moet u het systeem enige tijd laten draaien in een modus die IDS niet blokkeert. In de toekomst zullen de regels periodiek aangepast moeten worden.
• De meeste IPS-instellingen zijn gebaseerd op typische netwerken. In bepaalde gevallen kunnen ze ineffectief blijken te zijn, dus is het noodzakelijk om het IP-adres van de interne subnetten en de gebruikte applicaties (poorten) te specificeren. Dit zal het stuk hardware helpen beter te begrijpen waar het mee te maken heeft.
• Als een IPS-systeem "exploderend" wordt geïnstalleerd, is het noodzakelijk om de prestaties ervan te controleren, anders kan het falen van het apparaat gemakkelijk het hele netwerk lamleggen.

Conclusie

Wij zullen de winnaars niet bepalen. De keuze in elk specifiek geval hangt af van het budget, de netwerktopologie, de vereiste beveiligingsfuncties, de wens van de beheerder om aan instellingen te sleutelen en uiteraard de risico’s. Commerciële oplossingen krijgen ondersteuning en worden voorzien van certificaten, waardoor deze oplossingen kunnen worden gebruikt bij organisaties die zich onder andere bezighouden met de verwerking van persoonsgegevens. Snort wordt gedistribueerd onder een OpenSource-licentie en is goed gedocumenteerd en beschikt over voldoende grote basis en een goed trackrecord waar veel vraag naar is onder systeembeheerders. Een compatibele Suricata-image kan een netwerk met veel verkeer beschermen en is, belangrijker nog, helemaal gratis.

Inbraakdetecties zijn software- of hardwaretools voor het detecteren van aanvallen en kwaadaardige acties. Ze helpen netwerken en computersystemen op de juiste manier terug te vechten. Om dit doel te bereiken verzamelt IDS informatie uit talrijke systeem- of netwerkbronnen. De IDS analyseert het vervolgens op aanvallen. Dit artikel zal proberen de vraag te beantwoorden: "IDS - wat is het en waar is het voor?"

Waar zijn inbraakdetectiesystemen (IDS) voor?

Informatiesystemen en netwerken zijn voortdurend onderhevig aan cyberaanvallen. Firewalls en antivirussen zijn duidelijk niet voldoende om al deze aanvallen af ​​te weren, omdat ze alleen de “voordeur” van computersystemen en netwerken kunnen beschermen. Verschillende tieners die zich voorstellen dat ze hackers zijn, struinen voortdurend het internet af op zoek naar scheuren in beveiligingssystemen.

Dankzij het World Wide Web hebben ze veel volledig gratis kwaadaardige software tot hun beschikking - allerlei soorten slammers, oogkleppen en dergelijke malware. Concurrerende bedrijven maken gebruik van de diensten van professionele hackers om elkaar te neutraliseren. Systemen die inbraak detecteren (inbraakdetectiesystemen) zijn dus dringend nodig. Het is geen verrassing dat ze elke dag op grotere schaal worden gebruikt.

IDS-elementen

IDS-elementen zijn onder meer:

• detectorsubsysteem, waarvan het doel de accumulatie van netwerk- of computersysteemgebeurtenissen is;
• een analysesubsysteem dat cyberaanvallen en twijfelachtige activiteiten detecteert;
• opslag voor het opslaan van informatie over gebeurtenissen, evenals de resultaten van analyse van cyberaanvallen en ongeoorloofde acties;
• een beheerconsole waarmee u IDS-parameters kunt instellen, de status van het netwerk (of computersysteem) kunt controleren en toegang hebt tot informatie over aanvallen en illegale acties die door het analysesubsysteem zijn gedetecteerd.

Velen zullen zich trouwens afvragen: “Hoe wordt IDS vertaald?” De vertaling uit het Engels klinkt als “een systeem dat ongenode gasten op heterdaad betrapt.”

De belangrijkste taken die inbraakdetectiesystemen oplossen

Een inbraakdetectiesysteem heeft twee hoofdtaken: analyseren en adequaat reageren op basis van de resultaten van deze analyse. Om deze taken uit te voeren, voert het IDS-systeem de volgende acties uit:

• bewaakt en analyseert gebruikersactiviteit;
• controleert de systeemconfiguratie en de zwakke punten ervan;
• controleert de integriteit van kritieke systeembestanden, evenals gegevensbestanden;
• voert een statistische analyse uit van systeemtoestanden op basis van vergelijking met de toestanden die plaatsvonden tijdens reeds bekende aanvallen;
• voert audit uit besturingssysteem.

Wat een inbraakdetectiesysteem kan bieden en wat het niet kan

Met zijn hulp kunt u het volgende bereiken:

• integriteitsparameters verbeteren;
• de activiteit van de gebruiker volgen vanaf het moment dat hij inlogt op het systeem tot het moment dat hij het systeem schade toebrengt of ongeoorloofde acties uitvoert;
• het herkennen van en informeren over wijzigingen of verwijdering van gegevens;
• automatiseer taken voor internetmonitoring om de nieuwste aanvallen te vinden;
• fouten in de systeemconfiguratie identificeren;
• het begin van een aanval detecteren en hiervan op de hoogte stellen.

Het IDS-systeem kan dit niet doen:

• tekortkomingen in netwerkprotocollen opvullen;
• een compenserende rol spelen bij zwakke identificatie- en authenticatiemechanismen in de netwerken of computersystemen die zij monitoren;
• Er moet ook worden opgemerkt dat IDS niet altijd opgewassen is tegen de problemen die gepaard gaan met aanvallen op pakketniveau.

IPS (inbraakpreventiesysteem) - voortzetting van IDS

IPS staat voor Inbraakpreventie Systeem. Dit zijn geavanceerde, meer functionele varianten van IDS. IPS IDS-systemen zijn reactief (in tegenstelling tot conventionele systemen). Dit betekent dat zij een aanval niet alleen kunnen detecteren, registreren en rapporteren, maar ook kunnen uitvoeren beschermende functies. Deze functies omvatten het opnieuw instellen van verbindingen en het blokkeren van binnenkomende verkeerspakketten. Een ander onderscheidend kenmerk van IPS is dat ze online opereren en aanvallen automatisch kunnen blokkeren.

