Что нужно знать о системах обнаружения вторжений
Что нужно знать о системах обнаружения вторжений
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Межсетевым экранам и другим простым пограничным устройствам не хватает интеллекта, когда речь идет о наблюдении, распознавании и идентификации сигнатур атак, которые могут присутствовать в отслеживаемом ими трафике и в собираемых ими файлах журналов. Этот недостаток, хотя и не критично относящийся к возможностям таких других систем, объясняет, почему системы обнаружения вторжений (часто сокращенно IDS) становятся все более важными для поддержания надлежащей сетевой безопасности. В то время как другие пограничные устройства могут собирать всю информацию, необходимую для обнаружения (а часто и предотвращения) атак, которые могут начаться или уже происходят, они не запрограммированы на проверку и обнаружение типов трафика или моделей поведения сети, которые соответствуют известные сигнатуры атак или которые предполагают, что потенциальные нераспознанные атаки могут быть зарождающимися или в процессе.
Короче говоря, самый простой способ определить IDS — это описать его как специализированный инструмент, умеющий читать и интерпретировать содержимое файлов журналов маршрутизаторов, брандмауэров, серверов и других сетевых устройств. Кроме того, IDS часто хранит базу данных известных сигнатур атак и может сравнивать шаблоны активности, трафика или поведения, которые она видит в журналах, которые она отслеживает, с этими сигнатурами, чтобы распознать, когда происходит близкое совпадение между сигнатурой и текущим или недавним поведением. В этот момент IDS может выдавать сигналы тревоги или оповещения, предпринимать различные виды автоматических действий, начиная от отключения интернет-ссылок или определенных серверов и заканчивая запуском обратной трассировки, а также предпринимать другие активные попытки идентифицировать злоумышленников и активно собирать доказательства их гнусных действий.
По аналогии, IDS делает для сети то же, что пакет антивирусного программного обеспечения делает для файлов, поступающих в систему: он проверяет содержимое сетевого трафика, чтобы найти и отразить возможные атаки, точно так же, как пакет антивирусного программного обеспечения проверяет содержимое входящих файлов, вложения электронной почты, активное веб-содержимое и т. д. для поиска сигнатур вирусов (шаблонов, соответствующих известным вредоносным программам) или возможных вредоносных действий (моделей поведения, которые, по меньшей мере, подозрительны, если не совершенно неприемлемы).
Чтобы быть более конкретным, обнаружение вторжений означает обнаружение несанкционированного использования или атак на систему или сеть. IDS разработана и используется для обнаружения, а затем для отражения или сдерживания (если возможно) таких атак или несанкционированного использования систем, сетей и связанных ресурсов. Подобно брандмауэрам, IDS могут быть программными или могут сочетать аппаратное и программное обеспечение (в виде предустановленных и предварительно настроенных автономных устройств IDS). Часто программное обеспечение IDS работает на тех же устройствах или серверах, на которых работают брандмауэры, прокси-серверы или другие пограничные службы. IDS, работающие не на том же устройстве или сервере, где установлен брандмауэр или другие службы, будут внимательно и внимательно следить за этими устройствами. Хотя такие устройства, как правило, работают на периферии сети, системы IDS могут обнаруживать и реагировать как на внутренние, так и на внешние атаки.
Характеристика систем обнаружения вторжений
Системы IDS различаются по ряду критериев. Объясняя эти критерии, мы можем объяснить, с какими типами IDS вы, вероятно, столкнетесь, и как они выполняют свою работу. Прежде всего, можно различать IDS на основе видов деятельности, трафика, транзакций или систем, которые они отслеживают. В этом случае IDS можно разделить на сетевые, хостовые и прикладные IDS. IDS, которые отслеживают сетевые магистрали и ищут сигнатуры атак, называются IDS на основе сети, тогда как те, которые работают на хостах, защищают и контролируют операционную и файловую системы на наличие признаков вторжения, называются IDS на хосте. Некоторые IDS отслеживают только определенные приложения и называются IDS на основе приложений. (Этот тип обработки обычно зарезервирован для важных приложений, таких как системы управления базами данных, системы управления контентом, системы учета и т. д.) Читайте дальше, чтобы узнать больше об этих различных подходах к мониторингу IDS:
Характеристики IDS на основе сети
Плюсы: Сетевые IDS могут контролировать всю большую сеть, используя лишь несколько удобно расположенных узлов или устройств, и не создают больших накладных расходов на сеть. Сетевые IDS — это в основном пассивные устройства, которые отслеживают текущую сетевую активность, не добавляя значительных накладных расходов и не мешая работе сети. Их легко защитить от атак, и злоумышленники могут их даже не обнаружить; они также не требуют особых усилий для установки и использования в существующих сетях.
Минусы: Сетевые IDS могут быть не в состоянии отслеживать и анализировать весь трафик в больших загруженных сетях и, следовательно, могут игнорировать атаки, запущенные в периоды пикового трафика. Сетевые IDS также могут быть не в состоянии эффективно контролировать сети на основе коммутаторов (высокоскоростные). Как правило, сетевые IDS не могут анализировать зашифрованные данные и не сообщают об успешности или неудаче попыток атаки. Таким образом, сетевые IDS требуют определенного активного ручного участия сетевых администраторов для оценки последствий зарегистрированных атак.
