(5 оценок, среднее: 4,80 из 5)
Загрузка...
Учебная работа. Реферат: Компьютерные атаки и технологии их обнаружения
Работу подготовил студент МГУПИ
факультета ИТ-5, 1-го курса
Марасанов Даниил Васильевич
Компьютерные атаки и технологии их обнаружения
До сего времени нет четкого определения термина «атака» (вторжение, нападение). Любой спец в области сохранности трактует его по-своему. Более правильным и полным я считаю последующее определение.
Атакой на информационную систему именуются намеренные деяния злодея, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой инфы.
Устраним уязвимости информационной системы — устраним и возможность реализации атак.
На нынешний денек считается неведомым, сколько существует способов атак. молвят о том, что до сего времени отсутствуют какие-либо суровые математические исследования в данной для нас области. Но еще в 1996 году Фред Коэн обрисовал математические базы вирусной технологии. В данной для нас работе подтверждено, что число вирусов нескончаемо. Разумеется, что и число атак нескончаемо, так как вирусы — это подмножество огромного количества атак.
Модели атак
атаки строится по принципу «один к одному»
(рис.1) либо «один ко почти всем»
(рис.2), т.е. атака исходит из 1-го источника. Создатели сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т.д.) нацелены конкретно на классическую модель атаки. В разных точках защищаемой сети инсталлируются агенты (детекторы) системы защиты, которые передают информацию на центральную консоль управления. Это упрощает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Но таковая модель не совладевает с относительно не так давно (в 1998 году) обнаруженной опасностью —
.
В модели
употребляются другие принципы. В отличие от классической модели в распределенной модели употребляются дела «почти все к одному»
и «почти все ко почти всем».
Распределенные атаки основаны на «традиционных» атаках типа «отказ в обслуживании», а поточнее на их подмножестве, известном как
либо
(обозначенные определения можно перевести как «шторм», «наводнение» либо «лавина»). Смысл данных атак заключается в посылке огромного количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, так как он «захлебнется» в лавине посылаемых пакетов и не сумеет обрабатывать запросы авторизованных юзеров. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Но в том случае, если пропускная способность канала до атакуемого узла превосходит пропускную способность атакующего либо атакуемый узел неправильно сконфигурирован, то к «успеху» таковая атака не приведет. к примеру, при помощи этих атак никчемно пробовать нарушить работоспособность собственного провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сходу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. к примеру, по данным Рф-онлайн в течение 2-ух суток, начиная с 9 часов утра 28 декабря 2000 г. наикрупнейший Internet-провайдер Армении «Арминко» подвергался распределенной атаке. В данном случае к атаке подключились наиболее 50 машин из различных государств, которые посылали по адресу «Арминко» глупые сообщения. Кто организовал эту атаку, и в которой стране находился взломщик — установить было нереально. Хотя атаке подвергся в главном «Арминко», перегруженной оказалась вся магистраль, соединяющая Армению с глобальной сетью. 30 декабря благодаря сотрудничеству «Арминко» и другого провайдера — «АрменТел» — связь была вполне восстановлена. Невзирая на это компьютерная атака длилась, но с наименьшей интенсивностью.
Этапы реализации атак
Можно выделить последующие этапы реализации атаки:
1. подготовительные деяния перед атакой либо «сбор инфы«
2. фактически «реализация атаки»
3. окончание атаки.
