![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Средства обнаружения сетевых атак
Повысить уровень защищенности корпоративной сети можно с помощью средств обнаружения вторжений (Intrusion Detection). -Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные). -Средства обнаружения вторжений могут также использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне. -Средства обнаружения вторжений автоматизируют такие необходимые элементы деятельности администратора системы безопасности, как: -регулярный анализ событий, связанных с доступом к ресурсам, по данным журналов аудита; -выявление атак и подозрительной активности; -выполнение ответных действий - реконфигурация средств защиты (межсетевых экранов, настроек операционных систем и т.п.) для пресечения подобных атак в будущем. - Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта (например, подсистему самообучения). База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак и постоянно пополняться. - Средства обнаружения вторжений могут обнаружить атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника. - Средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика с помощью VPN и т.п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой. - Еще одним важным требованием к средствам обнаружения вторжений является их масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в корпоративной сети. Пример средства обнаружения атак. Система обнаружения атак RealSecure ™ разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. - Имеет интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы корпоративной сети. - Система построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) и ориентирована на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host- based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut. - Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. - Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи. Компоненты системы RealSecure: - RealSecure Detector - отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем " прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле. - Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). Возможности системы RealSecure: -большое число распознаваемых атак; -задание шаблонов фильтрации трафика; -централизованное управление модулями слежения; -фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; -фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; -различные варианты реагирования на атаки; -аварийное завершение соединения с атакующим узлом; -управление межсетевыми экранами и маршрутизаторами; -задание сценариев по обработке атак; -генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r); -запись атаки для дальнейшего воспроизведения и анализа; -поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring; -отсутствие требования использования специального аппаратного обеспечения; -работа с различными Cryptographic Service Provider; -установление защищенного соединения между компонентами системами, а также другими устройствами; -наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; -отсутствие снижения производительности сети; -работа с одним модулем слежения с нескольких консолей управления; -мощная система генерация отчетов; -использование протокола ODBC; -простота использования и интуитивно понятный графический интерфейс; -невысокие системные требования к программному и аппаратному обеспечению. Система RealSecure™ позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Основные типы контролируемых событий: - " Отказ в обслуживании" (Denial of service) - любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п. - " Неавторизованный доступ" (Unauthorized access attempt) - любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п. - " Предварительные действия перед атакой" (Pre-attack probe) - любое действие или последовательность действий по получению информации из или о сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п. - " Подозрительная активность" (Suspicious activity) - сетевой трафик, выходящий за рамки определения " стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п. - " Анализ протокола" (Protocol decode) - сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
|