Mifumo ya kugundua uvamizi hufanya kazi ili kuzuia mashambulizi ya ips. Jinsi mashambulizi mabaya yanavyotambuliwa. Utambuzi wa uvamizi unaozingatia saini

Kwa sasa, ulinzi unaotolewa na ngome na kingavirusi haufanyi kazi tena dhidi ya mashambulizi ya mtandao na programu hasidi. Mbele ni suluhisho za darasa la IDS/IPS ambazo zinaweza kugundua na kuzuia vitisho vinavyojulikana na visivyojulikana.

HABARI

  • Kuhusu Mod_Security na GreenSQL-FW, soma makala "The Last Frontier", ][_12_2010.
  • Jinsi ya kufundisha iptables "kuangalia" ndani ya pakiti, soma makala "Fire Shield", ][_12_2010.

Teknolojia za IDS/IPS

Ili kufanya chaguo kati ya IDS au IPS, unahitaji kuelewa kanuni na madhumuni yao ya uendeshaji. Kwa hivyo, kazi ya IDS (Mfumo wa Kugundua Kuingilia) ni kuchunguza na kusajili mashambulizi, na pia kutoa taarifa wakati sheria fulani inapoanzishwa. Kulingana na aina, IDS inaweza kugundua aina mbalimbali za mashambulizi ya mtandao, kugundua majaribio ya ufikiaji usioidhinishwa au kuongezeka kwa mapendeleo, kuibuka kwa programu hasidi, na kufuatilia ugunduzi wa programu mpya. bandari. d. Tofauti na ngome inayodhibiti vigezo vya kikao pekee (IP, nambari ya bandari na hali ya muunganisho), IDS "inaonekana" ndani ya pakiti (hadi safu ya saba ya OSI), ikichanganua data iliyopitishwa. Kuna aina kadhaa za mifumo ya kugundua kuingilia. APIDS (IDS inayotokana na itifaki ya Maombi) ni maarufu sana, ambayo hufuatilia orodha ndogo itifaki za maombi kwa mashambulizi maalum. Wawakilishi wa kawaida wa darasa hili ni PHPIDS, ambayo huchanganua maombi kwa programu za PHP, Mod_Security, ambayo hulinda seva ya wavuti (Apache), na GreenSQL-FW, ambayo huzuia amri hatari za SQL (tazama makala "The Last Frontier" katika [_12_2010).

Mtandao wa NIDS (Mfumo wa Kugundua Uingilizi wa Mtandao) ni wa ulimwengu wote zaidi, ambao unapatikana kwa shukrani kwa teknolojia ya DPI (Deep Packet Inspection). Wanadhibiti zaidi ya mmoja maombi maalum, trafiki yote inayopita, kuanzia kiwango cha kituo.

Vichungi vingine vya pakiti pia hutoa uwezo wa "kuangalia ndani" na kuzuia tishio. Mifano ni pamoja na miradi ya OpenDPI na Fwsnort. Mwisho ni mpango wa kubadilisha hifadhidata ya sahihi ya Snort kuwa sheria sawa za kuzuia kwa iptables. Lakini hapo awali firewall iliundwa kwa kazi zingine, na teknolojia ya DPI ni "ghali" kwa injini, kwa hivyo kazi za usindikaji wa data ya ziada ni mdogo kwa kuzuia au kuashiria itifaki zilizoainishwa madhubuti. IDS huripoti tu (tahadhari) vitendo vyote vya kutiliwa shaka. Ili kuzuia seva pangishi inayoshambulia, msimamizi huweka upya ngome kwa kujitegemea wakati wa kuangalia takwimu. Kwa kawaida, hakuna jibu la wakati halisi linalohusika hapa. Ndiyo maana IPS (Mfumo wa Kuzuia Kuingilia, mfumo wa kuzuia mashambulizi) inavutia zaidi leo. Zinatokana na IDS na zinaweza kuunda upya kichujio cha pakiti kwa kujitegemea au kusitisha kipindi kwa kutuma TCP RST. Kulingana na kanuni ya uendeshaji, IPS inaweza kusakinishwa "kupasuka" au kutumia kioo cha trafiki (SPAN) iliyopokelewa kutoka kwa sensorer kadhaa. Kwa mfano, mlipuko huo umewekwa na Hogwash Light BR, ambayo inafanya kazi kwenye safu ya OSI. Mfumo kama huo hauwezi kuwa na anwani ya IP, ambayo inamaanisha kuwa hauonekani kwa mshambulizi.

Katika maisha ya kawaida, mlango sio tu umefungwa, lakini pia unalindwa kwa kuacha mlinzi karibu nayo, kwa sababu tu katika kesi hii unaweza kuwa na uhakika wa usalama. BIT kama Usalama kama huo hutolewa na IPS mwenyeji (angalia "Mpaka Mpya wa ulinzi" katika][_08_2009), kulinda mfumo wa ndani dhidi ya virusi, vifaa vya mizizi na udukuzi. Mara nyingi huchanganyikiwa na antivirus ambazo zina moduli tendaji ya ulinzi. Lakini HIPS, kama sheria, haitumii saini, ambayo inamaanisha kuwa hauitaji uppdatering wa mara kwa mara wa hifadhidata. Wanadhibiti vigezo vingi zaidi vya mfumo: taratibu, uadilifu faili za mfumo usajili, maingizo ya jarida na mengi zaidi.

Ili kudhibiti hali hiyo kikamilifu, ni muhimu kudhibiti na kuunganisha matukio katika ngazi ya mtandao na katika kiwango cha mwenyeji. Kwa madhumuni haya, IDS mseto zimeundwa ambazo hukusanya data kutoka vyanzo tofauti (mifumo kama hiyo mara nyingi hujulikana kama SIM - Usimamizi wa Taarifa za Usalama). Miongoni mwa miradi ya OpenSource, inayovutia ni Prelude Hybrid IDS, ambayo hukusanya data kutoka kwa karibu IDS/IPS zote za OpenSource na kuelewa umbizo la kumbukumbu ya programu mbalimbali (msaada wa mfumo huu ulisitishwa miaka kadhaa iliyopita; vifurushi vilivyokusanywa bado vinaweza kupatikana kwenye Linux na hazina za *BSD).

Hata mtaalamu anaweza kuchanganyikiwa katika aina mbalimbali za ufumbuzi uliopendekezwa. Leo tutakutana na wawakilishi mashuhuri wa mifumo ya IDS/IPS.

Udhibiti wa Tishio Pamoja

Mtandao wa kisasa hubeba idadi kubwa ya vitisho, kwa hivyo mifumo iliyobobea sana haifai tena. Ni muhimu kutumia ufumbuzi wa kina wa kazi nyingi unaojumuisha vipengele vyote vya ulinzi: ngome, IDS/IPS, antivirus, seva ya proksi, kichujio cha maudhui na kichujio cha antispam. Vifaa kama hivyo huitwa UTM (Unified Usimamizi wa Tishio, Udhibiti wa Tishio Pamoja). Mifano ya UTM ni pamoja na Trend Micro Deep Security, Kerio Control, Soninwall Network Security, FortiGate Network Security Platforms and Appliances au ugawaji maalum wa Linux kama vile Untangle Gateway, IPCop Firewall, pfSense (soma ukaguzi wao katika makala "Vidhibiti Mtandao", ] [_01_2010 )

Suricata

Toleo la beta la IDS/IPS hii lilitolewa kwa umma Januari 2010 baada ya miaka mitatu ya maendeleo. Mojawapo ya malengo makuu ya mradi ni kuunda na kujaribu teknolojia mpya kabisa za kugundua shambulio. Nyuma ya Suricata kuna chama cha OISF, ambacho kinafurahia kuungwa mkono na washirika wa dhati, wakiwemo vijana kutoka Idara ya Usalama wa Taifa ya Marekani. Toleo linalofaa zaidi leo ni nambari 1.1, iliyotolewa mnamo Novemba 2011. Msimbo wa mradi unasambazwa chini ya leseni ya GPLv2, lakini washirika wa kifedha wanaweza kufikia toleo lisilo la GPL la injini, ambalo wanaweza kutumia katika bidhaa zao. Ili kufikia matokeo ya juu, kazi inahusisha jumuiya, ambayo inaruhusu sisi kufikia kasi ya juu sana ya maendeleo. Kwa mfano, ikilinganishwa na toleo la awali 1.0, kiasi cha kanuni katika 1.1 kiliongezeka kwa 70%. Vitambulisho vingine vya kisasa vilivyo na historia ndefu, ikiwa ni pamoja na Snort, havitumii mifumo ya multiprocessor/multi-core kwa ufanisi sana, ambayo husababisha matatizo wakati wa kuchakata kiasi kikubwa cha data. Suricata asili yake inaendeshwa katika hali ya nyuzi nyingi. Majaribio yanaonyesha kuwa ni kasi mara sita kuliko Snort (kwenye mfumo wenye 24 CPU na 128 GB ya RAM). Unapojenga kwa kigezo cha '--enable-cuda', kuongeza kasi ya maunzi kwenye upande wa GPU kunawezekana. IPv6 inaauniwa mwanzoni (katika Snort inawashwa kwa kitufe cha ‘—enable-ipv6’); miingiliano ya kawaida hutumiwa kuingilia trafiki: LibPcap, NFQueue, IPFRing, IPFW. Kwa ujumla, mpangilio wa msimu hukuruhusu kuunganisha haraka kipengee unachotaka kukamata, kuamua, kuchambua au kusindika pakiti. Kuzuia hufanywa kwa kutumia kichujio cha kawaida cha pakiti ya OS (katika Linux, ili kuamsha hali ya IPS, unahitaji kusakinisha maktaba ya netlink-foleni au libnfnetlink). Injini hutambua kiotomatiki itifaki za uchanganuzi (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP na SCTP), kwa hivyo sheria hazihitaji kuunganishwa kwa nambari ya bandari (kama Snort hufanya), unahitaji tu weka kitendo kwa itifaki inayohitajika. Ivan Ristic, mwandishi wa Mod_security, aliunda maktaba maalum ya HTP inayotumiwa huko Suricata kuchambua trafiki ya HTTP. Wasanidi kimsingi hujitahidi kufikia usahihi wa ugunduzi na kuongeza kasi ya ukaguzi wa sheria.