Обычно, когда молвят о атаке, то предполагают конкретно 2-ой шаг, запамятывая о первом и крайнем. Сбор инфы и окончание атаки («заметание следов») в свою очередь также могут являться атакой и могут быть разбиты на три шага:
Cбор инфы
— это главный шаг реализации атаки. Конкретно на данном шаге эффективность работы злодея является залогом «удачливости» атаки. Поначалу выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Потом идентифицируются более уязвимые места атакуемой системы, действие на которые приводит к подходящему злодею результату. Злодей пробует выявить все каналы взаимодействия цели атаки с иными узлами. Это дозволит не только лишь избрать тип реализуемой атаки, да и источник ее реализации. к примеру, атакуемый узел ведет взаимодействие с 2-мя серверами под управлением ОС unix и Windows NT. С одним сервером атакуемый узел имеет доверенные дела, а с остальным — нет. От того, через какой злодей будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Потом, зависимо от приобретенной инфы и хотимого результата, выбирается атака, дающая больший эффект. к примеру:
SYN Flood
, Teardrop
, UDP Bomb
— для нарушения функционирования узла;
CGI-скрипт
— для проникания на узел и кражи инфы;
PHF
— для кражи файла паролей и удаленного подбора пароля и т.п.
Классические средства защиты, такие как межсетевые экраны либо механизмы фильтрации в маршрутизаторах, вступают в действие только на втором шаге реализации атаки, совсем «запамятывая» о первом и 3-ем. Это приводит к тому, что часто совершаемую атаку весьма тяжело приостановить даже при наличии массивных и дорогих средств защиты. Пример тому — распределенные атаки. Разумно было бы, чтоб средства защиты начинали работать еще на первом шаге, т.е. предотвращали бы возможность сбора инфы о атакуемой системе. Это позволило бы если и не вполне предупредить атаку, то хотя бы значительно усложнить работу злодея. Классические средства также не разрешают найти уже совершенные атаки и оценить вред опосля их реализации, т.е. не работают на 3-ем шаге реализации атаки. Как следует, нереально найти меры по предотвращению таковых атак впредь.
Зависимо от хотимого результата нарушитель концентрируется на том либо ином шаге реализации атаки. к примеру:
для отказа в обслуживании тщательно анализируется атакуемая сеть, в ней выискиваются лазейки и слабенькие места;
для хищения инфы основное внимание уделяется неприметному проникновению на атакуемые узлы с помощью найденных ранее уязвимостей.
Разглядим главные механизмы реализации атак. Это нужно для осознания способов обнаружения этих атак. Не считая того, осознание принципов действий злоумышленников — залог удачной обороны сети.
1. Сбор инфы
1-ый шаг реализации атак — это сбор инфы о атакуемой системе либо узле. Он включает такие деяния как определение сетевой топологии, типа и версии операционной системы атакуемого узла, также доступных сетевых и других сервисов и т.п. Эти деяния реализуются разными способами.
исследование окружения
На этом шаге нападающий изучит сетевое свита вокруг предполагаемой цели атаки. К таковым областям, к примеру, относятся узлы Internet-провайдера «жертвы» либо узлы удаленного кабинета атакуемой компании. На этом шаге злодей может пробовать найти адреса «доверенных» систем (к примеру, сеть напарника) и узлов, которые впрямую соединены с целью атаки (к примеру, маршрутизатор ISP) и т.д. Такие деяния довольно тяжело найти, так как они производятся в течение довольно долгого периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).
Идентификация топологии сети
Существует два главных способа определения топологии сети, применяемых злодеями:
1. изменение TTL (TTL modulation),
2. запись маршрута (record route).
По первому способу работают программки traceroute для unix и tracert для Windows. Они употребляют поле Time to Live («время жизни») в заголовке IP-пакета, которое меняется зависимо от числа пройденных сетевым пакетом маршрутизаторов. Для записи маршрута ICMP-пакета быть может применена утилита ping . Часто сетевую топологию можно узнать с помощью протокола SNMP, установленного на почти всех сетевых устройствах, защита которых ошибочно сконфигурирована. С помощью протокола RIP можно попробовать получить информацию о таблице маршрутизации в сети и т.д.
Почти все из этих способов употребляются современными системами управления (к примеру, HP OpenView, Cabletron SPECTRUM, MS Visio и т.д.) для построения карт сети. И эти же способы могут быть с фуррором использованы злодеями для построения карты атакуемой сети.
