Системы обнаружения вторжений и предотвращения вторжений с первого взгляда

Лучший способ защиты отдельного компьютера или сети — это обнаружение и блокирование атак до того, как они смогут нанести какой-либо ущерб. Для этого многие полагаются на системы обнаружения вторжений (IDS) или более универсальные системы предотвращения вторжений (IPS). В данном руководстве объясняется, что представляют собой эти похожие компоненты безопасности и как именно они работают.

Система обнаружения вторжений (IDS) используется для раннего обнаружения атак на компьютерные системы или сети. Необходимое программное обеспечение IDS может быть установлено либо на систему, которую вы хотите контролировать, либо на отдельное устройство. Многие поставщики продают относительно недорогое предварительно настроенное программное обеспечение IDS. Системы обнаружения вторжений отслеживают и анализируют всю сетевую активность с целью обнаружения необычного трафика и информирования пользователя о любых необычных действиях. Это дает вам возможность отреагировать на попытки злоумышленника получить доступ и предотвратить атаку. Существует разница между методами обнаружения атак на основе хоста и на основе сети.

Системы обнаружения вторжений на базе хоста

Первые IDS на базе хоста использовались еще в 80-х годах для защиты централизованных компьютерных структур. Система обнаружения просто устанавливалась на центральный компьютер, с которым работали различные подключенные терминалы. Она отслеживала трафик данных на этом узле, сканируя файлы журналов, данные ядра и другие системные данные. Когда терминалы превратились в отдельные независимые рабочие станции с собственными вычислительными мощностями, технологию, основанную на хосте, пришлось адаптировать. Для проверки отдельных, теперь уже независимо функционирующих систем, на них устанавливались специальные модули (также называемые агентами мониторинга). Они фильтровали трафик данных или соответствующие данные аудита и отправляли результаты на центральный сервер, который, в свою очередь, отвечал за обнаружение атаки. Из-за концептуального дизайна эти системы также известны как распределенные системы обнаружения вторжений.

Сетевые системы обнаружения вторжений

Увеличение числа локальных сетей в Интернете привело к необходимости дальнейшего развития технологии IDS. С одной стороны, подход на основе хоста не подходил для гибкого и сложного потока данных в Интернете. С другой стороны, атаки больше не требовали физической близости к целевой системе, а могли осуществляться с удаленных клиентов по всей сети. Поскольку несанкционированный доступ из Интернета неизбежно происходит по протоколу TCP/IP или UDP, сетевые системы проверяют уже не данные аудита, а IP-пакет, поэтому они тесно связаны с используемым брандмауэром. Однако это также обеспечивает централизованный мониторинг, который не ограничивается защитой только одной системы, а способен исследовать трафик данных всей сети.

Современные системы обнаружения вторжений обычно сочетают оба подхода, обеспечивая тем самым еще более высокий уровень обнаружения атак. Эти гибридные системы характеризуются наличием центральной системы управления, которая получает соответствующую информацию как от сетевого, так и от хостового программного обеспечения. В процесс обнаружения вовлечены три элементарных компонента:

Мониторинг данных

На монитор данных возлагается задача сбора и предварительной фильтрации всех соответствующих данных, необходимых для разоблачения нарушителей. К ним относятся уже упоминавшиеся данные аудита, такие как файлы журналов компьютерной системы, приложения безопасности, а также системная информация, например, загрузка процессора, количество активных сетевых подключений и число повторных попыток входа в систему. Кроме того, монитор данных в гибридной системе обнаружения вторжений также использует информацию о соединениях TCP/IP, такую как адреса источника и назначения, а также другие свойства пакетов данных, отправленных и полученных сетевым датчиком IDS.

Анализ

Монитор данных отправляет собранные и предварительно отфильтрованные данные на так называемый анализатор. Последний должен обрабатывать и анализировать полученную информацию в режиме реального времени — иначе атаки невозможно было бы предотвратить. Процесс анализа, следовательно, предъявляет относительно высокие требования к основному оборудованию (процессору и памяти). Особенно в сетях крупных компаний соответствующее масштабирование этого компонента IDS является одной из самых сложных и важных задач, обеспечивающих функциональность системы обнаружения вторжений. Анализатор может использовать два различных метода для оценки данных:

• Когда речь идет об обнаружении злоупотреблений, анализатор пытается обнаружить в полученных данных известные шаблоны атак (сигнатуры). Они хранятся в отдельной базе данных, которая регулярно обновляется. Для каждой сигнатуры записи в базе данных также содержат информацию о степени серьезности атаки. Хотя известные шаблоны атак могут быть однозначно распознаны и проанализированы таким образом, шаблон доступа, не сохраненный в базе данных сигнатур, остается скрытым от этого метода отслеживания.

• Обнаружение аномалий основано на другом принципе: этот метод анализа предполагает, что несанкционированный доступ вызывает аномальное поведение системы, не отличающееся от заранее заданных стандартных значений. Например, анализатор может быть настроен на предупреждение пользователя, если загрузка процессора или скорость доступа к страницам превышает определенное значение (статический подход). В качестве альтернативы анализатор может включать в анализ последовательность событий (логический подход). Обнаружение аномалий означает, что могут быть обнаружены новые и неизвестные атаки, но иногда режим активного обнаружения может быть слишком чувствительным и предупреждать пользователя об атаках, даже если они не вызваны злоумышленником.

Отчет о результатах

На последнем этапе система обнаружения вторжений информирует администратора сети об обнаружении атаки или подозрительного поведения системы. В зависимости от того, насколько это может быть опасно, диктуется способ информирования пользователя. Система защиты может:

• отправить электронное письмо с объяснением характера атаки

• Запустить локальное оповещение, например, всплывающее окно в консоли безопасности

• отправить сообщение о тревоге на мобильное устройство.