Matokeo ya matokeo yameunganishwa, kwa hivyo unaweza kutumia huduma za kawaida kuzichanganua. Kwa kweli, sehemu zote za nyuma, violesura na vichanganuzi vilivyoandikwa kwa Snort (Barnyard, Snortsnarf, Sguil, n.k.) hufanya kazi bila marekebisho na Suricata. Hii pia ni pamoja na kubwa. Mawasiliano ya HTTP yamewekwa kwa undani katika umbizo la kawaida la faili la Apache.

Utaratibu wa kugundua katika Suricata unategemea sheria. Hapa watengenezaji hawakuvumbua chochote bado, lakini waliruhusu uunganisho wa seti za magurudumu iliyoundwa kwa miradi mingine: Sourcefire VRT (inaweza kusasishwa kupitia Oinkmaster), na Emerging Threats Pro. Katika matoleo ya kwanza, msaada ulikuwa wa sehemu tu, na injini haikutambua na kupakia sheria fulani, lakini sasa tatizo hili limetatuliwa. Imetekelezwa na muundo mwenyewe sheria, ambayo inaonekana kama ya Snort. Sheria ina vipengele vitatu: kitendo (kupita, kuacha, kukataa au tahadhari), kichwa (chanzo na lengwa la IP/mlango) na maelezo (cha kutafuta). Mipangilio hutumia vigezo (utaratibu wa mtiririko), kuruhusu, kwa mfano, kuunda counters. Katika kesi hii, habari kutoka kwa mkondo inaweza kuhifadhiwa kwa matumizi ya baadaye. Mbinu hii ya kufuatilia majaribio ya kubahatisha nenosiri ni nzuri zaidi kuliko mbinu ya msingi ya Snort. Imepangwa kuunda utaratibu wa Sifa ya IP (kama vile SensorBase ya Cisco, angalia makala "Gusa Cisco" katika][_07_2011).

Kwa muhtasari, ninaona kuwa Suricata ni injini yenye kasi zaidi kuliko Koroma, inaendana kikamilifu na viunga vya nyuma na inaweza kuangalia kubwa. mtiririko wa mtandao. Upungufu pekee wa mradi ni nyaraka chache, ingawa msimamizi mwenye uzoefu Haina gharama yoyote kubaini mipangilio. Vifurushi vya usakinishaji tayari vimeonekana kwenye hazina za usambazaji, na maagizo wazi ya kukusanya msimbo wa chanzo kwa kujitegemea yanapatikana kwenye tovuti ya mradi. Kuna usambazaji uliotengenezwa tayari Smooth-sec, uliojengwa kwenye Suricata.


Samhain

Imetolewa chini ya leseni ya OpenSource, Samhain ni kitambulisho cha mpangishi ambacho hulinda kompyuta mahususi. Inatumia mbinu kadhaa za uchanganuzi ili kunasa kikamilifu matukio yote yanayotokea kwenye mfumo:

  • kuunda hifadhidata ya saini kwenye uzinduzi wa kwanza faili muhimu na kulinganisha kwake zaidi na mfumo wa "hai";
  • ufuatiliaji na uchambuzi wa maingizo ya kumbukumbu;
  • udhibiti wa kuingia / kutoka kwenye mfumo;
  • ufuatiliaji wa viunganisho vya kufungua bandari za mtandao;
  • udhibiti wa faili na SUID iliyosakinishwa ya michakato iliyofichwa.

Programu inaweza kuzinduliwa katika hali ya siri (kwa kutumia moduli ya kernel) wakati michakato ya kernel haiwezi kutambuliwa kwenye kumbukumbu. Samhain pia inasaidia ufuatiliaji wa nodi nyingi zinazoendesha OS tofauti, kurekodi matukio yote kwa wakati mmoja. Katika hali hii, mawakala waliosakinishwa kwenye nodi za mbali hutuma taarifa zote zilizokusanywa (TCP, AES, sahihi) kwenye chaneli iliyosimbwa kwa seva (yule), ambayo huihifadhi kwenye hifadhidata (MySQL, PostgreSQL, Oracle). Kwa kuongeza, seva inawajibika kwa kuangalia hali ya mifumo ya mteja, kusambaza sasisho na faili za usanidi. Chaguzi kadhaa zimetekelezwa kwa arifa na kutuma habari zilizokusanywa: barua-pepe (barua imesainiwa ili kuzuia kuchezewa), syslog, faili ya kumbukumbu (iliyosainiwa), Nagios, console, nk. Usimamizi unaweza kufanywa kwa kutumia wasimamizi kadhaa walio na majukumu yaliyofafanuliwa wazi. .

Kifurushi kinapatikana katika karibu hazina zote Usambazaji wa Linux, kwenye tovuti ya mradi kuna maelezo ya jinsi ya kufunga Samhain kwenye Windows.

Mfumo wa Kuzuia Uingiliaji wa StoneGate

Suluhisho hili lilitengenezwa na kampuni ya Kifini inayounda bidhaa darasa la ushirika katika nyanja usalama wa mtandao. Inatekeleza kazi zote maarufu: IPS, ulinzi dhidi ya DDoS na mashambulizi ya siku 0, uchujaji wa mtandao, usaidizi wa trafiki iliyosimbwa, nk Kwa kutumia StoneGate IPS, unaweza kuzuia virusi, spyware, programu fulani (P2P, IM, nk). Kwa uchujaji wa wavuti, hifadhidata iliyosasishwa kila mara ya tovuti zilizogawanywa katika kategoria kadhaa hutumiwa. Uangalifu hasa hulipwa ili kulinda upitaji wa mifumo ya usalama ya AET (Advanced Evasion Techniques). Teknolojia ya Udhibiti wa Ufikiaji kwa Uwazi hukuruhusu kugawa mtandao wa shirika katika sehemu kadhaa pepe bila kubadilisha topolojia halisi na kuweka sera za usalama za kibinafsi kwa kila moja yao. Sera za ukaguzi wa trafiki husanidiwa kwa kutumia violezo vyenye kanuni za kawaida. Sera hizi zimeundwa nje ya mtandao. Msimamizi huthibitisha sera zilizoundwa na kuzipakua kwa wapangishi wa mbali wa IPS. Matukio sawa katika StoneGate IPS huchakatwa kulingana na kanuni inayotumika katika mifumo ya SIM/SIEM, ambayo hurahisisha sana uchanganuzi. Vifaa kadhaa vinaweza kuunganishwa kwa urahisi kuwa kikundi na kuunganishwa na suluhisho zingine za StoneSoft - StoneGate Firewall/VPN na StoneGate SSL VPN. Usimamizi hutolewa na koni moja ya usimamizi (Kituo cha Usimamizi cha StoneGate), inayojumuisha sehemu tatu: Seva ya Usimamizi, Ingia. Seva na Usimamizi Mteja. Console inakuwezesha sio tu kusanidi uendeshaji wa IPS na kuunda sheria mpya na sera, lakini pia kufuatilia na kutazama kumbukumbu. Imeandikwa katika Java, kwa hivyo matoleo yanapatikana kwa Windows na Linux.


StoneGate IPS hutolewa kama kifurushi cha vifaa na na katika fomu Picha ya VMware. Mwisho huo umekusudiwa kusanikishwa kwenye vifaa vyako mwenyewe au katika miundombinu ya kawaida. Kwa njia, tofauti na waundaji wa ufumbuzi wengi sawa, kampuni ya maendeleo inakuwezesha kupakua toleo la mtihani picha.

Mfumo wa Kuzuia Uingiliaji wa Mtandao wa Usalama wa IBM

Mfumo wa kuzuia mashambulizi wa IBM hutumia teknolojia ya uchanganuzi wa itifaki iliyo na hati miliki ambayo hutoa ulinzi thabiti dhidi ya vitisho vya siku 0. Kama bidhaa zote katika mfululizo wa Usalama wa IBM, unatokana na moduli ya uchanganuzi wa itifaki - PAM (Moduli ya Uchanganuzi wa Itifaki), ambayo inachanganya mbinu ya kitamaduni ya sahihi ya kugundua shambulio (Proventia OpenSignature) na kichanganuzi cha tabia. Wakati huo huo, PAM hutofautisha kati ya itifaki 218 za kiwango cha programu (mashambulizi kupitia VoIP, RPC, HTTP, n.k.) na miundo ya data kama vile DOC, XLS, PDF, ANI, JPG ili kutabiri ni wapi msimbo hasidi unaweza kupachikwa. Algorithms zaidi ya 3,000 hutumiwa kuchambua trafiki, 200 kati yao "kamata" DoS. Vipengele vya Firewall hukuruhusu kuzuia ufikiaji wa watu fulani pekee bandari na IP, kuondoa hitaji la kifaa cha ziada. Teknolojia ya Virtual Patch huzuia virusi zinapoenea na kulinda kompyuta hadi sasisho linalorekebisha uwezekano wa kuathiriwa lisakinishwe. Ikiwa ni lazima, msimamizi mwenyewe anaweza kuunda na kutumia saini. Moduli ya udhibiti wa programu inakuwezesha kudhibiti vipengele vya P2P, IM, ActiveX, zana za VPN, nk na, ikiwa ni lazima, kuzizuia. Imetekeleza moduli ya DLP inayofuatilia majaribio ya usambazaji habari za siri na uhamishaji wa data ndani ya mtandao unaolindwa, ambayo hukuruhusu kutathmini hatari na kuzuia uvujaji. Kwa chaguo-msingi, aina nane za data zinatambuliwa (nambari za kadi ya mkopo, nambari za simu...), msimamizi huweka taarifa nyingine mahususi za shirika kwa kujitegemea kwa kutumia. maneno ya kawaida. Kwa sasa, udhaifu mwingi hutokea katika programu za wavuti, kwa hivyo bidhaa ya IBM inajumuisha moduli maalum ya Usalama wa Maombi ya Wavuti ambayo hulinda mifumo dhidi ya aina za kawaida za shambulio: sindano ya SQL, sindano ya LDAP, XSS, utekaji nyara wa JSON, vijumuisha faili vya PHP, CSRF, n.k. .d