идентификация узлов
Идентификация узла, обычно, осуществляется методом посылки с помощью утилиты гласит о том, что узел доступен. Есть свободно распространяемые программки, которые автоматизируют и ускоряют процесс параллельной идентификации огромного числа узлов, к примеру, fping либо nmap. Опасность данного способа в том, что обычными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого нужно использовать средства анализа трафика, межсетевые экраны либо системы обнаружения атак.
Это самый обычный способ идентификации узлов. Но он имеет два недочета.
1. Почти все сетевые устройства и программки заблокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (либо напротив не пропускают их наружу). к примеру, MS proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В итоге возникает неполная картина. С иной стороны, блокировка ICMP-пакета гласит злодею о наличии «первой полосы обороны» — маршрутизаторов, межсетевых экранов и т.д.
2. Внедрение ICMP-запросов дозволяет с легкостью найти их источник, что, очевидно, не может заходить в задачку злодея.
Существует еще один способ идентификации узлов — внедрение «смешанного» режима сетевой карты, который дозволяет найти разные узлы в секторе сети. Но он не применим в тех вариантах, в каких трафик сектора сети недоступен нападающему со собственного узла, т.е. этот способ применим лишь в локальных сетях. Иным методом идентификации узлов сети является так именуемая разведка DNS, которая дозволяет идентифицировать узлы корпоративной сети с помощью воззвания к серверу службы имен.
идентификация сервисов либо сканирование портов
Идентификация сервисов, как правило, осуществляется методом обнаружения открытых портов (port scanning). Такие порты весьма нередко соединены с сервисами, основанными на протоколах TCP либо UDP. к примеру:
· открытый 80-й порт предполагает наличие Web-сервера,
· 25-й порт — почтового SMTP-сервера,
· 31337-й — серверной части троянского жеребца BackOrifice,
· 12345-й либо 12346-й — серверной части троянского жеребца NetBus и т.д.
Для идентификации сервисов и сканирования портов могут быть применены разные программки, в т.ч. и свободно распространяемые. к примеру, nmap либо netcat.
идентификация операционной системы
Главный механизм удаленного определения ОС — анализ ответов на запросы, учитывающие разные реализации TCP/IP-стека в разных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что дозволяет с помощью особых запросов и ответов на их найти, какая ОС установлена на удаленном узле.
иной, наименее действенный и очень ограниченный, метод идентификации ОС узлов — анализ сетевых сервисов, найденных на прошлом шаге. к примеру, открытый 139-й порт дозволяет прийти к выводу, что удаленный узел, скорее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть применены разные программки. к примеру, nmap либо queso.
Определение роли узла
Предпоследним шагом на шаге сбора инфы о атакуемом узле является определение его роли, к примеру, выполнении функций межсетевого экрана либо Web-сервера. Производится этот шаг на базе уже собранной инфы о активных сервисах, именах узлов, топологии сети и т.п. к примеру, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета показывает на возможное наличие межсетевого экрана, а DNS-имя узла proxy.Domain.ru либо fw.domain.ru гласит само за себя.
Определение уязвимостей узла
Крайний шаг — поиск уязвимостей. На этом шаге злодей с помощью разных автоматических средств либо вручную описывает уязвимости, которые могут быть применены для реализации атаки. В качестве таковых автоматических средств могут быть применены ShadowSecurityScanner, nmap, Retina и т.д.
2. Реализация атаки
Отныне начинается попытка доступа к атакуемому узлу. При всем этом доступ быть может как конкретный, т.е. проникновение на узел, так и опосредованный, к примеру, при реализации атаки типа «отказ в обслуживании». Реализация атак в случае конкретного доступа также быть может разбита на два шага:
· проникновение;
· установление контроля.