Subtypes van IDS per monitoringmethode

NIDS (dat wil zeggen IDS die het hele netwerk monitoren) analyseren het verkeer van het hele subnet en worden centraal beheerd. Met de juiste plaatsing van meerdere NIDS kan monitoring van een vrij groot netwerk worden gerealiseerd.

Ze werken in promiscue modus (dat wil zeggen, ze controleren alle binnenkomende pakketten in plaats van dit selectief te doen), waarbij ze subnetverkeer vergelijken met bekende aanvallen uit hun bibliotheek. Wanneer een aanval wordt geïdentificeerd of ongeautoriseerde activiteit wordt gedetecteerd, wordt er een waarschuwing naar de beheerder gestuurd. Er moet echter worden vermeld dat NIDS er in een groot netwerk met veel verkeer soms niet in slaagt alle informatiepakketten te controleren. Daarom bestaat de mogelijkheid dat zij tijdens de spits de aanval niet kunnen herkennen.

NIDS (netwerkgebaseerde IDS) zijn die systemen die gemakkelijk te integreren zijn in nieuwe netwerktopologieën, omdat ze niet veel invloed hebben op hun functioneren, omdat ze passief zijn. Ze registreren, registreren en waarschuwen alleen, in tegenstelling tot het reactieve type IPS-systemen dat hierboven is besproken. Over netwerkgebaseerde IDS moet echter ook gezegd worden dat dit systemen zijn die geen gecodeerde informatie kunnen analyseren. Dit is een aanzienlijk nadeel omdat, als gevolg van de toenemende acceptatie van virtuele particuliere netwerken (VPN's), gecodeerde informatie steeds vaker door cybercriminelen wordt gebruikt voor aanvallen.

De NIDS kan ook niet vaststellen wat er als gevolg van de aanval is gebeurd, of deze schade heeft veroorzaakt of niet. Het enige wat ze kunnen doen is het begin vastleggen. Daarom is de beheerder gedwongen om elk aanvalsgeval onafhankelijk te controleren om er zeker van te zijn dat de aanvallers hun doel hebben bereikt. Een ander belangrijk probleem is dat NIDS moeite heeft met het detecteren van aanvallen waarbij gebruik wordt gemaakt van gefragmenteerde pakketten. Ze zijn vooral gevaarlijk omdat ze de normale werking van de NIDS kunnen verstoren. Wat dit voor een heel netwerk of computersysteem zou kunnen betekenen, hoeft niet uitgelegd te worden.

HIDS (host-inbraakdetectiesysteem)

HIDS (host-monitoring IDS) bedient alleen een specifieke computer. Dit zorgt uiteraard voor een veel hogere efficiëntie. HIDS analyseert twee soorten informatie: systeemlogboeken en auditresultaten van het besturingssysteem. Ze maken een momentopname van systeembestanden en vergelijken deze met een eerdere momentopname. Als bestanden die cruciaal zijn voor het systeem zijn gewijzigd of verwijderd, wordt er een alarm verzonden naar de beheerder.

Een belangrijk voordeel van HIDS is de mogelijkheid om zijn werk uit te voeren in situaties waarin netwerkverkeer kan worden gecodeerd. Dit is mogelijk vanwege het feit dat op de host gebaseerde informatiebronnen kunnen worden gecreëerd voordat de gegevens kunnen worden gecodeerd, of nadat deze op de bestemmingshost zijn gedecodeerd.

De nadelen van dit systeem zijn onder meer de mogelijkheid om het te blokkeren of zelfs te verbieden bepaalde types DoS-aanvallen. Het probleem hier is dat de sensoren en een deel van de HIDS-analyses zich op de host bevinden die wordt aangevallen, wat betekent dat zij ook worden aangevallen. Het feit dat HIDS de middelen gebruikt van de hosts wiens werk ze monitoren, is ook moeilijk een pluspunt te noemen, omdat dit uiteraard hun prestaties vermindert.

IDS-subtypen gebaseerd op aanvalsdetectiemethoden

Anomaliemethode, handtekeninganalysemethode en beleidsmethode - dit zijn de subtypes van aanvalsdetectiemethoden waarover het IDS-systeem beschikt.

Handtekeninganalysemethode

In dit geval worden datapakketten gecontroleerd op aanvalssignaturen. Een aanvalssignatuur is een gebeurtenis die overeenkomt met een van de patronen die een bekende aanval beschrijven. Deze methode is behoorlijk effectief omdat het het aantal meldingen van valse aanvallen vermindert.

Anomalie methode

Het detecteert illegale activiteiten op het netwerk en op hosts. Gebaseerd op geschiedenis normale operatie host en netwerk, met gegevens hierover worden speciale profielen aangemaakt. Dan komen speciale detectoren in actie en analyseren de gebeurtenissen. Met hulp verschillende algoritmen zij analyseren deze gebeurtenissen door ze te vergelijken met de ‘norm’ in de profielen. De afwezigheid van de noodzaak om een ​​groot aantal aanvalssignaturen te verzamelen is een duidelijk voordeel van deze methode. Een aanzienlijk aantal valse signalen over aanvallen tijdens atypische, maar volledig legale gebeurtenissen op het netwerk is echter ongetwijfeld een nadeel.

Beleidsmethode

Een andere methode om aanvallen te detecteren is de beleidsmethode. De essentie ervan is het creëren van netwerkbeveiligingsregels, die bijvoorbeeld het principe van interactie tussen netwerken en de gebruikte protocollen kunnen aangeven. Deze methode is veelbelovend, maar de moeilijkheid ligt in het tamelijk ingewikkelde proces van het creëren van een beleidsbasis.

ID Systems biedt betrouwbare bescherming voor uw netwerken en computersystemen

De bedrijvengroep ID Systems is vandaag de dag een van de marktleiders op het gebied van het creëren van beveiligingssystemen voor computernetwerken. Het biedt u betrouwbare bescherming tegen cyberschurken. Met de beveiligingssystemen van ID Systems hoeft u zich geen zorgen te maken over uw belangrijke gegevens. Hierdoor kun je meer van het leven genieten omdat je minder zorgen in je hoofd hebt.

