Sistem de prevenire a intruziunilor

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 16 martie 2013; verificările necesită 35 de modificări .

Sistemul de prevenire a intruziunilor ( IPS) este o rețea software sau hardware și un sistem de securitate a computerului care detectează intruziunile sau încălcările de securitate și protejează automat împotriva acestora.

Sistemele IPS pot fi văzute ca o extensie a sistemelor de detectare a intruziunilor (IDS), deoarece sarcina de urmărire a atacurilor rămâne aceeași. Cu toate acestea, ele diferă prin faptul că IPS trebuie să monitorizeze activitatea în timp real și să ia rapid măsuri pentru a preveni atacurile.

Clasificare

Network IPS ( Network-based Intrusion Prevention, NIPS ): monitorizează traficul într-o rețea de computere și blochează fluxurile de date suspecte.
IPS pentru rețele fără fir ( Wireless Intrusion Prevention Systems, WIPS ): verifică activitatea în rețelele fără fir. În special, detectează punctele de acces wireless configurate greșit , atacurile „man-in-the-middle” și falsificarea adreselor MAC .
Analiza comportamentului rețelei (NBA ) : analizează traficul de rețea, identifică fluxurile atipice, cum ar fi atacurile DoS și DDoS .
IPS pentru computere individuale ( Host-based Intrusion Prevention, HIPS ): programe rezidente care detectează activități suspecte pe un computer.

Istoricul dezvoltării

Istoria dezvoltării IPS moderne include istoria dezvoltării mai multor soluții independente, metode de protecție proactivă care au fost dezvoltate în momente diferite pentru diferite tipuri de amenințări. Metodele de protecție proactivă oferite de piață astăzi includ următoarele:

Process Behavior Analyzer pentru a analiza comportamentul proceselor care rulează în sistem și pentru a detecta activități suspecte, adică malware necunoscut.
Eliminarea posibilității de infectare a computerului, blocând porturile care sunt deja folosite de viruși cunoscuți și pe cele care pot fi folosite prin noile lor modificări.
Prevenirea depășirii bufferului pentru cele mai comune programe și servicii, care este cel mai adesea folosită de atacatori pentru a efectua un atac.
Minimizarea daunelor cauzate de infecție, împiedicând reproducerea ulterioară a acesteia, restricționând accesul la fișiere și directoare; detectarea și blocarea sursei de infecție în rețea.

Analiza pachetelor de rețea

Viermele Morris , care a infectat computerele Unix din rețea în noiembrie 1988, este de obicei citat ca prima amenințare de a interveni în contramăsuri .

Potrivit unei alte teorii, acțiunile unui grup de hackeri împreună cu serviciile secrete ale URSS și RDG au devenit stimulentul pentru crearea unei noi fortificații. Între 1986 și 1989, grupul, al cărui lider ideologic era Markus Hess, a transmis agențiilor naționale de informații informații obținute de acestea prin intruziunea în computere. Totul a început cu un cont necunoscut de doar 75 de cenți la Laboratorul Național. E. Lawrence la Berkeley. [1] O analiză a originilor sale a condus în cele din urmă la Hess, care a lucrat ca programator pentru o mică companie vest-germană și a aparținut, de asemenea, grupului extremist Chaos Computer Club, cu sediul în Hamburg. Invazia organizată de el a început cu un apel de acasă printr-un simplu modem, oferindu-i o conexiune cu rețeaua europeană Datex-P și apoi pătrunzând în computerul bibliotecii Universității din Bremen, unde hackerul a primit privilegiile necesare și deja cu s-au îndreptat spre Laboratorul Naţional. E. Lawrence la Berkeley. [1] Primul log a fost înregistrat pe 27 iulie 1987, iar din 400 de calculatoare disponibile, a reușit să intre în aproximativ 30 și apoi să se obstrucționeze în liniște pe rețeaua închisă Milnet , folosind, în special, o capcană sub formă de un dosar numit Strategic Defense Initiative Network Project ( el era interesat de tot ce era legat de Strategic Defense Initiative a președintelui Reagan ) [1] . Un răspuns imediat la apariția amenințărilor externe ale rețelei a fost crearea de firewall -uri , ca primele sisteme de detectare și filtrare a amenințărilor.

Analiza programelor și fișierelor

Analizoare euristice Comportament Blocker

Odată cu apariția noilor tipuri de amenințări, blocantele comportamentale au fost amintite.

Prima generație de blocanți comportamentali a apărut la mijlocul anilor 1990. Principiul muncii lor - atunci când a fost detectată o acțiune potențial periculoasă, utilizatorul a fost întrebat dacă permite sau refuza acțiunea. Teoretic, blocantul este capabil să prevină răspândirea oricărui virus - atât cunoscut, cât și necunoscut . Principalul dezavantaj al primelor blocante comportamentale a fost un număr excesiv de solicitări către utilizator. Motivul pentru aceasta este incapacitatea unui blocant comportamental de a judeca nocivitatea unei acțiuni. Cu toate acestea, în programele scrise în VBA , este posibil să se facă distincția între acțiunile rău intenționate și cele benefice cu o probabilitate foarte mare.