Проникновение
Проникновение предполагает под собой преодоление средств защиты периметра (к примеру, межсетевого экрана). Реализовываться это быть может разными способами. к примеру, внедрение уязвимости сервиса компа, «смотрящего» наружу либо методом передачи агрессивного содержания по электрической почте (макровирусы) либо через апплеты Java. Такое содержание может применять так именуемые «туннели» в межсетевом экране (не путать с туннелями VPN), через которые потом и просачивается злодей. К этому же шагу можно отнести подбор пароля админа либо другого юзера с помощью спец утилиты (к примеру, L0phtCrack либо Crack).
установление контроля
Опосля проникания злодей устанавливает контроль над атакуемым узлом. Это быть может осуществлено методом внедрения программки типа «троянский жеребец» (к примеру, NetBus либо BackOrifice). Опосля установки контроля над необходимым узлом и «заметания» следов, злодей может производить все нужные несанкционированные деяния дистанционно без ведома обладателя атакованного компа. При всем этом установление контроля над узлом корпоративной сети обязано сохраняться и опосля перезагрузки операционной системы. Это быть может реализовано методом подмены 1-го из загрузочных файлов либо вставка ссылки на агрессивный код в файлы автозагрузки либо системный реестр. Известен вариант, когда злодей сумел перепрограммировать EEPROM сетевой карты и даже опосля переустановки ОС он сумел повторно воплотить несанкционированные деяния. Наиболее обычный модификацией этого примера является внедрение нужного кода либо фрагмента в сценарий сетевой загрузки (к примеру, для ОС Novell Netware).
Цели реализации атак
нужно отметить, что злодей на втором шаге может преследовать две цели. Во-1-х, получение несанкционированного доступа к самому узлу и содержащейся на нем инфы. Во-2-х, получение несанкционированного доступа к узлу для воплощения последующих атак на остальные узлы. 1-ая цель, как правило, осуществляется лишь опосля реализации 2-ой. Другими словами, поначалу злодей делает для себя базу для последующих атак и лишь опосля этого просачивается на остальные узлы. Это нужно для того, чтоб скрыть либо значительно затруднить нахождение источника атаки.
3. Окончание атаки
Шагом окончания атаки является «заметание следов»
со стороны злодея. Обычно это реализуется методом удаления соответственных записей из журналов регистрации узла и остальных действий, возвращающих атакованную систему в начальное, «предатакованное»
состояние.
Систематизация атак
Есть разные типа систематизации атак. к примеру, деление на пассивные и активные, наружные и внутренние, предумышленные и нечаянные. Но чтобы не запутать вас огромным многообразием классификаций, не достаточно применимыми на практике, предлагаю наиболее «актуальную» систематизацию:
1. Удаленное проникновение (remote penetration). Атаки, которые разрешают воплотить удаленное управление компом через сеть. К примеру, NetBus либо BackOrifice.
2. Локальное проникновение (local penetration). Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. к примеру, GetAdmin.
3. Удаленный отказ в обслуживании (remote denial of service). Атаки, которые разрешают нарушить функционирование либо перегрузить комп через Internet. К примеру, Teardrop либо trin00.
4. Локальный отказ в обслуживании (local denial of service). Атаки, которые разрешают нарушить функционирование либо перегрузить комп, на котором они реализуются. Примером таковой атаки является «агрессивный» апплет, который загружает центральный машина — комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач) (либо вычислительной системы) которое делает арифметические и логические операции данные программкой преобразования инфы управляет вычислительным действием и коор нескончаемым циклом, что приводит к невозможности обработки запросов остальных приложений.
5. Сетевые сканеры (Network scanners). Программки, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. к примеру, система nmap.
6. Сканеры уязвимостей (vulnerability scanners). Программки, которые отыскивают уязвимости на узлах сети и которые могут быть применены для реализации атак. к примеру, система SATAN либо ShadowSecurityScanner.
7. Взломщики паролей (Password crackers). Программки, которые «подбирают» пароли юзеров. к примеру, L0phtCrack для Windows либо Crack для unix.
8. Анализаторы протоколов (sniffers). Программки, которые «прослушивают» сетевой трафик. С помощью этих программ можно автоматом находить такую информацию, как идентификаторы и пароли юзеров, информацию о кредитных картах и т.д. к примеру, Microsoft Network Monitor, NetXRay компании Network Associates либо LanExplorer.