ID Systems - beoordelingen van medewerkers

Een geweldig team, en het belangrijkste is natuurlijk de juiste houding van het management van het bedrijf ten opzichte van zijn werknemers. Iedereen (zelfs beginnende beginners) heeft de mogelijkheid om professioneel te groeien. Toegegeven, hiervoor moet je jezelf natuurlijk bewijzen, en dan komt alles goed.

Er heerst een gezonde sfeer binnen het team. Beginners zullen altijd alles geleerd en alles getoond worden. Er is geen sprake van ongezonde concurrentie. Medewerkers die al vele jaren bij het bedrijf werken, delen graag alle technische details. Ze beantwoorden de meest domme vragen van onervaren werknemers vriendelijk, zelfs zonder een vleugje neerbuigendheid. Over het algemeen brengt werken bij ID Systems alleen maar prettige emoties met zich mee.

De houding van het management is aangenaam aangenaam. Het is ook fijn dat ze hier duidelijk weten hoe ze met personeel moeten werken, want het team is werkelijk zeer professioneel. De mening van medewerkers is vrijwel duidelijk: zij voelen zich thuis op het werk.

Tegenwoordig zijn inbraakdetectie- en -preventiesystemen (IDS/IPS, Inbraakdetectiesysteem / Inbraakpreventiesysteem, soortgelijke Russische term - SOV/SOA) - noodzakelijk onderdeel bescherming tegen netwerkaanvallen. Het belangrijkste doel van dergelijke systemen is het identificeren van gevallen van ongeoorloofde toegang tot het bedrijfsnetwerk en het nemen van passende tegenmaatregelen: het informeren van inover het feit van inbraak, het verbreken van de verbinding en het opnieuw configureren van de firewall om verdere acties aanvaller, d.w.z. bescherming tegen aanvallen van hackers En malware.

Algemene beschrijving van de technologie

Er zijn verschillende IDS-technologieën die verschillen in de soorten gedetecteerde gebeurtenissen en de methodologie die wordt gebruikt om incidenten te identificeren. Naast monitoring- en gebeurtenisanalysefuncties om incidenten te identificeren, voeren alle typen IDS de volgende functies uit:

• Informatie over gebeurtenissen vastleggen. Normaal gesproken wordt de informatie lokaal opgeslagen, maar kan naar elk gecentraliseerd logverzamelingssysteem of SIEM-systeem worden verzonden;
• Het informeren van beveiligingsbeheerders over. Dit type melding wordt alert genoemd en kan via verschillende kanalen worden uitgevoerd: e-mail, SNMP-traps, berichten systeemlog, IDS-systeembeheerconsole. Programmeerbare reacties met behulp van scripts zijn ook mogelijk.
• Rapporten genereren. Er worden rapporten gemaakt die alle informatie over de gevraagde gebeurtenis(sen) samenvatten.

IPS-technologie vormt een aanvulling op de IDS-technologie doordat deze niet alleen onafhankelijk een bedreiging kan identificeren, maar deze ook met succes kan blokkeren. In dit scenario is de functionaliteit van IPS veel breder dan die van IDS:

• IPS blokkeert een aanval (het beëindigen van de sessie van een gebruiker die het beveiligingsbeleid schendt, het blokkeren van de toegang tot bronnen, hosts, applicaties);
• IPS wijzigt de beschermde omgeving (configuratiewijziging netwerk apparaten om een ​​aanval te voorkomen);
• IPS verandert de inhoud van de aanval (verwijdert bijvoorbeeld uit een brief geïnfecteerd bestand en stuurt het naar de reeds gewiste ontvanger, of werkt als een proxy, analyseert inkomende verzoeken en verwijdert gegevens in de pakketheaders).

Maar naast de voor de hand liggende voordelen hebben deze systemen ook hun nadelen. IPS kan bijvoorbeeld niet altijd accuraat een informatiebeveiligingsincident identificeren, of normaal verkeer of gebruikersgedrag ten onrechte voor een incident aanzien. Bij de eerste optie is het gebruikelijk om te spreken over een vals-negatieve gebeurtenis, bij de tweede optie spreekt men van een vals-positieve gebeurtenis. Houd er rekening mee dat het onmogelijk is om het voorkomen ervan volledig te elimineren, zodat de organisatie in elk geval onafhankelijk kan beslissen welke van de twee groepen risico's moet worden geminimaliseerd of geaccepteerd.

Er zijn verschillende detectie technieken incidenten gebruik IPS-technologieën. De meeste IPS-implementaties gebruiken de som van deze technologieën om meer te bieden hoge graad detectie van bedreigingen.

1. Op handtekeningen gebaseerde aanvalsdetectie.

Een handtekening is een patroon dat een overeenkomstige aanval identificeert. Op handtekeningen gebaseerde aanvalsdetectie is het proces waarbij een handtekening wordt vergeleken met een mogelijk incident. Voorbeelden van handtekeningen zijn:

• telnet-verbinding door de “root”-gebruiker, wat een schending zou zijn van bepaald bedrijfsbeveiligingsbeleid;
• inkomende e-mail met het onderwerp “gratis afbeeldingen”, met het bijgevoegde bestand “freepics.exe”;
• besturingssysteemlogboek met code 645, wat aangeeft dat hostcontrole is uitgeschakeld.

Deze methode is zeer effectief bij het detecteren van bekende bedreigingen, maar is niet effectief tegen onbekende aanvallen (zonder handtekening).

