реферат IPS

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”

Реферат

З предмету : “ Захист інформації в інформаційно-комунікаційних системах, частина 1”

На тему: “ Система виявлення атак.Робота з Snort ”

Виконав:

Ст. групи БІ-31

Цишенко О.С.

Перевірив:

Доцент, к.т.н.

Журавель І.М.

Львів 2015

Зміст

1. Вступ.

2. Системи попередження мережевих атак.

3. IPS: Види та принципи роботи.

ВСТУП

Система виявлення атак (вторгнень) — програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. Відповідний англійський термін — Intrusion Detection System (IDS). Системи виявлення вторгнень забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System).

IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніш не відомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад. розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєднують у co6і функціональністъ двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS).

Системи попередження мережевих атак

Незважаючи на очевидні переваги, системи попередження мережевих атак частенько піддаються критиці. Розглянемо коротко сучасні технології попередження мережевих атак і їх реалізацію.

Для початку трохи історії. Раніше було тільки два класи захисних засобів – між мережеві екрани (firewall) і системи виявлення вторгнень (IDS). Міжмережеві екрани просто пропускали трафік, фіксуючи на заголовку IP-пакету, і неважливо, що було всередині цього пакета – шпалери 1280х800 або важлива службова інформація. Що стусується системи IDS, то їх завдання полягало в аналізі того, що пропускали екрани – проте, трафік через системи виявлення вторгнень не проходив, таким чином, блокувати атаки вони не могли. На стику цих технологій і з’явився новий клас – системи запобігання вторгнень, IPS.

Системи IPS пропускають трафік через себе, не знижуючи швидкість передачі даних, забезпечуючи збірку пакетів у правильному порядку і аналізуючи ці пакети на предмет виявлення атак. Для аналізу використовуються різні методи – сигнатурні і поведінкові, також системи IPS блокують шкідливий трафік (тобто, якщо, наприклад, користувач збирається завантажити безкоштовно шпалери для робочого столу, можна не побоюватися, що разом з файлом на компю’тер потрапить небезпечний троян).

Впровадження систем IPS в якості виділених пристроїв для захисту на периметрах корпоративних мереж є, мабуть, одним із найпоширеніших варіантів. Однак, незважаючи на хорошу перспективу, ці варіанти за прогнозами скоро підуть в тінь, поступившись місцем рішенням, інтегрованим в інфраструктуру, зважаючи на набагато більшу ефективність останніх.

Інтеграція може бути проведена по-різному – найпоширенішим способом на сьогодні є використання маршрутизатора з IPS, в цьому випадку система отримує доступ до трафіку відразу після його надходження. При цьому, реалізація можлива як в якості окремого модуля, який вставляється в шасі маршрутизатора, так і в якості частини операційної системи пристрою. Тим не менш, у такого рішення є свої недоліки, адже система IPS відбиває атаки лише на периметрі, залишаючи беззахисними внутрішні ресурси мережі. І якщо користувач, наприклад, приніс із собою на флешці шпалери квіти, що містять потенційно небезпечну програму, то для її виявлення буде потрібно додаткові засоби захисту.

Основні недоліки систем IPS – велика кількість управлінських завдань і чималий відсоток помилкових спрацювань.

Що ж , будемо сподіватися, що подальший розвиток технологій дозволить успішно вирішити ці проблеми.

