Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 13:

Обнаружение вторжений

Управление IDS

Концепция обнаружения вторжений - уже не новинка в области информационной безопасности. Тем не менее, до недавнего времени дела обстояли несколько иначе, пока на коммерческом рынке не появились системы IDS. На момент написания этой книги различные производители предлагали свои сетевые и узловые системы IDS. Также существует ряд бесплатных систем обнаружения вторжений.

Перед принятием в организации решения об использовании IDS (будь то коммерческая система или некоммерческая) руководство организации должно четко определить цели применения программы. Правильная настройка и управление IDS требует больших усилий, и эти усилия следует как можно более эффективно использовать для обнаружения атак (посредством реализации хорошей программы по обеспечению безопасности).

С учетом сказанного выше, если принято решение о применении IDS, то для успешной реализации программы необходимо обеспечить наличие всех нужных ресурсов. Если цели программы IDS включают возможность мониторинга в круглосуточном и ежедневном мониторинге атак, сотрудникам организации понадобится быть "наготове" круглые сутки семь дней в неделю. В то же время системным администраторам потребуется работать с сотрудниками, ответственными за безопасность, для определения успешного или безуспешного проведения атаки и, в случае успешной атаки, для определения метода обработки инцидента. В идеальном случае процедура по обработке инцидента должна быть создана и протестирована перед применением системы IDS.

О чем может сообщить система IDS

Система обнаружения вторжений может только выдавать отчеты о тех событиях, на обнаружение которых она настроена. Конфигурация IDS состоит из двух компонентов. Первым из них являются признаки атак, запрограммированные в системе. Второй компонент - любые дополнительные, определенные администратором, события, также представляющие интерес. Среди этих событий могут быть определенные типы трафика или сообщений журнала.

Посредством включения в конечный продукт признаков атак поставщик или разработчик системы по-своему интерпретирует уровень важности указанных событий. Степень важности, присваиваемая определенным событиям в той или иной организации, может быть совершенно иной, нежели та, которую предусмотрел разработчик. Может понадобиться изменить параметры по умолчанию для некоторых признаков или просто отключить признаки, не применимые к организации.

Примечание

Следует иметь в виду, что система IDS будет выдавать предупреждения только о тех событиях, которые она обнаружит. Если на системе, отслеживаемой датчиком HIDS, не заносятся в журнал определенные события, то датчик HIDS не будет их распознавать. Аналогично, если датчик NIDS не может "видеть" определенный трафик, он не выдаст предупреждение даже в том случае, если событие произойдет.

С условием правильной конфигурации IDS можно привести четыре типа событий, о которых будет сообщать система IDS.

  • События исследования.
  • Атаки.
  • Нарушения политики.
  • Подозрительные или необъяснимые события.

Большая часть времени будет уделяться исследованию подозрительных событий.

События исследования

События исследования представляют собой попытки атакующего собрать данные о системе перед непосредственным проведением атаки. Эти события можно разделить на пять категорий.

  • "Скрытое" сканирование.
  • Сканирование портов.
  • Сканирование "троянских коней".
  • Сканирование уязвимостей.
  • Отслеживание файлов.

Большая часть этих событий происходит в сети, в основном, они исходят из интернета и направлены на системы с внешними адресами.

События исследования являют собой попытки сбора информации о системах. Они не являются событиями, воздействующими на систему. Некоторые коммерческие IDS воспринимают события исследования как события высокого приоритета. С учетом того, что эти события не наносят ущерба системе, такой подход можно счесть неразумным.

Примечание

Источником подобного трафика может быть и другая система-жертва, захваченная злоумышленником, поэтому данную информацию следует сообщать системным администраторам этого узла.

Скрытое сканирование. Скрытое сканирование - это попытки идентификации систем, присутствующих в сети, с целью предотвратить обнаружение системы, с которой будет проводиться атака. Этот тип сканирования будет определяться датчиками NIDS как половинчатое сканирование IP или скрытое сканирование IP, и, как правило, такое сканирование направлено на большое число IP-адресов. Ответной реакцией является идентификация источника и информирование владельца системы-источника о том, что его система, скорее всего, подверглась воздействию злоумышленника.

Сканирование портов. Сканирование портов используется для определения служб, работающих на системах сети. Системы обнаружения вторжений выявляют сканирование портов в случае, когда определенное число портов (соответствующее пороговому значению) на одной системе открывается в течение небольшого промежутка времени. Датчики NIDS и некоторые датчики HIDS обеспечивают идентификацию данного типа сканирования и составляют соответствующие отчеты. Ответные действия на сканирование данного типа идентичны ответным действиям на скрытое сканирование.

Сканирование "троянских коней". Существует множество вредоносных программ типа "троянский конь". Датчики NIDS содержат признаки, определяющие многие из этих программ. К сожалению, трафик, направленный на "троянские" программы, как правило, определяется конечным портом пакета. Это обстоятельство вызывает большое число ложных срабатываний системы обнаружения вторжений. В случае возникновения события "Trojan" следует проверять исходный порт трафика. К примеру, трафик, исходящий с порта 80, как правило, поступает с веб-сайта.

Одним из наиболее распространенных типов "троянского" сканирования является сканирование BackOrifice. Программа BackOrifice использует порт 31337, и очень часто злоумышленники осуществляют сканирование диапазона адресов для этого порта. Консоль BackOrifice также содержит функцию "ping host" (отправка пинг-запросов на узлы), которая осуществляет сканирование автоматически. Беспокоиться не о чем, пока не будет зафиксирован исходящий трафик с внутренней системы. Опять-таки, в данном случае нужно связаться с владельцем системы-источника, так как она, вероятно, подверглась воздействию злоумышленника.

Сканирование уязвимостей. Сканирование уязвимостей распознается системой IDS при обнаружении большого набора различных признаков атак. Как правило, такое сканирование направлено на несколько систем. Редки случаи, когда сканирование уязвимостей производится по отношению к диапазону адресов без активных систем.

Сканирование уязвимостей, осуществляемое хакерами, невозможно отличить от сканирования уязвимостей, проводимого компаниями, которые проверяют уровень защищенности информационных систем (во многих случаях в этих компаниях используются те же самые средства!). Так или иначе, само по себе сканирование не причиняет системе какого-либо вреда, однако если атакующий выполнил сканирование, в результате которого выявились системы с уязвимостями к атаке, ему после этого становится известно, какие системы можно атаковать. Для обеспечения соответствия компьютерных систем актуальным проблемам безопасности следует контактировать с владельцем системы-источника и проверять внутренние системы организации на наличие самых последних надстроек безопасности и обновлений.

Совет

Как правило, сложно отличить сканирование уязвимостей от атаки, так как IDS в обоих случаях инициирует одни и те же события. Разница здесь заключается в количестве событий. Сканирование уязвимостей, как правило, сопровождается большим числом различных событий за очень малый отрезок времени, в то время как при проведении атак происходят события одного типа.

Отслеживание файлов. Отслеживание файлов или проверка файловых разрешений, как правило, осуществляется внутренним пользователем. Пользователь пытается определить, к каким файлам можно осуществить доступ и что эти файлы могут содержать. Данный тип разведки распознается только датчиком HIDS и только в том случае, если в системе ведется журнал попыток несанкционированного доступа. Отдельные события подобного рода, как правило, представляют собой невинные ошибки, однако если прослеживается определенная схема, то следует связаться с пользователем и выяснить, что же произошло.

Нияз Сабиров
Нияз Сабиров
Стоимость "обучения"
Елена Сапегова
Елена Сапегова
диплом
Марина Дайнеко
Марина Дайнеко
Россия, Moscow, Nope, 2008
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989