Kuna chaguo kadhaa za kuchukua hatua shambulio linapogunduliwa - kuzuia mwenyeji, kutuma arifa, kurekodi trafiki ya shambulio (kwa faili inayolingana na tcpdump), kumweka karantini mwenyeji, kutekeleza kitendo kinachoweza kusanidiwa na mtumiaji, na zingine. Sera zimeandikwa kwa kila mlango, anwani ya IP au eneo la VLAN. Hali ya juu Upatikanaji huhakikisha kwamba ikiwa moja ya vifaa kadhaa vya IPS kwenye mtandao itashindwa, trafiki itapita kupitia nyingine na miunganisho iliyoanzishwa haitakatizwa. Mifumo yote ndogo ndani ya vifaa - RAID, usambazaji wa umeme, shabiki wa baridi - ni nakala. Kusanidi kwa kutumia kiweko cha wavuti ni rahisi iwezekanavyo (kozi za mafunzo hudumu siku moja tu). Ikiwa una vifaa vingi, kwa kawaida hununua IBM Security SiteProtector, ambayo hutoa usimamizi wa kati, uchambuzi wa kumbukumbu, na kuripoti.

Mfumo wa Usalama wa Mtandao wa McAfee 7

IntruShield IPS, iliyotayarishwa na McAfee, ilikuwa moja ya suluhu maarufu za IPS. Sasa Mfumo wa Usalama wa Mtandao wa McAfee 7 (NSP) umetengenezwa kwa misingi yake. Mbali na kazi zote za NIP za kawaida Bidhaa Mpya zana zilizopokea za kuchambua pakiti zinazopitishwa ndani ya mtandao wa ndani wa shirika, ambayo husaidia kugundua trafiki hasidi iliyoanzishwa na kompyuta zilizoambukizwa. McAfee hutumia teknolojia ya Global Threat Intelligence, ambayo hukusanya taarifa kutoka kwa mamia ya maelfu ya vitambuzi vilivyosakinishwa kote ulimwenguni na kutathmini sifa ya faili zote za kipekee, anwani za IP na URL na itifaki zinazopitia. Shukrani kwa hili, NSP inaweza kuchunguza trafiki ya botnet, kutambua vitisho vya siku 0 na mashambulizi ya DDoS, na chanjo pana ya mashambulizi hupunguza uwezekano wa chanya za uwongo.

Sio kila IDS/IPS inaweza kufanya kazi katika mazingira mashine virtual, kwa sababu ubadilishanaji wote unafanyika kwenye miingiliano ya ndani. Lakini NSP haina shida na hii, inaweza kuchambua trafiki kati ya VM, na pia kati ya VM na mwenyeji halisi. Ili kufuatilia nodi, moduli ya wakala kutoka kwa Mifumo ya Reflex hutumiwa, ambayo hukusanya taarifa za trafiki katika VM na kuzipeleka kwenye mazingira halisi kwa ajili ya uchambuzi.

Injini hutofautisha zaidi ya programu 1100 zinazoendesha kwenye safu ya saba ya OSI. Inachunguza trafiki kwa kutumia injini ya uchambuzi wa maudhui na hutoa zana rahisi usimamizi.

Mbali na NIPS, McAfee anatoa mwenyeji IPS - Host Intrusion Prevention for Desktop, ambayo hutoa ulinzi wa kina Kompyuta, kwa kutumia mbinu za kugundua vitisho kama vile kuchanganua tabia na saini, kufuatilia hali ya miunganisho kwa kutumia ngome, na kutathmini sifa ili kuzuia mashambulizi.

Wapi pa kupeleka IDS/IPS?

Ili kupata manufaa zaidi kutoka kwa IDS/IPS, unapaswa kuzingatia mapendekezo yafuatayo:

  • Mfumo lazima utumike kwenye mlango wa mtandao uliohifadhiwa au subnet na kwa kawaida nyuma ya firewall (hakuna uhakika katika kudhibiti trafiki ambayo itazuiwa) - kwa njia hii tutapunguza mzigo. Katika baadhi ya matukio, sensorer imewekwa ndani ya sehemu.
  • Kabla ya kuwezesha kitendakazi cha IPS, unapaswa kuendesha mfumo kwa muda katika hali ambayo haizuii IDS. Katika siku zijazo, sheria zitahitaji kurekebishwa mara kwa mara.
  • Mipangilio mingi ya IPS inategemea mitandao ya kawaida. Katika hali fulani, zinaweza kugeuka kuwa hazifanyi kazi, kwa hivyo ni muhimu kutaja IP ya subnets za ndani na programu (bandari) zinazotumiwa. Hii itasaidia kipande cha vifaa kuelewa vizuri kile kinachoshughulika nacho.
  • Ikiwa mfumo wa IPS umewekwa "kulipuka", ni muhimu kufuatilia utendaji wake, vinginevyo kushindwa kwa kifaa kunaweza kupooza mtandao mzima kwa urahisi.

Hitimisho

Hatutaamua washindi. Chaguo katika kila kesi mahususi inategemea bajeti, topolojia ya mtandao, kazi zinazohitajika za usalama, hamu ya msimamizi ya kuangalia mipangilio na, kwa kweli, hatari. Suluhu za kibiashara hupokea usaidizi na hutolewa cheti, ambacho huruhusu matumizi ya suluhu hizi katika mashirika yanayohusika, miongoni mwa mambo mengine, katika kuchakata data ya kibinafsi. Inasambazwa chini ya leseni ya OpenSource, Snort ina kumbukumbu za kutosha na ina kutosha. database kubwa na rekodi nzuri ya kuhitajika kati ya wasimamizi wa mfumo. Picha inayolingana ya Suricata inaweza kulinda mtandao na trafiki ya juu na, muhimu zaidi, ni bure kabisa.

Ugunduzi wa uvamizi ni programu au zana za maunzi kwa ajili ya kugundua mashambulizi na vitendo viovu. Wanasaidia mitandao na mifumo ya kompyuta kupigana ipasavyo. Ili kufikia lengo hili, IDS hukusanya taarifa kutoka kwa mfumo au vyanzo vingi vya mtandao. IDS kisha huichanganua kwa mashambulizi. Makala hii itajaribu kujibu swali: "IDS - ni nini na ni kwa nini?"

Mifumo ya kugundua uvamizi (IDS) ni ya nini?

Mifumo ya habari na mitandao huwa chini ya mashambulizi ya mtandao kila mara. Firewalls na antivirus ni wazi haitoshi kukataa mashambulizi haya yote, kwa kuwa wanaweza tu kulinda "mlango wa mbele" wa mifumo ya kompyuta na mitandao. Vijana mbalimbali wanaojiwazia kuwa wadukuzi mara kwa mara huvinjari mtandaoni wakitafuta nyufa katika mifumo ya usalama.

Shukrani kwa Mtandao Wote wa Ulimwenguni, wana programu nyingi hasidi zisizolipishwa - kila aina ya slammers, vipofu na kadhalika. programu hasidi. Kampuni zinazoshindana hutumia huduma za wadukuzi wa kitaalamu ili kugeuza kila mmoja. Kwa hivyo mifumo inayogundua uingiliaji (mifumo ya kugundua uingilizi) ni hitaji la dharura. Haishangazi kwamba wanazidi kutumika kila siku.

Vipengele vya IDS

Vipengele vya IDS ni pamoja na:

  • mfumo mdogo wa detector, madhumuni ambayo ni mkusanyiko wa matukio ya mtandao au mfumo wa kompyuta;
  • mfumo mdogo wa uchanganuzi ambao hugundua mashambulizi ya mtandao na shughuli zinazotiliwa shaka;
  • kuhifadhi kwa ajili ya kuhifadhi habari kuhusu matukio, pamoja na matokeo ya uchambuzi wa mashambulizi ya mtandao na vitendo visivyoidhinishwa;
  • kiweko cha usimamizi ambacho unaweza kutumia kuweka vigezo vya IDS, kufuatilia hali ya mtandao (au mfumo wa kompyuta), na kupata taarifa kuhusu mashambulizi na vitendo haramu vinavyotambuliwa na mfumo mdogo wa uchanganuzi.

Kwa njia, wengi wanaweza kuuliza: "IDS inatafsiriwaje?" Tafsiri kutoka kwa Kiingereza inaonekana kama "mfumo unaovutia wageni ambao hawajaalikwa."

Kazi kuu ambazo mifumo ya kugundua kuingilia hutatua

Mfumo wa kugundua uingilizi una kazi kuu mbili: uchambuzi na majibu ya kutosha kulingana na matokeo ya uchambuzi huu. Ili kufanya kazi hizi, mfumo wa IDS hufanya vitendo vifuatavyo:

  • hufuatilia na kuchambua shughuli za mtumiaji;
  • kukagua usanidi wa mfumo na udhaifu wake;
  • huangalia uaminifu wa faili muhimu za mfumo, pamoja na faili za data;
  • hufanya uchambuzi wa takwimu wa majimbo ya mfumo kulingana na kulinganisha na majimbo hayo yaliyotokea wakati wa mashambulizi tayari yanayojulikana;
  • hufanya ukaguzi mfumo wa uendeshaji.

Ni mfumo gani wa kugundua uingilizi unaweza kutoa na nini hauwezi

Kwa msaada wake unaweza kufikia yafuatayo:

  • kuboresha vigezo vya uadilifu;
  • fuatilia shughuli ya mtumiaji kutoka wakati anaingia kwenye mfumo hadi wakati anapoudhuru au kufanya vitendo vyovyote visivyoidhinishwa;
  • kutambua na kuarifu kuhusu mabadiliko au ufutaji wa data;
  • rekebisha kazi za ufuatiliaji wa mtandao ili kupata mashambulizi ya hivi punde;
  • kutambua makosa katika usanidi wa mfumo;
  • gundua mwanzo wa shambulio na uarifu kulihusu.

