Сетевая безопасность в Windows 2000 за 15 минут в неделю:
 

Основы обнаружения вторжений

от Leonard Loro

 

Количество атак через Интернет растет невероятными темпами. Уязвимости, проблемы в настройке и различные типы атак на системы выявляются практически ежедневно.

Определение сетевых атак и управление их обнаружением является наиважнейшей задачей. Системы обнаружения вторжений разрабатываются для анализа и отпора компьютерным атакам. Эти системы предоставляют необходимые инструменты для того, чтобы у вас была уверенность в безопасности вашего сетевого соединения и вы можете ответить на вызов хакеров и других злоумышленников.

История обнаружения вторжений

Концепция обнаружения вторжений для компьютерных систем была придумана в конце 80-х годов. Американским Департаментом Защиты (DOD) было разработано несколько моделей для отслеживания и анализа различных типов атак. Концепция, разработанная первоначально, называлась Распределенные системы по обнаружению вторжений (DIDS – Distributed Intrusion Detection Systems). Эти системы использовали популярные методы по обнаружению вторжений – анализ веб-журналов, журналов аудита маршрутизаторов и любой другой необычной сетевой активности.

Две модели являлись прототипами для выбора типа анализа, осуществляемого этими системами: модели обнаружения злоупотреблений и модели обнаружения аномального поведения. Модель обнаружения злоупотреблений основана на распознавании незаконного использования или изменения безопасности системы. Большинство коммерческих систем по обнаружению вторжений используют данный тип модели.

Модель, основанная на выявлении необычной (аномальной) сетевой активности пытается понять и изучить шаблоны использования защищенных систем. Например, пользователь, который обычно входит в систему по воскресеньям, вдруг пытается войти в нее в час ночи в понедельник, что может быть интерпретировано, как возможная атака на сеть. Данные системы обнаружения вторжений пытаются выявить отклонения в действиях пользователей и сетевом трафике.

Современные средства обнаружения вторжений

Для разных людей обнаружение вторжений означает совершенно разные вещи. Некоторые люди думают, что это только анализ журналов безопасности, другие – что это проверка систем. Концепция обнаружения вторжений основывается на том, что вторжение – это попытка получить несанкционированный доступ к защищенной системе. Коммерческие реализации таких систем (в дальнейшем – IDS – система обнаружения вторжений) включают в себя системы обнаружения вторжений network-based (т.е. обнаруживающие атаки, направленные на всю сеть (сегмент сети)) и системы host-based (для обнаружения атак, направленных против конкретного узла сети).

Как сетевой анализатор пакетов (sniffer), Network-based IDS (NIDS – сетевая система обнаружения вторжения) является инструментом для анализа сетевого трафика. Кроме захвата всего сетевого трафика, NIDS сравнивает трафик с набором предварительно классифицированных образцов атак. Если похожие образцы будут обнаружены в сетевом пакете, запускаются предохранительные меры и атака останавливается и протоколируется. Данный инструмент может быть легко внедрен без коренных модификаций сети.

Host-based IDS (HIDS) выполняет более узкие задачи. Он анализирует специфические действия и операции, на конкретном компьютере или устройстве. HIDS более сложен в установке, так как требует участия в этом процессе администратора. Программа, называемая агентом должна быть установлена на каждом защищаемом сервере. Большинство реализаций HIDS основано на комбинации двух связанных между собой операций – анализе журнала регистрации пользователей или анализе сетевого журнала.

Планирование внедрения системы обнаружения вторжений

Критериями для выбора IDS является несколько факторов: репутация производителя, функциональные возможности продукта и его эффективность. Когда вы выбираете решение для IDS, уверенность в возможностях обновления и поддержки со стороны производителя являются очень важными. Кроме того, возможности и расширения продукта необходимы для успешной установки системы. Глубина действия и точность являются важнейшими компонентами систем IDS. И в заключении – за работу системы должен отвечать отдельный работник. Его функции заключается в управлении ежедневными задачами по обновлению и настройке системы.

Точность. Ложные срабатывания являются большой проблемой для IDS. В больших сетях ошибочное истолкование оповещений существенно затрудняет усилия по обнаружению вторжений. Этот фактор особенно заметен для только что выпущенных продуктов.

Структура. Несколько факторов влияют на решение IDS. Правильная структура продукта позволяет лицам, ответственным за безопасность, достаточно просто поддерживать и управлять обновлениями. Кроме того, для работы важно наличие комплексной консоли управления и доступ в реальном времени к данным по атакам и предупреждениям.

Взаимодействие. Взаимодействие с текущей IT архитектурой и системами является очень важным. Необходимо иметь возможность вносить индивидуальные подписи и расширять возможности IDS по взаимодействию с текущими и будущими архитектурами и средами.

Обнаружение вторжений при помощи Сервера Microsoft ISA

Стратегия по обнаружению вторжений фирмы Microsoft основана на лицензии, выданной ISS (Internet Security Systems). Сервер ISA предоставляет базовые возможности по обнаружению вторжений для регистрации простых атак. ISS является одним из первых производителей, поставляющих коммерческие системы обнаружения вторжений и обладающая одними из наиболее простых продуктов для внедрения и администрирования в структурах обнаружения вторжений.

Выбор типа атак, которые должны фиксироваться:

  1. Нажмите кнопку Start, выберите папку Programs, затем Microsoft ISA Server. Нажмите на ISA Management.
  2. Кликните мышкой на узле Name, где Name – является именем вашего сервера для того, чтобы развернуть дерево конфигурации.
  3. Щелкните правой кнопкой мыши на IP Packet Filters и затем на Properties.
  4. Щелкните на Intrusion Detection.
  5. Выберите перечень атак, из приведенного перечня: WinNuke, Land, Ping of Death, IP half-scan, UDP bomb и port scan.

 

Сервер ISA ведет журнал событий и генерирует различные действия в ответ на удачные и неудачные попытки вторжений. Эти свойства сервера могут быть настроены для различных типов сканирования портов.

Настройка инструмента обнаружения вторжений через порты:

  1. Нажмите кнопку Start, выберите папку Programs, затем Microsoft ISA Server. Нажмите на ISA Management.
  2. Кликните мышкой на узле Name, где Name – является именем вашего сервера для того, чтобы развернуть дерево конфигурации.
  3. Щелкните правой кнопкой мыши на IP Packet Filters и затем на Properties.
  4. Щелкните на Intrusion Detection.
  5. Выберите численные значения для опций Detect after attacks well-known ports (обнаруживать после … атак на часто используемые порты) и Detect after attacks on ports обнаруживать после … атак на порты).
  6. В нашем случае выбраны значения 5 и 10.

Хотя сервер ISA предоставляет встроенный набор защитных функций, сети повышенной безопасности должны изучать и развивать продукты обеспечения безопасности, которые могут быть интегрированы в сервер ISA и тем самым повысят его уровень безопасности. В случае обеспечения безопасности хранения секретных или любых иных чувствительных данных, сложные системы обнаружения вторжений должны иметь возможность защиты от современных атак, таких как распределенные атаки отказа в обслуживании, arp-спуфинг и т.д.

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.