2.4. Защита информационных систем
2.4. Защита информационных систем
Средства защиты в автоматизированных системах обработки данных:
1. Пароли.
2. Голос человека.
3. Отпечатки пальцев.
4. Геометрия рук.
5. Рисунок сетчатки глаза.
6. Личная подпись человека. Идентифицируемые характеристики – графика написания букв, динамика подписи, давление пишущего инструмента.
7. Фотография человека.
8. Персональные карточки, содержащие идентифицирующую информацию.
Защита компьютерных систем подразделяется на: законодательные (правовые), административные (организационные), процедурные и программно-технические.
К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation).
Осенью 2006 г. в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология – Практические правила управления информационной безопасностью», соответствующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информационной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней.
Административные меры защиты — меры организационного характера, регламентирующие процессы функционирования автоматизированных ИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
1. Подбор и подготовку персонала системы.
2. Организацию охраны и пропускного режима.
3. Организацию учета, хранения, использования и уничтожения документов и носителей с информацией.
4. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. д.).
В составе административных мер защиты важную роль играет формирование программы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Основой программы является политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:
1) какие данные и насколько серьезно необходимо защищать;
2) кто и какой ущерб может нанести организации в информационном аспекте;
3) основные риски и способы их уменьшения до приемлемой величины.
Политику безопасности условно делят на три уровня: верхний, средний и нижний.
К верхнему уровню относятся решения, затрагивающие организацию в целом (как правило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию).
К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т. д.).
Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации.
Меры процедурного уровня — отдельные мероприятия, выполняемые на протяжении всего жизненного цикла автоматизированных ИС. Они ориентированы на людей (а не на технические средства) и подразделяются на:
1) управление персоналом;
2) физическая защита;
3) поддержание работоспособности;
4) реагирование на нарушения режима безопасности;
5) планирование восстановительных работ. Программно-технические меры защиты основаны на использовании специальных аппаратных средств и программного обеспечения, входящих в состав автоматизированных ИС и выполняющих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т. д.
Парольная защита
Роль парольной защиты в обеспечении безопасности автоматизированных ИС. Криптографические методы, в частности шифрование, хорошо обеспечивают защиту информации (конфиденциальности, целостности, аутентичности и т. д.) от внешнего нарушителя. Такой нарушитель, возможно, может перехватывать сообщения, передающиеся по каналу связи, а в некоторых случаях модифицировать их и даже вставлять в сеанс связи собственные сообщения (зачастую стараясь выдать их за сообщения другого источника). Однако информация в канале связи предварительно подвергается криптографическим преобразованиям и передается в соответствии с криптографическими протоколами, специально разработанными для того, чтобы помешать нарушителю реализовать угрозы безопасности. Для того чтобы нарушить безопасность информации, циркулирующей в системе, ему необходимо найти уязвимость в системе защиты, либо в использованных в ней криптографических алгоритмах. Аналогичные трудности встают перед нарушителем, получившим доступ к защищенной автоматизированной ИС в качестве пользователя, не обладающего привилегиями, необходимыми для доступа к интересующим его данным.
Однако ситуация меняется, если нарушитель получает доступ в систему от имени пользователя, уполномоченного выполнять операции с интересующими его данными (например, копирование конфиденциальных файлов, уничтожение критически важных данных и т. д.). В этом случае вся криптографическая защита оказывается бесполезной. Таким образом – самое уязвимое место автоматизированной информационной системы – точки доступа к ней. Эти точки доступа защищаются протоколами аутентификации (проверки подлинности пользователя). А самая удобная для пользователя и наиболее используемая форма аутентификации – парольная защита.
Существует ряд стандартных приемов, применяемых злоумышленниками с целью обойти парольную защиту. Для каждого из этих приемов выработан механизм противодействия.
Способы атаки на пароль. обеспечение безопасности пароля.
Существуют следующие приемы обхода парольной защиты и методы противодействия им.
1. Полный перебор (метод грубой силы, bruteforce). Самая простая (с технической точки зрения) атака на пароль – перебор всех комбинаций допустимых символов (начиная от односимвольных паролей). Современные вычислительные мощности позволяют перебрать все пароли длиной до пяти-шести символов за несколько секунд.
Некоторые системы не позволяют реализовать атаки, основанные на переборе, поскольку реагируют на несколько попыток неправильно набранного пароля подряд.