Компания Internet Security Systems, Inc. еще больше уменьшила число вероятных категорий, доведя их до 5:
1. Сбор инфы (Information gathering).
2. Пробы несанкционированного доступа (Unauthorized access attempts).
3. Отказ в обслуживании (Denial of service).
4. Подозрительная активность (Suspicious activity).
5. Системные атаки (System attack).
1-ые 4 группы относятся к удаленным атакам, а крайняя — к локальным, реализуемом на атакуемом узле. Можно увидеть, что в данную систематизацию не попал целый класс так именуемых «пассивных» атак («прослушивание» трафика, «неверный DNS-«, «замена ARP-сервера» и т.п.).
систематизация атак, реализованная в почти всех системах обнаружения атак, не быть может непоколебимой. к примеру, атака, реализация которой для ОС unix (к примеру, переполнение буфера statd) может иметь самые плачевные последствия (самый высочайший Ценность), для ОС Windows NT быть может совершенно не применима либо иметь весьма низкую степень риска. Не считая того, существует путаница и в самих заглавиях атак и уязвимостей. одна и та же атака, может иметь различные наименования у различных производителей систем обнаружения атак.
Одной из наилучших баз уязвимостей и атак
является база данных X-Force, находящаяся по адресу: HTTP://xforce.iss.net/. Доступ к ней может осуществляться как методом подписки на свободно распространяемый перечень рассылки X-Force Alert, так и методом интерактивного поиска в базе данных на Web-сервере компании ISS.
Заключение
Не будь уязвимостей в компонентах информационных систем, недозволено было бы воплотить почти все атаки и, как следует, классические системы защиты полностью отлично управлялись бы с вероятными атаками. Но программки пишутся людьми, которым характерно созодать ошибки. Вследствие что и возникают уязвимости, которые употребляются злодеями для реализации атак. Но это лишь половина беды. Если б все атаки строились по модели «один к одному», то с некой натяжкой, но межсетевые экраны и остальные защитные системы смогли бы противостоять и им. Но возникли скоординированные атаки, против которых классические средства уже не так эффективны. И здесь на сцене и возникают новейшие технологии — технологии обнаружения атак. Приведенная классификация данные о атаках и шагах их реализации дает нужный базис для осознания технологий обнаружения атак.
Средства обнаружения компьютерных атак
разработка обнаружения атак обязана решать последующие задачки:
· Определение узнаваемых атак и предупреждение о их соответственного персонала.
· «осознание» часто непонятных источников инфы о атаках.
· Освобождение либо понижение перегрузки на персонал, отвечающий за сохранность, от текущих рутинных операций по контролю за юзерами, системами и сетями, являющимися компонентами корпоративной сети.
· Возможность управления средствами защиты не-экспертами в области сохранности.
· Контроль всех действий субъектов корпоративной сети (юзеров, программ, действий и т.д.).
Весьма нередко
могут делать функции, значительно расширяющие диапазон их внедрения. к примеру,
· Контроль эффективности межсетевых экранов. К примеру, установка системы обнаружения атак опосля межсетевого экрана (снутри корпоративной сети) дозволяет найти атаки, пропускаемые МСЭ и, тем, найти недостающие правила на межсетевом экране.
· Контроль узлов сети с неустановленными обновлениями либо узлов с устаревшим программным обеспечением.
· Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далековато до межсетевых экранов и систем контроля доступа к разным URL, к примеру, WEBsweeper, они могут делать частичный контроль и блокирование доступа неких юзеров корпоративной сети к отдельным ресурсам Internet, к примеру, к Web-серверам порнографического содержания. Это бывает нужно тогда, когда в организации нет средств на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся меж системой обнаружения атак, маршрутизатором и proxy-сервером. Не считая того, системы обнаружения атак могут надзирать доступ служащих к серверам на базе главных слов. к примеру, sex, job, crack и т.д.
