Системы обнаружения и предотвращения вторжения. Обнаружение и предотвращение вторжений

Принципы использования IDS

Обнаружение и предотвращение вторжений ( IDP ) является подсистемой NetDefendOS, которая предназначена для защиты от попыток вторжения. Система просматривает сетевой трафик, проходящий через межсетевой экран , и ищет трафик, соответствующий шаблонам. Обнаружение такого трафика указывает на попытку вторжения. После обнаружения подобного трафика IDP выполняет шаги по нейтрализации как вторжения, так и его источника.

Для обнаружения и предотвращения вторжения, необходимо указать следующую информацию:

  1. Какой трафик следует анализировать.
  2. Что следует искать в анализируемом трафике.
  3. Какое действие необходимо предпринять при обнаружении вторжения.

Эта информация указывается в IDP-правилах .

Maintenance и Advanced IDP

Компания D-Link предоставляет два типа IDP :

  1. Maintenance IDP

    Maintenance IDP является основой системы IDP и включено в стандартную комплектацию NetDefendDFL-210, 800, 1600 и 2500.

    Maintenance IDP является упрощенной IDP, что обеспечивает базовую защиту от атак, и имеет возможность расширения до более комплексной Advanced IDP.

    IDP не входит в стандартную комплектацию DFL-260, 860, 1660, 2560 и 2560G; для этих моделей межсетевых экранов необходимо приобрести подписку на Advanced IDP.

  2. Advanced IDP

    Advanced IDP является расширенной системой IDP с более широким диапазоном баз данных сигнатур и предъявляет более высокие требования к оборудованию. Стандартной является подписка сроком на 12 месяцев, обеспечивающая автоматическое обновление базы данных сигнатур IDP.

    Эта опция IDP доступна для всех моделей D-Link NetDefend, включая те, в стандартную комплектацию которых не входит Maintenance IDP.

    Maintenance IDP можно рассматривать, как ограниченное подмножество Advanced IDP. Рассмотрим функционирование Advanced IDP.

    Advanced IDP приобретается как дополнительный компонент к базовой лицензии NetDefendOS. Подписка означает, что база данных сигнатур IDP может быть загружена на NetDefendOS, а также, что база данных регулярно обновляется по мере появления новых угроз.

    Обновления базы данных сигнатур автоматически загружаются системой NetDefendOS через сконфигурированный интервал времени. Это выполняется с помощью HTTP-соединения с сервером сети D-Link, который предоставляет последние обновления базы данных сигнатур. Если на сервере существует новая версия базы данных сигнатур, она будет загружена, заменив старую версию.

    Термины Intrusion Detection and Prevention (IDP), Intrusion Prevention System (IDP) и Intrusion Detection System (IDS) взаимозаменяютдругдруга. Все они относятся к функции IDP.

Последовательность обработка пакетов

Последовательность обработки пакетов при использовании IDP является следующей:

  1. Пакет приходит на межсетевой экран. Если пакет является частью нового соединения, то первым делом ищется соответствующее IP-правило фильтрования. Если пакет является частью существующего соединения, он сразу же попадает в модуль IDP. Если пакет не является частью существующего соединения или отбрасывается IP-правилом, то дальнейшей обработки данного пакета не происходит.

    2. Адреса источника и назначения пакета сравниваются с набором правил IDP. Если найдено подходящее правило, то пакет передается на обработку системе IDP, в которой ищется совпадение содержимого пакета с одним из шаблонов. Если совпадения не обнаружено, то пакет пропускается системой IDP. Могут быть определены дальнейшие действия в IP-правилах фильтрования, такие как NAT и создание логов.

Поиск на соответствие шаблону

Сигнатуры

Для корректного определения атак система IDP использует шаблоны, связанные с различными типами атак. Эти предварительно определенные шаблоны, также называемые сигнатурами, хранятся в локальной базе данных и используются системой IDP для анализа трафика. Каждая сигнатура имеет уникальный номер.

Рассмотрим пример простой атаки, состоящий в обращении к FTP -серверу. Неавторизованный пользователь может попытаться получить файл паролей passwd с FTP -сервера с помощью команды FTP RETR passwd. Сигнатура , содержащая текстовые строки ASCII RETR и passwd, обнаружит соответствие, указывающее на возможную атаку. В данном примере шаблон задан в виде текста ASCII , но поиск на соответствие шаблону выполняется аналогично и для двоичных данных.

Распознавание неизвестных угроз

Злоумышленники, разрабатывающие новые атаки, часто просто модифицируют старый код. Это означает, что новые атаки могут появиться очень быстро как расширение и обобщение старых. Чтобы противостоять этому, D-Link IDP использует подход, при котором модуль выполняет сканирование, учитывая возможное многократное использование компонент , выявляя соответствие шаблону общих блоков, а не конкретного кода. Этим достигается защита как от известных, так и от новых, недавно разработанных, неизвестных угроз, созданных модификацией программного кода атаки.

Описания сигнатур

Каждая сигнатур имеет пояснительное текстовое описание. Прочитав текстовое описание сигнатуры, можно понять, какую атаку или вирус поможет обнаружить данная сигнатура . В связи с изменением характера базы данных сигнатур, текстовые описания не содержатся в документации D-Link, но доступны на веб-сайте D-Link: http ://security.dlink. com .tw

Типы сигнатур IDP

В IDP имеется три типа сигнатур, которые предоставляют различные уровни достоверности в определении угроз:

  • Intrusion Protection Signatures (IPS) – Данный тип сигнатур обладает высокой точностью, и соответствие трафика данному шаблону в большинстве случаев означает атаку. Для данных угроз рекомендуется указывать действие Protect. Эти сигнатуры могут обнаружить действия, направленные на получение прав администратора, и сканеры безопасности.
  • Intrusion Detection Signatures (IDS) – У данного типа сигнатур меньше точности, чем у IPS, и они могут дать иметь ложные срабатывания, таким образом, поэтому перед тем как указывать действие Protect рекомендуется использовать действие Audit.
  • Policy Signatures – Этот тип сигнатур обнаруживает различные типы прикладного трафика. Эти сигнатуры могут использоваться для блокировки некоторых приложений, предназначенных для совместного использования приложений и мгновенного обмена сообщениями.

Предотвращение атак Denial-of-Service

Механизмы DoS-атак

DoS-атаки могут выполняться самыми разными способами, но все они могут быть разделены на три основных типа:

  • Исчерпание вычислительных ресурсов, таких как полоса пропускания, дисковое пространство, время ЦП.
  • Изменение конфигурационной информации, такой как информация маршрутизации.
  • Порча физических компонентов сети.

Одним из наиболее часто используемых методов является исчерпание вычислительных ресурсов, т.е. невозможность нормального функционирования сети из-за большого количества запросов, часто неправильно сформатированных, и расходования ресурсов, используемых для запуска критически важных приложений. Могут также использоваться уязвимые места в операционных системах Unix и Windows для преднамеренного разрушения системы.

Перечислим некоторые из наиболее часто используемых DoS-атак:

  • Ping of Death / атаки Jolt
  • Перекрытие фрагментов: Teardrop / Bonk / Boink / Nestea
  • Land и LaTierra атаки
  • WinNuke атака
  • Атаки с эффектом усиления: Smurf, Papasmurf, Fraggle
  • TCP SYN Flood
  • Jolt2

Атаки Ping of Death и Jolt

" Ping of Death" является одной из самых ранних атак, которая выполняется на 3 и 4 уровнях стека протоколов. Один из простейших способов выполнить эту атаку – запустить ping -l 65510 1.2.3.4 на Windows 95 , где 1.2.3.4 – это IP - адрес компьютера-жертвы. "Jolt" – это специально написанная программа для создания пакетов в операционной системе, в которой команда ping не может создавать пакеты, размеры которых превышают стандартные нормы.