IPS: Види та принципи роботи

Системи запобігання IPS (Intrusion Prevention System) з'явилися на базі IDS, тобто кожна IPS включає модуль IDS. За своїми функціями вони досить схожі, але є й відмінність, воно полягає в тому, що перша система - це «пасивне» рішення, яка займається моніторингом мережевих пакетів, портів, порівнює трафік з певним набором правил і оповіщенням при виявленні Шкідливе, в той час як IPS блокує його при спробах проникнення в мережу. У разі ризику вторгнення мережеве з'єднання відключається, або блокується сесія користувача з зупинкою доступу до ІР-адресами, аккаунту, сервісу або додатком. Крім того, щоб відвести загрозу атаки, IPS-пристрої здатні провести перенастроювання брандмауера або маршрутизатора. Деякі рішення також використовують накочення нових патчів при підвищеній уразливості хоста. Тим не менш, необхідно визнати, що технології IDS / IPS не роблять систему абсолютно безпечною. Особливості архітектури  При розгортанні систем IPS використовується чотири основних технології. Перша - це установка виділених пристроїв по периметру корпоративної мережі, а також всередині неї. Як правило, IPS інтегрована в інфраструктуру, оскільки такий варіант набагато вигідніше автономного рішення. Насамперед, тому що вартість інтегрованого пристрою нижче ціни автономного (stand-alone) пристрою, та й вартість впровадження нижче. По-третє, вище надійність, так як в ланцюжку проходження трафіку відсутня додаткова ланка, схильне відмов. Як правило, IPS інтегрують в маршрутизатор, тоді система отримує доступ до аналізованого трафіку. Це друга використовувана технологія. Однак у цього варіанту є недолік: інтегрована в маршрутизатор IPS здатна відбивати атаки тільки на периметрі мережі. Тому, щоб захистити внутрішні ресурси, механізми запобігання атак впроваджують в комутатори локальної мережі. IDS and IPS Системи IDS / IPS встановлюються по периметру корпоративної мережі Третій форпост IPS пов'язаний з швидко зростаючою популярністю бездротових технологій. Тому системами IPS сьогодні активно оснащують і точки бездротового доступу. Подібні рішення, крім виявлення і запобігання різних атак, здатні знаходити несанкціоновано встановлені точки доступу і клієнтів. Ще одним рубежем оборони є робоча станція або сервер. У цьому випадку система IPS на робочій станції або сервері встановлюється як прикладне ПО поверх ОС і називається Host IPS (HIPS). Подібні рішення випускаються безліччю виробників. Наприклад, можна відзначити продукти McAfee Host Intrusion Prevention for Desktops, McAfee Host Intrusion Prevention for Servers, Trend Micro Enterprise Security Suites, Trend Micro Enterprise Security for Endpoints та інші. Використання системи Host IPS веде до скорочення частоти установки критичних оновлень, допомагає захищати конфіденційні дані і виконувати регулятивні вимоги та приписи. Вона поєднує в собі систему запобігання вторгнень (IPS) на основі аналізу поведінки і сигнатур, брандмауер, який має функцію відстежування стану з'єднань, і механізм блокування додатків з метою захисту всіх кінцевих точок - настільних ПК, ноутбуків і серверів - від відомих і невідомих погроз. Основні помилки при впровадженні Системи IDS / IPS - це досить складний інструмент, що вимагає певної кваліфікації при впровадженні та постійної уваги під час експлуатації. Якщо цього не робити, то системи часто будуть генерувати помилковий сигнал, помилково визначаючи трафік як шкідливий. Щоб системи запобігання вторгнень працювала надійно, потрібно зробити налаштування точності. Крім того, пристрій необхідно перманентно підлаштовувати при зміні конфігурації мережі, а також до нових загроз, що з'явилися в мережі. Експерти називають сім основних помилок при розгортанні та експлуатації систем Host IDS / IPS. По-перше, не можна блокувати сигнатури середнього та високого рівня небезпеки без попереднього аналізу зібраних даних. Замість цього рекомендується заблокувати тільки сигнатури високого рівня небезпеки. Це забезпечить захист від найбільш серйозних вразливостей при невеликому числі помилкових подій. У свою чергу, сигнатури середнього рівня небезпеки працюють по поведінковому алгоритму і зазвичай вимагають обов'язкової попередньої настройки. По-друге, не можна використовувати в усіх системах одні й ті ж політики. Замість цього треба розділити ПК на групи по додатках і привілеям, починаючи зі створення стандартних профілів для найпростіших систем. По-третє, не рекомендується проводити занадто мало тестів для виявлення думки користувачів. Необхідно вибрати кілька важливих груп користувачів і провести пробні випробування з користувачами, які готові поділитися своєю думкою. Далі, система Host IPS не сприймає принципу «поставив і забув». На відміну від антивіруса, тут для забезпечення точності та ефективності захисту потрібен регулярний моніторинг та регулярне обслуговування системи. Крім того, не можна одночасно включати IPS, брандмауер і режим блокування додатків. Рекомендується почати з IPS, потім додати брандмауер, а потім при необхідності активувати режим блокування додатків. Також не можна залишати IPS, брандмауер або механізм блокування додатків в адаптивному режимі на невизначений термін. Замість цього треба включити адаптивний режим на короткі проміжки часу, коли у ІТ-адміністратора є можливість відслідковувати створювані правила. І нарешті, не можна негайно блокувати все, що система розпізнає як вторгнення. Спочатку варто переконатися, що спостережуваний трафік дійсно є шкідливим. У цьому допоможуть такі засоби, як захоплення пакетів, мережевий IPS та інші.