2. Detectie van een aanval door afwijkend gedrag

Deze methode is gebaseerd op het vergelijken van de normale activiteit van gebeurtenissen met de activiteit van gebeurtenissen die afwijken van het normale niveau. IPS die deze methode gebruiken, hebben zogenaamde ‘profielen’ die het normale gedrag van gebruikers, netwerkknooppunten, verbindingen, applicaties en verkeer weerspiegelen. Deze profielen worden aangemaakt tijdens een “trainingsperiode” gedurende een bepaalde periode. Een profiel kan bijvoorbeeld op weekdagen een toename van 13% in het webverkeer registreren. In de toekomst gebruikt IPS statistische methoden bij het vergelijken van verschillende kenmerken van echte activiteit met een bepaalde drempelwaarde, wordt bij overschrijding een overeenkomstig bericht naar de beheerconsole van de beveiligingsfunctionaris verzonden. Profielen kunnen worden gemaakt op basis van vele kenmerken uit de analyse van gebruikersgedrag. Bijvoorbeeld door het aantal verzonden e-mails, het aantal mislukte pogingen om in te loggen op het systeem, het niveau van de belasting van de serverprocessor in een bepaalde periode, enz. Als gevolg hiervan kunt u met deze methode aanvallen vrij effectief blokkeren die de filtering van handtekeninganalyse omzeilden, waardoor bescherming werd geboden tegen aanvallen van hackers.

IDS/IPS-technologie in ALTELL NEO

De IDS/IPS die door ons bedrijf wordt gebruikt in de nieuwe generatie ALTELL NEO-firewalls is gebaseerd op de open Suricata-technologie, die verder wordt ontwikkeld in overeenstemming met onze taken. In tegenstelling tot IDS/IPS Snort, dat door andere ontwikkelaars wordt gebruikt, heeft het systeem dat wij gebruiken een aantal voordelen. Zo kunt u de GPU in IDS-modus gebruiken, heeft het een geavanceerdere IPS-systeem, ondersteunt multitasking (voor snellere prestaties) en nog veel meer, inclusief volledige ondersteuning voor het Snort-regelsformaat.

Het is de moeite waard om dat te overwegen correcte werking IDS/IPS vereist up-to-date handtekeningendatabases. ALTELL NEO maakt hiervoor gebruik van de open National Vulnerability Database en Bugtraq. De databases worden 2-3 keer per dag bijgewerkt, wat het mogelijk maakt om te garanderen optimaal niveau informatiebeveiliging.

Het ALTELL NEO-systeem kan in twee modi werken: inbraakdetectiemodus (IDS) en inbraakpreventiemodus (IPS). De IDS- en IPS-functies zijn ingeschakeld op de apparaatinterface die door de beheerder is geselecteerd (een of meer). Het is ook mogelijk om IPS-functies aan te roepen bij het configureren van firewallregels voor het specifieke type verkeer dat u wilt scannen. Het functionele verschil tussen IDS en IPS is dat in de IPS-modus netwerkaanvallen in realtime kunnen worden geblokkeerd.

Functionaliteit van het inbraakdetectie- en preventiesysteem in ALTELL NEO

№	Functie	Steun
1.	Detectie kwetsbaarheden (exploits) ActiveX-component
2.	Detectie van verkeer verzonden door hosts op het interne lokale netwerk, kenmerkend voor reacties na een succesvolle aanval
3.	Netwerkverkeer detecteren van botnet-opdracht- en controleservers (Bot C&C)
4.	Detecteer netwerkverkeer gerelateerd aan instant messaging-protocollen en -programma's
5.	Detectie van netwerkverkeer van gecompromitteerde netwerkknooppunten
6.	Detectie van netwerkverkeer dat naar DNS-servers wordt geleid
7.	Detectie van verkeer dat typisch is voor Denial of Service-aanvallen (DoS, Denial of Service)
8.	Detectie van netwerkverkeer van hosts op de Spamhaus Drop-lijst
9.	Detectie van netwerkverkeer van hosts die bekende aanvalsbronnen zijn, gebaseerd op de Dshield-lijst
10.	Detectie van netwerkverkeer dat typisch is voor programma's die misbruik maken van kwetsbaarheden (exploits)
11.	Detectie van verkeer geassocieerd met computerspellen
12.	Detectie van ICMP-netwerkverkeer geassocieerd met netwerkaanvallen zoals poortscannen
13.	Detectie van netwerkverkeer dat kenmerkend is voor aanvallen op IMAP-services
14.	Detecteer ongeldig netwerkverkeer dat het beveiligingsbeleid van uw organisatie schendt
15.	Detectie van netwerkverkeer dat typisch is voor kwaadaardige programma's (malware)
16.	Detectie van netwerkverkeer dat typisch is voor netwerkwormen met behulp van het NetBIOS-protocol
17 .	Detectie van netwerkverkeer, peer-to-peer programma's voor het delen van bestanden (P2P, peer-to-peer-netwerken)
18.	Detectie van netwerkactiviteit die mogelijk in strijd is met het beveiligingsbeleid van de organisatie (bijvoorbeeld VNC-verkeer of het gebruik van anonieme FTP-toegang)
19.	Detectie van verkeer dat consistent is met aanvallen op POP3-services
20.	Detectie van netwerkverkeer van Russische zakelijke netwerkhosts
21.	Detectie van aanvallen op RPC-services (remote procedure call).
22.	Netwerkverkeer van poortscanners detecteren
23.	Detectie van pakketten die assemblagecode en opdrachten op laag niveau bevatten, ook wel opdrachtcode genoemd (bijv. bufferoverflow-aanvallen)
24.	Detectie van verkeer dat consistent is met aanvallen op SMTP-services
25.	Detectie van SNMP-netwerkverkeer
26.	Ontdekking van regels voor verschillende SQL-databaseprogramma's
27.	Netwerkverkeer volgens het Telnet-protocol op een netwerk detecteren
28.	Detectie van netwerkverkeer dat typisch is voor TFTP-aanvallen (triviale FTP).
29.	Detectie van verkeer afkomstig van een afzender met behulp van Tor-netwerk om de anonimiteit te behouden
30.	Detectie van Trojaans verkeer
31.	Detectie van aanvallen op user agents
32.	Beschikbaarheid van handtekeningen van veelvoorkomende virussen (als aanvulling op de ALTELL NEO-antivirusengine)
33.	Detectie van netwerkverkeer dat kenmerkend is voor aanvallen op VoIP-diensten
34.	Detectie van kwetsbaarheden (exploits) voor webclients
35.	Detectie van aanvallen op webservers
36.	Het detecteren van SQL-injectieaanvallen
37.	Detectie van netwerkverkeer dat typisch is voor netwerkwormen
38.	Bescherming tegen aanvallen van hackers

Beveiligingsregels zijn ontwikkeld en verbeterd door de Emerging Threats-gemeenschap en zijn gebaseerd op jarenlange gecombineerde ervaring van experts op het gebied van bescherming tegen netwerkaanvallen. De regels worden automatisch bijgewerkt via een beveiligd kanaal (hiervoor moet een internetverbinding zijn geconfigureerd in ALTELL NEO). Aan elke regel wordt een prioriteit toegewezen op basis van de aanvalsklasse, op basis van gebruiksfrequentie en belang. Standaard niveaus prioriteiten - van 1 tot 3, waarbij prioriteit “1” hoog is, prioriteit “2” gemiddeld en prioriteit “3” laag.