Смысл атаки состоит в том, что общий размер пакета превышает 65535 байт , что является максимальным значением, которое может быть представлено 16-битным целым числом. Если размер больше, то происходит переполнение .

Защита состоит в том, чтобы не допустить фрагментацию, приводящую к тому, что общий размер пакета превышает 65535 байт . Помимо этого, можно настроить ограничения на длину IP -пакета.

Атаки Ping of Death и Jolt регистрируются в логах как отброшенные пакеты с указанием на правило "LogOversizedPackets". Следует помнить, что в этом случае IP - адрес отправителя может быть подделан.

Атаки, связанные с перекрытием фрагментов: Teardrop, Bonk, Boink и Nestea

Teardrop – это атака , связанная с перекрытием фрагментов. Многие реализации стека протоколов плохо обрабатывают пакеты, при получении которых имеются перекрывающиеся фрагменты. В этом случае возможно как исчерпание ресурсов, так и сбой.

NetDefendOS обеспечивает защиту от атак перекрытия фрагментов. Перекрывающимся фрагментам не разрешено проходить через систему.

Teardrop и похожие атаки регистрируются в логах NetDefendOS как отброшенные пакеты с указанием на правило "IllegalFrags". Следует помнить, что в этом случае IP - адрес отправителя может быть подделан.

Атаки Land и LaTierra

Атаки Land и LaTierra состоят в посылке такого пакета компьютеру-жертве, который заставляет его отвечать самому себе, что, в свою очередь , генерирует еще один ответ самому себе, и т.д. Это вызовет либо полную остановку работы компьютера, либо крах какой-либо из его подсистем

Атака состоит в использовании IP -адреса компьютера-жертвы в полях Source и Destination .

NetDefendOS обеспечивает защиту от атаки Land , используя защиту от IP -спуфинга ко всем пакетам. При использовании настроек по умолчанию все входящие пакеты сравниваются с содержанием таблицы маршрутизации; если пакет приходит на интерфейс , с которого невозможно достигнуть IP -адреса источника, то пакет будет отброшен.

Атаки Land и LaTierra регистрируются в логах NetDefendOS как отброшенные пакеты с указанием на правило по умолчанию AutoAccess, или, если определены другие правила доступа, указано правило правило доступа, в результате которого отброшен пакет. В данном случае IP - адрес отправителя не представляет интереса, так как он совпадает с IP -адресом получателя.

Атака WinNuke

Принцип действия атаки WinNuke заключается в подключении к TCP -сервису, который не умеет обрабатывать " out-of-band " данные ( TCP -пакеты с установленным битом URG), но все же принимает их. Это обычно приводит к зацикливанию сервиса и потреблению всех ресурсов процессора.

Одним из таких сервисов был NetBIOS через TCP / IP на WINDOWS -машинах, которая и дала имя данной сетевой атаке.

NetDefendOS обеспечивает защиту двумя способами:

  • Политики для входящего трафика как правило разработаны достаточно тщательно, поэтому количество успешных атак незначительно. Извне доступны только публичные сервисы, доступ к которым открыт. Только они могут стать жертвами атак.
  • Удаление бита URG из всех TCP-пакетов.

Веб- интерфейс

Advanced Settings -> TCP -> TCPUrg

Как правило, атаки WinNuke регистрируются в логах как отброшенные пакеты с указанием на правило, запретившего попытку соединения. Для разрешенных соединений появляется запись категории " TCP " или " DROP " (в зависимости от настройки TCP URG), с именем правила " TCP URG". IP - адрес отправителя может быть не поддельным, так как соединение должно быть полностью установлено к моменту отправки пакетов " out-of-band ".

Атаки, приводящие к увеличению трафика: Smurf, Papasmurf, Fraggle

Эта категория атак использует некорректно настроенные сети, которые позволяют увеличивать поток трафика и направлять его целевой системе. Целью является интенсивное использование полосы пропускания жертвы. Атакующий с широкой полосой пропускания может не использовать эффект усиления, позволяющий полностью загрузить всю полосу пропускания жертвы. Эти атаки позволяют атакующим с меньшей полосой пропускания, чем у жертвы, использовать усиление, чтобы занять полосу пропускания жертвы.

  • "Smurf" и "Papasmurf" отправляют эхо-пакеты ICMP по широковещательному адресу, указывая в качестве IP-адреса источника IP-адрес жертвы. После этого все компьютеры посылают ответные пакеты жертве.
  • "Fraggle" базирауется на "Smurf", но использует эхо-пакеты UDP и отправляет их на порт 7. В основном, атака "Fraggle" имеет более слабое усиление, так как служба echo активирована у небольшого количества хостов.

Атаки Smurf регистрируются в логах NetDefendOS как большое число отброшенных пакетов ICMP Echo Reply . Для подобной перегрузки сети может использоваться поддельный IP - адрес . Атаки Fraggle также отображаются в логах NetDefendOS как большое количество отброшенных пакетов. Для перегрузки сетb используется поддельный IP - адрес .

При использовании настроек по умолчанию пакеты, отправленные по адресу широковещательной рассылки, отбрасываются.

Веб- интерфейс

Advanced Settings -> IP -> DirectedBroadcasts

В политиках для входящего трафика следует учитывать, что любая незащищенная сеть может также стать источником подобных атак усиления.

Защита на стороне компьютера-жертвы

Smurf и похожие атаки являются атаками, расходующими ресурсы соединения. В общем случае межсетевой экран является узким местом в сети и не может обеспечить достаточную защиту против этого типа атак. Когда пакеты доходят до межсетевого экрана, ущерб уже нанесен.

Тем не менее система NetDefendOS может уменьшить нагрузку на внутренние сервера, делая их сервисы доступными изнутри или через альтернативное соединение, которое не стало целью атаки.

  • Типы flood-атак Smurf и Papasmurf на стороне жертвы выглядят как ответы ICMP Echo Response. Если не используются правила FwdFast, таким пакетам не будет разрешено инициировать новые соединения независимо от того, существуют ли правила, разрешающие прохождение пакетов.
  • Пакеты Fraggle могут прийти на любой UDP-порт назначения, который является мишенью атакующего. В этой ситуации может помочь увеличение ограничений в наборе правил.

Шейпинг трафика также помогает предотвращать некоторые flood -атаки на защищаемые сервера.

Атаки TCP SYN Flood

Принцип атак TCP SYN Flood заключается в отправке большого количества TCP -пакетов с установленным флагом SYN на определенный порт и в игнорировании отправленных в ответ пакетов с установленными флагами SYN ACK . Это позволяет исчерпать ресурсы стека протоколов на сервере жертвы, в результате чего он не сможет устанавливать новые соединения, пока не истечет таймаут существования полуоткрытых соединений.

Система NetDefendOS обеспечивает защиту от flood -атак TCP SYN , если установлена опция SYN Flood Protection в соответствующем сервисе, который указан в IP -правиле фильтрования. Иногда опция может обозначаться как SYN Relay .

Защита от flood -атак включена по умолчанию в таких сервисах, как http -in, https-in, smtp -in и ssh-in.

Механизм защиты от атак SYN Flood

Защиты от атак SYN Flood выполняется в течение трехкратного рукопожатия, которое происходит при установлении соединения с клиентом. В системе NetDefendOS как правило не происходит исчерпание ресурсов, так как выполняется более оптимальное управление ресурсами и отсутствуют ограничения, имеющие место в других операционных системах. В операционных системах могут возникнуть проблемы уже с 5 полуоткрытыми соединениями, не получившими подтверждение от клиента, NetDefendOS может заполнить всю таблицу состояний, прежде чем будут исчерпаны какие-либо ресурсы. Когда таблица состояний заполнена, старые неподтвержденные соединения отбрасываются, чтобы освободить место для новых соединений.