Mfumo wa IDS hauwezi kufanya hivi:

  • kujaza upungufu katika itifaki za mtandao;
  • kutekeleza jukumu la fidia katika tukio la njia dhaifu za utambuzi na uthibitishaji katika mitandao au mifumo ya kompyuta ambayo inafuatilia;
  • Inapaswa pia kuzingatiwa kuwa IDS haikabiliani kila wakati na matatizo yanayohusiana na mashambulizi ya kiwango cha pakiti.

IPS (mfumo wa kuzuia kuingilia) - kuendelea kwa IDS

IPS inasimamia Mfumo wa Kuzuia Kuingilia. Hizi ni aina za hali ya juu, zinazofanya kazi zaidi za IDS. Mifumo ya IPS IDS ni tendaji (tofauti na ile ya kawaida). Hii inamaanisha kuwa hawawezi tu kugundua, kurekodi na kuripoti shambulio, lakini pia kutekeleza kazi za kinga. Vipengele hivi ni pamoja na kuweka upya miunganisho na kuzuia pakiti za trafiki zinazoingia. Kipengele kingine cha kutofautisha cha IPS ni kwamba wanafanya kazi mtandaoni na wanaweza kuzuia mashambulizi kiotomatiki.

Aina ndogo za IDS kwa njia ya ufuatiliaji

NIDS (yaani, IDS zinazofuatilia mtandao mzima) huchanganua trafiki ya subnet nzima na inadhibitiwa na serikali kuu. Kwa uwekaji sahihi wa NIDS kadhaa, ufuatiliaji wa mtandao mkubwa unaweza kupatikana.

Wanafanya kazi katika hali ya uasherati (yaani, wao hukagua pakiti zote zinazoingia badala ya kufanya hivyo kwa kuchagua), wakilinganisha trafiki ya subnet na mashambulizi yanayojulikana kutoka kwa maktaba yao. Wakati shambulio linatambuliwa au shughuli isiyoidhinishwa imegunduliwa, tahadhari hutumwa kwa msimamizi. Hata hivyo, inapaswa kutajwa kuwa katika mtandao mkubwa na trafiki nyingi, NIDS wakati mwingine inashindwa kuangalia pakiti zote za habari. Kwa hiyo, kuna uwezekano kwamba wakati wa saa ya kukimbilia hawataweza kutambua shambulio hilo.

NIDS (IDS inayotokana na mtandao) ni mifumo ile ambayo ni rahisi kuunganishwa katika topolojia mpya za mtandao, kwa kuwa haina athari kubwa katika utendakazi wake, kuwa tulivu. Wananasa tu, kurekodi na kutahadharisha, tofauti na aina tendaji ya mifumo ya IPS iliyojadiliwa hapo juu. Hata hivyo, ni lazima pia kusemwa kuhusu IDS za mtandao kwamba hii ni mifumo ambayo haiwezi kuchanganua taarifa ambayo imesimbwa kwa njia fiche. Hili ni tatizo kubwa kwa sababu, kutokana na kuongezeka kwa matumizi ya mitandao ya kibinafsi ya mtandaoni (VPNs), maelezo yaliyosimbwa kwa njia fiche yanazidi kutumiwa na wahalifu wa mtandao kwa mashambulizi.

NIDS pia haiwezi kubaini kilichotokea kutokana na shambulio hilo, iwapo lilileta madhara au la. Wanachoweza kufanya ni kurekodi mwanzo wake. Kwa hivyo, msimamizi analazimika kukagua kwa uhuru kila kesi ya shambulio ili kuhakikisha kuwa washambuliaji walifikia lengo lao. Tatizo jingine kubwa ni kwamba NIDS ina ugumu wa kugundua mashambulizi kwa kutumia pakiti zilizogawanyika. Wao ni hatari sana kwa sababu wanaweza kuingilia kati uendeshaji wa kawaida wa NIDS. Nini hii inaweza kumaanisha kwa mtandao mzima au mfumo wa kompyuta hauhitaji kuelezewa.

HIDS (mfumo wa kugundua uvamizi wa mwenyeji)

HIDS (IDS ya ufuatiliaji-mwenyeji) hutumikia tu kompyuta mahususi. Hii kawaida hutoa ufanisi wa juu zaidi. HIDS inachambua aina mbili za habari: kumbukumbu za mfumo na matokeo ya ukaguzi wa mfumo wa uendeshaji. Wanachukua picha ya faili za mfumo na kulinganisha na picha ya mapema. Ikiwa faili muhimu kwa mfumo zimebadilishwa au kufutwa, basi kengele inatumwa kwa msimamizi.

Faida kubwa ya HIDS ni uwezo wa kufanya kazi yake katika hali ambapo trafiki ya mtandao inaweza kusimbwa. Hili linawezekana kutokana na ukweli kwamba vyanzo vya habari kulingana na seva pangishi vinaweza kuundwa kabla ya data kusimbwa kwa njia fiche, au baada ya kusimbuwa kwenye seva pangishi lengwa.

Hasara za mfumo huu ni pamoja na uwezekano wa kuizuia au hata kuizuia kutumia aina fulani Mashambulizi ya DoS. Shida hapa ni kwamba sensorer na baadhi ya uchambuzi wa HIDS ziko kwenye mwenyeji anayeshambuliwa, maana yake pia wanashambuliwa. Ukweli kwamba HIDS hutumia rasilimali za waandaji ambao kazi zao wanafuatilia pia ni vigumu kuwaita plus, kwani hii kwa kawaida hupunguza utendaji wao.

Aina ndogo za IDS kulingana na mbinu za kutambua mashambulizi

Mbinu isiyo ya kawaida, mbinu ya uchanganuzi sahihi na mbinu ya sera - hizi ni aina ndogo za mbinu za kutambua mashambulizi ambazo mfumo wa IDS unao.

Njia ya Uchambuzi wa Sahihi

Katika kesi hii, pakiti za data zinaangaliwa kwa saini za mashambulizi. Sahihi ya shambulio ni tukio linalolingana na mojawapo ya mifumo inayoelezea shambulio linalojulikana. Njia hii ni nzuri kabisa kwa sababu inapunguza idadi ya ripoti za mashambulizi ya uwongo.

Mbinu isiyo ya kawaida

Husaidia kutambua shughuli haramu kwenye mtandao na kwenye wapangishaji. Kulingana na historia operesheni ya kawaida mwenyeji na mtandao, wasifu maalum huundwa na data kuhusu hili. Kisha vigunduzi maalum vinahusika na kuchambua matukio. Kwa msaada algorithms mbalimbali wanachambua matukio haya kwa kulinganisha na "kawaida" katika wasifu. Kutokuwepo kwa hitaji la kukusanya idadi kubwa ya saini za shambulio ni faida dhahiri ya njia hii. Hata hivyo, idadi kubwa ya ishara za uongo kuhusu mashambulizi wakati wa atypical, lakini matukio ya kisheria kabisa kwenye mtandao ni hasara yake isiyo na shaka.

Mbinu ya sera

Njia nyingine ya kugundua mashambulizi ni mbinu ya sera. Kiini chake ni kuunda sheria za usalama wa mtandao, ambazo, kwa mfano, zinaweza kuonyesha kanuni ya mwingiliano kati ya mitandao na itifaki zinazotumiwa. Mbinu hii inatia matumaini, lakini ugumu upo katika mchakato mgumu wa kuunda msingi wa sera.

Mifumo ya Vitambulisho itatoa ulinzi wa kuaminika kwa mitandao na mifumo ya kompyuta yako

Kundi la kampuni za Mifumo ya Vitambulisho ni moja ya viongozi wa soko katika uwanja wa kuunda mifumo ya usalama ya mitandao ya kompyuta. Itakupatia ulinzi wa kuaminika kutoka kwa wahalifu wa mtandao. Ukiwa na mifumo ya ulinzi ya Mifumo ya Kitambulisho, hutalazimika kuwa na wasiwasi kuhusu data yako muhimu. Shukrani kwa hili, utaweza kufurahia maisha zaidi kwa sababu utakuwa na wasiwasi mdogo katika akili yako.

Mifumo ya Vitambulisho - hakiki za wafanyikazi

Timu ya ajabu, na jambo kuu, bila shaka, ni mtazamo sahihi wa usimamizi wa kampuni kwa wafanyakazi wake. Kila mtu (hata wanaoanza) ana nafasi ya kukua kitaaluma. Kweli, kwa hili, kwa kawaida, unahitaji kuthibitisha mwenyewe, na kisha kila kitu kitafanya kazi.

Kuna hali ya afya katika timu. Wanaoanza daima watafundishwa kila kitu na kuonyeshwa kila kitu. Hakuna maana ya ushindani wowote usio na afya. Wafanyakazi ambao wamekuwa wakifanya kazi katika kampuni kwa miaka mingi wanafurahi kushiriki maelezo yote ya kiufundi. Wanajibu maswali ya kijinga zaidi ya wafanyikazi wasio na uzoefu kwa fadhili, hata bila kivuli cha unyenyekevu. Kwa ujumla, kufanya kazi katika Mifumo ya Kitambulisho haileti chochote ila hisia za kupendeza.

Mtazamo wa wasimamizi ni wa kupendeza. Pia inafurahisha kwamba ni wazi wanajua jinsi ya kufanya kazi na wafanyikazi hapa, kwa sababu timu ambayo wamechagua ni ya kitaalamu sana. Maoni ya wafanyikazi ni karibu wazi: wanahisi nyumbani kazini.

