IDS технология
Cистемы обнаружения компьютерных атак (IDS - Intrusion Detection Systems) – являются одной из важнейших компонентой современной системы информационной безопасности сетей любого предприятия, учитывая, как растет в последние годы число проблем, связанных с компьютерной безопасностью. Хотя технология IDS не обеспечивает полную защиту информации, тем не менее, она играет достаточно важную роль в этой области.
Современные IDS способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий могут учитываться уже произошедшие, что позволяет идентифицировать атаки, разнесенные во времени, и тем самым прогнозировать будущие события.
Существует много различных типов атак, и их можно ранжировать в соответствии с возрастанием возможной опасности следующим образом:
угадывание паролей
репликационный код
взлом паролей
использование известных уязвимых мест
отключение/обход систем аудита
воровство данных
back doors (специальные входы в программу, возникающие из-за ошибок при ее написании или оставленные программистами для отладки)
использование снифферов и sweepers (систем контроля содержимого)
использование программ диагностики сети для получения необходимых данных
использование автоматизированных сканеров уязвимостей
подмена данных в IP-пакетах
атаки типа "отказ в обслуживании" (DoS)
атаки на Web-серверы (CGI-скрипты)
технологии скрытого сканирования
распределенные средства атаки.
ТИПЫ IDS
Cистемы обнаружения атак используют различные способы определения несанкционированной активности. На сегодняшний день достаточно хорошо известны проблемы, связанные с атаками через межсетевой экран (брандмауэр). Межсетевой экран разрешает или запрещает доступ к определенным сервисам (портам), но не проверяет поток информации, проходящий через открытый порт. IDS, в свою очередь, пытается обнаружить атаку на систему или на сеть в целом и предупредить об этом администратора безопасности, в то время как атакующий полагает, что он остался незамеченным.
Для классификации IDS существуют различные способы. Так, по способу реагирования различают пассивные и активные IDS. Пассивные просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, переконфигурируя межсетевой экран или генерируя списки доступа маршрутизатора.
По способу выявления атаки различают системы signature-based и anomaly-based. Первый тип основан на сравнении информации с предустановленной базой сигнатур атак. В свою очередь, можно классифицировать атаки по типу (например, Ping-of-Death, Smurf). Однако системы данного типа не могут отлавливать новые, неизвестные виды атак. Второй тип основан на контроле частоты событий или обнаружении статистических аномалий. Такая система ориентирована на выявление новых типов атак. Однако недостаток ее - необходимость постоянного обучения.
Наиболее популярна классификация по способу сбора информации об атаке: network-based, host-based, application-based. Система первого типа работает по типу сниффера, "прослушивая" трафик в сети и определяя возможные действия злоумышленников. Поиск атаки идет по принципу "от хоста до хоста".
Мы предлагаем к использованию следующие продукты из этой серии:
Symantec ManHunt
Intrusion SecureNet IDS Tap
Intrusion SecureNet Sensor
Системы второго типа, host-based,предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Система, располагаясь на защищаемом хосте, проверяет и выявляет направленные против него действия.
Для решения проблем на этом уровне предлагается продукт
Intrusion SecureHost IDS
Третий тип IDS, application-based, основан на поиске проблем в определенном приложении. Существуют также гибридные IDS, представляющие собой комбинацию различных типов систем.
Данный вид IDS пр...