Обнаружение SYN Floods

Атаки TCP SYN flood регистрируются в логах NetDefendOS как большое количество новых соединений (или отброшенных пакетов, если атака направлена на закрытый порт ). Следует помнить, что в этом случае IP - адрес отправителя может быть подделан.

ALG автоматически обеспечивает защиту от flood-атак

Следует отметить, что нет необходимости включать функцию защиты от атак SYN Flood для сервиса, для которого указан ALG . ALG автоматически обеспечивает защиту от атак SYN flood .

Атака Jolt2

Принцип выполнения атаки Jolt2 заключается в отправке непрерывного потока одинаковых фрагментов компьютеру-жертве. Поток из нескольких сотен пакетов в секунду останавливает работу уязвимых компьютеров до полного прекращения потока.

NetDefendOS обеспечивает полную защиту от данной атаки. Первый полученный фрагмент ставится в очередь до тех пор, пока не придут предыдущие по порядку фрагменты, чтобы все фрагменты могли быть переданы в нужном порядке. В случае наличия атаки ни один фрагмент не будет передан целевому приложению. Последующие фрагменты будут отброшены, так как они идентичны первому полученному фрагменту.

Если выбранное злоумышленником значение смещения фрагмента больше, чем ограничения, указанные в настройках Advanced Settings -> Length Limit Settings в NetDefendOS, пакеты будут немедленно отброшены. Атаки Jolt2 могут быть зарегистрированы в логах. Если злоумышленник выбирает слишком большое значение смещения фрагмента для атаки, это будет зарегистрировано в логах как отброшенные пакеты с указанием на правило LogOversizedPackets. Если значение смещения фрагмента достаточно маленькое, регистрации в логах не будет. IP - адрес отправителя может быть подделан.

Атаки Distributed DoS (DDoS)

Наиболее сложной DoS-атакой является атака Distributed Denial of Service . Хакеры используют сотни или тысячи компьютеров по всей сети интернет , устанавливая на них программное обеспечение для выполнения DDoS-атак и управляя всеми этими компьютерами для осуществления скоординированных атак на сайты жертвы. Как правило эти атаки расходуют полосу пропускания, вычислительные мощности маршрутизатора или ресурсы для обработки стека протоколов, в результате чего сетевые соединения с жертвой не могут быть установлены.

Хотя последние DDoS-атаки были запущены как из частных, так и из публичных сетей, хакеры, как правило, часто предпочитают корпоративные сети из-за их открытого и распределенного характера. Инструменты, используемые для запуска DDoS-атак, включают Trin00, TribeFlood Network (TFN), TFN2K и Stacheldraht.

Описание практической работы

Общий список сигнатур

В веб-интерфейсе все сигнатуры перечислены в разделе IDP /IPS -> IDP Signatures.

IDP-правила

Правило IDP определяет, какой тип трафика необходимо анализировать. Правила IDP создаются аналогично другим правилам, например, IP -правилам фильтрования. В правиле IDP указывается комбинация адреса/интерфейса источника/назначения, сервиса, определяющего какие протоколы будут сканироваться. Главное отличие от правил фильтрования в том, что правило IDP определяет Действие, которое следует предпринять при обнаружении вторжения.

Веб-интерфейс:

IDP/IPS -> IDP Rules -> Add -> IDP Rule

Действия IDP

При выявлении вторжения будет выполнено действие, указанное в правиле IDP . Может быть указано одно из трех действий:

  1. Ignore – Если обнаружено вторжение, не выполнять никаких действий и оставить соединение открытым.
  2. Audit – Оставить соединение открытым, но зарегистрировать событие.
  3. Protect – Сбросить соединение и зарегистрировать событие. Возможно использовать дополнительную опцию занесения в "черный список" источник соединения.

Нормализация HTTP

IDP выполняет нормализацию HTTP ,т.е. проверяет корректность URI в HTTP -запросах. В IDP -правиле можно указать действие, которое должно быть выполнено при обнаружении некорректного URI .

IDP может определить следующие некорректные URI :

Некорректная кодировка UTF8

Выполняется поиск любых недействительных символов UTF8 в URI .

Некорректный шестнадцатеричный код

Корректной является шестнадцатеричная последовательность, где присутствует знак процента, за которым следуют два шестнадцатеричных значения, являющихся кодом одного байта. Некорректная шестнадцатеричная последовательность – это последовательность, в которой присутствует знак процента, за которым не следуют шестнадцатеричные значения, являющиеся кодом какого-либо байта.

Двойное кодирование

Выполняется поиск любой шестнадцатеричной последовательности, которая сама является закодированной с использованием других управляющих шестнадцатеричных последовательностей. Примером может быть последовательность %2526, при этом %25 может быть интерпретировано HTTP -сервером как %, в результате получится последовательность %26, которая будет интерпретирована как &.

Предотвращение атак, связанных со вставкой символов или обходом механизмов IDP

В IDP -правиле можно установить опцию Protect against Insertion/Evasion attack . Это защита от атак, направленных на обход механизмов IDP . Данные атаки используются тот факт, что в протоколах TCP / IP пакет может быть фрагментирован, и отдельные пакеты могут приходить в произвольном порядке. Атаки, связанные со вставкой символов и обходом механизмов IDP , как правило используют фрагментацию пакетов и проявляются в процессе сборки пакетов.

Атаки вставки

Атаки вставки состоят в такой модификации потока данных, чтобы система IDP пропускала полученную в результате последовательность пакетов, но данная последовательность будет являться атакой для целевого приложения. Данная атака может быть реализована созданием двух различных потоков данных.

В качестве примера предположим, что поток данных состоит из 4 фрагментов пакетов: p1, p2, p3 и p4. Злоумышленник может сначала отправить фрагменты пакетов p1 и p4 целевому приложению. Они будут удерживаться и системой IDP , и приложением до прихода фрагментов p2 и p3, после чего будет выполнена сборка . Задача злоумышленника состоит в том, чтобы отправить два фрагмента p2’ и p3’ системе IDP и два других фрагмента p2 и p3 приложению. В результате получаются различные потоки данных , который получены системой IDP и приложением.

Атаки обхода

У атак обхода такой же конечный результат, что и у атак вставки, также образуются два различных потока данных: один видит система IDP , другой видит целевое приложение , но в данном случае результат достигается противоположным способом, который заключается в отправке фрагментов пакетов, которые будут отклонены системой IDP , но приняты целевым приложением.

Обнаружение подобных атак

Если включена опция Insertion/Evasion Protect attacts, и

По сути эти программы представляют собой модифицированные анализаторы, которые видят все потоки данных в сети, пытаются выявить потенциально вредный сетевой трафик и предупредить вас, когда таковой появляется. Основной метод их действия заключается в исследовании проходящего трафика и сравнении его с базой данных известных шаблонов вредоносной активности, называемых сигнатурами. Использование сигнатур очень похоже на работу антивирусных программ. Большинство видов атак на уровне TCP/IP имеют характерные особенности. Система обнаружения вторжений может выявлять атаки на основе IP-адресов, номеров портов , информационного наполнения и произвольного числа критериев. Существует другой способ обнаружения вторжений на системном уровне, состоящий в контроле целостности ключевых файлов. Кроме того, развиваются новые методы, сочетающие концепции обнаружения вторжений и межсетевого экранирования или предпринимающие дополнительные действия помимо простого обнаружения (см. врезку "Новое поколение систем обнаружения вторжений "). Однако в этой лекции основное внимание уделено двум наиболее популярным способам обнаружения вторжений в сети и системах: сетевое обнаружение вторжений и контроль целостности файлов.