Leo, mifumo ya kugundua na kuzuia uingilizi (IDS/IPS, Mfumo wa kugundua uingiliaji / Mfumo wa kuzuia uingiliaji, neno sawa la Kirusi - SOV/SOA) - kipengele muhimu ulinzi dhidi ya mashambulizi ya mtandao. Kusudi kuu la mifumo kama hiyo ni kutambua kesi za ufikiaji usioidhinishwa kwa mtandao wa ushirika na kuchukua hatua zinazofaa: kuwajulisha wataalam wa usalama wa habari juu ya ukweli wa kuingilia, kukata unganisho na kusanidi upya firewall ili kuzuia. vitendo zaidi mshambulizi, yaani ulinzi kutoka mashambulizi ya hacker Na programu hasidi.

Maelezo ya jumla ya teknolojia

Kuna teknolojia kadhaa za IDS ambazo hutofautiana katika aina za matukio yaliyotambuliwa na mbinu inayotumiwa kutambua matukio. Kando na kazi za ufuatiliaji na uchanganuzi wa matukio ili kutambua matukio, aina zote za IDS hufanya kazi zifuatazo:

  • Kurekodi habari juu ya matukio. Kwa kawaida, taarifa huhifadhiwa ndani ya nchi, lakini inaweza kutumwa kwa mfumo wowote wa kati wa kukusanya kumbukumbu au mfumo wa SIEM;
  • Kuwajulisha wasimamizi wa usalama kuhusu matukio ya usalama wa habari. Aina hii ya arifa inaitwa tahadhari, na inaweza kutekelezwa kupitia njia kadhaa: barua pepe, mitego ya SNMP, ujumbe. syslog, kiweko cha usimamizi wa mfumo wa IDS. Athari zinazoweza kupangwa kwa kutumia hati pia zinawezekana.
  • Inazalisha ripoti. Ripoti huundwa ili kutoa muhtasari wa taarifa zote kwenye tukio/matukio yaliyoombwa.

Teknolojia ya IPS inakamilisha teknolojia ya IDS kwa kuwa inaweza kujitegemea sio tu kutambua tishio, lakini pia kuizuia kwa mafanikio. Katika hali hii, utendakazi wa IPS ni mpana zaidi kuliko ule wa IDS:

  • IPS inazuia shambulio (kukomesha kikao cha mtumiaji anayekiuka sera ya usalama, kuzuia ufikiaji wa rasilimali, majeshi, programu);
  • IPS inabadilisha mazingira yaliyolindwa (mabadiliko ya usanidi vifaa vya mtandao kuzuia mashambulizi);
  • IPS inabadilisha maudhui ya shambulio (huondoa, kwa mfano, kutoka kwa barua faili iliyoambukizwa na kuituma kwa mpokeaji ambayo tayari imeidhinishwa, au inafanya kazi kama proksi, ikichanganua maombi yanayoingia na kutupa data kwenye vichwa vya pakiti).

Lakini mbali na faida dhahiri, mifumo hii ina hasara zao. Kwa mfano, IPS haiwezi kila wakati kubainisha kwa usahihi tukio la usalama wa taarifa, au kukosea kimakosa trafiki ya kawaida au tabia ya mtumiaji kwa tukio. Katika chaguo la kwanza, ni desturi ya kuzungumza juu ya tukio hasi la uwongo, katika chaguo la pili, wanazungumzia kuhusu tukio la uongo. Inapaswa kukumbushwa katika akili kwamba haiwezekani kuondoa kabisa matukio yao, hivyo shirika katika kila kesi inaweza kujitegemea kuamua ni ipi kati ya makundi mawili ya hatari inapaswa kupunguzwa au kukubalika.

Kuna mbalimbali mbinu za kugundua matukio kwa kutumia Teknolojia za IPS. Utekelezaji mwingi wa IPS hutumia jumla ya teknolojia hizi kutoa zaidi shahada ya juu kugundua tishio.

1. Ugunduzi wa shambulio kulingana na saini.

Sahihi ni muundo unaofafanua shambulio linalolingana. Ugunduzi wa shambulio kulingana na saini ni mchakato wa kulinganisha saini na tukio linalowezekana. Mfano wa saini ni:

  • muunganisho wa telnet na mtumiaji wa "mzizi", ambayo itakuwa ukiukaji wa sera fulani za usalama za kampuni;
  • barua pepe inayoingia na mada "picha za bure", na faili iliyoambatanishwa "freepics.exe";
  • logi ya mfumo wa uendeshaji na nambari 645, ambayo inaonyesha kuwa ukaguzi wa mwenyeji umezimwa.

Njia hii ni nzuri sana katika kutambua vitisho vinavyojulikana, lakini haifanyi kazi dhidi ya mashambulizi yasiyojulikana (hakuna sahihi).

2. Kugundua shambulio la tabia isiyo ya kawaida

Njia hii inategemea kulinganisha shughuli za kawaida za matukio na shughuli za matukio ambayo yanatoka kwa kiwango cha kawaida. IPS inayotumia njia hii ina kile kinachoitwa "wasifu" ambazo zinaonyesha tabia ya kawaida ya watumiaji, nodi za mtandao, miunganisho, programu na trafiki. Profaili hizi zinaundwa wakati wa "kipindi cha mafunzo" kwa muda fulani. Kwa mfano, wasifu unaweza kurekodi ongezeko la 13% la trafiki ya wavuti siku za kazi. Katika siku zijazo, IPS hutumia mbinu za takwimu wakati wa kulinganisha sifa mbalimbali za shughuli halisi na thamani fulani ya kizingiti, inapozidishwa, ujumbe unaofanana hutumwa kwa console ya usimamizi wa afisa wa usalama. Wasifu unaweza kuundwa kulingana na sifa nyingi zilizochukuliwa kutoka kwa uchanganuzi wa tabia ya mtumiaji. Kwa mfano, kwa idadi ya barua pepe zilizotumwa, idadi ya majaribio yasiyofanikiwa ya kuingia kwenye mfumo, kiwango cha mzigo wa processor ya seva katika kipindi fulani cha muda, nk Matokeo yake, njia hii inakuwezesha kuzuia kwa ufanisi kabisa mashambulizi ambayo uchujaji wa uchanganuzi wa saini uliopita, na hivyo kutoa ulinzi dhidi ya mashambulizi ya wadukuzi.

Teknolojia ya IDS/IPS katika ALTELL NEO

IDS/IPS inayotumiwa na kampuni yetu katika firewalls ya kizazi kipya ya ALTELL NEO inategemea teknolojia ya wazi ya Suricata, ambayo inaendelezwa zaidi kwa mujibu wa kazi zetu. Tofauti na IDS/IPS Snort, inayotumiwa na watengenezaji wengine, mfumo tunaotumia una faida kadhaa, kwa mfano, hukuruhusu kutumia GPU katika hali ya IDS, ina hali ya juu zaidi. Mfumo wa IPS, inasaidia kufanya kazi nyingi (kwa utendakazi wa haraka), na mengi zaidi, ikiwa ni pamoja na usaidizi kamili wa umbizo la sheria za Snort.

Inafaa kuzingatia hilo kwa operesheni sahihi IDS/IPS inahitaji hifadhidata za sahihi zilizosasishwa. ALTELL NEO hutumia Hifadhidata iliyo wazi ya Kitaifa ya Hatari na Bugtraq kwa madhumuni haya. Hifadhidata inasasishwa mara 2-3 kwa siku, ambayo inafanya uwezekano wa kuhakikisha kiwango bora usalama wa habari.

Mfumo wa ALTELL NEO unaweza kufanya kazi kwa njia mbili: hali ya kugundua kuingilia (IDS) na hali ya kuzuia kuingilia (IPS). Kazi za IDS na IPS zimewashwa kwenye kiolesura cha kifaa kilichochaguliwa na msimamizi - moja au zaidi. Inawezekana pia kupiga simu vitendaji vya IPS wakati wa kusanidi sheria za ngome kwa aina maalum ya trafiki unayotaka kuchanganua. Tofauti ya kiutendaji kati ya IDS na IPS ni kwamba katika hali ya IPS, mashambulizi ya mtandao yanaweza kuzuiwa kwa wakati halisi.

