- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Расположение ids
NIDS размещают таким образом, чтобы она могла наблюдать за всеми подконтрольными ей сегментами сети. Как правило, непосредственное наблюдение осуществляют несколько расположенных в ней сенсоров. Сенсорами могут быть как сетевые интерфейсы, так и группы сетевых интерфейсов под управлением операционной системы [27].
Имеется несколько вариантов размещения сетевой системы обнаружения вторжений, у каждого из которых есть свои достоинства и недостатки.
В ЛВС позади межсетевого экрана. Это наиболее распространенная конфигурация, которая предлагает наилучшую защиту, как от внешних, так и от внутренних угроз. Прослушивая локальную среду передачи, можно выявлять внутреннюю активность пользователей, такую как взаимодействие между рабочими станциями или ненадлежащее применение программ. Это также обеспечивает дополнительную поддержку межсетевого экрана, позволяя обнаружить подозрительный трафик, каким-то образом сумевший проникнуть во внутреннюю сеть через фильтры экрана.
В демилитаризованной зоне. Это позволит отслеживать активность по отношению к общедоступным серверам. Проблема, которая возникает при подобной конфигурации, состоит в сортировке всех сигналов. Хотя все они могут быть оправданными сигналами тревоги, общий уровень атакующего трафика в Интернет таков, что любой общедоступный IP-адрес может по несколько раз в день подвергаться случайным атакам. Реагирование и попытки отследить эти сигналы будут излишними и контрпродуктивными.
Между провайдером и межсетевым экраном. В этом случае будет фильтроваться весь входящий и исходящий трафик ЛВС и демилитаризованной зоны. Положительная сторона этого подхода состоит в том, что IDS будет перехватывать все, что направлено против общедоступных серверов и внутренней ЛВС, отрицательная - в том, что она не сможет просматривать внутренний трафик.
Что касается сенсоров IDS, то их местоположение зависит от того, какой трафик намечено анализировать. В связи с этим и сеть условно делится на три зоны: красную, зеленую и синюю. Красная означает, что сенсор в ней должен быть настроен таким образом, чтобы фиксировать максимальное количество нарушений. К красной зоне относится, например, Internet, так как с точки зрения информационной безопасности глобальная сеть представляет собой наибольшую угрозу. В синюю зону входит Intranet (сегмент, в котором расположены рабочие станции пользователей). Зелёная охватывает демилитаризованную зону и другие сегменты, не подпадающие под предыдущие два определения [28-32].
Разделение сети на зоны полезно еще и с позиции перспективного масштабирования IDS, так как позволяет заранее определить набор соответствующих правил для зоны.
В общем случае полезно установить сенсор в каждый сегмент, трафик которого выходит за его пределы (или поступает извне). Так, если конфигурация сети включает демилитаризованную зону и локальный сегмент, то сенсоры пригодятся на каждом из этих участков. Наблюдать за локальным сегментом стоит даже тогда, когда внешний трафик отсутствует, особенно если в нем выполняются какие-либо критичные сервисы. Обычно сенсоры устанавливают между маршрутизатором и межсетевым экраном, в демилитаризованной зоне, в сегменте пользовательских рабочих станций и в других ключевых сегментах сети.
Для серверов оптимальным будет применение хостовых IDS. Иногда системы обнаружения вторжений устанавливают перед брандмауэром или маршрутизатором, со стороны его WAN-порта. В этом случае можно более точно отследить, кто, каким образом и к каким ресурсам пытается получить доступ, но данная IDS будет генерировать значительное количество сообщений, которые придется разбирать системным администраторам, на что нередко не хватает ресурсов. Поэтому чаще всего IDS устанавливают так, чтобы они обнаруживали атаки, прошедшие через межсетевой экран или реализованные из локальной сети [33-35].
Системы IDS могут быть выполнены в виде отдельного аппаратного устройства, программного обеспечения, модулей или программных служб межсетевых экранов, маршрутизаторов или коммутаторов. Некоторые межсетевые экраны имеют встроенные службы обнаружения вторжений, но они, как правило, используют только сигнатурный способ. У разных производителей различный подход к реализации систем IDS. Например, в продуктовой линейке компании Cisco есть выделенные полноценные аппаратные SNIDS, HIDS, модули к маршрутизаторам и коммутаторам, реализующие различные механизмы обнаружения вторжений, большие обновляемые базы сигнатур, при этом межсетевые экраны Cisco (PIX) поддерживают довольно ограниченную необновляемую базу. Компания D-Link не имеет выделенных систем IDS, но ее межсетевые экраны оснащены полноценными встроенными IDS с обновляемыми базами сигнатур [36-38].