Сетевая система обнаружения вторжений может защитить от атак, которые проходят через межсетевой экран во внутреннюю ЛВС . Межсетевые экраны могут быть неправильно сконфигурированы, пропуская в сеть нежелательный трафик. Даже при правильной работе межсетевые экраны обычно пропускают внутрь трафик некоторых приложений, который может быть опасным. Порты часто переправляются с межсетевого экрана внутренним серверам с трафиком, предназначенным для почтового или другого общедоступного сервера. Сетевая система обнаружения вторжений может отслеживать этот трафик и сигнализировать о потенциально опасных пакетах. Правильно сконфигурированная сетевая система обнаружения вторжений может перепроверять правила межсетевого экрана и предоставлять дополнительную защиту для серверов приложений .

Сетевые системы обнаружения вторжений полезны при защите от внешних атак, однако одним из их главных достоинств является способность выявлять внутренние атаки и подозрительную активность пользователей. Межсетевой экран защитит от многих внешних атак, но, когда атакующий находится в локальной сети, межсетевой экран вряд ли сможет помочь. Он видит только тот трафик, что проходит через него, и обычно слеп по отношению к активности в локальной сети. Считайте сетевую систему обнаружения вторжений и межсетевой экран взаимодополняющими устройствами безопасности - вроде надежного дверного замка и системы сигнализации сетевой безопасности. Одно из них защищает вашу внешнюю границу, другое -внутреннюю часть (рис. 7.1).


Рис. 7.1.

Имеется веская причина, чтобы внимательно следить за трафиком внутренней сети . Как показывает статистика ФБР, более 70 процентов компьютерных преступлений исходят из внутреннего источника. Хотя мы склонны считать, что наши коллеги не сделают ничего, чтобы нам навредить, но иногда это бывает не так. Внутренние злоумышленники - не всегда ночные хакеры . Это могут быть и обиженные системные администраторы, и неосторожные служащие. Простое действие по загрузке файла или по открытию файла, присоединенного к электронному сообщению, может внедрить в вашу систему "троянскую" программу, которая создаст дыру в межсетевом экране для всевозможных бед. С помощью сетевой системы обнаружения вторжений вы сможете пресечь подобную активность , а также другие возможные компьютерные интриги. Хорошо настроенная сетевая система обнаружения вторжений может играть роль электронной "системы сигнализации" для вашей сети.

Новое поколение систем обнаружения вторжений

Системы обнаружения вторжений на основе выявления аномальной активности

Вместо применения статических сигнатур, с помощью которых можно выявлять только явно вредоносную деятельность, системы нового поколения отслеживают нормальные уровни для различных видов активности в сети. Если наблюдается внезапный всплеск трафика FTP, то система предупредит об этом. Проблема с системами такого рода состоит в том, что они весьма склонны к ложным срабатываниям - то есть выдаче сигналов тревоги, когда в сети имеет место нормальная, допустимая деятельность. Так, в примере с FTP-трафиком загрузка особенно большого файла будет возбуждать сигнал тревоги.

Следует учитывать также, что системе обнаружения вторжений на основе выявления аномальной активности требуется время, чтобы построить точную модель сети. Вначале система генерирует так много тревожных сигналов, что пользы от нее почти никакой. Кроме того, подобные системы обнаружения вторжений можно обмануть, хорошо зная сеть. Если хакеры достаточно незаметны и используют протоколы, которые активно применяются в сети, они не привлекут внимания систем такого рода. С другой стороны, важное преимущество подобных систем - отсутствие необходимости постоянно обновлять набор сигнатур. Когда эта технология достигнет зрелости и достаточной интеллектуальности, она, вероятно, станет употребительным методом обнаружения вторжений .

Системы предотвращения вторжений

Новый тип сетевых систем обнаружения вторжений , называемый системами предотвращения вторжений , декларирован как решение всех проблем корпоративной безопасности. Основная идея состоит в том, чтобы при генерации тревожных сигналов предпринимать ответные действия, такие как написание на лету индивидуальных правил для межсетевых экранов и маршрутизаторов , блокирующих активность подозрительных IP-адресов, запрос или даже контратака систем-нарушителей.

Хотя эта новая технология постоянно развивается и совершенствуется, ей еще слишком далеко до проведения анализа и принятия решений на уровне человека. Факт остается фактом - любая система, которая на 100% зависит от машины и программного обеспечения, всегда может быть обманута посвятившим себя этому человеком (хотя некоторые проигравшие шахматные гроссмейстеры могут с этим не согласиться). Примером системы предотвращения вторжений с открытыми исходными текстами служит Inline Snort Джеда Хейла - свободный модуль для сетевой системы обнаружения вторжений Snort, обсуждаемой в данной лекции.

IDS/IPS системы — это уникальные инструменты, созданные для защиты сетей от неавторизованного доступа. Они представляют собой аппаратные или компьютерные средства, которые способны оперативно обнаруживать и эффективно предотвращать вторжения. Среди мер, которые принимаются для достижения ключевых целей IDS/IPS, можно выделить информирование специалистов по информационной безопасности о фактах попыток хакерских атак и внедрения вредоносных программ, обрыв соединения со злоумышленниками и перенастройку сетевого экрана для блокирования доступа к корпоративным данным.

Для чего применяют системы обнаружения вторжения в сеть

Кибератаки — одна из основных проблем, с которыми сталкиваются субъекты, владеющие информационными ресурсами. Даже известные антивирусные программы и брандмауэры — это средства, которые эффективны лишь для защиты очевидных мест доступа к сетям. Однако злоумышленники способны находить пути обхода и уязвимые сервисы даже в самых совершенных системах безопасности. При такой опасности неудивительно, что зарубежные и российские UTM-решения получают все более широкую популярность среди организаций, желающих исключить возможность вторжения и распространения вредоносного ПО (червей, троянов и компьютерных вирусов). Многие компании принимают решение купить сертифицированный межсетевой экран или другой инструмент для комплексной защиты информации.

Особенности систем обнаружения вторжений

Все существующие сегодня системы обнаружения и предотвращения вторжений объединены несколькими общими свойствами, функциями и задачами, которые с их помощью решают специалисты по информационной безопасности. Такие инструменты по факту осуществляют беспрерывный анализ эксплуатации определенных ресурсов и выявляют любые признаки нетипичных событий.

Организация безопасности корпоративных сетей может подчиняться нескольким технологиям, которые отличаются типами выявляемых инцидентов и методами, применяемыми для обнаружения таких событий. Помимо функций постоянного мониторинга и анализа происходящего, все IDS системы выполняют следующие функции:

  • сбор и запись информации;
  • оповещения администраторам администраторов сетей о произошедших изменениях (alert);
  • создание отчетов для суммирования логов.

Технология IPS в свою очередь дополняет вышеописанную, так как способна не только определить угрозу и ее источник, но и осуществить их блокировку. Это говорит и о расширенном функционале подобного решения. Оно способно осуществлять следующие действия:

  • обрывать вредоносные сессии и предотвращать доступ к важнейшим ресурсам;
  • менять конфигурацию «подзащитной» среды;
  • производить действия над инструментами атаки (например, удалять зараженные файлы).

Стоит отметить, что UTM межсетевой экран и любые современные системы обнаружения и предотвращения вторжений представляют собой оптимальную комбинацию технологий систем IDS и IPS.

Как происходит обнаружение вредоносных атак

Технологии IPS используют методы, основанные на сигнатурах — шаблонах, с которыми связывают соответствующие инциденты. В качестве сигнатур могут выступать соединения, входящие электронные письма, логи операционной системы и т.п. Такой способ детекции крайне эффективен при работе с известными угрозами, но очень слаб при атаках, не имеющих сигнатур.