Utendaji wa mfumo wa kugundua na kuzuia uingilizi katika ALTELL NEO

Kazi Msaada
1. Ugunduzi udhaifu (ushujaa) wa kipengele cha ActiveX
2. Utambuzi wa trafiki inayopitishwa na wapangishi kwenye mtandao wa ndani wa ndani, tabia ya majibu baada ya shambulio lililofanikiwa
3. Kugundua trafiki ya mtandao kutoka kwa amri ya botnet na seva za udhibiti (Bot C&C)
4. Tambua trafiki ya mtandao inayohusiana na itifaki na programu za ujumbe wa papo hapo
5. Utambuzi wa trafiki ya mtandao kutoka kwa nodi za mtandao zilizoathiriwa
6. Utambuzi wa trafiki ya mtandao inayoelekezwa kwa seva za DNS
7. Ugunduzi wa trafiki ya kawaida ya kunyimwa mashambulizi ya huduma (DoS, Kunyimwa Huduma)
8. Utambuzi wa trafiki ya mtandao kutoka kwa wapangishi kwenye orodha ya Kuacha ya Spamhaus
9. Utambuzi wa trafiki ya mtandao kutoka kwa wapangishi ambao wanajulikana vyanzo vya mashambulizi kulingana na orodha ya Dshield
10. Ugunduzi wa trafiki ya mtandao ya kawaida ya programu zinazotumia udhaifu (ushujaa)
11. Utambuzi wa trafiki inayohusishwa na michezo ya kompyuta
12. Ugunduzi wa trafiki ya mtandao wa ICMP inayohusishwa na mashambulizi ya mtandao kama vile kuchunguza mlango
13. Utambuzi wa tabia ya trafiki ya mtandao ya mashambulizi kwenye huduma za IMAP
14. Tambua trafiki batili ya mtandao inayokiuka sera ya usalama ya shirika lako
15. Ugunduzi wa tabia ya trafiki ya mtandao ya programu hasidi (programu hasidi)
16. Utambuzi wa trafiki ya mtandao ya kawaida ya minyoo ya mtandao kwa kutumia itifaki ya NetBIOS
17 . Ugunduzi wa trafiki ya mtandao, programu za kushiriki faili kati ya rika-kwa-rika (P2P, mitandao ya rika-kwa-rika)
18. Ugunduzi wa shughuli za mtandao ambazo zinaweza kuwa kinyume na sera ya usalama ya shirika (kwa mfano, trafiki ya VNC au matumizi ya ufikiaji usiojulikana wa FTP)
19. Utambuzi wa trafiki sambamba na mashambulizi kwenye huduma za POP3
20. Utambuzi wa trafiki ya mtandao kutoka kwa wasimamizi wa Mtandao wa Biashara wa Urusi
21. Utambuzi wa mashambulizi kwenye huduma za RPC (simu ya utaratibu wa mbali).
22. Inagundua trafiki ya mtandao kutoka kwa vichanganuzi vya bandari
23. Ugunduzi wa pakiti zilizo na msimbo wa mkusanyiko, amri za kiwango cha chini, pia huitwa msimbo wa amri (k.m. mashambulizi ya kufurika kwa bafa)
24. Ugunduzi wa trafiki sambamba na mashambulizi kwenye huduma za SMTP
25. Utambuzi wa trafiki wa mtandao wa SNMP
26. Ugunduzi wa sheria za programu anuwai za hifadhidata za SQL
27. Inagundua trafiki ya mtandao wa itifaki ya Telnet kwenye mtandao
28. Ugunduzi wa trafiki ya mtandao ya kawaida ya mashambulizi ya TFTP (trivial FTP).
29. Utambuzi wa trafiki inayotoka kwa mtumaji anayetumia Mtandao wa Tor kudumisha kutokujulikana
30. Utambuzi wa trafiki ya Trojan
31. Utambuzi wa mashambulizi dhidi ya mawakala wa watumiaji
32. Upatikanaji wa saini za virusi vya kawaida (kama nyongeza ya injini ya antivirus ya ALTELL NEO)
33. Ugunduzi wa tabia ya trafiki ya mtandao ya mashambulizi kwenye huduma za VoIP
34. Utambuzi wa udhaifu (ushujaa) kwa wateja wa wavuti
35. Utambuzi wa mashambulizi kwenye seva za wavuti
36. Kugundua mashambulizi ya sindano ya SQL
37. Utambuzi wa trafiki ya mtandao ya kawaida ya minyoo ya mtandao
38. Ulinzi dhidi ya mashambulizi ya wadukuzi

Sheria za usalama hutengenezwa na kuboreshwa na jumuiya ya Vitisho vinavyoibuka na zinatokana na uzoefu wa miaka mingi wa wataalamu katika nyanja ya ulinzi dhidi ya mashambulizi ya mtandao. Sheria zinasasishwa kiotomatiki kupitia kituo salama (kwa hili, muunganisho wa Mtandao lazima usanidiwe katika ALTELL NEO). Kila sheria hupewa kipaumbele kulingana na darasa lake la uvamizi kulingana na marudio ya matumizi na umuhimu. Viwango vya kawaida vipaumbele - kutoka 1 hadi 3, na kipaumbele "1" kuwa juu, kipaumbele "2" kuwa kati, kipaumbele "3" kuwa chini.

Kwa mujibu wa vipaumbele hivi, hatua inaweza kupewa kwamba mfumo wa kugundua na kuzuia uvamizi wa ALTELL NEO utafanya kwa wakati halisi wakati trafiki ya mtandao inayolingana na saini ya sheria imegunduliwa. Kitendo kinaweza kuwa kama ifuatavyo:

  • Tahadhari(Njia ya ID) - trafiki inaruhusiwa na kutumwa kwa mpokeaji. Onyo limeandikwa kwa kumbukumbu ya tukio. Kitendo hiki ndicho chaguomsingi kwa sheria zote;
  • Acha(IPS mode) - uchambuzi wa pakiti unaacha, hakuna kulinganisha zaidi kunafanywa kwa kufuata sheria zilizobaki. Pakiti inatupwa na onyo limeandikwa kwa logi;
  • Kataa(IPS mode) - katika hali hii pakiti inatupwa na onyo imeandikwa kwa logi. Katika kesi hii, ujumbe unaofanana unatumwa kwa mtumaji na mpokeaji wa pakiti;
  • Pasi(IDS na IPS mode) - katika hali hii, uchambuzi wa pakiti huacha, na kulinganisha zaidi kwa kufuata sheria zilizobaki hazifanyike. Pakiti inatumwa hadi inapoenda na hakuna onyo linalotolewa.

Ripoti za trafiki inayopitia mfumo wa ugunduzi na uzuiaji wa ALTELL NEO zinaweza kuzalishwa mfumo wa kati Mfumo wa udhibiti wa ALTELL NEO wa muundo wake mwenyewe, ambao hukusanya data ya awali (tahadhari) kutoka kwa kifaa kimoja au zaidi cha ALTELL NEO.


Mtihani wa bure

Unaweza kujaribu utendakazi wa mfumo wa IDS/IPS uliojengwa ndani ya ALTELL NEO katika toleo la UTM bila malipo kwa kujaza programu fupi. Unaweza pia kuchagua usanidi wa kifaa ( kumbukumbu ya ziada, moduli za upanuzi, toleo la programu, n.k.) na uhesabu bei yake ya takriban kwa kutumia

Kazi ya maabara No._ . Mifumo ya kugundua mashambulizi ya wakati halisi.

Lengo la kazi: Kufahamiana na kanuni za uendeshaji wa mifumo ya kugundua mashambulizi inayofanya kazi kwa wakati halisi. Ufungaji na usanidi mfumo halisi kugundua mashambulizi Nyeusi BARAFU Mlinzi.

    DHANA ZA MSINGI

Mifumo na mitandao ni malengo ya mashambulizi. Mashambulizi zaidi na zaidi yanarekodiwa kwenye rasilimali za Mtandao zinazolenga kukiuka sera zilizopo za usalama. Mifumo ya uchanganuzi wa usalama (skana za usalama) huchunguza mifumo na mitandao inayotafuta matatizo katika utekelezaji na usanidi wake unaosababisha ukiukaji huu. Mifumo ya kugundua mashambulizi (hapa Vitambulisho- mifumo, Kuingilia Ugunduzi Mifumo) kukusanya taarifa mbalimbali kutoka vyanzo mbalimbali na kuzichanganua kwa ukiukaji mbalimbali wa sera za usalama. Uchambuzi wa usalama na ugunduzi wa shambulio huwezesha mashirika kujilinda kutokana na hasara zinazohusiana na ukiukaji wa usalama.

Vitambulisho-mifumo hukusanya taarifa kuhusu matumizi ya anuwai ya rasilimali za mfumo na mtandao, kisha kuchambua taarifa kwa ajili ya kuingiliwa (mashambulizi yanayotoka nje ya shirika) na matumizi mabaya (mashambulizi yanayotoka ndani ya shirika). Ugunduzi wa shambulio ni mchakato wa kutathmini shughuli za kutiliwa shaka zinazotokea kwenye mtandao wa shirika. Utambuzi wa mashambulizi hutekelezwa kupitia uchanganuzi wa kumbukumbu za mfumo wa uendeshaji na programu au trafiki ya mtandao ya wakati halisi. Vipengele vya kugundua uingilizi vilivyo kwenye nodi au sehemu za mtandao hutathmini vitendo mbalimbali, ikiwa ni pamoja na. na kutumia udhaifu unaojulikana.

Kuna uainishaji kadhaa Vitambulisho-mifumo Mmoja wao ni msingi wa kanuni ya utekelezaji:

    mwenyeji-msingi- hugundua mashambulizi yanayolenga nodi maalum ya mtandao,

    Mtandao- msingi- hutambua mashambulizi yanayolenga mtandao mzima au sehemu ya mtandao.

Mifumo ya darasa mwenyeji-msingi inaweza kugawanywa katika ngazi tatu zaidi:

    Maombi Vitambulisho- hutambua mashambulizi yenye lengo la maombi maalum;

    Mfumo wa Uendeshaji Vitambulisho- hutambua mashambulizi yenye lengo la OS;

    DBMS Vitambulisho- hutambua mashambulizi yanayolenga DBMS.

Mgawanyiko wa ugunduzi wa shambulio kwenye DBMS katika kitengo tofauti ni kwa sababu ya ukweli kwamba DBMS za kisasa tayari zimeacha kitengo cha programu za kawaida na katika sifa zao nyingi, pamoja na. na katika utata, wao ni karibu na OS. Kwa hivyo, uainishaji Vitambulisho- Mifumo kulingana na kanuni ya utekelezaji ni kama ifuatavyo:

Mchele. 1. Uainishaji wa mifumo ya kugundua mashambulizi kulingana na kanuni ya utekelezaji

Vitambulisho- Mifumo hufanya idadi ifuatayo ya kazi:

    Ufuatiliaji na uchambuzi wa shughuli za mtumiaji na mfumo;

    Ukaguzi wa usanidi wa mfumo;

    Kufuatilia uadilifu wa faili za mfumo na faili za data;

    Utambuzi wa mifumo ya hatua inayoonyesha mashambulizi yanayojulikana;

    Uchambuzi wa takwimu wa mifumo ya vitendo isiyo ya kawaida.

Inashauriwa kunukuu taarifa kutoka kwa wataalam wanaojulikana katika uwanja huo Vitambulisho- mifumo:

Marcus Ranum: Vitambulisho-mifumo hugundua mashambulizi yanayojulikana kwa wakati ufaao. Hupaswi kutarajia mifumo kama hii kugundua mashambulizi yasiyojulikana kwa sasa. Tatizo la kugundua kitu ambacho hakijajulikana hadi sasa ni gumu sana na mipaka kwenye uwanja wa akili ya bandia na mifumo ya kitaalam. Uwezekano mkubwa zaidi, Vitambulisho-mifumo ni sawa na programu za antivirus zinazotumiwa kutafuta virusi kwenye anatoa ngumu au mitandao.

