- •Выделенные прокси-серверы
- •Гибридные технологии firewall’а
- •Трансляция сетевых адресов (nat)
- •Статическая трансляция сетевых адресов
- •Скрытая трансляция сетевых адресов
- •Расположение серверов в dmz-сетях
- •Внешне доступные серверы
- •Vpn и Dial-in серверы
- •Внутренние серверы
- •Smtp-серверы
- •Типы ids
- •Архитектура ids
- •Совместное расположение Host и Target
- •Разделение Host и Target
- •Ids, реакция которых происходит через определенные интервалы времени (пакетный режим)
- •Real-Time (непрерывные)
- •Информационные источники
- •Анализ, выполняемый ids
- •Определение злоупотреблений
- •Определение аномалий
- •Возможные ответные действия ids
- •Активные действия
- •Сбор дополнительной информации
- •Изменение окружения
- •Выполнение действия против атакующего
- •Пассивные действия
- •Тревоги и оповещения
- •Использование snmp Traps
- •Возможности отчетов и архивирования
- •Возможность хранения информации о сбоях
- •Дополнительные инструментальные средства
- •Системы анализа и оценки уязвимостей
- •Процесс анализа уязвимостей
- •Классификация инструментальных средств анализа уязвимостей
- •Host-Based анализ уязвимостей
- •Network-Based анализ уязвимостей
- •Преимущества и недостатки систем анализа уязвимостей
- •Способы взаимодействия сканера уязвимостей и ids
- •Проверка целостности файлов
- •Системы Honey Pot и Padded Cell
- •Выбор ids
- •Определение окружения ids
- •Технические спецификации окружения систем
- •Технические спецификации используемой системы безопасности
- •Цели организации
- •Возможность формализации окружения системы и принципы управления, используемые в организации
- •Цели и задачи использования ids
- •Защита от внешних угроз
- •Защита от внутренних угроз
- •Возможность определения необходимости обновления
- •Существующая политика безопасности
- •Структурированность
- •Описание функций, выполняемых пользователями системы
- •Реакция на нарушения политики
- •Развертывание ids
- •Стратегия развертывания ids
- •Развертывание network-based ids
- •Позади внешнего firewall’а в dmz-сети (расположение 1)
- •Стратегии оповещения о тревогах
- •Сильные стороны и ограниченность ids
- •Сильные стороны ids
- •Ограничения ids
- •Обработка выходной информации ids Типичные выходные данные ids
- •Выполняемые ids действия при обнаружении атаки
- •Компьютерные атаки и уязвимости, определяемые ids
- •Типы атак
- •Типы компьютерных атак, обычно определяемые ids
- •Атаки сканирования
- •Flooding DoS-атаки
- •Атаки проникновения
- •Удаленные vs. Локальные атаки
- •Атака авторизованного пользователя
- •Атаки публичного доступа
- •Определение расположения атакующего на основе анализа выходной информации ids
- •Чрезмерная отчетность об атаках
- •Соглашения по именованию атак
- •Уровни важности атак
- •Типы компьютерных уязвимостей
- •Ошибка корректности входных данных
- •Переполнение буфера
- •Ошибка граничного условия
- •Ошибка управления доступом
- •Исключительное условие при обработке ошибки
- •Ошибка окружения
- •Ошибка конфигурирования
- •Race-условие
- •Будущие направления развития ids
Пассивные действия
Пассивные ответы IDS предоставляют информацию пользователям системы, предполагая, что человек сам выполнит дальнейшие действия на основе данной информации. Многие коммерческие IDS предполагают исключительно пассивные ответы.
Тревоги и оповещения
Тревоги и оповещения создаются IDS для информирования администраторов об обнаружении атак. Большинство коммерческих IDS позволяют администраторам определять детали того, какие и когда тревоги создаются и кому и как они передаются.
Чаще всего сигнал тревоги выводится на экран или в выпадающее окно на консоли IDS или других систем, что может быть задано администратором при конфигурировании IDS. Информация, указываемая в сообщении о тревоге, может сильно варьироваться: от простого уведомления, что происходит проникновение, до очень детализированных сообщений, указывающих IP-адреса источника и цели атаки, конкретное инструментальное средство атаки, используемое для получения доступа, и результат атаки.
Другим множеством опций, используемых в больших или распределенных организациях, является возможность удаленного оповещения о тревогах. Это позволяет организации сконфигурировать IDS таким образом, чтобы она посылала сообщение о тревоге на сотовые телефоны.
В некоторых случаях также можно, например, использовать e-mail в качестве канала передачи сообщений об атаках. Но это не всегда оправданно, так как атакующий может иметь возможность просматривать исходящий e-mail трафик и блокировать это сообщение.
Использование snmp Traps
Некоторые коммерческие IDS разработаны таким образом, чтобы передавать оповещения о тревоге системе управления сетью. При этом используются SNMP traps для передачи сообщения на центральную консоль управления сетью, где они могут быть обработаны персоналом, обслуживающим сеть. Данная схема имеет несколько преимуществ, которые включают возможность адаптировать всю инфраструктуру сети к ответу на осуществляемую атаку, возможность управлять нагрузкой системы и возможность использовать обычные коммуникационные каналы.
Возможности отчетов и архивирования
Многие, если не все коммерческие IDS предоставляют возможности создания отчетов и других детализированных информационных документов. Некоторые из них могут создавать отчет о системных событиях и проникновениях, обнаруженных за конкретный период (например, неделя или месяц). Некоторые предоставляют статистику или логи, созданные IDS, в формате, понимаемом базами данных или другим ПО, создающим отчеты.
Возможность хранения информации о сбоях
При обсуждении возможностей различных IDS важно рассмотреть способы хранения информации о сбоях и отказах. Возможность хранения информации о сбоях обеспечивает дополнительный способ защиты IDS от обхода ее атакующим. Это является обязательным требованием для средств управления, которые можно считать безопасными.
Существует несколько областей при создании ответа, которые требуют возможности хранения сбоев. Например, в IDS должна существовать возможность тихого и надежного мониторинга за атакующими. Должна также существовать функция ответа в IDS, прерывающая данную тишину широковещательными сообщениями о тревоге открытым текстом в просматриваемой сети, что позволит атакующему определить наличие IDS. При этом следует учитывать, что атакующие могут иметь непосредственной целью IDS как часть атаки.
Зашифрованные туннели и другие криптографические механизмы, используемые для скрытия информации и аутентификации компонентов IDS, являются отличным способом обезопасить и гарантировать надежность функционирования IDS.