Еще один метод обнаружения несанкционированного доступа, называемый HIPS, заключается в статистическом сравнении уровня активности происходящих событий с нормальным, значения которого были получены во время так называемого «обучающего периода». Средство обнаружения вторжений может дополнять сигнатурную фильтрацию и блокировать хакерские атаки, которые смогли ее обойти.

Резюмируя функции и принципы работы IDS и IPS систем предотвращения вторжений, можно сказать, что они решают две крупные задачи:

  • анализ компонентов информационных сетей;
  • адекватное реагирование на результаты данного анализа.

Детекторы атак Suricata

Одним из решений IPS предотвращения вторжений являются детекторы атак, которые предназначены для своевременного выявления множества вредоносных угроз. В Интернет Контроль Сервере они реализованы в виде системы Suricata — продвинутого, многозадачного и очень производительного инструмента, разработанного для превентивной защиты сетей, а также сбора и хранения информации о любых поступающих сигналах. Работа детектора атак основана на анализе сигнатур и эвристике, а удобство его обусловлено наличием открытого доступа к исходному коду. Такой подход позволяет настраивать параметры работы системы для решения индивидуальных задач.

К редактируемым параметрам Suricata относятся правила, которым будет подчиняться анализ трафика, фильтры, ограничивающие вывод предупреждения администраторам, диапазоны адресов разных серверов, активные порты и сети.

Таким образом, Suricata как IPS-решение — это довольно гибкий инструмент, функционирование которого подлежит изменениям в зависимости от характера атаки, что делает его максимально эффективным.

В ИКС фиксируется и хранится информация о подозрительной активности, блокируются ботнеты, DOS-атаки, а также TOR, анонимайзеры, P2P и торрент-клиенты.

При входе в модуль отображается его состояние, кнопка «Выключить» (или «Включить», если модуль выключен) и последние сообщения в журнале.

Настройки

Во вкладке настроек можно редактировать параметры работы детектора атак. Здесь можно указать внутренние, внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься. По умолчанию, анализируется трафик на внешних интерфейсах.

Правила

Детектору атак можно подключать правила, с помощью которых он будет анализировать трафик. На данной вкладке можно посмотреть наличие и содержимое того или иного файла с правилами, а также включить или выключить его действие (с помощью флажков справа). В правом верхнем углу располагается поиск по названию или по количеству правил в файле.

Фильтры

Для того, чтобы настроить ограничения в выводе предупреждений детектором атак, необходимо перейти на вкладку «Фильтры». Здесь можно добавить следующие ограничения:

  • фильтр по количеству сообщений,
  • фильтр сообщений по частоте появления,
  • фильтр смешанного типа,
  • запрет на сообщения определённого типа;

При настройке необходимо помнить, что поле «Id правила» в различных фильтрах должно быть различным.

Тип организации

Выберите тип организации Образовательное учреждение Бюджетное учреждение Коммерческая организация

Цены НЕ РАСПРОСТРАНЯЮТСЯ на частные негосударственные учреждения и учреждения послевузовского профессионального образования

Редакции ИКС

Не требуется ИКС Стандарт ИКС ФСТЭК

Для расчета стоимости ФСТЭК обратитесь в отдел продаж

Тип поставки

ИКС ИКС + SkyDNS ИКС + Kaspersky Web Filtering

Тип лицензии

Новая лицензия Лицензия на обновления

Лицензия на обновления Премиум Расширение лицензии

Некоторые виды атак имеют весьма сложный характер. В них даже не обязательна передача какого-либо файла или ВПО, вместо этого применяется какой-либо из множества других, более изощренных методов, например, могут использоваться уязвимости операционных систем или различных приложений. Для предотвращения сложных атак, как правило, используются два инструментальных средства.

7.3.1. Система обнаружения вторжений

Система обнаружения вторжений (Intrusion Detection System – IDS) представляет собой аппаратное или программное решение, пассивно наблюдающее за трафиком сети. Сетевой трафик не проходит непосредственно через IDS (рис.6.3). IDS следит за трафиком через сетевой интерфейс. Обнаруживая вредоносный трафик, IDS отправляет предупреждения на заранее настроенные станции.

IDS- предназначены для реакции на вторжение. Такие системы обнаруживают вторжение по особым сигнатурам трафика или по характеру поведения хостов. Они не препятствуют пересылке исходного трафика адресату, но позволяют отреагировать на событие. Правильно сконфигурированная IDS способна блокировать последующий трафик.

7.3.2. Cистема предотвращения вторжений

Система предотвращения вторжений (Intrusion Prevention System – IPS ). Представляет собой физическое устройство или программное средство. Трафик поступает через один интерфейс IPS и выходит через другой (рис. 6.3.).

Система IPS анализирует пакеты непосредственно составляющие сетевой трафик и в режиме реального времени разрешает или запрещает прохождение пакетов в сеть.

Обе рассмотренные системы реализуются в сети посредством сенсоров. Сенсором могут выступать следующие устройства:

    Маршрутизатор, поддерживающий IPS;

    специальное оборудование, которое выполняет функции IPS или IDS;

    сетевой модуль, установленный в коммутаторе, маршрутизаторе или специальных устройствах защиты.

IPS, в отличие от IDS, предназначена для профилактики вторжений. IPS способна блокировать все подозрительные действия в реальном времени, способна анализировать практически всю информацию со второго по седьмой уровень модели OSI, позволяет автоматически отсылать оповещения о вторжениях на управляющие станции, блокировать как исходный, так и последующий вредоносный трафик.

Чаще всего IPS организуется совместно с брандмауэром. Брандмауэр не проверяет пакеты полностью в отличие от IPS. Брандмауэр отбрасывает большинство запрещённых пакетов, но может пропустить некоторые вредоносные. IPS требуется анализировать меньше пакетов, но проверять их полностью, таким образом, IPS способна блокировать атаки, которые не может предотвратить брандмауэр.

26.Основные виды вредоносного программного обеспечения и их отличительные особенности.

Сегодня почти каждый пользователь ПК в своей практике сталкивался проявлением как вполне «безобидных», так и весьма серьезных нарушений и сбоев в работе ПК, вызван­ных вредоносными программами .

Вредоносные программы отличаются условиями существования, применяемыми технологиями на различных этапах жизненного цикла, собственно вредоносным воздей­ствием – все эти факторы и являются основой для классификации. В результате по основ­ному (с исторической точки зрения) признаку – размножению, вредоносные программы де­лятся на три типа: собственно вирусы , черви и трояны .

Определение компьютерного вируса – непростой вопрос, поскольку весьма сложно очертить свойства, присущие только вирусам и не касающиеся других программ. И напротив, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример ви­руса, таковыми свойствами не обладающего.

ГОСТ Р 51188-98 определяет вирус следующим образом: «Вирус – программа, спо­собная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего рас­пространения. Компьютерный вирус относится к вредоносным программам» .

Первый настоящий компьютерный вирус Pervading Animal появился в конце 1960-х годов и представлял собой игру, написанную с непреднамеренной ошибкой. Первым сетевым червем стал Creeper (конец 1970-х), умевший самостоятельно выйти в сеть через модем и записать свою копию на удаленной машине. Первый троян – а Aids Information Diskette (1989 год) сразу вызвал эпидемию: будучи зараженным, компьютер по­сле 90 перезагрузок операционной системы показывал пользователю требование перевести на указанный в нем адрес около двухсот долларов, при этом все остальные файлы жесткого диска становились недоступны.