Lee Satterfield: Mifumo ya kisasa ya kutambua mashambulizi ina uwezo wa kufuatilia mtandao na shughuli za OS kwa wakati halisi, kugundua vitendo visivyoidhinishwa, na kujibu kiotomatiki kwao. Mbali na hilo, Vitambulisho-mifumo inaweza kuchambua matukio ya sasa, kwa kuzingatia matukio ambayo tayari yametokea, ambayo inafanya uwezekano wa kutambua mashambulizi yaliyoenea kwa muda, na hivyo kutabiri matukio ya baadaye. Inaweza kutarajiwa kuwa teknolojia ya kugundua uvamizi itaboresha kwa kiasi kikubwa kiwango kilichopo cha usalama kinachopatikana kwa njia za "kawaida" kwa kudhibiti vitendo visivyoidhinishwa kwa wakati halisi.

Kihistoria, teknolojia zilizotumiwa kujenga Vitambulisho Mifumo imegawanywa katika vikundi viwili: kugundua tabia isiyo ya kawaida. hali isiyo ya kawaida kugundua) na kugundua unyanyasaji ( matumizi mabaya kugundua) Hata hivyo, katika mazoezi, ni uainishaji unaotumiwa ambao unazingatia kanuni za utekelezaji wa vitendo wa mifumo hiyo - kugundua mashambulizi katika ngazi ya mtandao na katika ngazi ya jeshi.

Mifumo inayotegemea mtandao huchanganua trafiki ya mtandao, huku mifumo inayotegemea mwenyeji huchanganua OS au kumbukumbu za programu. Kila moja ya madarasa ina faida na hasara zake. Ikumbukwe kwamba baadhi tu Vitambulisho-mifumo inaweza kupewa bila utata kwa moja ya madarasa yaliyotajwa. Kwa kawaida, hujumuisha uwezo kutoka kwa makundi kadhaa. Walakini, uainishaji huu unaonyesha vipengele muhimu, kutofautisha moja Vitambulisho-mfumo kutoka kwa mwingine.

Faida kuu ya mtandao Vitambulisho-mifumo ni kwamba hutambua mashambulizi kabla ya kufikia nodi iliyoshambuliwa. Mifumo hii ni rahisi kusambaza ndani mitandao mikubwa, kwa sababu hazihitaji ufungaji kwenye majukwaa mbalimbali yanayotumiwa katika shirika. Mbali na hilo, Vitambulisho-mifumo katika kiwango cha mtandao kwa vitendo haipunguzi utendaji wa mtandao.

Vitambulisho-mifumo ya kiwango cha mwenyeji iliundwa ili kuendesha OS maalum, ambayo inaweka vikwazo fulani kwao. Kwa kutumia ujuzi wa jinsi Mfumo wa Uendeshaji unavyopaswa kufanya, zana zilizoundwa kwa mbinu hii wakati mwingine zinaweza kutambua uingiliaji ambao zana za kutambua uingiliaji wa mtandao hukosa. Hata hivyo, hii mara nyingi hupatikana kwa bei ya juu kwa sababu ukataji miti unaohitajika kutekeleza aina hii ya ugunduzi hupunguza kwa kiasi kikubwa utendakazi wa seva pangishi inayolindwa. Mifumo kama hiyo inahitaji usindikaji mwingi na inahitaji nafasi kubwa ya diski kuhifadhi kumbukumbu na, kimsingi, haitumiki kwa mifumo muhimu sana ya wakati halisi (kwa mfano, mfumo wa siku hadi siku wa benki, mfumo wa kudhibiti mchakato, au mfumo wa udhibiti wa usimamizi). Bila kujali, mbinu hizi zote mbili zinaweza kutumika kulinda shirika lako. Ikiwa unataka kulinda nodes moja au zaidi, basi Vitambulisho-Mifumo ya kiwango cha mwenyeji inaweza kuwa chaguo nzuri. Lakini, ikiwa unataka kulinda nodi nyingi za mtandao za shirika lako, basi Vitambulisho Mifumo ya kiwango cha mtandao inaweza kuwa chaguo bora, kwani kuongeza idadi ya nodi kwenye mtandao hakutaathiri kiwango cha usalama kilichopatikana na Vitambulisho-mifumo. Itakuwa na uwezo wa kulinda nodi za ziada bila usanidi wa ziada, wakati katika kesi ya kutumia mfumo unaofanya kazi katika kiwango cha mwenyeji, itahitaji kusakinishwa na kusanidiwa kwenye kila mwenyeji aliyelindwa. Suluhisho bora itakuwa kutumia Vitambulisho- mfumo unaochanganya njia hizi zote mbili.

Teknolojia ya mifumo hii inategemea dhana kwamba tabia isiyo ya kawaida ya mtumiaji (yaani shambulio au aina fulani ya hatua ya uhasama) mara nyingi hujidhihirisha kama mkengeuko kutoka kwa tabia ya kawaida. Mifano ya tabia isiyo ya kawaida ni pamoja na: idadi kubwa ya miunganisho katika muda mfupi, upakiaji wa juu wa CPU, au matumizi ya vifaa vya pembeni ambavyo kwa kawaida havitumiwi na mtumiaji. Ikiwa tunaweza kuelezea wasifu wa tabia ya kawaida ya mtumiaji, basi mkengeuko wowote kutoka kwake unaweza kubainishwa kama tabia isiyo ya kawaida. Walakini, tabia isiyo ya kawaida sio shambulio kila wakati. Kwa mfano, kutuma kwa wakati mmoja idadi kubwa ya maombi kuhusu shughuli za kituo kutoka kwa msimamizi wa mfumo wa usimamizi wa mtandao. Nyingi Vitambulisho-mifumo hutambua mfano huu kama kunyimwa shambulio la huduma (" kukataa ya huduma"). Kwa kuzingatia ukweli huu, ni lazima ieleweke kwamba kesi mbili kali zinawezekana wakati wa uendeshaji wa mfumo:

1. Ugunduzi wa tabia isiyo ya kawaida ambayo sio shambulio na kuiweka kama shambulio.

2. Kukosa shambulio ambalo halifikii ufafanuzi wa tabia isiyo ya kawaida. Kesi hii ni hatari zaidi kuliko kuainisha kwa uwongo tabia isiyo ya kawaida kama shambulio. Kwa hivyo, wakati wa kuanzisha na kufanya kazi katika kitengo hiki, wasimamizi wanakabiliwa na shida zifuatazo:

    Kuunda wasifu wa mtumiaji. Kazi ngumu na inayotumia wakati kurasimisha, inayohitaji kazi nyingi za awali kutoka kwa msimamizi.

    Kuamua maadili ya mipaka ya sifa za tabia ya mtumiaji ili kupunguza uwezekano wa kutokea kwa mojawapo ya hali mbaya hapo juu.

Shirika la mfumo wa vitambulisho

Mifumo yote ya kugundua shambulio inaweza kujengwa kwa msingi wa usanifu mbili: " wakala wa uhuru"Na" meneja wakala"Katika kesi ya kwanza, mawakala wa mfumo wamewekwa kwenye kila node iliyohifadhiwa au sehemu ya mtandao, ambayo haiwezi kubadilishana habari na kila mmoja, na pia haiwezi kusimamiwa katikati kutoka kwa console moja. Usanifu hauna mapungufu haya." meneja wakala".

Chini ni orodha ya vipengele kwamba kawaida Vitambulisho-mfumo:

1. GUI . Bila kusema, hata chombo chenye nguvu sana na cha ufanisi hakitatumika ikiwa haina interface ya kirafiki. Kulingana na OS ambayo inafanya kazi chini yake Vitambulisho-mfumo, kiolesura cha picha lazima kizingatie viwango vya ukweli vya Windows Na Unix.

2. Mfumo mdogo wa usimamizi wa vipengele . Mfumo huu mdogo hukuruhusu kudhibiti vipengee mbalimbali Vitambulisho-mifumo. Usimamizi unaweza kufanywa kwa kutumia itifaki za ndani na miingiliano, na kutumia viwango vilivyotengenezwa tayari, kwa mfano, SNMP. Neno "udhibiti" linaeleweka kama uwezo wa kubadilisha sera ya usalama kwa vipengele mbalimbali Vitambulisho-mfumo (kwa mfano, moduli za kufuatilia), na kupata taarifa kutoka kwa vipengele hivi (kwa mfano, taarifa kuhusu shambulio lililosajiliwa).

3. Mfumo mdogo wa kugundua mashambulizi . Sehemu kuu Vitambulisho- mfumo unaochambua habari iliyopokelewa kutoka kwa moduli ya ufuatiliaji. Kulingana na matokeo ya uchanganuzi, mfumo huu mdogo unaweza kutambua mashambulizi, kufanya maamuzi kuhusu chaguo za majibu, kuhifadhi taarifa kuhusu shambulio kwenye ghala la data, n.k.

4. Mfumo mdogo wa majibu . Mfumo mdogo unaojibu mashambulizi yaliyotambuliwa na matukio mengine yanayodhibitiwa.

Chaguzi za majibu zitaelezewa kwa undani zaidi hapa chini.

5. Moduli ya ufuatiliaji . Kipengele kinachotoa ukusanyaji wa data kutoka kwa nafasi inayodhibitiwa (usajili au trafiki ya mtandao). Watengenezaji tofauti wanaweza kuiita: sensor ( sensor), kufuatilia ( kufuatilia), uchunguzi ( uchunguzi).

Kulingana na usanifu wa jengo Vitambulisho-mifumo inaweza kutengwa kimwili (usanifu " meneja wakala") kutoka kwa vifaa vingine, i.e. iko kwenye kompyuta nyingine.

6. Msingi wa maarifa . Kulingana na njia zinazotumika katika Vitambulisho-mfumo, msingi wa maarifa unaweza kuwa na wasifu wa mfumo wa mtumiaji na kompyuta, saini za mashambulizi au mifuatano ya kutiliwa shaka inayoashiria shughuli isiyoidhinishwa. Hifadhidata hii inaweza kusasishwa na mtengenezaji Vitambulisho- mfumo, mtumiaji wa mfumo, au mtu wa tatu, kwa mfano, kampuni inayodumisha mfumo.