A doua generație de blocanți comportamentali este diferită prin faptul că analizează nu acțiuni individuale, ci o secvență de acțiuni și, pe baza acesteia, fac o concluzie despre nocivitatea unui anumit software.

Testare din Analiza curentă

În 2003, Current Analysis, condusă de Mike Fratto, a invitat următorii furnizori să testeze produsele HIP: Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( parte a IBM ) și WatchGuard. Ca urmare, doar următoarele produse au fost testate în Laboratorul RealWorld al Universității Syracuse : PitBull LX și PitBull Protector de la Argus, Controlul accesului eTrust de la CA, Ediția Server Web Entercept, Neutralizer STAT de la Harris, StormWatch și StormFront de la Okena, ServerLock și AppLock de la Okena. /Paznic ceas web.

Pentru participanți au fost formulate următoarele cerințe:

Produsul ar trebui să permită gestionarea centralizată a politicii de securitate a gazdei, care limitează accesul aplicațiilor doar la acele resurse de sistem de care acestea (aplicațiile) au nevoie pentru a funcționa.
Produsul trebuie să poată crea o politică de acces pentru orice aplicație server.
Produsul trebuie să controleze accesul la sistemul de fișiere, porturile de rețea, porturile I/O și alte mijloace de comunicare OS cu resurse externe. În plus, un strat suplimentar de protecție ar trebui să ofere capacitatea de a bloca depășirile de buffer de stivă și heap .
Produsul trebuie să stabilească dependența accesului la resurse de numele utilizatorului (aplicație) sau de apartenența acestuia la un anumit grup.

După o lună și jumătate de testare, produsul StormWatch de la Okena (achiziționat ulterior de Cisco Systems , produsul a fost numit Cisco Security Agent) a câștigat. [2]

Dezvoltare ulterioară

În 2003, a fost publicat un raport Gartner , care a dovedit ineficiența generației IDS din acea vreme și a prezis dotarea lor inevitabil cu IPS. După aceea, dezvoltatorii IDS au început să-și combine adesea produsele cu IPS.

Metode de răspuns la atacuri

După atac

Metodele sunt implementate după ce a fost detectat un atac informațional. Aceasta înseamnă că, chiar dacă un atac este prevenit cu succes, sistemul protejat poate fi deteriorat.

Blocarea conexiunii

Dacă pentru atac este folosită o conexiune TCP , atunci aceasta este închisă prin trimiterea fiecăruia sau unuia dintre participanți a unui pachet TCP cu flag-ul RST setat. Drept urmare, atacatorul nu poate continua atacul folosind această conexiune de rețea. Această metodă este implementată cel mai adesea folosind senzori de rețea existenți.

Metoda are două dezavantaje principale:

Nu acceptă protocoale non-TCP care nu necesită o conexiune prestabilită (cum ar fi UDP și ICMP ).
Metoda poate fi folosită numai după ce atacatorul a obținut deja o conexiune neautorizată.

Blocarea înregistrărilor utilizatorilor

Dacă mai multe conturi de utilizator au fost compromise în urma unui atac sau s-au dovedit a fi sursele lor, atunci acestea sunt blocate de senzorii gazdă ai sistemului. Pentru a bloca senzorii trebuie rulat sub un cont cu drepturi de administrator.

De asemenea, blocarea poate avea loc pentru o perioadă specificată, care este determinată de setările Sistemului de prevenire a intruziunilor.

Blocarea gazdei unei rețele de computere

Dacă a fost detectat un atac de la una dintre gazde , atunci acesta poate fi blocat de senzorii gazdei sau interfețele de rețea pot fi blocate fie pe ea, fie pe routerul sau comutatorul cu care gazda este conectată la rețea. Deblocarea poate avea loc după o anumită perioadă de timp sau prin activarea administratorului de securitate. Blocarea nu este anulată din cauza unei reporniri sau a unei deconectări de la rețeaua gazdei. De asemenea, pentru a neutraliza atacul, puteți bloca ținta, gazda rețelei de calculatoare.

Blocarea unui atac cu un firewall

IPS generează și trimite noi configurații către firewall , prin care ecranul va filtra traficul de la intrus. O astfel de reconfigurare poate avea loc automat folosind standardele OPSEC (de exemplu SAMP , CPMI ). [3] [4]

Pentru firewall-urile care nu acceptă protocoale OPSEC, un modul adaptor poate fi utilizat pentru a interacționa cu sistemul de prevenire a intruziunilor:

care va primi comenzi pentru modificarea configurației ME.
care va edita configurația ME pentru a modifica parametrii acesteia.