In overeenstemming met deze prioriteiten kan een actie worden toegewezen die het ALTELL NEO inbraakdetectie- en preventiesysteem in realtime zal uitvoeren wanneer netwerkverkeer dat overeenkomt met de regelhandtekening wordt gedetecteerd. De actie zou als volgt kunnen zijn:

• Waarschuw(IDS-modus) - verkeer is toegestaan ​​en wordt doorgestuurd naar de ontvanger. Er wordt een waarschuwing naar het gebeurtenislogboek geschreven. Deze actie is de standaardactie voor alle regels;
• Druppel(IPS-modus) - pakketanalyse stopt, er wordt geen verdere vergelijking gemaakt voor naleving van de resterende regels. Het pakket wordt weggegooid en er wordt een waarschuwing naar het logboek geschreven;
• Afwijzen(IPS-modus) - in deze modus wordt het pakket verwijderd en wordt er een waarschuwing naar het logboek geschreven. In dit geval wordt een overeenkomstig bericht verzonden naar de afzender en ontvanger van het pakket;
• Doorgang(IDS- en IPS-modus) - in deze modus stopt de pakketanalyse en wordt er geen verdere vergelijking uitgevoerd voor naleving van de resterende regels. Het pakket wordt doorgestuurd naar zijn bestemming en er wordt geen waarschuwing gegenereerd.

Rapporten over verkeer dat door het ALTELL NEO inbraakdetectie- en preventiesysteem gaat, kunnen worden gegenereerd in gecentraliseerd systeem ALTELL NEO-besturingssysteem van eigen ontwerp, dat initiële gegevens (waarschuwingen) verzamelt van een of meer ALTELL NEO-apparaten.

Gratis testen

U kunt de functionaliteit van het IDS/IPS-systeem dat is ingebouwd in ALTELL NEO in de UTM-versie gratis testen door een korte aanvraag in te vullen. U kunt ook de apparaatconfiguratie selecteren ( extra geheugen, uitbreidingsmodules, softwareversie, enz.) en bereken de geschatte prijs met behulp van

Laboratoriumwerk nr._ . Real-time aanvalsdetectiesystemen.

Doel van het werk: Vertrouwd raken met de werkingsprincipes van aanvalsdetectiesystemen die in realtime werken. Installatie en configuratie echt systeem detectie van aanvallen Zwart IJS Verdediger.

BASISCONCEPTEN

Systemen en netwerken zijn doelwit van aanvallen. Er worden steeds vaker aanvallen geregistreerd op internetbronnen die gericht zijn op het schenden van bestaand beveiligingsbeleid. Beveiligingsanalysesystemen (beveiligingsscanners) onderzoeken systemen en netwerken op zoek naar problemen in hun implementatie en configuratie die tot deze schendingen leiden. Aanvaldetectiesystemen (hierna IDS-systemen, Indringing Detectie Systemen) verzamelen verschillende informatie uit verschillende bronnen en analyseren deze op verschillende schendingen van het beveiligingsbeleid. Zowel beveiligingsanalyse als aanvalsdetectie stellen organisaties in staat zichzelf te beschermen tegen verliezen als gevolg van inbreuken op de beveiliging.

IDS-systemen verzamelen informatie over het gebruik van een reeks systeem- en netwerkbronnen en analyseren vervolgens de informatie op inbraak (aanvallen die van buiten de organisatie komen) en misbruik (aanvallen die van binnen de organisatie komen). Aanvalsdetectie is het proces waarbij verdachte activiteiten worden beoordeeld die plaatsvinden op een bedrijfsnetwerk. Aanvalsdetectie wordt geïmplementeerd door analyse van besturingssysteem- en applicatielogboeken of realtime netwerkverkeer. Inbraakdetectiecomponenten op knooppunten of netwerksegmenten evalueren verschillende acties, incl. en het misbruiken van bekende kwetsbaarheden.

Er zijn verschillende classificaties IDS-systemen Eén ervan is gebaseerd op het implementatieprincipe:

gastheer-gebaseerd- detecteert aanvallen gericht op een specifiek netwerkknooppunt,

Netwerk- gebaseerd- detecteert aanvallen gericht op het gehele netwerk of netwerksegment.

Klasse systemen gastheer-gebaseerd kan worden onderverdeeld in nog drie subniveaus:

Sollicitatie IDS- detecteert aanvallen gericht op specifieke applicaties;

Besturingssysteem IDS- detecteert aanvallen gericht op het besturingssysteem;

DBMS IDS- detecteert aanvallen gericht op het DBMS.

De scheiding van de detectie van aanvallen op DBMS in een aparte categorie is te wijten aan het feit dat moderne DBMS'en de categorie van gewone applicaties al hebben verlaten en dat veel van hun kenmerken, incl. en qua complexiteit liggen ze dicht bij het besturingssysteem. De classificatie dus IDS-systemen gebaseerd op het implementatieprincipe is als volgt:

Rijst. 1. Classificatie van aanvalsdetectiesystemen volgens het implementatieprincipe

IDS-systemen voeren het volgende aantal functies uit:

Monitoring en analyse van gebruikers- en systeemactiviteit;

Systeemconfiguratie-audit;

Bewaken van de integriteit van systeembestanden en databestanden;

Herkenning van actiepatronen die bekende aanvallen weerspiegelen;

Statistische analyse van afwijkende actiepatronen.