Первую глобальную эпидемию вызвал Brain (1986 год), по совместительству первый вирус для IBM-совместимых компьютеров, а также стелс-вирус . Он был написан в Паки­стане двумя братьями-программистами с целью определения уровня пиратства у себя в стране.

В 1984г. Фред Коэн (Fred Cohen ) в своей работе «Computer Viruses Theory and Experiments » показал, что, теоретически, задача обнаружения компьютерных вирусов является неразрешимой. При этом он дал вирусу такое определение: «Компьютерным вирусом явля­ется программа, способная заражать другие программы изменяя их таким образом, чтобы они включали, возможно измененную, копию вируса ».

Тем не менее, на практике оказывается, что все известные вирусы могут быть обна­ружены антивирусными программами. Результат достигается, помимо прочего, еще и за счет того, что поврежденные или «неудачные» экземпляры вирусов, неспособные к созда­нию и внедрению своих копий, обнаруживаются и классифицируются наравне со всеми остальными «полноценными» вирусами. Следовательно, с практической точки зрения, т.е. с точки зрения алгоритмов поиска, способность к размножению вовсе не является обязатель­ной для причисления программы к вирусам.

В зависимости от характерных свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. В связи с этим возникает вопрос о классификации вредоносных программ. На практике классификации, принятые различными производите­лями антивирусных продуктов, отличаются, хотя и построены на близких принципах. По­этому ниже в этом разделе будут рассмотрены именно они.

Проблема, связанная с определением компьютерного вируса кроется в том, что сего­дня под вирусом чаще всего понимается не «традиционный» вирус, а практически любая вредоносная программа . Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредо­носных программ, и поэтому ассоциация «вредоносная программа – вирус » становится все более устойчивой.

Вредоносная программа – компьютерная программа или переносимый код, предна­значенный для реализации угроз информации, хранящейся в компьютере, либо для скры­того использования ресурсов компьютера, либо иного воздействия, препятствующего его нормальному функционированию. К вредоносным программам относятся компьютерные вирусы , трояны , сетевые черви и др.

Вредоносное программное обеспечение классифицируется в основном по различным аспектам их функционирования, таким как: среде обитания; способу заражения среды обита­ния; воздействию; особенностям алгоритма.

Поскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы проис­ходит в соответствии со способами размножения.

Сам процесс размножения может быть условно разделен на несколько стадий:

    проникновение на компьютер;

    активация вируса;

    поиск объектов для заражения;

    подготовка вирусных копий;

    внедрение вирусных копий.

Вирусы проникают на компьютер вместе с зараженными файлами или другими объ­ектами (загрузочными секторами носителей информации), не влияя на процесс проникнове­ния. Возможности проникновения полностью определяются возможностями заражения.

Для активации вируса необходимо, чтобы зараженный объект получил управление. На этой стадии деление вирусов происходит по типам объектов, которые могут быть зара­жены:

    загрузочные вирусы – вирусы, заражающие загрузочные сектора постоянных и смен­ных носителей.

    файловые вирусы – вирусы, заражающие файлы, и дополнительно подразделяющи­еся на три вида, в зависимости от среды, в которой выполняется код:

    собственно файловые вирусы те, которые непосредственно работают с ресур­сами операционной системы (ОС);

    макровирусы – вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения (в подавляющем большинстве случаев речь идет о макро­сах в документах Microsoft Office);

    скрипт-вирусы – вирусы, исполняемые в среде определенной командной обо­лочки: раньше – bat -файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH ).

Стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определен­ной ОС или приложения, обычно оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он спосо­бен выполняться. Для файловых вирусов это Windows , Linux , MacOS и т.п. Для макровиру­сов – Word , Excel , PowerPoint , Office .

На стадии поиска объектов для заражения встречается два способа поведения виру­сов:

    получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту);

    получив управление, вирус, так или иначе, остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется.

Вирусы второго типа во времена однозадачной DOS было принято называть рези­дентными. С переходом на Windows проблема остаться в памяти перестала быть актуаль­ной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложе­ний MS Office, являются вирусами второго типа. И напротив, скрипт-вирусы являются ви­русами первого типа.

Отдельно имеет смысл отметить так называемые stealth -вирусы (невидимки ) – ви­русы, которые, находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом, эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств ОС. Сейчас этот тип вирусов распространен мало.

Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стара­ются сделать разные копии максимально непохожими для усложнения их обнаружения ан­тивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно.

Внедрение вирусных копий может осуществляться двумя принципиально разными методами:

    внедрение вирусного кода непосредственно в заражаемый объект;

    замена объекта на вирусную копию; замещаемый объект, как правило, переименовы­вается.

Для вирусов характерным является преимущественно первый метод. Второй метод намного чаще используется, так называемыми, червями и троянами (см. далее), а точнее троянскими компонентами червей, поскольку трояны сами по себе не распространяются.

Червь (сетевой червь ) – тип вредоносных программ, распространяющихся по сете­вым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии: проникновение в систему; активация; поиск «жертв»; подготовка копий; распро­странение копий.

На этапе проникновения в систему черви делятся преимущественно по типам ис­пользуемых протоколов:

    сетевые черви – черви, использующие для распространения протоколы Internet и ло­кальных сетей. Обычно этот тип червей распространяется с использованием неправиль­ной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP;

    почтовые черви – черви, распространяющиеся в формате сообщений электронной по­чты;

    IRC-черви – черви, распространяющиеся по каналам IRC (Internet Relay Chat );

    P2P-черви – черви, распространяющиеся при помощи пиринговых (peer - to - peer ) файлообменных сетей;

    IM-черви – черви, использующие для распространения системы мгновенного об­мена сообщениями (IM, Instant Messenger ICQ, MSN Messenger , AIM и др.)

Сегодня наиболее многочисленную группу составляют почтовые черви. Сетевые черви тоже являются заметным явлением, но не столько из-за количества, сколько из-за ка­чества: эпидемии, вызванные сетевыми червями, зачастую отличаются высокой скоростью распространения и большими масштабами. IRC-, P2P- и IM-черви встречаются достаточно редко, чаще они служат альтернативными каналами распространения для почто­вых и сетевых червей.

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни: в одном случае для активации необходимо активное участие пользо­вателя ; в другом – для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия . Под пассивным участием пользователя во второй группе понимается, например, просмотр писем, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным. В последнее время наметилась тен­денция к совмещению в червях обоих способов распространения.

Способ поиска компьютера-жертвы полностью базируется на используемых прото­колах и приложениях. В частности, если речь идет о почтовом черве, производится скани­рование файлов компьютера на предмет наличия в них адресов электронной почты, по ко­торым в результате и производится рассылка копий червя. Точно так же Internet-черви ска­нируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P-черви встраивают свои копии в общедоступные каталоги клиентов пиринговых сетей.

Сказанное выше о подготовке копий для распространения вирусов, применимо и для червей. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое пове­дение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероят­ность проскочить антивирусные фильтры на почтовых серверах. Черви также могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла – исполняемый модуль может быть приложен «как есть» или в заархивированном виде.

Троян (троянский конь ) – тип вредоносных программ, основной целью которых яв­ляется вредоносное воздействие по отношению к компьютерной системе. Трояны отлича­ются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты компьютера с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в ре­зультате неосмотрительных действий пользователя или же активных действий злоумыш­ленника.

В силу отсутствия у троянов функций размножения и распространения, их жизнен­ный цикл включает в себя всего три стадии: проникновение на компьютер; активация; вы­полнение заложенных функций. Но это не означает малого времени жизни троянов. Напро­тив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными сред­ствами.

Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов:

    Маскировка – троян выдает себя за полезное приложение, которое пользователь само­стоятельно загружает из Internet и запускает. Иногда пользователь исключается из этого процесса за счет размещения на web-странице специального скрипта, который, ис­пользуя дыры в браузере, автоматически инициирует загрузку и запуск трояна. Чаще всего внедрение троянов на компьютеры пользователей происходит через web-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую про­грамму на компьютере пользователя, используя уязвимость в web-браузере, либо наполне­ние и оформление web-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а несколько; но­вая копия создается при каждой загрузке.

    Кооперация с вирусами и червями – троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя. Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.

Активация троянов та же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.

В отличие от вирусов и червей, деление которых на типы производится по способам размножения-распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов:

    Клавиатурные шпионы – трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных зло­умышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.

    Похитители паролей – трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлече­ния паролей из файлов, в которых эти пароли хранятся различными приложениями.

    Утилиты удаленного управления – трояны, обеспечивающие полный удаленный кон­троль над компьютером пользователя. Существуют легальные утилиты такого же свой­ства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику.

    Люки (backdoor ) – трояны предоставляющие злоумышленнику ограниченный кон­троль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограни­ченный контроль в полный.

    Анонимные SMTP -серверы и прокси – трояны, выполняющие функции почтовых сер­веров или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.

    Утилиты дозвона – сравнительно новый тип троянов, представляющий собой ути­литы dial - up доступа в Internet через почтовые службы. Такие трояны прописываются в си­стеме как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Internet.

    Модификаторы настроек браузера – трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т.п.

    Логические бомбы – чаще не столько трояны, сколько троянские составляющие чер­вей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное дей­ствие: например, уничтожение данных.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденци­альности, доступности. В связи с этим при проектировании комплексных систем антиви­русной защиты, и даже в более общем случае - комплексных систем защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности обрабаты­ваемой на них информации и по вероятности заражения этих узлов вирусами.

27.Антивирусная защита информации. Антивирусная программа (антивирус ) – любая программа для обнаружения нежела­тельных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предот­вращения заражения (модификации) файлов или ОС вредоносным кодом.

На данный момент антивирусное программное обеспечение разрабатывается в ос­новном для ОС семейства Windows от компании Microsoft, что вызвано большим количе­ством вредоносных программ именно под эту платформу. Это, в свою очередь, вызвано большой популярностью ОС этого семейства, также как и большим количеством средств разработки, в том числе бесплатных, и даже «инструкций по написанию вирусов». В насто­ящий момент на рынок выходят продукты и под другие платформы настольных компьюте­ров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных про­грамм и под эти платформы, хотя UNIX-подобные системы всегда славились своей надеж­ностью.

Помимо ОС для настольных компьютеров и ноутбуков, также существуют плат­формы и для мобильных устройств, такие как Windows Mobile , Symbian , iOS Mobile , BlackBerry , Android , Windows Phone 7 и др. Пользователи устройств с такими ОС также под­вержены риску заражения вредоносным программным обеспечением, и некоторые разра­ботчики антивирусных программ выпускают продукты и для таких устройств.

Классифицируются антивирусные продукты по различным признакам, например: ис­пользуемые технологии антивирусной защиты, функционал продуктов, целе­вые платформы.

На сегодня на рынке программного обеспечения представлены антивирусные про­дукты многочисленных производителей. Среди них большой популярностью пользуются и антивирусные пакеты российских программистов, которые и будут рассмотрены ниже.

Любая компьютерная программа потенциально может быть инфицирована. Это озна­чает, что необходимо постоянно следить за выпуском заплат и обновлений к ней. Обычно информация такого рода всегда доступна на сайте компании-производителя.

Любой компьютер, способный к обмену информацией (через съемные носители или по сети) потенциально может быть инфи­цирован. Следовательно, даже если компьютер включается всего раз в год, то во время этого сеанса он все равно может быть заражена вирусом. В защите не нуждаются разве что нера­бочие и никогда не включаемые компьютеры.

Для проверки работоспособности установленной антивирусной защиты существует специальный тестовый вирус – Eicar . Все ведущие антивирусные продукты его детектируют, при этом никаких действий он не совершает. Загрузить сам тестовый вирус в разных форма­тах или инструкцию по его написанию можно на сайте www.eicar.org .

Основанием для подозрения на наличие вируса в системе могут служить:

    внезапное и несанкционированное изменение настроек браузера;

    необычные всплывающие окна и другие сообщения;

    неожиданный несанкционированный дозвон в Internet;

    самопроизвольное блокирование антивирусной программы;

    невозможность загрузки файлов с веб-сайтов антивирусных компаний;

    необоснованные на первый взгляд сбои в работе операционной системы или других программ;

    почтовые уведомления с заслуживающих доверие сайтов об отправке пользователем инфицированных сообщений.

Для предотвращения проникновения в систему вредоносной программы необходимо соблюдать следующие правила:

    вовремя устанавливать последние обновления и заплаты используемого программ­ного обеспечения, особенно – для ОС семейства Microsoft Windows;

    перед чтением данных с любого сменного носителя обязательно проводить проверку на наличие на нем вирусов;

    не загружать из Internet файлы неизвестного происхождения, тем более – про­граммы, и не устанавливать их. Особенно это касается не заслуживающих доверия сайтов;

    не открывать электронные письма, полученные от незнакомых людей или имеющие подозрительную тему сообщения;

    если на компьютере установлен антивирус – никогда не выключать постоянную про­верку, поддерживать актуальность антивирусных баз (регулярно загружая обновления), периодически проводить тщательную проверку жестких дисков на наличие вирусов;

    при интенсивном обмене электронными сообщениями или привычке оставлять свой электронный адрес на публичных сайтах, рекомендуется установить и использовать антис­памовую программу.

Обязательно следует помнить, что попытки создавать вредоносные программы или созна­тельно участвовать в их распространении подпадают под действие ряда статей Уголовного Кодекса Российской Фе­дерации, предусматривающих наказание за такую деятельность, вплоть до лишения свободы на срок до пяти лет, а современные технологии позволяют весьма быстро вычислить автора или распространителя вредоносных программ.

Установка и правильная настройка антивирусного программного обеспечения - это самый надежный способ обеспечить защиту против вредоносных программ.

Существуют вредоносные программы и для мобильных телефонов. Поэтому в работе с любыми компь­ютеризированными устройствами необходимо соблюдать перечисленные выше правила «компьютерной гигиены », а именно – не допускать загрузку файлов, сообщений и программ из неизвестных или подозрительных источников.

Антивирусы для мобильных телефонов тоже существуют: для большинства смартфонов уже налажен выпуск антивирусных средств. Поэтому, если на телефоне хранится важная информация или, тем более, конфиденциальные данные, установка антивирусной защиты является обязательной.

28. IP -телефония: принципы организации; особенности; оборудование

P-телефония часто заменяется понятием VoIP (Voice over IP), которое определяет технологию передачи голосового трафика поверх сети с помощью протоколов TCP/IP. При этом передача данных может осуществляться не только по сети Internet, но и с использованием Ethernet, что легко осуществимо практически для любых корпоративных сетей с поддержкой TCP/IP.

LAN телефония имеет свои собственные особенности, т.к. представляет собой слияние двух направлений: компьютерного с его удобством, гибкостью, совместимостью и знакомым интерфейсом и обычного телефонного. В таком случае появляется возможность использовать многие преимущества компьютеризации для управления телефонной связью, в том числе входящими и исходящими звонками и получать доступ к информации о звонках через компьютерные приложения. Телефонная система оказывается интегрированной с сетью передачи данных. Таким образом, телефон выступает в роли терминала для взаимодействия с ПК.

