Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Устанавливаем систему обнаружения вторжений

Кертис Франклин-младший

Возможность наблюдать за действиями злоумышленника позволяет снизить наносимый им урон. Система обнаружения вторжений (Intrusion-Detection System — IDS) поможет вам узнать то, как атакующий “подбирается” к вашим системам, как они реагируют на это и, самое главное, как ему удается, совершив вторжение, использовать ваши системы для новых атак.

Ставки в игре, именуемой сетевой безопасностью, очень высоки. Так, ущерб, вызванный червем Slammer, оценивается более чем в миллиард долларов. Методы взлома непрерывно усложняются, а наличие большого числа мобильных корпоративных пользователей делает защиту периметра сети вашего предприятия все более сложной задачей.

Система IDS распознает и регистрирует все попытки вторжений, миновавшие межсетевой экран (МЭ), независимо от того, успешные они или нет. В случае атаки ПО IDS поможет вам определить, что за вторжение произошло и как отразить его повторные попытки. Некоторые системы IDS передают команды другим элементам сетевой инфраструктуры с целью пресечь предпринимаемую атаку. Сообщая о случившемся, системы IDS всего лишь реагируют на факт вторжения и способны распознавать враждебную деятельность только на тех участках сети, за которыми следят. Эти системы никоим образом не относятся к продуктам типа “поставил и забыл”.

Полную версию данной статьи смотрите в 14-ом номере журнала за 2004 год.

Контролируя трафик на некотором участке сети, ПО IDS выявляет следы деятельности, которую вы считаете подозрительной. Для определения подозрительных действий служат так называемые сигнатуры с их описанием. Это, например, входящие запросы к портам, доступ удаленным клиентам к которым закрыт, быстрое сканирование портов, FTP- и TFTP-соединения с машинами, не являющимися серверами. Большинство систем IDS накапливают обширные библиотеки сигнатур известных атак, дополняя их новыми описаниями разновидностей подозрительного поведения сети.

Вы также можете назначить системе IDS те или иные функции на случай распознавания попытки взлома. Она может регистрировать события, отсылать уведомления на консоль администратору или на его пейджер, выдавать команды МЭ или маршрутизаторам. Самой обычной функцией является регистрация событий, позволяющая анализировать случившееся вторжение и затем целенаправленно обновлять ПО МЭ, маршрутизатора, политику безопасности сервера с целью предотвращения повторных вторжений. В большинстве своем системы IDS только рассылают уведомления и регистрируют события, в то время как МЭ, маршрутизаторы и серверы непосредственно предотвращают вторжения.

Некоторые системы IDS используют файлы сигнатур, сгенерированные фирмой-поставщиком или сообществом пользователей. В большинстве случаев вам придется самому регулярно “обучать” систему распознавать опасное или нештатное поведение сети. Если вы не делаете этого, то ваша IDS не “засечет” вторжение, еще не описанное в файлах сигнатур.

В нужном месте

Итак, в каком месте установить систему IDS? Это зависит от того, на каком участке сети вы ожидаете возникновения угрозы. Самое очевидное — расположить систему на периметре сети, как раз позади МЭ, т. е. на наиболее ответственном участке, поскольку нас не интересует не прошедший через МЭ трафик. В противном случае подсистема регистрации событий окажется просто-напросто перегруженной. Установка системы IDS позади МЭ поможет вам выявить атаки на вашу сеть извне. Однако в зависимости от топологии вашей сети расположенная таким образом система вполне может “закрыть глаза” на несанкционированные действия внутренних пользователей.

Организация вашей сети, возможно, потребует от вас установки нескольких систем или сенсоров IDS с целью обеспечения всестороннего контроля. IDS обязательно потребуется для магистрального маршрутизатора или коммутатора, через который будет проходить почти весь сетевой трафик. Убедитесь в том, что установленная в этом месте система IDS сможет просматривать пакеты, проходящие по сети в обоих направлениях — устройство, настроенное на работу в полудуплексном режиме, не сможет вести полноценное наблюдение за трафиком.

Некоторые системы IDS собирают информацию с нескольких сенсоров и выводят ее на единую консоль, информирующую вас о появлении подозрительного трафика в любой части сети. Однако наличие нескольких объектов наблюдения требует хранения большого объема данных для исследования и обработки.

На рынке имеется инструментарий для автоматизированного анализа журналов IDS, основная же работа по их просмотру ложится на плечи администратора безопасности, знающего, на что следует обращать внимание и как должен выглядеть легитимный трафик в вашей сети, чтобы выяснить, каким образом злоумышленник миновал ваши системы защиты.

Запускаем IDS

Удачно развернутая система IDS не загрузит ваши процессоры сверх меры. Однако необходимо правильно подсоединить ее к сети и иметь достаточный объем дисковой памяти для хранения подлежащих анализу данных.