Het is raadzaam uitspraken van bekende deskundigen op dit gebied te citeren IDS-systemen:

Marcus Ranum: IDS-systemen detecteren bekende aanvallen tijdig. Je mag niet verwachten dat dergelijke systemen momenteel onbekende aanvallen kunnen detecteren. Het probleem van het ontdekken van iets dat tot nu toe onbekend is, is erg moeilijk en grenst aan het gebied van kunstmatige intelligentie en expertsystemen. Waarschijnlijker, IDS-systemen zijn vergelijkbaar met antivirusprogramma's die worden gebruikt om naar virussen op harde schijven of netwerken te zoeken.

Lee Satterfield: Moderne aanvalsdetectiesystemen zijn in staat om de netwerk- en besturingssysteemactiviteit in realtime te monitoren, ongeautoriseerde acties te detecteren en daar automatisch op te reageren. Daarnaast, IDS-systemen kunnen huidige gebeurtenissen analyseren, rekening houdend met gebeurtenissen die al hebben plaatsgevonden, waardoor het mogelijk wordt aanvallen verspreid over de tijd te identificeren en daarmee toekomstige gebeurtenissen te voorspellen. Er kan worden verwacht dat de inbraakdetectietechnologie het bestaande beveiligingsniveau dat met ‘standaard’ middelen wordt bereikt aanzienlijk zal verbeteren door ongeoorloofde acties in realtime te beheren.

Historisch gezien werden de technologieën gebruikt om te bouwen IDS-systemen worden conventioneel in twee categorieën verdeeld: detectie van afwijkend gedrag ( anomalie detectie) en misbruikdetectie ( misbruik detectie). In de praktijk is het echter de classificatie die wordt gebruikt die rekening houdt met de principes van de praktische implementatie van dergelijke systemen: detectie van aanvallen op netwerkniveau en op hostniveau.

Netwerkgebaseerde systemen analyseren netwerkverkeer, terwijl hostgebaseerde systemen besturingssysteem- of applicatielogboeken analyseren. Elk van de klassen heeft zijn eigen voor- en nadelen. Opgemerkt moet worden dat slechts enkele IDS-systemen kunnen ondubbelzinnig worden toegewezen aan een van de genoemde klassen. Meestal omvatten ze mogelijkheden uit verschillende categorieën. Deze classificatie weerspiegelt echter belangrijkste kenmerken, een onderscheidend IDS-systeem van een ander.

Het fundamentele voordeel van netwerk IDS-systems is dat ze aanvallen identificeren voordat ze het aangevallen knooppunt bereiken. Deze systemen zijn eenvoudiger in te zetten grote netwerken, omdat ze geen installatie vereisen op de verschillende platforms die in de organisatie worden gebruikt. Daarnaast, IDS-systemen op netwerkniveau verminderen de netwerkprestaties vrijwel niet.

IDS Systemen op hostniveau zijn ontworpen om een ​​specifiek besturingssysteem uit te voeren, dat bepaalde beperkingen oplegt. Met behulp van kennis over hoe het besturingssysteem zich zou moeten gedragen, kunnen tools die met deze aanpak zijn gebouwd soms indringers detecteren die tools voor netwerkinbraakdetectie missen. Dit wordt echter vaak bereikt tegen een hoge prijs omdat de constante registratie die nodig is om dit soort detectie uit te voeren de prestaties van de beschermde host aanzienlijk vermindert. Dergelijke systemen zijn zeer processorintensief en vereisen grote hoeveelheden schijfruimte om logbestanden op te slaan, en zijn in principe niet toepasbaar op zeer kritische real-time systemen (bijvoorbeeld het dagelijkse systeem van een bank, een procescontrolesysteem, of een toezichtcontrolesysteem). Hoe dan ook, beide benaderingen kunnen worden gebruikt om uw organisatie te beschermen. Als u een of meer knooppunten wilt beschermen, dan IDS-Systemen op hostniveau kunnen een goede keuze zijn. Maar als u de meeste netwerkknooppunten van uw organisatie wilt beschermen, dan IDS-systemen op netwerkniveau zijn waarschijnlijk een betere keuze, omdat het vergroten van het aantal knooppunten in het netwerk geen invloed zal hebben op het beveiligingsniveau dat wordt bereikt met IDS-systemen. Het zal in staat zijn om extra knooppunten te beschermen zonder aanvullende configuratie, terwijl in het geval van gebruik van een systeem dat op hostniveau werkt, het op elke beschermde host moet worden geïnstalleerd en geconfigureerd. De ideale oplossing zou zijn om te gebruiken IDS- een systeem dat beide benaderingen combineert.

De technologie achter deze systemen is gebaseerd op de hypothese dat abnormaal gebruikersgedrag (dat wil zeggen een aanval of een soort vijandige actie) zich vaak manifesteert als een afwijking van normaal gedrag. Voorbeelden van afwijkend gedrag zijn: een groot aantal verbindingen in een korte tijd, hoge CPU-belasting of het gebruik van randapparatuur die normaal niet door de gebruiker wordt gebruikt. Als we het profiel van normaal gebruikersgedrag zouden kunnen beschrijven, zou elke afwijking daarvan als afwijkend gedrag kunnen worden gekarakteriseerd. Afwijkend gedrag is echter niet altijd een aanval. Bijvoorbeeld het gelijktijdig verzenden van een groot aantal verzoeken over stationactiviteit van de netwerkbeheersysteembeheerder. Veel IDS-systems identificeren dit voorbeeld als een denial-of-service-aanval (" ontkenning van dienst"). Rekening houdend met dit feit moet worden opgemerkt dat er twee extreme gevallen mogelijk zijn bij het gebruik van het systeem:

1. Detectie van afwijkend gedrag dat geen aanval is, en classificeren ervan als aanval.

2. Het missen van een aanval die niet voldoet aan de definitie van afwijkend gedrag. Deze zaak is veel gevaarlijker dan het ten onrechte classificeren van afwijkend gedrag als een aanval. Daarom worden beheerders bij het opzetten en besturingssystemen in deze categorie geconfronteerd met de volgende problemen:

Een gebruikersprofiel opbouwen. Een moeilijke en tijdrovende taak om te formaliseren, waarbij veel voorbereidend werk van de beheerder vereist is.

Het bepalen van de grenswaarden van kenmerken van gebruikersgedrag om de kans te verkleinen dat een van de bovengenoemde extreme gevallen zich voordoet.

Organisatie van het ID-systeem

Alle aanvalsdetectiesystemen kunnen worden gebouwd op basis van twee architecturen: “ autonome agent" En " agent-manager"In het eerste geval worden op elk beschermd knooppunt of netwerksegment systeemagenten geïnstalleerd, die geen informatie met elkaar kunnen uitwisselen, en ook niet centraal vanaf één console kunnen worden bestuurd. De architectuur kent deze tekortkomingen niet." agent-manager".

Hieronder vindt u een lijst met componenten die typisch zijn IDS-systeem:

1. Grafische interface . Het is onnodig om te zeggen dat zelfs een zeer krachtig en effectief hulpmiddel niet zal worden gebruikt als het geen gebruiksvriendelijke interface heeft. Afhankelijk van het besturingssysteem waaronder het werkt IDS-systeem, grafische interface moet voldoen aan de facto standaarden voor ramen En Unix.

2. Subsysteem voor componentbeheer . Met dit subsysteem kunt u verschillende componenten besturen IDS-systemen. Het beheer kan worden uitgevoerd met behulp van interne protocollen en interfaces, maar ook met behulp van reeds ontwikkelde standaarden, SNMP. Onder de term 'controle' wordt verstaan ​​het vermogen om het beveiligingsbeleid voor verschillende componenten te wijzigen IDS-systeem (bijvoorbeeld trackingmodules) en het verkrijgen van informatie uit deze componenten (bijvoorbeeld informatie over een geregistreerde aanval).

3. Subsysteem voor aanvalsdetectie . Belangrijkste onderdeel IDS- een systeem dat de informatie analyseert die wordt ontvangen van de trackingmodule. Op basis van de resultaten van de analyse kan dit subsysteem aanvallen identificeren, beslissingen nemen over reactiemogelijkheden, informatie over de aanval opslaan in een datawarehouse, etc.

4. Reactiesubsysteem . Een subsysteem dat reageert op gedetecteerde aanvallen en andere gecontroleerde gebeurtenissen.

De antwoordmogelijkheden worden hieronder in meer detail beschreven.

5. Volgmodule . Een component die zorgt voor het verzamelen van gegevens vanuit een gecontroleerde ruimte (registratie of netwerkverkeer). Verschillende fabrikanten noemen het mogelijk: sensor ( sensor), monitor ( monitor), doorvragen ( doorvragen).

Afhankelijk van de architectuur van het gebouw IDS-systemen kunnen fysiek gescheiden worden (architectuur " agent-manager") van andere componenten, d.w.z. die zich op een andere computer bevinden.

6. Kennis basis . Afhankelijk van de gebruikte methoden IDS-system, kan de kennisbank gebruikers- en computersysteemprofielen, aanvalshandtekeningen of verdachte strings bevatten die kenmerkend zijn voor ongeautoriseerde activiteit. Deze database kan door de fabrikant worden bijgewerkt IDS- het systeem, de gebruiker van het systeem, of een derde partij, bijvoorbeeld een bedrijf dat het systeem onderhoudt.

7. Gegevensopslag . Biedt opslag van gegevens die tijdens het gebruik zijn verzameld IDS-systemen.

ids-systeemreactiemethoden

Het is niet voldoende om een ​​aanval te detecteren. We moeten er ook tijdig op reageren. Bovendien blokkeert de reactie op een aanval deze niet alleen. Vaak is het nodig om een ​​aanvaller binnen te laten in het netwerk van een bedrijf om al zijn handelingen vast te leggen en deze vervolgens te gebruiken in het onderzoeksproces. Daarom gebruiken bestaande systemen een breed scala aan responsmethoden, die kunnen worden onderverdeeld in 3 categorieën: notificatie, opslag en actieve respons:

1. Kennisgeving . De eenvoudigste en meest gebruikelijke manier om te waarschuwen is het sturen van berichten naar de beveiligingsbeheerder over een aanval op de console IDS-systemen. Omdat een dergelijke console niet voor iedere medewerker die verantwoordelijk is voor de beveiliging in een organisatie kan worden geïnstalleerd, en ook in gevallen waarin deze medewerkers mogelijk niet geïnteresseerd zijn in alle beveiligingsgebeurtenissen, moeten andere meldingsmechanismen worden gebruikt. Een dergelijk mechanisme verzendt berichten via e-mail, per pager, per fax of per telefoon.

2. Behoud . De categorie ‘behoud’ omvat twee antwoordopties: het registreren van de gebeurtenis in een database en het in realtime opnieuw afspelen van de aanval.

De eerste optie is wijdverbreid in veel beveiligingssystemen.

De tweede optie is interessanter. Hiermee kan de beveiligingsbeheerder in realtime (met een bepaalde snelheid) alle acties van de aanvaller reproduceren. Hiermee kunt u niet alleen “succesvolle” aanvallen analyseren en in de toekomst voorkomen, maar kunt u de verzamelde gegevens ook gebruiken voor onderzoek.

3. Actieve reactie . Deze categorie omvat de volgende antwoordmogelijkheden: het blokkeren van het werk van de aanvaller, het beëindigen van de sessie met het aanvallende knooppunt, het beheren van netwerkapparatuur en beveiligingsmaatregelen. Deze categorie reactiemechanismen is enerzijds behoorlijk effectief, maar anderzijds moeten ze heel voorzichtig worden gebruikt, dat wil zeggen dat hun onjuiste werking kan leiden tot verstoring van het hele computersysteem.

actief proces, waarbij een hacker wordt gedetecteerd wanneer hij probeert het systeem binnen te dringen. Idealiter geeft een dergelijk systeem pas alarm als er een poging tot binnendringing wordt gedaan. Inbraakdetectie helpt bij het proactief identificeren van actieve bedreigingen via waarschuwingen en waarschuwingen dat een aanvaller informatie verzamelt die nodig is om een ​​aanval uit te voeren. In werkelijkheid is dit, zoals uit het lesmateriaal zal blijken, niet altijd het geval. Voordat we de details bespreken die verband houden met inbraakdetectie, laten we eerst definiëren wat het eigenlijk is.