Однако существует множество систем, позволяющих бесконечный перебор. Например, к защищенному паролем файлу (архив rar или zip, документ Microsoft Office и т. д.) можно пробовать разные пароли бесконечно. Существует множество программ, которые позволяют автоматизировать эту процедуру: Advan ced RAR Password Recovery, Advan ced PDF Password Recovery, Advan ced Office XP Password Recovery. Кроме того, многие программы хранят хэш пароля в доступном файле. Например, клиент для работы с электронной почтой (работающий на общедоступном компьютере) может хранить пароли пользователей. Существуют способы похитить файл, содержащий хэши паролей доступа к операционной системе. После этого можно заниматься подбором паролей уже в обход системы, с помощью специальных программ.
Важной характеристикой пароля, затрудняющей полный перебор, является его длина. Современный пароль должен иметь длину не менее 12 символов.
Два лишних символа в пароле увеличивают время перебора в 40 000 раз, а четыре символа – уже в 1 600 000 000 раз. Однако вычислительные мощности компьютеров постоянно растут (еще несколько лет назад безопасным считался пароль длиной 8 символов).
2. Перебор в ограниченном диапазоне. Известно, что многие пользователи, составляя пароль, используют символы, находящиеся в определенном диапазоне. Например, пароль, состоящий только из русских букв или только из латинских букв или только из цифр. Такой пароль значительно легче запомнить, однако задача противника, осуществляющего перебор, неимоверно упрощается.
Пусть N = 70 – количество символов, из которых можно составить пароль, причем 10 из них – цифры, 30 – буквы одного языка и 30 – буквы другого языка. Пусть мы составляем пароль длиной m = 4 символа.
Если пароль составляется абсолютно случайно, то количество возможных комбинаций (которые необходимо перебрать) составляет 704 = 24 010 000. Однако противник может сделать предположение, что пароль состоит из символов одного диапазона (пусть даже, неизвестно, какого). Всего таких паролей 104 + 304 + 304 = 10 000 + 810 000 + 810 000 = = 163 000. Если он оказался прав, то количество комбинаций (а следовательно, время, которое необходимо затратить на перебор) уменьшилось в 147 раз. Это число резко возрастает, когда увеличивается длина пароля и число диапазонов символов, из которых он может быть составлен.
Как следствие, надежный пароль должен содержать в себе символы из различных диапазонов. Рекомендуется использовать русские и английские, прописные и строчные буквы, цифры, а также прочие символы (знаки препинания, подчеркивание и т. д.).
3. Атака по словарю. В качестве пароля очень часто выбирается какое-то слово. Программа автоматического перебора паролей проверяет слова, содержащиеся в заданном файле со словарем (существует огромное количество доступных словарей такого рода для разных языков). Словарь из двухсот тысяч слов проверяется такой программой за несколько секунд.
Многие пользователи считают, что если применить к задуманному слову некоторое простое преобразование, например, написать его задом наперед или русскими буквами в английской раскладке или намеренно сделать ошибку, то это обеспечит безопасность. На самом деле, по сравнению с подбором случайного пароля подбор пароля по словарю с применением различных преобразований (сделать первую букву заглавной, сделать все буквы заглавными, объединить два слова и т. д.) делает невыполнимую задачу вполне возможной.
Надежный пароль не должен строиться на основе слов естественного языка.
4. Атака по персональному словарю. Если атака по словарю и перебор паролей небольшой длины либо составленных из символов одной группы не помогает, злоумышленник может воспользоваться тем фактом, что для облегчения запоминания многие пользователи выбирают в качестве пароля личные данные (номер сотового телефона, дату рождения, записанную наоборот, кличку собаки и т. д.).
В том случае, если цель злоумышленника – обойти парольную защиту именно этого пользователя, он может составить для него персональный словарь личных данных, после чего использовать программу автоматического перебора паролей, которая будет генерировать пароли на основе этого словаря.
Надежный пароль должен быть полностью бессмысленным.
5. Сбор паролей, хранящихся в общедоступных местах. Во многих организациях пароли создает и распределяет системный администратор, который использует приведенные выше правила. Пользователи обязаны пользоваться выданным им паролем. Однако, поскольку этот пароль сложно запомнить, он часто хранится под рукой в записанном виде. Нередки случаи, когда пароль записывается на стикер и приклеивается к монитору, либо содержится в записной книжке.
Пользователи зачастую несерьезно относятся к вопросам обеспечения безопасности своего служебного пароля. Между тем, проникнуть в помещение организации и провести визуальный осмотр – достаточно простая задача для злоумышленника.
Пароль не должен храниться в общедоступном месте. Идеальный вариант – запомнить его и не хранить нигде. Если пароль содержится в записной книжке, она не должна оставляться без присмотра, а при вводе пароля не должно присутствовать посторонних, которые могут заглянуть в книжку через плечо.
