- •Выделенные прокси-серверы
- •Гибридные технологии firewall’а
- •Трансляция сетевых адресов (nat)
- •Статическая трансляция сетевых адресов
- •Скрытая трансляция сетевых адресов
- •Расположение серверов в dmz-сетях
- •Внешне доступные серверы
- •Vpn и Dial-in серверы
- •Внутренние серверы
- •Smtp-серверы
- •Типы ids
- •Архитектура ids
- •Совместное расположение Host и Target
- •Разделение Host и Target
- •Ids, реакция которых происходит через определенные интервалы времени (пакетный режим)
- •Real-Time (непрерывные)
- •Информационные источники
- •Анализ, выполняемый ids
- •Определение злоупотреблений
- •Определение аномалий
- •Возможные ответные действия ids
- •Активные действия
- •Сбор дополнительной информации
- •Изменение окружения
- •Выполнение действия против атакующего
- •Пассивные действия
- •Тревоги и оповещения
- •Использование snmp Traps
- •Возможности отчетов и архивирования
- •Возможность хранения информации о сбоях
- •Дополнительные инструментальные средства
- •Системы анализа и оценки уязвимостей
- •Процесс анализа уязвимостей
- •Классификация инструментальных средств анализа уязвимостей
- •Host-Based анализ уязвимостей
- •Network-Based анализ уязвимостей
- •Преимущества и недостатки систем анализа уязвимостей
- •Способы взаимодействия сканера уязвимостей и ids
- •Проверка целостности файлов
- •Системы Honey Pot и Padded Cell
- •Выбор ids
- •Определение окружения ids
- •Технические спецификации окружения систем
- •Технические спецификации используемой системы безопасности
- •Цели организации
- •Возможность формализации окружения системы и принципы управления, используемые в организации
- •Цели и задачи использования ids
- •Защита от внешних угроз
- •Защита от внутренних угроз
- •Возможность определения необходимости обновления
- •Существующая политика безопасности
- •Структурированность
- •Описание функций, выполняемых пользователями системы
- •Реакция на нарушения политики
- •Развертывание ids
- •Стратегия развертывания ids
- •Развертывание network-based ids
- •Позади внешнего firewall’а в dmz-сети (расположение 1)
- •Стратегии оповещения о тревогах
- •Сильные стороны и ограниченность ids
- •Сильные стороны ids
- •Ограничения ids
- •Обработка выходной информации ids Типичные выходные данные ids
- •Выполняемые ids действия при обнаружении атаки
- •Компьютерные атаки и уязвимости, определяемые ids
- •Типы атак
- •Типы компьютерных атак, обычно определяемые ids
- •Атаки сканирования
- •Flooding DoS-атаки
- •Атаки проникновения
- •Удаленные vs. Локальные атаки
- •Атака авторизованного пользователя
- •Атаки публичного доступа
- •Определение расположения атакующего на основе анализа выходной информации ids
- •Чрезмерная отчетность об атаках
- •Соглашения по именованию атак
- •Уровни важности атак
- •Типы компьютерных уязвимостей
- •Ошибка корректности входных данных
- •Переполнение буфера
- •Ошибка граничного условия
- •Ошибка управления доступом
- •Исключительное условие при обработке ошибки
- •Ошибка окружения
- •Ошибка конфигурирования
- •Race-условие
- •Будущие направления развития ids
Обработка выходной информации ids Типичные выходные данные ids
Почти все IDS имеют в качестве выходной информации строку сообщения о каждой обнаруженной атаке. Эта строка обычно содержит перечисленные ниже поля:
время и дату;
IP-адрес сенсора;
название атаки, специфичное для производителя;
стандартное название атаки (если оно существует);
IP-адреса источника и назначения;
номера портов источника и назначения;
сетевой протокол, используемый для атаки.
Многие IDS также предоставляют более подробное описание каждого типа атаки. Данное описание важно, так как оно дает возможность администратору уменьшить ущерб, наносимый атакой.
Данное описание обычно содержит следующую информацию:
текстовое описание атаки;
уровень серьезности атаки;
тип ущерба, наносимого в результате атаки;
тип уязвимости, используемый атакой;
список типов ПО и номера версий, которые являются уязвимыми для атаки;
информация о существующих обновлениях, которые позволяют сделать систему менее уязвимой для атаки;
ссылки на публично доступные публикации об атаке или уязвимости, которую она использует.
Выполняемые ids действия при обнаружении атаки
Возможно лучшим результатом, соответствующим успешной трактовке выходной информации IDS, должно быть сообщение, что атака "Be Prepared", т.е. полностью ликвидирована.
Однако реально автоматическая обработка атаки не всегда возможна. Поэтому следует иметь планы и процедуры обработки инцидентов, таких как обнаружение вирусов, внутренних угроз системам и внешние атаки.
Данный план должен, как минимум, определять роли и ответственности в организации, определять действия, которые должны быть выполнены при возникновении инцидента, и устанавливать график обучения и его содержание, которое необходимо при обработке инцидента. Более того, следует предусмотреть периодические тестирования этих процедур реагирования на инциденты, при которых каждый должен продемонстрировать умение действовать в соответствии со своими обязанностями.
Компьютерные атаки и уязвимости, определяемые ids
Многие организации приобретают IDS, потому что они знают, что IDS являются необходимым дополнением всеобъемлющей архитектуры безопасности системы. Однако, приобретая соответствующие коммерческие IDS, большинство организаций испытывают недостаток в квалифицированных операторах IDS. Несмотря на утверждения производителя о простоте использования, обучение абсолютно необходимо. IDS эффективна настолько, насколько эффективно ее использует человек.
Пользовательские интерфейсы IDS сильно отличаются. Некоторые создают ответы в форме зашифрованного текста, который записывается в логи, а другие предоставляют описание атак на сеть в графическом виде. Несмотря на широкий диапазон технологий представления информации, большинство выходной информации IDS имеет общую базу, касающуюся компьютерных атак. Если пользователи понимают данное базовое множество выходной информации, они быстро начинают понимать большинство выходных данных коммерческих IDS.
Типы атак
Большинство компьютерных атак нарушают безопасность системы некоторыми конкретными способами. Например, атаки могут давать возможность атакующему читать конкретные файлы, но не позволяют заменить какие-либо системные компоненты. Другие атаки могут позволить атакующему выполнить останов (shut down) некоторых компонент системы, но не предоставят доступ ни к каким файлам. Несмотря на различные возможности компьютерных атак, результатом обычно является нарушение следующих четырех свойств безопасности: доступность, конфиденциальность, целостность и управляемость. Рассмотрим эти нарушения.
Конфиденциальность. Атака осуществляет нарушение конфиденциальности, если она позволяет атакующему получить доступ к данным без авторизации (явно или неявно).
Целостность. Атака осуществляет нарушение целостности, если она позволяет (неавторизованному) атакующему изменить состояние системы либо данных, хранящихся или передаваемых через систему.
Доступность. Атака осуществляет нарушение доступности, если она удерживает авторизованного пользователя (человека или машину) от доступа к конкретному ресурсу системы там, тогда и в той форме, которая ему нужна.
Управляемость. Атака осуществляет нарушение управляемости, если она предоставляет (неавторизованному) атакующему привилегии, которые не предусмотрены политикой управления доступом в системе. Данная привилегия дает возможность в дальнейшем нарушить конфиденциальность, целостность или доступность.