- •Выделенные прокси-серверы
- •Гибридные технологии firewall’а
- •Трансляция сетевых адресов (nat)
- •Статическая трансляция сетевых адресов
- •Скрытая трансляция сетевых адресов
- •Расположение серверов в dmz-сетях
- •Внешне доступные серверы
- •Vpn и Dial-in серверы
- •Внутренние серверы
- •Smtp-серверы
- •Типы ids
- •Архитектура ids
- •Совместное расположение Host и Target
- •Разделение Host и Target
- •Ids, реакция которых происходит через определенные интервалы времени (пакетный режим)
- •Real-Time (непрерывные)
- •Информационные источники
- •Анализ, выполняемый ids
- •Определение злоупотреблений
- •Определение аномалий
- •Возможные ответные действия ids
- •Активные действия
- •Сбор дополнительной информации
- •Изменение окружения
- •Выполнение действия против атакующего
- •Пассивные действия
- •Тревоги и оповещения
- •Использование snmp Traps
- •Возможности отчетов и архивирования
- •Возможность хранения информации о сбоях
- •Дополнительные инструментальные средства
- •Системы анализа и оценки уязвимостей
- •Процесс анализа уязвимостей
- •Классификация инструментальных средств анализа уязвимостей
- •Host-Based анализ уязвимостей
- •Network-Based анализ уязвимостей
- •Преимущества и недостатки систем анализа уязвимостей
- •Способы взаимодействия сканера уязвимостей и ids
- •Проверка целостности файлов
- •Системы Honey Pot и Padded Cell
- •Выбор ids
- •Определение окружения ids
- •Технические спецификации окружения систем
- •Технические спецификации используемой системы безопасности
- •Цели организации
- •Возможность формализации окружения системы и принципы управления, используемые в организации
- •Цели и задачи использования ids
- •Защита от внешних угроз
- •Защита от внутренних угроз
- •Возможность определения необходимости обновления
- •Существующая политика безопасности
- •Структурированность
- •Описание функций, выполняемых пользователями системы
- •Реакция на нарушения политики
- •Развертывание ids
- •Стратегия развертывания ids
- •Развертывание network-based ids
- •Позади внешнего firewall’а в dmz-сети (расположение 1)
- •Стратегии оповещения о тревогах
- •Сильные стороны и ограниченность ids
- •Сильные стороны ids
- •Ограничения ids
- •Обработка выходной информации ids Типичные выходные данные ids
- •Выполняемые ids действия при обнаружении атаки
- •Компьютерные атаки и уязвимости, определяемые ids
- •Типы атак
- •Типы компьютерных атак, обычно определяемые ids
- •Атаки сканирования
- •Flooding DoS-атаки
- •Атаки проникновения
- •Удаленные vs. Локальные атаки
- •Атака авторизованного пользователя
- •Атаки публичного доступа
- •Определение расположения атакующего на основе анализа выходной информации ids
- •Чрезмерная отчетность об атаках
- •Соглашения по именованию атак
- •Уровни важности атак
- •Типы компьютерных уязвимостей
- •Ошибка корректности входных данных
- •Переполнение буфера
- •Ошибка граничного условия
- •Ошибка управления доступом
- •Исключительное условие при обработке ошибки
- •Ошибка окружения
- •Ошибка конфигурирования
- •Race-условие
- •Будущие направления развития ids
Системы Honey Pot и Padded Cell
В настоящее время разрабатываются новые дополнения для традиционных IDS. Важно понимать, чем они отличаются от технологий, используемых в обычных IDS.
Honey Pot являются системами-ловушками, которые разработаны для привлечения потенциального атакующего и отвлечения его от уязвимых систем. Honey Pot создаются для того, чтобы:
отвлечь атакующего от доступа к критичным системам;
собрать информацию о деятельности атакующего;
способствовать тому, чтобы атакующий оставил достаточно следов в системе.
Такие системы заполняются ложной информацией, но информация создается таким образом, чтобы она казалась ценной. Законные пользователи не должны иметь доступ к данной системе. Таким образом, любой вход в Honey Pot является подозрительным. Honey Pot содержит мониторы уязвимостей и логгеры событий, которые определяют, что такие доступы произошли, и также собирают информацию о деятельности атакующих.
Padded Cell используют другой подход. Вместо того, чтобы пытаться привлечь атакующих заманчивыми данными, Padded Cell функционируют вместе с традиционной IDS. Когда IDS определяет атакующего, она перенаправляет его в специальный Padded Cell хост. После того как атакующие попадают в Padded Cell, они находятся внутри эмулированного окружения, где не могут причинить вред. Как и Honey Pot, данное эмулированное окружение заполняется представляющими интерес данными, разработанными для того, чтобы убедить атакующего, будто атака продолжается по его плану. Как и Honey Pot, Padded Cell являются хорошо оборудованными и имеют уникальные возможности для мониторинга действий атакующего. Разработчики IDS используют системы Padded Cell и Honey Pot, начиная с 1980 года. Важно проконсультироваться с законодательством, прежде чем принять решение об использовании тех или иных систем в конкретном функциональном окружении.
Преимущества систем Honey Pot и Padded Cell:
Атакующие могут быть направлены в сторону от целевой системы, тем самым они не в состоянии принести вред.
Администраторы имеют дополнительное время для принятия решения о том, как ответить атакующему.
Действия атакующего могут быть легко и более обширно проанализированы, с получением результатов, которые могут использоваться для уточнения моделей угроз и для улучшения системы защиты.
Honey Pot могут быть эффективны для обнаружения внутренних нарушителей, которые просматривают сеть.
Недостатки систем Honey Pot и Padded Cell:
Законодательные положения для использования таких устройств недостаточно хорошо определены.
Honey Pot и Padded Cell пока еще не являются общеиспользуемыми технологиями безопасности.
Опытный атакующий, однажды попав в ловушку, может стать агрессивным и запустить более враждебную атаку против системы.
Администратору необходим большой опыт, чтобы использовать такие системы.
Выбор ids
Сегодня доступен широкий выбор продуктов определения проникновения, адресованных широкому спектру целей безопасности. Имея такой спектр продуктов и возможностей, процесс выбора продукта, который является наилучшим для конкретных нужд, становится достаточно трудным. Ниже перечислены вопросы, которые могут использоваться в качестве критерия при приобретении конкретной IDS.
Чтобы определить, какие IDS могут использоваться в конкретном окружении, следует в первую очередь, рассмотреть окружение, в технических и физических терминах и в терминах политики.
Выбор самой подходящей IDS
Самой подходящей IDS в каждом конкретном случае является та, которая наилучшим образом удовлетворяет целям и задачам безопасности в организации, при этом могут учитываться существующие ограничения. Определяющими факторами обычно считаются следующие:
окружение системы, в терминах аппаратной и программной инфраструктур.
окружение безопасности, в терминах политик и существующих механизмов безопасности и ограничений.
организационные цели, в терминах задач функционирования предприятия (например, организации электронной коммерции могут иметь цели и ограничения, отличные от целей и ограничений организаций, которые занимаются производством).
ограничения ресурсов в терминах финансовых возможностей приобретения, кадрового обеспечения и инфраструктуры.