6. Социальный инжиниринг. Социальный инжиниринг – манипулирование людьми с целью проникновения в защищенные системы пользователя или организации. Если подобрать или украсть пароль не удается, можно попытаться обманом заставить пользователя отдать пароль самому. Классическая тактика социального инжиниринга – телефонный звонок жертве от имени того, кто имеет право знать запрашиваемую информацию. Например, злоумышленник может представиться системным администратором и попросить сообщить пароль (или другие сведения) под убедительным предлогом. Склонение пользователя к открытию ссылки или вложения, которые открывать не следует или заманивание его на подставной сайт также относят к методам социального инжиниринга.
Необходимо помнить правило: сообщать пароль посторонним лицам ни в коем случае нельзя. Даже если эти лица имеют право его знать. Единственным исключением может являться требование суда или правоохранительных органов выдать пароль под угрозой ответственности за отказ от дачи показаний. Но и в этом случае необходимо убедиться, что сотрудники правоохранительных органов – именно те, за кого они себя выдают.
7. Фишинг. Фишинг – это процедура «выуживания» паролей случайных пользователей Интернета. Обычно заключается в создании «подставных» сайтов, которые обманом вынуждают пользователя ввести свой пароль.
Например, чтобы получить пароль к банковскому счету, может быть создан сайт с дизайном, идентичным сайту некоторого банка. Адрес этого сайта, естественно, будет другим, но чаще всего злоумышленник регистрирует доменное имя, отличающееся от банковского на один символ. В результате пользователь, сделав опечатку, попадет на подставной сайт и не заметит своей ошибки. Для заманивания пользователей клиентам банка могут также рассылаться электронные письма с содержанием типа «проверьте свой счет» или «ознакомьтесь с новыми акциями», причем в письме содержится ссылка, ведущая на подставной сайт.
Когда клиенты банка попадают на сайт злоумышленника, им (как и на настоящем сайте) предлагается ввести логин и пароль для доступа к счету. Эта информация сохраняется в базе данных злоумышленника, после чего клиент перенаправляется на главную страницу настоящего сайта. Пользователь видит, что ввод пароля «не сработал» и думает, что совершил ошибку или сайт просто «глючит». Он пробует ввести пароль заново и на этот раз успешно входит в систему. Это рассеивает его подозрения. Между тем утечка пароля уже произошла.
Другая разновидность фишинга основана на том факте, что многие пользователи используют один и тот же пароль для разных ресурсов. В результате, произведя успешную атаку на менее защищенный ресурс, можно получить доступ к более защищенному.
Например, создается сайт, потенциально интересный некоторому кругу пользователей. Если цель атаки – конкретный человек, то предварительно изучаются его интересы и увлечения. Информация об этом сайте доносится до потенциальных жертв. Пользователю, зашедшему на сайт, предлагается зарегистрироваться, в частности придумать себе пароль. Теперь остается только посмотреть, не подходит ли введенный пароль к другим ресурсам этого пользователя (например, к электронной почте, адрес которой был указан при регистрации).
Чтобы противостоять угрозе фишинга, необходимо внимательно проверять адрес сайта, прежде чем вводить важный пароль. Лучше всего поместить этот адрес в закладки браузера и пользоваться исключительно этими закладками, ни в коем случае не переходя по ссылкам из электронных писем. Следует пользоваться разными паролями для доступа к разным сервисам.
Соблюдение всех семи перечисленных выше рекомендаций достаточно сложно. Трудно запомнить несколько надежных (длинных и бессмысленных) паролей, а вероятность забыть пароль выше вероятности подвергнуться взлому. Однако существует ряд средств, облегчающих эту задачу, в частности программы для хранения паролей.
В программе KeePass Portable все пароли хранятся в зашифрованном файле, для доступа к которому необходимо ввести пароль (единственный, который придется по-настоящему запомнить). При этом программа не отображает эти пароли на экране в явном виде. Чтобы ввести пароль для доступа к ресурсу (например, определенному сайту или электронной почте), необходимо выбрать ресурс из списка и выбрать в контекстном меню команду Copy Password To Clipboard. Пароль будет помещен в буфер обмена. Даже внимательно отслеживая действия пользователя, противник не увидит пароля, который не набирается на клавиатуре и не появляется в явном виде на экране. Далее необходимо просто перейти в окно программы, требующей пароль, и поместить его из буфера обмена в поле для ввода (нажатием Ctrl + V или командой Вставить контекстного меню). Пароль сразу будет отображаться в виде звездочек. Спустя несколько секунд он будет автоматически удален из буфера. Программа позволяет также генерировать случайные пароли заданной длины, причем пользователь может даже не знать, какой пароль создала ему программа – важно, чтобы она предоставляла этот пароль каждый раз, когда необходимо авторизоваться. Наконец, KeePass Portable не требует установки в системе: программа может переноситься на флешносителе и запускаться непосредственно с него.
