4. Межсетевые экраны экспертного уровня.
Наиболее сложные МЭ, сочетающие в себе элементы всех трёх приведённых выше категорий. Вместо прокси-сервисов в таких экранах используются алгоритмы распознавания и обработки данных на уровне приложений. Большинство используемых в настоящее время межсетевых экранов относятся к категории экспертных. Наиболее известные и распространённые МЭ – CISCO PIX и CheckPoint FireWall-1.
15. Защита внешнего периметра. Системы обнаружения вторжений(ids).
Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа (или попыток несанкционированного доступа) к ресурсам АС. Система обнаружения вторжений (IDS) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.
О
бщая
структура IDS приведена на рис.:
Сетевой интерфейс Консоль
Сенсор Ядро (модуль анализа)
Модуль протоколирования Модуль ответного реагирования База сигнатур
Алгоритм функционирования системы IDS
Сенсор получает сетевой пакет ->Пакет передаётся ядру->Совпадение с сигнатурами? да нет-> Предупреждающее сообщение на консоль ->Вызов модуля ответного реагирования
Сигнатура атаки или вируса –характ признаки, исп для их обнаружения.
Cенсоры получают сетевой трафик, а ядро путём сравнения полученного трафика с записями имеющейся базы сигнатур атак пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой опциональный компонент, который может быть использован для оперативного блокирования угрозы: например, может быть сформировано правило для межсетевого экрана, блокирующее источник нападения.
Существуют две основных категории систем IDS:
1. Сетевая IDS. В таких системах сенсор расположен на важных участках сети (Границе защищаемой области).
Эта система отслеживает вторжение, проверяер весь сетевой трафик, ведет наблюдение за несколькими хостами.
Network IDS (NIDS) получает весь трафик, подключаясь к свитчу, который определенным образом настроен, либо подключается к сетевым картам.
2. PIDS – основан на протоколе системы обнаружения ошибок. Эта система отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.
3. IDS системы основанные на прикладных протоколах (APIDS) – это система, которая ведет наблюдение и анализ данных, представляемых с использованием специфичных для определенных приложений протоколов.
4. Узловая IDS – эта система расположена на уровне хоста. Отслеживает вторжение, используя следующую информацию: «логи» приложений, на основе анализа системных вызовов, на основе информации о возможной модификации файлов, информации о состоянии конкретного хоста, кроме того, могут быть использованы записи стандартных средств протоколирования ОС на конкретном хосте.
5. Гибридная IDS система. Совмещает в себе определенные классы IDS. Здесь данные от соответствующих агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети.
16. Защита внешнего периметра. Системы предотвращения вторжений(ips).
IPS - программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. Системы IPS можно рассматривать как расширение IDS, так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Если эти атаки выявлены, то IPS производит следующие действия:
Сброс соединения с объектом информационного обмена.
Блокировка потоков трафика в сети.
Представить информацию о соответствующей атаке соответствующему ответственному лицу.
Кроме того, IPS может дефрагментировать , а также переупорядочить сетевые пакеты с целью защиты от пакетов с измененными номерами или данными.
Классификация IPS:
Сетевые IPS - отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
IPS для беспроводных сетей (WIPS) - проверяет активность в беспроводных сетях. В частности, обнаруживает
неверно сконфигурированные точки беспроводного доступа к сети;
атаки человек посередине (при к-ой атакующий субъект м/у субъектами инф. объекта может перехватывать и заменять данные обмена);
спуфинг mac-адресов (метод изменения MAC-адреса сетевого устройства, позволяет обойти список контроля доступа к серверам, маршрутизаторам, скрыть компьютер, что может нарушить работоспособность сети).
Поведенческий анализ сети (NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
Система предотвращения вторжений для отдельных компьютеров (HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.
Виды HIPS:
Классические HIPS
Классические HIPS-продукты предоставляют пользователю информацию об активности того или иного приложения, однако, решение о разрешении/запрещении той или иной операции должен принимать пользователь, т.о. классические HIPS-продукты позволяют пользователю тонко настроить те или иные правила контроля, но создание правил требует высокой квалификации пользователя.
Экспертные HIPS
В отличие от классических HIPS-продуктов, экспертные HIPS могут самостоятельно принимать решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком продукта. Для использования экспертных HIPS-продуктов пользователю не обязательно обладать определенной квалификацией, однако экспертные HIPS-продукты в ряде случаев могут блокировать легитимную активность пользовательского программного обеспечения.
Система предотвращения вторжений (Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Но они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.