- •Выделенные прокси-серверы
- •Гибридные технологии firewall’а
- •Трансляция сетевых адресов (nat)
- •Статическая трансляция сетевых адресов
- •Скрытая трансляция сетевых адресов
- •Расположение серверов в dmz-сетях
- •Внешне доступные серверы
- •Vpn и Dial-in серверы
- •Внутренние серверы
- •Smtp-серверы
- •Типы ids
- •Архитектура ids
- •Совместное расположение Host и Target
- •Разделение Host и Target
- •Ids, реакция которых происходит через определенные интервалы времени (пакетный режим)
- •Real-Time (непрерывные)
- •Информационные источники
- •Анализ, выполняемый ids
- •Определение злоупотреблений
- •Определение аномалий
- •Возможные ответные действия ids
- •Активные действия
- •Сбор дополнительной информации
- •Изменение окружения
- •Выполнение действия против атакующего
- •Пассивные действия
- •Тревоги и оповещения
- •Использование snmp Traps
- •Возможности отчетов и архивирования
- •Возможность хранения информации о сбоях
- •Дополнительные инструментальные средства
- •Системы анализа и оценки уязвимостей
- •Процесс анализа уязвимостей
- •Классификация инструментальных средств анализа уязвимостей
- •Host-Based анализ уязвимостей
- •Network-Based анализ уязвимостей
- •Преимущества и недостатки систем анализа уязвимостей
- •Способы взаимодействия сканера уязвимостей и ids
- •Проверка целостности файлов
- •Системы Honey Pot и Padded Cell
- •Выбор ids
- •Определение окружения ids
- •Технические спецификации окружения систем
- •Технические спецификации используемой системы безопасности
- •Цели организации
- •Возможность формализации окружения системы и принципы управления, используемые в организации
- •Цели и задачи использования ids
- •Защита от внешних угроз
- •Защита от внутренних угроз
- •Возможность определения необходимости обновления
- •Существующая политика безопасности
- •Структурированность
- •Описание функций, выполняемых пользователями системы
- •Реакция на нарушения политики
- •Развертывание ids
- •Стратегия развертывания ids
- •Развертывание network-based ids
- •Позади внешнего firewall’а в dmz-сети (расположение 1)
- •Стратегии оповещения о тревогах
- •Сильные стороны и ограниченность ids
- •Сильные стороны ids
- •Ограничения ids
- •Обработка выходной информации ids Типичные выходные данные ids
- •Выполняемые ids действия при обнаружении атаки
- •Компьютерные атаки и уязвимости, определяемые ids
- •Типы атак
- •Типы компьютерных атак, обычно определяемые ids
- •Атаки сканирования
- •Flooding DoS-атаки
- •Атаки проникновения
- •Удаленные vs. Локальные атаки
- •Атака авторизованного пользователя
- •Атаки публичного доступа
- •Определение расположения атакующего на основе анализа выходной информации ids
- •Чрезмерная отчетность об атаках
- •Соглашения по именованию атак
- •Уровни важности атак
- •Типы компьютерных уязвимостей
- •Ошибка корректности входных данных
- •Переполнение буфера
- •Ошибка граничного условия
- •Ошибка управления доступом
- •Исключительное условие при обработке ошибки
- •Ошибка окружения
- •Ошибка конфигурирования
- •Race-условие
- •Будущие направления развития ids
Определение расположения атакующего на основе анализа выходной информации ids
При уведомлениях об обнаруженной атаке, IDS часто сообщает о расположении атакующего. Данное расположение обычно представляет собой IP-адрес источника. Сообщаемый адрес является просто IP-адресом источника, который появляется в пакетах атакующего, но вовсе не обязательно представляет собой корректный адрес источника, так как атакующий обычно подменяет IP-адреса в своих пакетах.
Чтобы понять, является ли IP-адреса источника реальным, следует определить тип атаки и затем определить, нужно ли атакующему получать ответные пакеты, посланные жертвой.
Если атакующий запустил одностороннюю атаку, подобную многим flooding DoS-атакам, когда ему не нужно видеть никаких ответных пакетов, то он может проставить в своих пакетах случайные IP-адреса. Атакующий действует аналогично тому, что происходит в реальном мире при посылке открытки с фальшивым обратным адресом, заполняя тем самым почтовый ящик, чтобы никто другой не мог отправить почту. В данном случае атакующий не может получать никаких ответов от жертвы.
Однако, если необходимо видеть ответы жертвы, то атакующий не может изменить IP-адрес источника.
В общем случае, атакующие должны использовать корректный IP-адрес, когда они запускают атаки проникновения, но не DoS-атаки.
Однако существует одно исключение, связанное с квалифицированными атакующими. Атакующий может послать пакеты, используя поддельный IP-адрес источника, но установить ловушку для ответа жертвы на поддельный адрес. Это можно сделать без доступа к компьютеру с поддельным адресом. Такая манипуляция с IP-адресацией называется "IP- Spoofing".
Чрезмерная отчетность об атаках
Многие операторы IDS бывают подавлены большим количеством атак, отмечаемых IDS. Для оператора просто невозможно исследовать сотни и тысячи атак, которые указываются ежедневно некоторыми IDS. Суть проблемы не в количестве атак, а в том, как IDS создает отчеты об этих атаках.
Некоторые IDS сообщают об отдельной атаке каждый раз, когда атакующий получает доступ к определенному хосту. Таким образом, атакующий, сканирующий подсеть из сотни хостов, должен вызвать сотни сообщений об атаках. Некоторые производители предлагают решение данной проблемы. Эти новейшие IDS начинают эффективно комбинировать многочисленные записи и указывать оператору только на те атаки, которые являются самыми важными.
Соглашения по именованию атак
До недавнего времени не было общего соглашения по именованию компьютерных атак или уязвимостей. Это затрудняло сравнение различных IDS, так как каждый производитель IDS создавал свой список результатов при анализе событий, отражающих некоторое множество атак. Это также затрудняло координированное использование в сети более одного типа IDS, так как различные IDS создавали различные сообщения при определении некоторой атаки.
В настоящее время приложены определенные усилия по разработке общей номенклатуры компьютерных уязвимостей и атак. Наиболее популярным из них является Common Vulnerabilities and Exposures List (CVE), который поддерживается MITRE, получающим информацию от различных профессиональных сообществ по безопасности. Многие производители программных и аппаратных продуктов, связанных с безопасностью, делают их CVE-совместимыми. Список CVE может быть найден на сайте http://cve.mitre.org.