Средства защиты сети
Если локальная сеть организации или персональный компьютер пользователя имеют выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проникновения в систему извне (используя подобранный или украденный пароль, уязвимости программного обеспечения и т. д.), перехват и подмена данных, передаваемых в сеть или получаемых из сети – это перечень наиболее распространенных угроз.
Существует ряд средств, методов и технологий защиты информации, учитывающих специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений.
Межсетевые экраны
Межсетевой экран (брандмауэр, файрвол) – комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер – это программа или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например,
Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT – Network Address Translation). Когда какой-то узел внутренней сети хочет передавать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).
Существует ряд классификаций межсетевых экранов по различным критериям:
1. В зависимости от охвата контролируемых потоков данных.
• Традиционный межсетевой экран – программа, установленная на шлюзе (сервере переедающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Основная задача такого брандмауэра – предотвращение несанкционированного доступа во внутреннюю сеть организации.
• Персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
• Работающие на сетевом уровне – фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором.
• Работающие на сеансовом уровне – отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP. Такие пакеты часто используются в злонамеренных операциях: сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т. д.
• Работающие на уровне приложений – фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Передача потенциально опасной и нежелательной информации блокируется на основании политик и настроек.
3. В зависимости от отслеживания активных соединений.
• Stateless (простая фильтрация) – не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил.
• Stateful (фильтрация с учетом контекста) – отслеживают текущие соединения и пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.
Популярные брандмауэры, реализованные в виде прикладных программ.
1. Outpost Firewall Pro. Персональный брандмауэр, обладает следующими функциональными возможностями:
• предотвращение несанкционированного доступа к данным;
• сокрытие присутствия защищаемой системы в сети (таким образом она делается «невидимой» для взломщиков);
• анализ входящих почтовых сообщений и блокировка потенциально опасных;
• мониторинг и анализ сетевой активности системы;
• блокировка доступа к «запрещенным» сайтам.
2. Zone Alarm Pro. Брандмауэр с гибко настраиваемыми функциональными возможностями, включающими:
• фильтр приложений, позволяющий устанавливать права для каждой программы, используемой в сети;
• поддержку цифровой подписи;
• подробный лог-файл событий и средства для его анализа, с последующей выдачей текстовых и графических отчетов;
• настраиваемый контроль cookies;
• механизм мгновенной автоматической или ручной блокировки доступа приложений к Интернет;
• автоматическую проверку вложений электронной почты.
Виртуальные частные сети (VPN)
Виртуальная частная сеть (VPN) – логическая сеть, создаваемая поверх другой сети, чаще всего Интернет. Все данные, передающиеся между узлами этой сети, шифруются. Поэтому, хотя физически данные передаются по публичным сетям с использованием небезопасных протоколов, по сути, VPN представляет собой закрытые от посторонних каналы обмена информацией.
Канал между двумя узлами, защищенный за счет шифрования проходящего по нему трафика, называется туннелем.
Выделяют два основных класса VPN:
1. Защищенные. Наиболее распространенный вариант. C его помощью на основе ненадежной сети (как правило, Интернета) создается надежная и защищенная подсеть. Примером защищенных VPN являются: IPSec, OpeN VPN и PPTP (протокол тунеллирования от точки к точке).
2. Доверительные. Используются для создания виртуальной подсети в рамках другой, надежной и защищенной сети, т. е. задача обеспечения безопасности информации не ставится. К доверительным VPN относятся протоколы MPLS и L2TP.
По архитектуре технического решения выделяют следующие классы VPN:
1. Внутрикорпоративные. Предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными связями, включая выделенные линии.
2. VPN с удаленным доступом. Предназначены для обеспечения защищенного удаленного доступа мобильных или удаленных сотрудников компаний к корпоративным информационным ресурсам.
3. Межкорпоративные (extran et VPN). Обеспечивают прямой защищенный доступ из сети одной компании к сети другой компании (партнера, клиента и т. д.).
По способу технической реализации различают VPN на основе маршрутизаторов (задача шифрования трафика ложится на маршрутизаторы, через которые проходит вся исходящая из локальных сетей информация), на основе межсетевых экранов, на основе программного обеспечения и на основе специализированных аппаратных средств.
Рассмотрим набор протоколов IPSec, предназначенный для обеспечения защиты данных, передаваемых по протоколу IP. Он позволяет осуществлять подтверждение подлинности и шифрование IP-пакетов, а также включает протоколы для защищенного обмена ключами через Интернет.