IP-телефония, объединяющая голос и данные в одной сети, не смотря на свои широкие возможности, является весьма экономичным способом связи. Междугородные и международные звонки благодаря IP-телефонии обходятся гораздо дешевле привычной связи.

IP-сеть может существенно увеличивает возможности телефонии за счет своих уникальных характеристик. Так, IP-сети позволяют выйти за рамки физических границ, присущих обычной телефонии, не влияя при этом на полноту традиционных телефонных услуг. Пользователи телефонии могут сами выбрать среду для передачи данных, исходя из ее стоимости и местонахождения. Чтобы правильно выбрать оптимальный вариант подключения (ATM, Ethernet, аналоговые линии и т.д.), нужно учитывать, какие требования к полосе пропускания предъявляют используемые вами приложения. Однако преимуществом IP-сетей является то, что работа телефонии не зависит от оборудования, т.к. устройства, выпускаемые разными фирмами, вполне совместимы между собой. Такая возможность предоставляется универсальными глобальными стандартами и благодаря конкуренции оказала значительное влияние на уровень цен и спектр услуг провайдеров. Между тем, можно быть уверенным в качестве и надежности связи.

Принцип работы телефонных серверов основан на связи сервера с телефонными линиями с возможностью соединения с любым телефонным номером, а также на связи с Интернетом, который позволяет подключиться к любому компьютеру. При поступлении голосового сигнала на сервер он при необходимости оцифровывается, сжимается, разбивается на пакеты и с помощью протокола TCP/IP отправляется адресату. Обратный процесс, т.е. прием пакетов на телефонный сервер из сети и отправка в телефонную линию, осуществляется, начиная с конца рассмотренной выше операции. Такие базовые операции позволяют строить самые разнообразные конфигурации.

Однако в любую систему IP-телефонии обязательно входят четыре взаимосвязанных между собой элемента: аппаратура (IP телефоны, ПК со специализированным ПО и т.д.), сетевое оборудование (коммутаторы, маршрутизаторы, шлюзы и др.), служебные серверные приложения (управляющие серверы, видео серверы и т.д.), а также пользовательские приложения

1 WWW (W EB ) – World Wide Web – глобальная распределенная информационная система, предназначенная для поиска информационных ресурсов в Internet и предоставляющая сервисы доступа к ним. Основам организации WWW посвящена следующая тема.

2 В общем случае сетевой архитектурой «клиент-сервер» называют механизм передачи данных и информации ме­жду удаленным компьютером, предоставляющим свои ресурсы в распоряжение пользователей (сервер), и пользовательским ком­пьютером, эксплуатирующим эти ресурсы (клиент).

3 Более подробно CGI рассматривается в следующей теме курса.

4 Движок браузера – программа, преобразующая содержимое Web -страниц (файлы HTML, XML, цифровые изображения и т.д.) и информацию о форматировании (в форматах CSS, XSL и т.д.) в интерактивное изображение на экране.

5 В Российской Федерации, с юридической точки зрения, услуга хостинга не относится к телематическим услугам связи в силу различия определения телематических услуг связи (предоставление доступа пользовательского оборудования к сети связи оператора ) и сути хостинга (предоставление ресурсов оборудования подключенного к сети связи для размещения и функционирования Web - сайта пользователя сети).

7 Релевантность (relevo - поднимать, облегчать, лат.) – в широком смысле: мера соответствия получаемого результата желаемому результату; в поисковых системах – мера соответствия результатов поиска задаче, поставленной в запросе. Различают содержательную и формальную релевантности.

8 Поисковые роботы , называемые также « Web -пауками » или «кроулерами» (crawler , англ.) – программные модули, занимающиеся поиском W eb-страниц в Internet .

9 Ранжированием в применении к поисковым системам называют сортировку Web -сайтов в поисковой выдаче. Как правило, существует множество факторов для ранжирования, среди которых можно отметить рейтинг сайта, количество и качество внешних ссылок, релевантность текста к поисковому запросу и многие другие, на основании которых поисковая система формирует список сайтов в поисковой выдаче.

10 Поисковая оптимизация (SEO – search engine optimization, англ.) - комплекс мер для поднятия позиций (рейтинга) Web -сайта в результатах выдачи поисковых систем по определенным запросам пользователей с целью продвижения Web -сайта.

11 Асессор – специалист, сотрудник поисковой системы, в задачи которого входит оценка поисковойвыдачи, сделаннойпоисковым роботом. Вердикт асессора является подтверждением того, что Web - сайт, найденный роботом в соответствии с поисковым запросом, является полезным пользователю, а не представляет собой бесполезный или даже вредный и опасный ресурс. Для некоторых Web -сайтов асессор может выступать в роли «киллера», от имени поисковой системы вообще вычеркивающим их из поля зрения поисковой машины даже при формальном соответствии всем требованиям. В этом случае речь идет о Web -сайтах, оптимизаторыкоторых, в нарушение правил, занимаются «черным» продвижением, и которым удалось каким-то образом обмануть поискового робота.

12 Техническая сторона здесь не рассматривается в силу сложности используемых технологий – по большей части, искусственного интеллекта, машинного обучения, интеллектуального анализа данных (data mining ).

14 SGML (Standard Generalized Markup Language, англ. – стандартный обобщённый язык разметки) – метаязык, на котором можно определять язык разметки для документов. SGML – наследник разработанного в 1969 году в IBM языка GML (Generalized Markup Language ),

15 Скрипт – программа, выполняемая на Web-странице по запросу посетителя Web-сайта. Обычно язык скриптов включает простые структуры управления: линейные последовательности, циклы и условные выражения. В сетевых технологиях различают скрипты клиентской и серверной сторон.

16 Сокет (в рассматриваемом случае) – программный интерфейс, обеспечивающий обмен данными между процессами (приложениями).

17 Сервлет – программный интерфейс, реализуемый на языке Java , позволяющий расширить возможности Web -сервера. Это, своего рода, аналог CGI с расширенными возможностями.

19 XMPP (Extensible Messaging and Presence Protocol ) – расширяемый протокол обмена сообщениями и информацией о присутствии, основанный на XML . Со спецификацией XMPP можно ознакомиться в документе RFC 3920.

Подсистема обнаружения и предотвращения вторжений включает в себя:

Таблица 1. Подсистемы обнаружения и предотвращения вторжений

Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

По способу мониторинга средства подсистемы делятся на:

  • средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
  • средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

Выделяется несколько методов анализа событий:

  • обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
  • обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

Предотвращение вторжений системного уровня

Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

Варианты решения:

Cisco Security Agent

Check Point Endpoint Security
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia Server Intrusion Prevention System
Kaspersky Total Security


Предотвращение вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

В качестве мер противодействия, может выполняться:

  • блокирование выбранных сетевых пакетов;
  • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
  • сохранения выбранных пакетов для последующего анализа;
  • регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

Варианты решения:


Защита от DDoS атак

Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

  • обнаружение вторжения;
  • определение источника вторжения;
  • предотвращение вторжения.


Решение для операторов связи

Бизнес-преимущества внедряемого решения:

  • возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
  • возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
  • улучшается управляемость сетевой инфраструктурой;
  • возможность предоставления абонентам отчетов об атаках.

Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

  • выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
  • услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки


Архитектура решения

Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи

Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.


Решение для предприятий

При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.

  • осуществление компаниями своего бизнеса через Интернет;
  • наличие корпоративного web-сайта компании;
  • использование сети Интернет для реализации бизнес-процессов.


Архитектура решения

Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий

В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.

Технические преимущества внедряемых решений:

  • мгновенная реакция на DDoS-атаки;
  • возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

Варианты решения:

Arbor Peakflow SP

Cisco Guard
Cisco Traffic Anomaly Detector