7. Hifadhi ya data . Hutoa uhifadhi wa data zilizokusanywa wakati wa operesheni Vitambulisho-mifumo.

njia za majibu ya mfumo wa vitambulisho

Haitoshi kugundua shambulio. Pia tunahitaji kuitikia kwa wakati ufaao. Kwa kuongezea, majibu ya shambulio sio tu kuizuia. Mara nyingi ni muhimu "kuruhusu" mshambuliaji kwenye mtandao wa kampuni ili kurekodi vitendo vyake vyote na kisha kuzitumia katika mchakato wa uchunguzi. Kwa hivyo, mifumo iliyopo hutumia anuwai ya njia za kujibu, ambazo zinaweza kugawanywa katika vikundi 3: arifa, uhifadhi na majibu amilifu:

1. Taarifa . Njia rahisi na ya kawaida ya arifa ni kutuma ujumbe kwa msimamizi wa usalama kuhusu shambulio kwenye kiweko Vitambulisho-mifumo. Kwa kuwa koni kama hiyo haiwezi kusanikishwa kwa kila mfanyakazi anayehusika na usalama katika shirika, na pia katika hali ambapo wafanyikazi hawa hawawezi kupendezwa na matukio yote ya usalama, njia zingine za arifa lazima zitumike. Utaratibu kama huo ni kutuma ujumbe kupitia barua pepe, kwa paja, kwa faksi au kwa simu.

2. Uhifadhi . Kitengo cha "kuhifadhi" kinajumuisha chaguo mbili za majibu: kuweka tukio katika hifadhidata na kucheza tena shambulio kwa wakati halisi.

Chaguo la kwanza limeenea katika mifumo mingi ya usalama.

Chaguo la pili ni la kuvutia zaidi. Huruhusu msimamizi wa usalama kuzalisha tena katika muda halisi (kwa kasi fulani) vitendo vyote vinavyofanywa na mshambulizi. Hii hukuruhusu kuchambua tu mashambulio "yaliyofaulu" na kuyazuia katika siku zijazo, lakini pia kutumia data iliyokusanywa kwa uchunguzi.

3. Jibu amilifu . Aina hii inajumuisha chaguo zifuatazo za majibu: kuzuia kazi ya mshambuliaji, kumaliza kikao na node ya kushambulia, kusimamia vifaa vya mtandao na hatua za usalama. Jamii hii ya taratibu za majibu, kwa upande mmoja, ni ya ufanisi kabisa, lakini kwa upande mwingine, lazima itumike kwa uangalifu sana, yaani, operesheni yao isiyo sahihi inaweza kusababisha kuvuruga kwa mfumo mzima wa kompyuta.

mchakato amilifu, ambayo hacker hugunduliwa wakati anajaribu kupenya mfumo. Kwa kweli, mfumo kama huo utatoa kengele tu wakati jaribio la kupenya litafanywa. Ugunduzi wa uvamizi husaidia kutambua matishio yanayoendelea kupitia arifa na maonyo kuwa mvamizi anakusanya taarifa zinazohitajika kutekeleza shambulizi. Kwa kweli, kama itakavyoonyeshwa kwenye nyenzo za mihadhara, hii sio hivyo kila wakati. Kabla ya kujadili maelezo yanayohusiana na ugunduzi wa uvamizi, hebu tufafanue ni nini hasa.

Mifumo ya kugundua uvamizi (IDS) imekuwepo kwa muda mrefu sana. Ya kwanza ya haya yanaweza kuchukuliwa kuwa mbwa wa usiku na walinzi. Walinzi na kuangalia mbwa walifanya kazi mbili: walitambua vitendo vya tuhuma vilivyoanzishwa na mtu na kuzuia kupenya zaidi kwa mshambuliaji. Kama sheria, majambazi waliepuka kukutana na mbwa na, mara nyingi, walijaribu kuzuia majengo yaliyolindwa na mbwa. Vile vile vinaweza kusemwa kuhusu saa ya usiku. Majambazi hao hawakutaka kutambuliwa na askari wa doria wenye silaha au walinzi ambao wanaweza kuwaita polisi.

Kengele katika majengo na magari pia ni aina ya mfumo wa kugundua uvamizi. Kama mfumo wa arifa hugundua tukio ambalo linahitaji kuzingatiwa (kwa mfano, kuvunja dirisha au kufungua mlango), kisha kengele hutolewa na taa zinazowaka, kuwasha. ishara za sauti, au ishara ya kengele inapitishwa kwa jopo la kudhibiti kituo cha polisi. Kazi ya kuzuia wizi hufanywa kwa njia ya kibandiko cha onyo kwenye dirisha au ishara iliyowekwa mbele ya nyumba. Katika magari, kama sheria, wakati kengele imewashwa, taa nyekundu imewashwa, ikionya juu ya hali ya kufanya kazi ya mfumo wa kengele.

Mifano hizi zote zinategemea kanuni sawa: kugundua majaribio yoyote ya kupenya eneo la ulinzi wa kitu (ofisi, jengo, gari, nk). Katika kesi ya gari au jengo, mzunguko wa ulinzi ni rahisi kuamua. Kuta za jengo, uzio kuzunguka mali ya kibinafsi, na milango ya gari na madirisha hufafanua wazi eneo lililolindwa. Tabia nyingine ya kawaida kwa kesi hizi zote ni kigezo wazi cha nini hasa hujumuisha jaribio la kuingilia na nini hasa hujumuisha mzunguko uliolindwa.

Ikiwa unahamisha dhana ya mfumo wa kengele kwenye ulimwengu wa kompyuta, unapata dhana ya msingi ya mfumo wa kugundua kuingilia. Inahitajika kuamua ni nini eneo la usalama la mfumo wa kompyuta au mtandao ni kweli. Kwa wazi, mzunguko wa ulinzi katika kesi hii sio ukuta au uzio. Mzunguko wa ulinzi wa mtandao ni mzunguko wa kawaida ambao ndani yake kuna mifumo ya kompyuta. Mzunguko huu unaweza kufafanuliwa na ngome, sehemu za kutenganisha unganisho, au kompyuta za mezani na modem. Mzunguko huu unaweza kupanuliwa ili kuwa na kompyuta za nyumbani za wafanyakazi ambao wanaruhusiwa kuunganishwa, au washirika wa biashara ambao wanaruhusiwa kuunganisha kwenye mtandao. Pamoja na ujio wa mitandao isiyo na waya katika mwingiliano wa biashara, eneo la usalama la shirika linapanuka hadi saizi ya mtandao wa wireless.

Kengele ya mvamizi imeundwa kutambua majaribio yoyote ya kuingia eneo lililohifadhiwa wakati eneo hilo halitumiki. Mfumo wa kugundua uvamizi wa IDS umeundwa ili kutofautisha kati ya kuingia kwa idhini na kuingia bila ruhusa, ambayo ni ngumu zaidi kutekeleza. Hapa kuna mfano wa duka la vito na kengele ya kuzuia wizi. Ikiwa mtu yeyote, hata mwenye duka, atafungua mlango, kengele italia. Mmiliki lazima ajulishe kampuni ya kengele kwamba yeye ndiye aliyefungua duka na kwamba kila kitu kiko sawa. Mfumo wa IDS, kinyume chake, inaweza kulinganishwa na mlinzi ambaye anafuatilia kila kitu kinachotokea katika duka na kugundua vitendo visivyoidhinishwa (kama vile kuleta silaha). Kwa bahati mbaya, katika ulimwengu wa kweli"silaha" mara nyingi hubakia kutoonekana.

Suala la pili la kuzingatia ni kubainisha ni matukio gani yanayojumuisha ukiukaji mzunguko wa usalama. Je, ni kinyume cha sheria kujaribu kutambua kompyuta zinazoendesha? Nini cha kufanya katika tukio la shambulio linalojulikana kwenye mfumo au mtandao? Maswali haya yanapoulizwa, inakuwa wazi kuwa si rahisi kupata majibu. Zaidi ya hayo, hutegemea matukio mengine na hali ya mfumo unaolengwa.

Kufafanua aina za mifumo ya kugundua kuingilia

Kuna aina mbili kuu za IDS: msingi wa kitovu (HIDS) na msingi wa mtandao (NIDS). Mfumo wa HIDS umewekwa nodi tofauti na wachunguzi wa ishara za mashambulizi kwenye nodi fulani. Mfumo wa NIDS hukaa kwenye mfumo tofauti ambao hufuatilia trafiki ya mtandao kwa dalili za mashambulizi yanayofanywa kwenye sehemu inayodhibitiwa ya mtandao. Mchoro 13.1 unaonyesha aina mbili za vitambulisho ambavyo vinaweza kuwa katika mazingira ya mtandao.


Mchele. 13.1.

Vitambulisho vya nodi

IDS-msingi wa nodi (HIDS) ni mfumo wa vitambuzi vinavyopakiwa kwenye seva mbalimbali katika shirika na kusimamiwa na mtoaji mkuu. Sensorer hufuatilia aina mbalimbali za matukio (zaidi kuhusu matukio haya katika sehemu inayofuata) na kuchukua hatua mahususi kwenye seva au kutuma arifa. Vihisi vya HIDS hufuatilia matukio yanayohusiana na seva ambayo vimepakiwa. Sensor ya HIDS hukuruhusu kuamua ikiwa shambulio lilifanikiwa ikiwa shambulio lilifanyika kwenye jukwaa moja ambalo sensor imewekwa.

Kama itakavyojadiliwa baadaye, aina tofauti za vitambuzi vya HIDS zinaweza kutekeleza aina tofauti za kazi za kugundua uvamizi. Sio kila aina ya sensor inaweza kutumika katika shirika, na hata seva tofauti ndani ya shirika moja zinaweza kuhitaji sensorer tofauti. Ikumbukwe kwamba mfumo



MAKALA INAYOHUSIANA