Протоколы IPsec работают на сетевом уровне модели OSI. Они подразделяются на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов (ESP, AH), и протоколы обмена ключами (IKE). Протоколы защиты передаваемого потока могут работать в двух режимах – в транспортном режиме и в режиме туннелирования. В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета, а заголовок не затрагивается (поэтому процедура маршрутизации не изменяется). В туннельном режиме IP-пакет шифруется целиком. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. Именно этот режим используется для организации виртуальной частной сети.
Режим IPSec-тунеллирования работает следующим образом:
1. IP-пакет посылается на отправляющее IPSec-устройство (межсетевой экран или маршрутизатор), где он должен быть зашифрован и направлен в конечную систему по локальной сети.
2. Отправляющее IPSec-устройство проводит аутентификацию принимающего устройства.
3. Два IPSec-устройства «договариваются» о шифре и алгоритме аутентификации, которыми будут пользоваться.
4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает его в другой пакет с AH (аутентифицирующим заголовком).
5. Пакет пересылается по сети (по протоколам TCP/IP).
6. Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и извлекает зашифрованное вложение для расшифровки.
7. Принимающее устройство отправляет исходный пакет в пункт его назначения.
Системы обнаружения вторжений (IDS)
Система обнаружения вторжений (Intrusion Detection System – IDS) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими (в основном через Интернет).
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, нарушающие безопасность системы или сети. К ним относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (вирусов, «троянских коней»).
Структурно IDS состоит из следующих компонентов: 1. Сенсорная подсистема отслеживает события, которые могут затрагивать безопасность защищаемой системы.
2. Подсистема анализа выявляет среди этих событий те, которые представляют угрозу или нарушения безопасности (атаки, подозрительные действия). В пассивных IDS при обнаружении такого события информация о нем помещается в хранилище, после чего сигнал опасности по определенному каналу направляется администратору системы. Активные IDS (системы предотвращения вторжений) могут также предпринять ответные действия (например, прервать соединение или автоматически настроить межсетевой экран для блокирования трафика от злоумышленника).
3. Хранилище обеспечивает накопление и хранение данных сенсорной подсистемы и результатов их анализа.
4. Консоль управления используется для настройки IDS, наблюдения за состоянием защищаемой системы, просмотра выявленных подсистемой анализа инцидентов.
Разновидности современных систем обнаружения вторжений.
1. Системы обнаружения вторжений, защищающие сегмент сети. Развертываются на специализированном сервере, на котором не работают никакие другие приложения. Поэтому сервер может быть особенно надежно защищен от нападения. Кроме того, этот сервер может быть сделан «невидимым» для нападающего. Для защиты сети устанавливаются несколько таких серверов, которые анализируют сетевой трафик в различных сегментах сети. Несколько удачно расположенных систем могут контролировать большую сеть.
К недостаткам таких систем относят проблемы распознавания нападений в момент высокой загрузки сети, и неспособность анализировать степень проникновения. Система просто сообщает об инициированном нападении.
2. Системы обнаружения вторжений, защищающие отдельный сервер. Собирают и анализируют информацию о процессах, происходящих на конкретном сервере. Благодаря узкой направленности, могут проводить высоко детализированный анализ и точно определять, кто из пользователей выполняет злонамеренные действия. Некоторые IDS этого класса могут управлять группой серверов, подготавливая централизованные обобщающие отчеты о возможных нападениях. В отличие от предыдущих систем могут работать даже в сети, использующей шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю. Однако системы этого класса не способны контролировать ситуацию во всей сети, так как видят только пакеты, получаемые «своим» сервером. Снижается эффективность работы сервера вследствие использования его вычислительных ресурсов.
3. Системы обнаружения вторжений на основе защиты приложений. Контролируют события, проявляющиеся в пределах отдельного приложения. Знания о приложении, а также возможность анализировать его системный журнал и взаимодействовать с ним посредством API, позволяет таким системам контролировать деятельность пользователей, работающих с данным приложением, с очень высокой степенью детализации.
Аналогично антивирусным программам системы обнаружения вторжений используют два основных подхода к методам обнаружения подозрительной активности.
1. Подход на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающему известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах. Однако такая система обнаружения вторжений не может бороться с новыми видами нападений, а также с видоизмененными вариантами традиционных нападений, сигнатура которых незначительно отличается от имеющейся в базе.
2. Система обнаружения вторжений на основе аномалий обнаруживают нападения, идентифицируя необычное поведение на сервере или в сети. Они способны обнаруживать нападения, заранее не запрограммированные в них, но производят большое количество ложных срабатываний.
Данный текст является ознакомительным фрагментом.