Inbraakdetectiesystemen (IDS) bestaan ​​al heel lang. De eerste hiervan kunnen worden beschouwd als nachtwacht- en waakhonden. Wachters en waakhonden voerden twee taken uit: ze identificeerden verdachte acties die door iemand waren geïnitieerd en voorkwamen verdere penetratie door de aanvaller. In de regel vermeden overvallers ontmoetingen met honden en probeerden ze in de meeste gevallen gebouwen te vermijden die door honden werden bewaakt. Hetzelfde kan gezegd worden over de Nachtwacht. De overvallers wilden niet opgemerkt worden door gewapende politieagenten of bewakers die de politie zouden kunnen bellen.

Alarmen in gebouwen en auto's zijn ook een soort inbraakdetectiesysteem. Als meldingssysteem detecteert een gebeurtenis die moet worden opgemerkt (bijvoorbeeld het breken van een raam of het openen van een deur), waarna er een alarm wordt afgegeven waarbij de lampen gaan branden en inschakelen geluidssignalen, of het alarmsignaal wordt verzonden naar het bedieningspaneel van het politiebureau. De inbraakwerende functie wordt uitgevoerd door middel van een waarschuwingssticker op het raam of een bord dat voor de woning wordt geplaatst. In auto's brandt in de regel een rood lampje als het alarm is ingeschakeld, wat waarschuwt voor de actieve status van het alarmsysteem.

Al deze voorbeelden zijn gebaseerd op hetzelfde principe: detectie van elke poging om de beschermde omtrek van een object (kantoor, gebouw, auto, enz.) binnen te dringen. Bij een auto of een gebouw is de beschermingsperimeter relatief eenvoudig te bepalen. De muren van een gebouw, het hekwerk rond privé-eigendom en autodeuren en -ramen bepalen duidelijk de beschermde omtrek. Een ander kenmerk dat al deze gevallen gemeen hebben, is een duidelijk criterium van wat precies een inbraakpoging inhoudt en wat precies de beschermde perimeter inhoudt.

Als je het concept van een alarmsysteem overbrengt naar de computerwereld, krijg je het basisconcept van een inbraakdetectiesysteem. Het is noodzakelijk om te bepalen wat de veiligheidsperimeter van een computersysteem of netwerk eigenlijk is. Het is duidelijk dat de beschermingsperimeter in dit geval geen muur of hek is. De netwerkbeschermingsperimeter is een virtuele perimeter waarbinnen zich computersystemen. Deze perimeter kan worden gedefinieerd door firewalls, verbindingsscheidingspunten of desktop computers met modems. Deze perimeter kan worden uitgebreid om de thuiscomputers te bevatten van werknemers die verbinding met elkaar mogen maken, of zakenpartners die verbinding mogen maken met het netwerk. Met de komst van draadloze netwerken in zakelijke interacties breidt de beveiligingsperimeter van de organisatie zich uit naar de omvang van het draadloze netwerk.

Een inbraakalarm is ontworpen om pogingen om een ​​beschermd gebied te betreden te detecteren wanneer het gebied niet in gebruik is. Het IDS-inbraakdetectiesysteem is ontworpen om onderscheid te maken tussen geautoriseerde toegang en ongeautoriseerde toegang, wat veel moeilijker te implementeren is. Hier is een voorbeeld van een juwelierszaak met een anti-inbraakalarm. Als iemand, zelfs de winkeleigenaar, de deur opent, gaat het alarm af. De eigenaar moet dan aan het alarmbedrijf melden dat hij degene is die de winkel heeft geopend en dat alles in orde is. IDS-systeem kan daarentegen worden vergeleken met een beveiliger die alles in de gaten houdt wat er in de winkel gebeurt en ongeoorloofde handelingen (zoals het binnenbrengen van vuurwapens) signaleert. Helaas, binnen virtuele wereld"vuurwapens" blijven vaak onzichtbaar.

Het tweede punt dat moet worden overwogen, is het bepalen welke gebeurtenissen een overtreding vormen veiligheidsperimeter. Is het illegaal om actieve computers te identificeren? Wat te doen bij een bekende aanval op een systeem of netwerk? Terwijl deze vragen worden gesteld, wordt het duidelijk dat de antwoorden niet gemakkelijk te vinden zijn. Bovendien zijn ze afhankelijk van andere gebeurtenissen en van de toestand van het doelsysteem.

Typen inbraakdetectiesystemen definiëren

Er zijn twee hoofdtypen IDS: hubgebaseerd (HIDS) en netwerkgebaseerd (NIDS). Het HIDS-systeem bevindt zich op apart knooppunt en controleert op tekenen van aanvallen op een bepaald knooppunt. Het NIDS-systeem bevindt zich op een afzonderlijk systeem dat het netwerkverkeer controleert op tekenen van aanvallen op het gecontroleerde segment van het netwerk. Figuur 13.1 toont twee soorten IDS die aanwezig kunnen zijn in een netwerkomgeving.

Rijst. 13.1.

Knooppunt-ID's

Node-based IDS (HIDS) is een systeem van sensoren die naar verschillende servers in een organisatie worden geüpload en worden beheerd door een centrale coördinator. Sensoren monitoren verschillende soorten gebeurtenissen (meer over deze gebeurtenissen in de volgende sectie) en ondernemen specifieke acties op de server of verzenden meldingen. HIDS-sensoren monitoren gebeurtenissen die verband houden met de server waarop ze zijn geladen. Met de HIDS-sensor kun je bepalen of een aanval succesvol was als de aanval plaatsvond op hetzelfde platform waarop de sensor is geïnstalleerd.

Zoals later zal worden besproken, kunnen verschillende soorten HIDS-sensoren verschillende soorten inbraakdetectietaken uitvoeren. Niet elk type sensor kan in een organisatie worden gebruikt, en zelfs verschillende servers binnen dezelfde organisatie kunnen nodig zijn verschillende sensoren. Opgemerkt moet worden dat het systeem