· Контроль электрической почты. системы обнаружения атак могут употребляться для контроля неблагонадежных служащих, использующих электрическую почту для выполнения задач, не входящих в их многофункциональные обязанности, к примеру, рассылка резюме. Некие системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до реальных антивирусных систем им далековато, они все таки делают эту задачку довольно отлично.
Наилучшее внедрение времени и опыта профессионалов в области информационной сохранности заключается в обнаружении и устранении обстоятельств реализации атак, быстрее чем, в обнаружении самих атак. Устранив предпосылки появления атак, т.е. найдя и устранив уязвимости, админ тем избавляет и сам факт возможной реализации атак. По другому атака будет повторяться раз за разом, повсевременно требуя усилий и внимания админа.
систематизация систем обнаружения атак
Существует огромное число разных классификаций систем обнаружения атак, но самой всераспространенной является систематизация по принципу реализации:
1. host-based, другими словами обнаруживающие атаки, направленные на определенный узел сети,
2. Network-based, другими словами обнаруживающие атаки, направленные на всю сеть либо сектор сети.
Системы обнаружения атак, контролирующие отдельный комп, обычно, собирают и анализируют информацию из журналов регистрации операционной системы и разных приложений (Web-, СУБД и т.д.). По такому принципу работает RealSecure OS Sensor. Но в крайнее время стали получать распространение системы, тесновато встроенные с ядром ОС, тем, предоставляя наиболее действенный метод обнаружения нарушений политики сохранности. При этом таковая Интеграция быть может реализовано двойственно. Во-1-х, могут контролироваться все системные вызовы ОС (так работает Entercept) либо весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В крайнем случае система обнаружения атак захватывает весь сетевой трафик впрямую с сетевой карты, минуя операционную систему, что дозволяет уменьшить зависимость от нее и тем повысить защищенность системы обнаружения атак.
собирают информацию из самой сети, другими словами из сетевого трафика. Производиться эти системы могут на обыденных компах (к примеру, RealSecure Network Sensor), на специализированных компах (к примеру, RealSecure for Nokia либо Cisco Secure IDS 4210 и 4230) либо интегрированы в маршрутизаторы либо коммутаторы (к примеру, CiscoSecure IOS Integrated Software либо Cisco Catalyst 6000 IDS Module). В первых 2-ух вариантах анализируемая информация собирается средством захвата и анализа пакетов, используя сетевые интерфейсы в хаотичном (promiscuous) режиме. В крайнем случае захват трафика осуществляется с шины сетевого оборудования.
Обнаружение атак просит выполнения 1-го из 2-ух критерий — либо осознания ожидаемого поведения контролируемого объекта системы либо познания всех вероятных атак и их модификаций. В первом случае употребляется разработка обнаружения аномального поведения, а во 2-м случае — разработка обнаружения злоумышленного поведения либо злоупотреблений. 2-ая разработка заключается в описании атаки в виде шаблона либо сигнатуры и поиска данного шаблона в контролируемом пространстве (к примеру, сетевом трафике либо журнальчике регистрации). Эта разработка весьма похожа на обнаружение вирусов (антивирусные системы являются броским примером системы обнаружения атак), т.е. система может найти все известные атаки, но она не достаточно адаптирована для обнаружения новейших, еще неведомых, атак. Подход, реализованный в таковых системах, весьма прост и конкретно на нем основаны фактически все предлагаемые сейчас на рынке системы обнаружения атак.
Фактически все системы обнаружения атак основаны на сигнатурном подходе.
Плюсы систем обнаружения атак
Можно длительно перечислять разные плюсы систем обнаружения атак, функционирующих на уровне узла и сети. Но я остановлюсь лишь на нескольких из их.
