Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 13:

Обнаружение вторжений

Установка IDS

Чтобы использовать IDS по максимуму, необходимо провести большой объем процедур планирования перед непосредственной установкой устройства. Перед созданием соответствующей политики нужно осуществить сбор необходимой информации, провести анализ сети и реализовать задачи по управлению. Как в большинстве комплексных систем, политику необходимо создать, утвердить и протестировать перед применением. При создании политики IDS необходимо выполнить следующие шаги:

  1. Определить цели создания IDS.
  2. Выбрать объекты мониторинга.
  3. Выбрать ответные действия.
  4. Установить пороги.
  5. Применить политику.

Определение целей применения IDS

Цели использования IDS определяют требования для политики IDS. Потенциально целями применения IDS являются следующие.

  • Обнаружение атак.
  • Предотвращение атак.
  • Обнаружение нарушений политики.
  • Принуждение к использованию политик.
  • Принуждение к следованию политикам соединений.
  • Сбор доказательств.

Имейте в виду, что цели использования устройства могут комбинироваться, и конкретные цели применения любой IDS зависят от организации. Набор целей ни в коем случае не ограничивается этим списком. IDS позволяет организации обнаруживать начало проведения атаки и осуществлять сбор доказательств или предотвращение дополнительного повреждения посредством устранения аварийных ситуаций. Разумеется, это не единственная цель, для достижения которой применяется IDS. Так как IDS осуществляет сбор детализованной информации по многим событиям, происходящим в сети и на компьютерах организации, она также может идентифицировать действия, нарушающие политику, и реальный уровень использования сетевых ресурсов.

Распознавание атак

Распознавание атак является одной из главных целей использования IDS. Система IDS запрограммирована на поиск определенных типов событий, которые служат признаками атак. В качестве простого примера приведем соединение через TCP-порт 80 (HTTP), за которым следует URL, содержащий расширение .bat. Это может быть признаком того, что злоумышленник пытается использовать уязвимость на веб-сервере IIS.

Большую часть атак идентифицировать не просто. Например, до сих пор в интернете широко распространены атаки с угадыванием пароля. Система HIDS может содержать правило, согласно которому после трех неудачных попыток входа через короткие промежутки времени вход в данную учетную запись блокируется. Для этого HIDS должна отслеживать время и число неудачных попыток входа на каждой учетной записи, фиксируемой в журнале, и сбрасывать счетчик в случае успешного входа или истечения времени.

Еще более сложным примером распознавания атак является ситуация, когда злоумышленник пытается угадать пароли на нескольких учетных записях и системах. В данном случае атакующий не будет пробовать войти в одну и ту же учетную запись дважды за короткий промежуток времени, а попытается использовать этот пароль в каждой учетной записи. Если время каждой попытки достаточно велико, счетчики на отдельных учетных записях будут сбрасываться, перед тем как злоумышленник трижды осуществит неудачный вход в систему с использованием данной учетной записи. Единственным способом выявить такую атаку является сопоставление информации из журналов различных систем. Такой анализ осуществляет система HIDS, способная сопоставлять информацию с нескольких компьютеров.

Мониторинг политики

Мониторинг политики - это менее заметный аспект деятельности по обнаружению атак. Целью системы IDS, настроенной на отслеживание политики, является отслеживание выполнения или невыполнения политики организации. В самом простом случае NIDS можно настроить на отслеживание всего веб-трафика вне сети. Такая конфигурация позволяет отслеживать любое несоответствие политикам использования интернета. Если в системе сконфигурирован список веб-сайтов, не отвечающий веб-стандартам корпоративного использования, NIDS зафиксирует любые подключения к таким сайтам.

Система NIDS также проверяет соответствие конфигурациям маршрутизатора или межсетевого экрана. В этом случае NIDS настраивается на отслеживание трафика, который не должен проходить через маршрутизатор или межсетевой экран. При обнаружении такого трафика определяется нарушение корпоративной политики межсетевых экранов.

Внимание!

Использование IDS для мониторинга политики может занять очень много времени и потребовать большого количества действий по конфигурированию.

Принуждение к использованию политики

Применение системы IDS в качестве средства принудительного использования политики выводит конфигурацию мониторинга политики на более высокий уровень. При отслеживании политики IDS настраивается на выполнение действий при нарушении политики. В первом примере в разделе "Мониторинг политики" IDS с принуждением к использованию политики не только определит попытку соединения с недоступным веб-сайтом, но и предпримет меры по предотвращению этого действия.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Евгений Рогонков
Евгений Рогонков
Россия, Гремячево, Гремячевская СОШ, 2008