Modificarea configurației echipamentelor de comunicație

Pentru protocolul SNMP , IPS analizează și modifică setările din baza de date MIB (cum ar fi tabelele de rutare , setările de porturi ) folosind un agent de dispozitiv pentru a bloca un atac. De asemenea, pot fi utilizate protocoale TFTP , Telnet etc.

Suprimarea sursei active

Metoda poate fi folosită teoretic dacă alte metode sunt inutile. IPS detectează și blochează pachetele intrusului și îi atacă nodul, cu condiția ca adresa acestuia să fie determinată în mod unic și ca urmare a unor astfel de acțiuni alte noduri legitime să nu fie afectate.

Această metodă este implementată în mai multe programe software necomerciale:

NetBuster împiedică un cal troian să se infiltreze în computer . De asemenea, poate fi folosit ca mijloc de „păcăli pe cel care încearcă-te-NetBus” („păcălește pe oricine încearcă să intre în tine cu un cal troian”). În acest caz, caută programe malware și determină cine l-a lansat pe computer și apoi returnează acest program destinatarului.
Tambu UDP Scrambler funcționează cu porturi UDP. Produsul nu numai că acționează ca un port UDP fals, ci poate fi folosit pentru a paraliza echipamentele hackerilor cu un mic program de inundare UDP.

Deoarece este imposibil să se garanteze îndeplinirea tuturor condițiilor, aplicarea largă a metodei în practică nu este încă posibilă.

La începutul atacului

Metodele implementează măsuri care previn atacurile detectate înainte ca acestea să atingă ținta.

Utilizarea senzorilor de rețea

Senzorii de rețea sunt instalați în golul canalului de comunicație, astfel încât să analizeze toate pachetele care trec. Pentru a face acest lucru, acestea sunt echipate cu două adaptoare de rețea care funcționează în „mod mixt”, pentru recepție și transmitere, scrierea tuturor pachetelor care trec în memoria tampon, de unde sunt citite de modulul de detectare a atacurilor IPS. Dacă este detectat un atac, aceste pachete pot fi eliminate. [5]

Analiza pachetelor se bazează pe semnătură sau metode comportamentale.

Utilizarea senzorilor gazdă

Atacurile de la distanță , implementate prin trimiterea unei serii de pachete de la un atacator. Protecția este implementată folosind componenta de rețea IPS, similară cu senzorii de rețea, dar spre deosebire de aceștia din urmă, componenta de rețea interceptează și analizează pachetele la diferite niveluri de interacțiune, ceea ce face posibilă prevenirea atacurilor asupra conexiunilor IPsec protejate prin cripto- și SSL / TLS . .
Atacurile locale în cazul lansării neautorizate de către un atacator a unor programe sau alte acțiuni care încalcă securitatea informațiilor . Interceptând apelurile de sistem ale tuturor aplicațiilor și analizându-le, senzorii blochează acele apeluri periculoase. [5]

Vezi și

Sisteme de detectare a intruziunilor (IDS)
Aplicarea IDS/IPS
IBM Security Network Protection
ro:Suricata (software)

Note

↑ 1 2 3 Markus Hess // Wikipedia, enciclopedia liberă.
↑ Caracteristici de prevenire - Nr. 39, 2003 | Computerworld Rusia | Editura „Sisteme deschise” . www.osp.ru Consultat la 30 noiembrie 2015. Arhivat din original pe 8 decembrie 2015. (nedefinit)
↑ Publicație pe internet despre tehnologii înalte . www.cnews.ru Consultat la 23 noiembrie 2015. Arhivat din original pe 24 noiembrie 2015. (nedefinit)
↑ Îmbunătățirea sistemului de securitate al întreprinderii bazat pe produsele CheckPoint Software Technologies . citforum.ru. Consultat la 23 noiembrie 2015. Arhivat din original pe 24 noiembrie 2015. (nedefinit)
↑ 1 2 Sisteme de prevenire a intruziunilor: următorul pas în evoluția IDS | Symantec Connect . www.symantec.com. Consultat la 30 noiembrie 2015. Arhivat din original pe 25 noiembrie 2015. (nedefinit)

Link -uri

V. A. Serdyuk. Nou în protecția împotriva piratarii sistemelor corporative. - Moscova: Technosphere, 2007. - 360 p. - ISBN 978-5-94836-133-8 .
L. Chernyak . Analiza semantică în serviciu, Sisteme deschise, nr. 10, 2010
Mike Fratto . Prezentare generală a soluțiilor HIP, 2003
A. Prohorov . Protejarea prezenței dvs. pe internet de viruși, ComputerPress 6'2005
Deborah Radcliff . Strike Back, Rețele/lumea rețelelor, nr. 09, 2000