Коммутация дозволяет управлять крупномасштабными сетями, как несколькими маленькими сетевыми секторами. В итоге бывает тяжело найти лучшее пространство для установки системы, обнаруживающей атаки в сетевом трафике. Время от времени могут посодействовать особые порты (span ports) на коммутаторах, но не постоянно. Обнаружение атак на уровне определенного узла обеспечивает наиболее эффективную работу в коммутируемых сетях, потому что дозволяет расположить системы обнаружения лишь на тех узлах, на которых это нужно.
системы сетевого уровня не требуют, чтоб на любом хосте устанавливалось программное обеспечение системы обнаружения атак. Так как для контроля всей сети число мест, в каких установлены IDS невелико, то стоимость их эксплуатации в сети компании ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Не считая того, для контроля сетевого сектора, нужен лишь один детектор, независимо от числа узлов в данном секторе.
Сетевой пакет, будучи ушедшим с компа злодея, уже не быть может возвращен вспять. системы, функционирующие на сетевом уровне, употребляют «жив» трафик при обнаружении атак в настоящем масштабе времени. Таковым образом, злодей не может удалить следы собственной несанкционированной деятель. Анализируемые данные включают не только лишь информацию о способе атаки, да и информацию, которая может посодействовать при идентификации злодея и подтверждении в суде. Так как почти все хакеры отлично знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов собственной деятель, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтоб найти атаку.
системы, функционирующие на уровне сети, обнаруживают подозрительные действия и атаки по мере того, как они происходят, и потому обеспечивают еще наиболее резвое извещение и реагирование, чем системы, анализирующие журнальчики регистрации. К примеру, взломщик, инициирующий сетевую атаку типа «отказ в обслуживании» на базе протокола TCP, быть может остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для окончания соединения с атакующим узлом, до этого чем атака вызовет разрушения либо повреждения атакуемого узла. системы анализа журналов регистрации не распознают атаки до момента соответственной записи в журнальчик и решают ответные деяния уже опосля того, как была изготовлена запись. К этому моменту более принципиальные системы либо ресурсы уже могут быть скомпрометированы либо нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Извещение в настоящем масштабе времени дозволяет стремительно среагировать в согласовании с за ранее определенными параметрами. Спектр этих реакций меняется от разрешения проникания в режиме наблюдения для того, чтоб собрать информацию о атаке и атакующем, до незамедлительного окончания атаки.
И, в конце концов, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, потому что они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот либо другой пакет, если он в соответствие со эталонами, поддерживаемыми системой обнаружения. К примеру, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они разговаривают меж собой по протоколу IP, то неважно какая из систем обнаружения атак, поддерживающая этот протокол, сумеет обнаруживать атаки, направленные на эти ОС.
Совместное применение систем обнаружения атак на уровне сети и уровне узла повысит защищенность вашей сети.
Сетевые системы обнаружения атак и межсетевые экраны
Более нередко сетевые системы обнаружения атак пробуют поменять межсетевыми экранами, уповая на то, что крайние обеспечивают весьма высочайший уровень защищенности. Но не стоит забывать, что межсетевые экраны — это просто системы, основанные на правилах, которые разрешают либо воспрещают прохождение трафика через их. Даже межсетевые экраны, построенные по технологии «», не разрешают с уверенностью сказать, находится ли атака в контролируемом ими трафике либо нет. Они могут сказать, соответствует ли трафик правилу либо нет. к примеру, МСЭ сконфигурирован так, чтоб перекрыть все соединения не считая TCP-соединений на 80 порту (другими словами HTTP-трафик). Таковым образом, хоть какой трафик через 80-ый порт легитимен исходя из убеждений МСЭ. С иной стороны, система обнаружения атак также контролирует трафик, но отыскивает в нем признаки атаки. Ее не достаточно заботит, для какого порта предназначен трафик. По дефлоту весь трафик для системы обнаружения атак подозрителен. Другими словами, невзирая на то, что система обнаружения атак работает с этим же источником данных, что и МСЭ, другими словами с сетевым трафиком, они делают дополняющие друг друга функции. К примеру, HTTP-запрос «GET /../../../etc/passwd HTTP/1.0″. Фактически хоть какой МСЭ разрешает прохождение данного запроса через себя. Но система обнаружения атак просто увидит эту атаку и перекрывает ее.