Характеристики IDS на основе хоста
Плюсы: IDS на основе хоста может анализировать действия на отслеживаемом хосте с высоким уровнем детализации; он часто может определить, какие процессы и/или пользователи вовлечены во вредоносные действия. Хотя каждая из них может быть сосредоточена на одном хосте, многие системы IDS на основе хоста используют модель агент-консоль, в которой агенты работают (и контролируют) на отдельных хостах, но отчитываются перед одной централизованной консолью (чтобы одна консоль могла настраивать, управлять, и консолидировать данные с многочисленных хостов). IDS на основе хоста могут обнаруживать атаки, не обнаруживаемые сетевыми IDS, и могут довольно точно оценивать последствия атак. IDS на основе хоста могут использовать службы шифрования на основе хоста для проверки зашифрованного трафика, данных, хранилища и активности. У IDS на основе хоста также нет проблем с работой в сетях на основе коммутаторов.
Минусы: сбор данных происходит отдельно для каждого хоста; запись в журналы или создание отчетов требует сетевого трафика и может снизить производительность сети. Умные злоумышленники, скомпрометировавшие хост, могут также атаковать и отключить IDS на хосте. IDS на основе хоста могут быть сорваны DoS-атаками (поскольку они могут препятствовать доступу любого трафика к хосту, на котором они работают, или препятствовать отправке отчетов о таких атаках на консоль в другом месте сети). Наиболее важно то, что IDS на основе хоста потребляет время обработки, хранилище, память и другие ресурсы на хостах, на которых работают такие системы.
Характеристики IDS на основе приложений
Плюсы: IDS на основе приложений концентрируются на событиях, происходящих в каком-то конкретном приложении. Они часто обнаруживают атаки посредством анализа файлов журналов приложений и обычно могут идентифицировать многие типы атак или подозрительных действий. Иногда IDS на основе приложений могут даже отслеживать несанкционированную активность отдельных пользователей. Они также могут работать с зашифрованными данными, используя сервисы шифрования/дешифрования на основе приложений.
Минусы: IDS на основе приложений иногда более уязвимы для атак, чем IDS на основе хоста. Они также могут потреблять значительные ресурсы приложения (и хоста).
На практике в большинстве коммерческих сред используется некоторая комбинация систем IDS на базе сети, хоста и/или приложения для наблюдения за происходящим в сети, а также для более тщательного мониторинга ключевых хостов и приложений.
IDS также можно отличить по разным подходам к анализу событий. Некоторые IDS в основном используют метод, называемый обнаружением подписи. Это похоже на то, как многие антивирусные программы используют вирусные сигнатуры для распознавания и блокировки зараженных файлов, программ или активного веб-содержимого от проникновения в компьютерную систему, за исключением того, что они используют базу данных трафика или шаблонов активности, связанных с известными атаками, называемыми сигнатурами атак. Действительно, обнаружение сигнатур — наиболее широко используемый подход в коммерческой технологии IDS на сегодняшний день. Другой подход называется обнаружением аномалий. Он использует правила или предопределенные понятия о «нормальной» и «аномальной» деятельности системы (так называемые эвристики), чтобы отличать аномалии от нормального поведения системы и отслеживать, сообщать или блокировать аномалии по мере их возникновения. Некоторые IDS поддерживают ограниченные типы обнаружения аномалий; большинство экспертов считают, что в будущем такие возможности станут частью работы большего количества IDS. Читайте дальше для получения дополнительной информации об этих двух видах методов анализа событий:
Характеристики IDS на основе подписи
Плюсы: IDS на основе сигнатур проверяет текущий трафик, активность, транзакции или поведение на соответствие известным шаблонам событий, характерным для известных атак. Как и в случае с антивирусным программным обеспечением, IDS на основе сигнатур требует доступа к текущей базе данных сигнатур атак и какого-либо способа активного сравнения и сопоставления текущего поведения с большой коллекцией сигнатур. За исключением случаев, когда происходят совершенно новые, некаталогизированные атаки, этот метод работает очень хорошо.
Минусы: базы данных сигнатур должны постоянно обновляться, а IDS должны иметь возможность сравнивать и сопоставлять действия с большими коллекциями сигнатур атак. Если определения сигнатур слишком специфичны, IDS на основе сигнатур может пропустить варианты известных атак. (Распространенный метод создания новых атак заключается в изменении существующих известных атак, а не в создании совершенно новых с нуля.) IDS на основе сигнатур также могут оказывать заметное влияние на производительность систем, когда текущее поведение соответствует нескольким (или многочисленным) сигнатурам атак, либо целиком, либо частично.
Характеристики IDS на основе аномалий
Плюсы: IDS на основе аномалий исследует текущий трафик, активность, транзакции или поведение на наличие аномалий в сетях или системах, которые могут указывать на атаку. Основополагающим принципом является представление о том, что «поведение при атаке» настолько отличается от «обычного поведения пользователя», что его можно обнаружить путем каталогизации и выявления соответствующих различий. Создавая базовые уровни нормального поведения, системы IDS на основе аномалий могут наблюдать, когда текущее поведение статистически отклоняется от нормы. Эта возможность теоретически дает IDS на основе аномалий возможность обнаруживать новые атаки, которые не известны и для которых не были созданы сигнатуры.
Минусы: поскольку нормальное поведение может легко и быстро измениться, системы IDS на основе аномалий склонны к ложным срабатываниям, когда об атаках можно сообщать на основе изменений в норме, которые являются «нормальными», а не представляют собой реальные атаки. Их интенсивное аналитическое поведение также может привести к значительным накладным расходам на обработку систем, в которых они работают. Кроме того, системам, основанным на аномалиях, требуется время для создания статистически значимых исходных данных (чтобы отделить нормальное поведение от аномалий); в этот период они относительно открыты для атак.
Сегодня многие антивирусные пакеты включают в себя характеристики обнаружения как на основе сигнатур, так и на основе аномалий, но лишь немногие IDS включают оба подхода. Большинство экспертов ожидают, что обнаружение на основе аномалий получит более широкое распространение в IDS, но потребуются прорывы в исследованиях и программировании, чтобы обеспечить возможности, которые должны быть обнаружены на основе аномалий, но в настоящее время не могут быть реализованы.
Наконец, некоторые IDS способны реагировать на атаки, когда они происходят. Такое поведение желательно с двух точек зрения. Во-первых, компьютерная система может отслеживать поведение и действия почти в реальном времени и гораздо быстрее и решительнее реагировать на ранних стадиях атаки. Поскольку автоматизация помогает хакерам организовывать атаки, само собой разумеется, что она также должна помогать специалистам по безопасности отражать их по мере их возникновения. Во-вторых, IDS работают круглосуточно и без выходных, но сетевые администраторы могут быть не в состоянии реагировать так же быстро в нерабочее время, как в часы пик (даже если IDS может отправить им оповещение о начале атаки). Автоматизируя реакцию на блокировку входящего трафика с одного или нескольких адресов, с которых исходит атака, IDS может остановить атаку в процессе и заблокировать будущие атаки с того же адреса.
Применяя следующие методы, IDS могут противостоять как опытным, так и начинающим хакерам. Хотя экспертов сложнее полностью заблокировать, эти методы могут значительно замедлить их работу:
- Разрыв TCP-соединений путем внедрения пакетов сброса в соединения злоумышленника приводит к тому, что атаки разваливаются.
- Развертывание автоматических фильтров пакетов для блокировки маршрутизаторами или брандмауэрами пересылки пакетов атаки на атакуемые серверы или хосты останавливает большинство атак, даже холодных DoS- или DDoS-атак. Это работает для адресов злоумышленников, а также для протоколов или служб, подвергающихся атаке (так сказать, блокируя трафик на разных уровнях сетевой модели ARPA).
- Развертывание автоматических отключений для маршрутизаторов, брандмауэров или серверов может остановить всю деятельность, когда другие меры не могут остановить злоумышленников (например, в экстремальных ситуациях DDoS-атак, когда фильтрация будет эффективно работать только на стороне интернет-провайдера, если не выше интернет-провайдера). сеть, как можно ближе к магистралям Интернета).
- Активное выполнение обратного поиска в DNS или других способов установления личности хакера — это метод, используемый некоторыми IDS для создания отчетов о вредоносной активности для всех интернет-провайдеров на маршрутах, используемых между злоумышленником и атакуемым. Поскольку такие ответы сами по себе могут вызвать юридические проблемы, эксперты рекомендуют получить юридическую консультацию, прежде чем отплатить хакерам натурой.
Что может вам помочь?
Монитор журнала событий безопасности GFI LANguard (SELM) отслеживает журналы событий безопасности всех ваших серверов и рабочих станций Windows NT/2000/XP и предупреждает вас о возможных вторжениях/атаках в режиме реального времени, обеспечивая вам душевное спокойствие. Он также предоставляет ежедневные/еженедельные/ежемесячные отчеты о событиях с высоким уровнем безопасности, происходящих в вашей сети. Поскольку GFI LANguard SELM не является сетевой системой обнаружения вторжений, коммутаторы не нарушают ее, шифрование IP-трафика или высокоскоростную передачу данных, как традиционные продукты обнаружения вторжений.
Преимущества
GFI LANguard SELM позволяет отслеживать:
- Пользователи, пытающиеся получить доступ к защищенным общим ресурсам
- Пользователи, пытающиеся получить доступ к конфиденциальным файлам
- Сетевые пользователи, пытающиеся войти в систему под другой учетной записью
- Вход администратора в нерабочее время
- Правильная конфигурация брандмауэра: обнаружение мошеннических пользователей в сети
- Атаки с использованием локальных учетных записей пользователей
Вот вид предупреждений о вторжении:
В сумме,
Запоминание этих фактов об IDS позволит вам найти тот, который подходит именно вам для выполнения той работы, которую вы ожидаете.