Если обнаружена аномалия, степень опасности рассчитывается в зависимости от того, насколько сильно аномалия отклоняется от нормального соответствующего значения. Это отличается от метода обнаружения неправомерного использования, который получает рекомендации по классификации из базы данных сигнатур.

Системы обнаружения вторжений могут обнаруживать атаки, скрытые от обычного брандмауэра, используя целый ряд универсальных технологий. Они анализируют пакеты данных вплоть до самого верхнего уровня модели OSI, а также точно и целенаправленно отслеживают отдельные выполняемые приложения. Системы с обнаружением аномалий также способны обнаруживать новые и гибкие модели атак благодаря своему подходу, что впоследствии повышает безопасность сети. Однако не стоит заблуждаться, рассматривая IDS как замену брандмауэра, поскольку только сочетание обоих компонентов безопасности обеспечивает адекватную защиту.

Однако, поскольку системы обнаружения вторжений являются активными компонентами сети, они сами являются потенциальными объектами атак, особенно если злоумышленник знает об их существовании. Из-за своей уязвимости к DoS-атакам (т.е. целенаправленной перегрузке) он часто может отключить программное обеспечение IDS в течение очень короткого времени. Кроме того, злоумышленник может воспользоваться функцией автоматического уведомления систем обнаружения атак, а затем начать DoS-атаки с IDS. Обнаружение аномалий может обеспечить большую слабую зону при наличии неправильных конфигураций. Если настройки очень чувствительны, количество предупреждающих сообщений будет относительно большим, даже если нет попыток несанкционированного доступа.

В любом случае, необходимо взвесить затраты и усилия. Насколько часто вы будете использовать эту систему безопасности, ведь вам нужно не только программное обеспечение IDS, но и соответствующая аппаратная среда? И даже несмотря на наличие мощных решений с открытым исходным кодом, таких как сетевой Snort, хостовый Samhain и гибридный Suricata, вам все равно потребуется правильная установка, настройка и обслуживание.

Системы предотвращения вторжений (IPS), как следует из названия, идут на шаг дальше, чем системы обнаружения вторжений: как только они выявляют потенциальную атаку, они не только уведомляют администратора, но и немедленно инициируют соответствующие контрмеры. Таким образом, они позволяют избежать чрезмерно длительного времени между обнаружением и избавлением от нарушителя, что бывает в случае с программами IDS. Что касается используемых аналитических методов, то в принципе между этими двумя механизмами сетевой защиты нет никакой разницы. Современная IPS, как и IDS, опирается на датчики на хосте и в сети для регистрации и анализа системных данных и сетевых пакетов.

Система предотвращения вторжений, как правило, должна быть настроена очень индивидуально, чтобы предотвратить классификацию любого обычного действия пользователя как опасного и его блокировку из-за обнаружения аномалий. Индивидуальная настройка означает, что вы можете реализовать как системы предотвращения вторжений, так и системы обнаружения вторжений с помощью многих программ. В принципе, вы можете выбирать между активным блокированием и чистым мониторингом, как, например, вышеупомянутые приложения с открытым исходным кодом, Snort и Suricata. Поэтому возможна система, сочетающая оба подхода, или использование двух отдельных систем. В последнем варианте фильтрация и блокировка могут быть разделены между различными аппаратными средами.

Диапазон используемого программного обеспечения IPS может сильно различаться, как показывает пример двух бесплатных программ, DenyHosts и Snort.

С помощью инструмента DenyHosts, написанного на языке Python, вы можете установить систему предотвращения вторжений на основе хоста для вашего SSH/SSHD-соединения, которая распознает атаки грубой силы и предотвращает их. Для этого приложение с открытым исходным кодом проверяет записи в журнале аутентификации для любых новых неудачных попыток входа в систему SSH. Если количество неудачных попыток с одного IP-адреса превышает заданное ранее число, DenyHosts блокирует этот IP-адрес и добавляет его в черный список. Это предотвращает повторные попытки злоумышленника войти в систему с этого адреса.

Единственными требованиями к использованию являются операционная система Linux, а также язык сценариев Python, включая модуль ipaddr, который включен в большинство дистрибутивов по умолчанию. Последние версии инструмента IPS можно найти в официальном репозитории DenyHost на GitHub. Возможной альтернативой является очень похожее приложение для обеспечения безопасности — Fail2ban.

Программист Мартин Роеш опубликовал инструмент безопасности Snort еще в 1998 году, но первоначально он был только в версии для Unix. С 2013 года компания Cisco Systems отвечает за дальнейшее развитие лицензии GPL, а также программы (которая теперь является кроссплатформенной). Американская компания предлагает различные модели коммерческой подписки на бесплатный инструмент, что обеспечивает частным лицам и предприятиям более быстрое обновление политик и дополнительную поддержку пользователей. Snort предоставляет необходимые функции для создания мощных сетевых систем предотвращения вторжений. Однако вы также можете настроить программу таким образом, чтобы она контролировала только соответствующие компоненты и, таким образом, служила основой для системы обнаружения вторжений.

Snort проверяет сетевой трафик в режиме реального времени и использует для анализа механизм обнаружения неправомерных действий BASE. Он сравнивает входящие и исходящие пакеты данных с записями сигнатур, которые названы в правилах Snort. Cisco Systems регулярно дополняет этот набор правил новыми обнаруженными шаблонами атак, при этом платящие клиенты получают обновления быстрее — в рамках вышеупомянутых моделей подписки. Однако вы также можете определить свои собственные правила, чтобы улучшить возможности отслеживания вашей системы Snort. Для получения дополнительной информации о бесплатном или коммерческом использовании Snort вы можете посетить веб-сайт Snort.