Можно провести последующую аналогию. Межсетевой экран — это обыденный турникет, устанавливаемый на главном входе в вашу сеть. Но кроме основных дверей есть и остальные двери, также окна. Маскируясь под настоящего сотрудника либо войдя в доверие к сторожу на турникете, злодей может пронести через турникет взрывное устройство либо пистолет. Не достаточно того. Злодей может залезть к для вас через окно. Конкретно потому и необходимы системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и нужным, но очевидно недостающим элементом сетевой сохранности.
— не панацея!
Варианты реакций на обнаруженную атаку
Не достаточно найти атаку, — нужно на нее подходящим образом отреагировать. Конкретно варианты реагирования почти во всем определяют эффективность системы обнаружения атак. На нынешний денек предлагаются последующие варианты реагирования:
· Извещение на консоль (включая запасную) системы обнаружения атак либо на консоль встроенной системы (к примеру, межсетевого экрана).
· Звуковое оповещение о атаке.
· Генерация управляющих последовательностей SNMP для систем сетевого управления.
· Генерация сообщения о атаке по электрической почте.
· Доп извещения на пейджер либо факс. Весьма увлекательная, хотя и изредка используемая возможность. Оповещение о обнаружении несанкционированной деятель посылается не админу, а злодею. По воззрению приверженцев данного варианта реагирования, нарушитель, узнав, что его нашли, обязан закончить свои деяния.
· Неотклонимая регистрация обнаруживаемых событий. В качестве журнальчика регистрации могут выступать:
o текстовый файл,
o системный журнальчик (к примеру, в системе Cisco Secure Integrated Software),
o текстовый файл специального формата (к примеру, в системе Snort),
o локальная база данных MS Access,
o SQL-база данных (к примеру, в системе RealSecure).
нужно лишь учесть, что объемы регистрируемой инфы требуют, обычно, SQL-базу — MS SQL либо Oracle.
· Трассировка событий (event trace), т.е. запись их в той последовательности и с той скоростью, с которыми их реализовывал злодей. Потом админ в хоть какое данное время может прокрутить (replay либо playback) нужную последовательность событий с данной скоростью (в настоящем режиме времени, с убыстрением либо замедлением), чтоб проанализировать деятельность злодея. Это дозволит осознать его квалификацию, применяемые средства атаки и т.д.
· Прерывание действий атакующего, т.е. окончание соединения. Это можно создать, как:
o перехват соединения (session hijacking) и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени всякого из их (в системе обнаружения атак, функционирующей на уровне сети);
o блокировка учетной записи юзера, осуществляющего атаку (в системе обнаружения атак на уровне узла). Таковая блокировка быть может осуществлена или на данный просвет времени, или до того времени, пока учетная запись не будет разблокирована админом. Зависимо от льгот, с которыми запущена система обнаружения атак, блокировка может действовать как в границах самого компа, на который ориентирована атака, так и в границах всего домена сети.
· Реконфигурация сетевого оборудования либо межсетевых экранов. В случае обнаружения атаки на маршрутизатор либо межсетевой экран посылается команда на изменение перечня контроля доступа. Потом все пробы соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злодея, изменение перечня контроля доступа быть может осуществлено либо на данный интервал времени либо до того момента, как изменение будет отменено админом реконфигурируемого сетевого оборудования.
· Блокирование сетевого трафика так, как это реализовано в межсетевых экранах. Этот вариант дозволяет ограничить трафик, также адресатов, которые могут получить доступ к ресурсам защищаемого компа, позволяя делать функции доступные в индивидуальных межсетевых экранах.
Для подготовки работы употреблял материал и снимки экрана с веб-сайта:
http://protect.htmlweb.ru
]]>