Вы можете подключить систему IDS, например, через порт сетевого анализатора (span port) коммутатора или через сетевое ответвление (network tap). У каждого метода есть свои преимущества и недостатки.

У большинства коммутаторов и маршрутизаторов предусмотрено наличие порта сетевого анализатора, что позволяет получать доступ к проходящему через них трафику на скорости данного порта. Основные преимущества его использования — это экономичность и простота. Недостаток же заключается в том, что данный порт, как правило, не является высокоскоростным и может передать столько битов, сколько пройдет через него. Так, у гигабитового коммутатора с несколькими 100-мегабитовыми портами имеется 100-мегабитовый порт сетевого анализатора. При высоком трафике системе IDS могут быть недоступны некоторые его потоки из-за ограниченной пропускной способности единственного порта сетевого анализатора.

В то же время сетевые ответвления позволяют системе IDS контролировать трафик сетевой магистрали, не становясь при этом ее частью. В вышеупомянутом случае с гигабитовым коммутатором ответвление может располагаться на входящей линии с целью получе-ния доступа ко всему потоку данных и не оказывать влияния на пропускную способность сети. В этом случае не нужно присваивать сетевой адрес устройству защиты, подключенному к ответвлению, что делает атаку на него маловероятной.

Сетевые нападения становятся все более и более изощренными, вынуждая администраторов безопасности осуществлять всесторонний контроль за сетевыми транзакциями. В ряде случаев это требует организации ответвления на базе полнодуплексного порта либо проверки, является ли порт сетевого анализатора полнодуплексным. Иногда бывает необходимо использовать два ответвления или два порта сетевого анализатора (для входящего и исходящего трафиков).

Вам также потребуется интерфейс для администрирования и управления системой. В целях безопасности этот порт не должен быть подключен к основной сети. Если вы еще не установили выделенную сеть для администрирования IDS, т. е. сеть с защищенным доступом из основной сети или с удаленных узлов, сделайте это сейчас.

Приготовьтесь также к тому, что размеры файлов журналов будут быстро расти, поэтому для их хранения стоит выделить объем дисковой памяти порядка 1 Тбайт. Ведь вы не хотите, чтобы подсистема регистрации событий IDS отказала именно тогда, когда вы подверглись очередной атаке, не правда ли?

Обратите внимание

Подключив систему IDS к сети и запасясь в избытке дисковой памятью, самое время начать создавать библиотеки сигнатур. Заглянув на сайт www.snort.org, вы узнаете, как сообщество пользователей Snort (системы IDS с открытым исходным кодом) работает с сигнатурами. Это сообщество предлагает несколько методов управления файлами сигнатур и анализа содержимого регистрационных журналов.

Размеры и сложность структуры этих файлов лишний раз подтверждают тот факт, что инвестиции в обучение специализированного персонала чрезвычайно важны. Исключение, пожалуй, составляют случаи, когда сеть пребывает в неизменном виде и вследствие этого обладает ограниченной уязвимостью. Большинству же предприятий и организаций потребуется специально выделенный персонал, который будет изучать журнальные файлы, чтобы понять, какими транзакциями характеризуется легитимный трафик и как выглядит сетевая атака. Когда ваши специалисты усвоят это, им ежедневно придется изучать ваши журналы IDS и регулярно обновлять файлы сигнатур.

Большинство систем IDS лишь подсказывают, какие изменения нужно внести в настройки и ПО маршрутизаторов, МЭ и серверов, но некоторые из них способны выдать другим устройствам команду на пресечение предпринимаемой кем-то атаки. Так, МЭ фирмы Check Point “понимает” команды IDS, например такие, как разрыв того или иного соединения или блокирование определенного IP-адреса.

Сейчас уже есть системы обнаружения вторжений, которые способны самостоятельно предпринимать определенные действия по отношению к атакам. Одни такие системы взаимодействуют с МЭ или маршрутизаторами, тогда как другие — обладают функциями МЭ. Но в любом случае эффективность систем IDS по выявлению и противодействию “сетевым злоупотреблениям” все еще зависит от регулярности обновления файлов сигнатур..


https://pedant-izhevsk.ru/remont-iphone-6-6plus/zamena-akb




  
14 '2004
СОДЕРЖАНИЕ

бизнес

• IP-телефония в реальных проектах

инфраструктура

• ИБП: малая мощность, большие возможности

• Сетевые принтеры

• Возможности технологии Bluetooth

• Специальный выпуск: Недорогие ИТ-решения

сети связи

• Тестируем недорогие SIP-телефоны

• TETRA в действии

• Продолжение обсуждения проекта "Тетрарус"

кабельные системы

• Откройте дорогу коммуникациям будущего

• Сертифицируйте кабельные системы

защита данных

• Устанавливаем систему обнаружения вторжений

• Обеспечение безопасности IP-телефонии

новые продукты

• Новые модели ИБП Smart King XL 5100, Одни плюсы


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх