Обнаружение и предотвращение вторжений в компьютерные сети. Системы обнаружения и предотвращения вторжения

Привет, друзья!

Написал недавно небольшую статью про то, как можно получить . В комментариях сразу последовали ответы читателей, которые пользуются бесплатными антивирусами и в ус не дуют: –) Если бы не моя не в меру любопытная дочь, то я бы тоже пользовался антивирусами с лицензией free.

Но, к сожалению, ни один из них не предоставляет на бесплатной основе функции родительского контроля. Точнее 3 года назад не нашел такого решения. Как теперь дела обстоят на бесплатном фронте – не знаю. Именно поэтому я использую Kaspersky Internet Security (далее по тексту KIS). В этой программе есть отличный родительский контроль с достаточно гибкими настройками.

Да, и эту статью буду давать моим клиентам в качестве инструкции. Помните, я обещал сделать в ? Но уверен, что эта статья пригодится не только моим клиентам, но и всем, кто хочет сделать работу своего ребенка за компьютером более безопасной и контролируемой.

1. Но с начала хочу уточнить, что понимаю под термином “Родительский контроль”

1. Ограничить ребенка от нежелательных сайтов. Понятно, что не хочу, чтобы моя дочь по ссылке попала на ресурс, который ей рано видеть в силу ее юного возраста. К сожалению, Интернет просто перенасыщен сайтами для взрослых.

2. Ограничить время работы за компьютером. То есть она может поработать в своей учетной записи только по расписанию. Да, именно так. Если не ограничить это время, то она будет сидеть за компом постоянно!

3. Ограничить время доступа в Интернет по-расписанию. Есть и такая потребность. Иначе, когда компьютер реально нужен для домашнего задания, может быть использовано для посиделок на детских сайтах с играми.

4. Ограничить запуск некоторых программ. Например, игр. Да, некоторые игры слишком жестоки. Но, забегу вперед, не пользуюсь этой функцией, так как у нее и нет потребности молотить монстров из плазменной пушки: –)

Вроде все, что хотел получить в свое время.

Нужно отметить, что В Windows 7 уже встроен “Родительский контроль”, но очень уж он урезанный. Не то, что нужно одним словом. Посмотрите и поймете, что возможностей там очень мало.

2. Устанавливаем KIS и создаем учётную запись пользователя с ограниченными правами.

1. Первое, что нужно сделать – это установить KIS на свой компьютер. Нужно понимать, что это платная программа и стоит на данный момент 1600 рублей с лицензией на два компьютера. Но есть бесплатная версия на месяц. Добыть ее можно здесь:

Напомню, что вы можете получить бесплатную версию Антивируса Касперского сроком на полгода. Как это можно сделать, рассказал вот в этой

2. Устанавливаем KIS, предварительно удалив прежнюю версию антивируса и FireWall (если он был установлен) . Для чего удалять? Дело в том, что компьютер с двумя антивирусами на борту может просто не работать из-за конфликта этих программ. Например, после перезагрузки.

Сам процесс установки стандартный и ничем не отличается от процесса установки других программ в Windows. Сам KIS после инсталляции на компьютер не требует особых настроек и все отлично работает.
Именно по этой причине особо в настройках никто и не копается. А зачем, если и так все работает? Соответственно, почти никто и не использует этот самый контроль.

3. Теперь нужно создать учетную запись для Вашего ребенка на компьютере, под которой он будет работать. Даже если он имеет отдельный компьютер, все равно нужна учетная запись с ограниченными правами. Именно с такой “урезанной” учёткой достигается большая защита компьютера от неприятностей. Понятно, что Ваш ребенок не должен иметь доступ в Вашу учетную запись или в учетную запись администратора – иначе он с легкостью все перенастроит: –) Уж он быстро сообразит как сделать, поверьте мне: –) Без всяких инструкций!

Вот, как это делается в Windows 7. В версии Windows XP все настраивается абсолютно аналогично (ну, если только надписи немного отличаются)

Идем в “Панель управления” – “Учетные записи и семейная безопасность” и кликаем на надписи “Добавление и удаление учетных записей пользователей”

Обращаю внимание, что все картинки можно увеличить просто кликнув по ним.

Видим новое окно с уже существующими учетными записями:

Нажимаем на надписи “Создание учетной записи” и попадаем на следующий шаг.

Здесь нужно лишь ввести имя нового пользователя и обязательно выбрать “Обычный доступ”. Таким образом я создал нового пользователя компьютера под именем “Анна”.

И вот на примере этой учётки покажу, как настроить для нее родительский контроль в KIS.

3. Настраиваем Родительский контроль в Kaspersky Internet Security

Итак, мы уже установили KIS и создали нового пользователя с обычными правами (в XP – с ограниченными). В моем случае это “Анна”

Щелкаем на красном значке “К” в углу экрана

Выбираем “Родительский контроль”

Здесь будет предложено создать пароль. Понятно, что это необходимо сделать иначе все будет сломано через пару дней. : –)

Пароль запомните! И не надо записывать его на листочке с последующим приклеиванием к монитору: –)

Теперь включаем для Анны наблюдение за ее действиями нажав на кнопку “Включить”. Появляется надпись зелеными буквами “Контроль включен”

Да.. непростое это дело писать инструкции: –)

Все! Переходим к настройкам. Для этого нужно нажать на значок с “шестеренкой”

Я обвел это место модным красным овалом.

Видим все настройки именно для пользователя “Анна”.

Чтобы контролировать других – нажимаем на “шестеренки” рядом с другими именами!:

Теперь немного подробнее по пунктам:

Параметры учетной записи

Здесь я никогда ничего не трогаю. Тут можно отключить или включить мониторинг действий. Ну и для удобства сделать псевдоним. А, и картинку поменять, если Вам без этого никак нельзя обойтись:-)

Использование компьютера

Здесь уже интереснее. Можно указать в какое время Ваш ребенок сможет войти под своей учетной записью.

Например, Анне в будни можно пользоваться компьютером только 12 до 14 и с 18 до 20 часов. В остальное время не получится. А в выходные можно с 11 до 21 часа.

Просто водите курсором по клеткам и стройте график доступа мысленно готовя убедительные аргументы для ваших детей: –) Уверяю Вас, вопросов и воплей будет много: –)

Но лучше так, чем психованный ребенок после 8 часовых посиделок за монитором.

Очень полезно: Можно смотреть отчеты о проведенном времени за компьютером на закладке “Отчеты”. Моя дочь очень убедительно торгуется со мной за каждую минуту когда вместе изучаем этот график.

Запуск программ

Здесь можно запретить запуск программ. Например, слишком уж агрессивных игр. Я этот пункт никак не использую, так как на её компьютере таких игр просто нет.

Но, вот например, запретил запуск пары программ. Для этого достаточно нажать на кнопку “Добавить” и выбрать запрещаемую программу из списка. Ничего сложного.

Мало того, вы можете разрешить программу с указанием времени, когда ребенок сможет её запустить. Например, играем в только с 18 до 20 часов. Или полностью запретить какую-либо игру.

Очень удобно, поверьте.

Использование Интернета

Здесь все абсолютно аналогично как и на вкладке “Использование компьютера” Только уже ограничиваем доступ в Интернет.

То есть, например, ребенок сможет включить компьютер, но не сможет попасть в Сеть, так как его папа квадратики покрасил в зеленый цвет совсем на другое время: –)

Посещение веб-сайтов

Самая полезная настройка в родительском контроле. Именно она ограничивает доступ ко всяким сайтам, которые детям лучше не видеть никогда.

Остановимся подробнее. Внимательно посмотрите на категории сайтов, доступ к которым нужно ограничить. Я расставил галки вот так, как на рисунке ниже.

Для совсем суровых родителей есть возможность “Запретить посещение всех веб-сайтов, кроме разрешенных в списке исключений” Для этого нужно еще создать список исключений нажав на кнопку “Исключения”.

То есть, ребенок будет попадать только на те сайты, на которые Вы разрешили.

В офисах такая функция точно не помешает: –) Но там совсем другие решения используют, если серьезно.

Кстати, был случай из практики, когда владелец небольшой конторы, где везде стояли KIS всем сотрудникам настроил родительский контроль. Пока я там был сотрудники не раз меня спрашивали как обойти эту защиту, ибо всем неимоверно хотелось попасть в социальные сети:-)

Стоит отметить, что эта функция работает качественно и любое слово, которое несет в себе негатив немедленно блокирует весь сайт. Поэтому я нещадно режу негативные комментарии на моем блоге и уже знаю многие “стоп-слова”.

Эта настройка ограничивает возможность скачивания файлов. Например, Анне нельзя скачивать программы и архивы. Но можно качать музыку и видео.

Пробежимся кратко по другим возможностям. Они не так часто востребованы родителями, но они есть в KIS и это радует:

IM-переписка

Позволяет блокировать нежелательные контакты в ICQ, QIP, Mail.Ru и в других мессенджерах. Ни разу не включал, так как нет острой необходимости. Даже не знаю насколько эффективно работает.

Социальные сети

Аналогично. Позволяет блокировать нежелательных товарищей. А психов в соцсетях полно. Мое мнение, что детям до 14 лет детям в социальных сетях делать нечего.

Попробовал использовать и, честно говоря, ничего не понял. В отчетах так ничего и не увидел и блокировать, собственно говоря, некого! Ни на одном из компьютеров я толку от этой функции так и не увидел. Странно. Может, конечно, сам перемудрил с настройками безопасности и у других пользователей все работает.

Личные данные.

Новые секретные можно внести нажав на кнопку “Добавить”. Как пример – смотрите ниже:

Ключевые слова.

Позволяет отслеживать слова, которые ребенок вводит в поиск или на сайтах.

Например, я поставил на отслеживание слово “Водка” и другие, которые должны вызвать настороженность у родителей.

Поискал в интернете и на сайтах об этом исконном русском напитке информацию. Читаю – ничего не блокируется.

А потом смотрю на отчет – видно где и когда я искал слово “водка”. Круто?

Выводы:

Родительским контролем от Касперского пользуюсь уже 2 года и никаких проблем еще не было. Одно наличие вот этого мощного инструмента безопасности для детей в Интернет перевешивает все плюсы бесплатных решений от других разработчиков..

Понятно, что если бы у меня не было семьи, то я посмотрел бы в стороны бесплатных решений, так как есть очень достойные решения.

Но, повторюсь, это отличный выбор для семейного использования. Не панацея, но оптимальный выбор!

Опять же, Вы должны понимать, что не получится полностью оградить свое чадо от негатива из Сети. Рано или поздно он столкнутся со всей гнусью на планшете или используя смартфон (для мобильных устройств вроде еще нет таких программ контроля?) Или просто на другом компьютере. Да и другие дети смогут легко “просветить”.

Здесь уже все зависит от Вас и методов воспитания. Никакой супер-пупер родительский контроль уже не поможет: –) Но быть начеку нужно!
Какие вопросы? Готов ответить в комментариях!

Выявление вторжений

1. Быстрое обнаружение вторжения позволяет идентифицировать и изгнать взломщика прежде чем он причинит вред.

2. Эффективная система обнаружения вторжений служит сдерживающим средством, предотвращающим вторжения.

3. 3 Обнаружение вторжений позволяет собирать информацию о методах вторжения, которую можно использовать для повышения надежности средств защиты.

Подходы к выявлению вторжений

· Выявление статистических отклонений (пороговое обнаружение, профильное обнаружение).

· Выявление на основе правил (выявление отклонений от обычных характеристик, идентификация проникновения –поиск подозрительного поведения).

Системы обнаружения вторжения (intrusion detection system - IDS) - это работающие процессы или устройства, анализирующие активность в сети или системе на предмет неавторизованных и/или злонамеренных действий. Некоторые системы IDS основаны на знаниях и заранее предупреждают администраторов о вторжении, используя базу данных распространённых атак. Системы IDS, основанные на поведении, напротив, обнаруживают аномалии, которые часто являются признаком активности злоумышленников, отслеживая использование ресурсов. Некоторые IDS - отдельные службы, работающие в фоновом режиме и анализирующие активность пассивно, регистрируя все подозрительные пакеты извне. Другие мощные средства выявления вторжений получаются в результате сочетания стандартных системных средств, изменённых конфигураций и подробного ведения журнала с интуицией и опытом администратора.

Основной инструмент выявления вторжений – записи данных аудита.

Аудит (auditing) – фиксация в системном журнале событий, происходящих в операционной системе, имеющих отношение к безопасности и связанных с доступом к защищаемым системным ресурсам.

· Регистрация успешных и неуспешных действий:

· Регистрация в системе;

· Управление учетной записью;

· Доступ к службе каталогов;

· Доступ к объекту;

· Использование привилегий;

· Изменение политики;

· Исполнение процессов и системные события.

Аудит включается в локальной (групповой) политике аудита.

Журнал безопасности содержит записи, связанные с системой безопасности.

Учет и наблюдение означает способность системы безопасности «шпионить» за выбранными объектами и их пользователями и выдавать сообщения тревоги, когда кто-нибудь пытается читать или модифицировать системный файл. Если кто-то пытается выполнить действия, определенные системой безопасности для отслеживания, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя. Системный менеджер может создавать отчеты о безопасности, которые содержат информацию из журнала регистрации. Для «сверхбезопасных» систем предусматриваются аудио- и видеосигналы тревоги, устанавливаемые на машинах администраторов, отвечающих за безопасность.

Поскольку никакая система безопасности не гарантирует защиту на уровне 100 %, то последним рубежом в борьбе с нарушениями оказывается система аудита.

Действительно, после того как злоумышленнику удалось провести успешную атаку, пострадавшей стороне не остается ничего другого, как обратиться к службе аудита. Если при настройке службы аудита были правильно заданы события, которые требуется отслеживать, то подробный анализ записей в журнале может дать много полезной информации. Эта информация, возможно, позволит найти злоумышленника или по крайней мере предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты.

Подобные документы

История развития стандарта SDH как системы высокоскоростных высокопроизводительных оптических сетей связи, его достоинства и недостатки. Измерение информации на сетях SDH, тестирование мультиплексорного оборудования. Измерения джиттера в сетях SDH.

реферат, добавлен 10.11.2013


Классификация информационных систем. Моделирование хранилищ данных. Системы поддержки принятия решений. Технические аспекты многомерного хранения данных. Системы автоматизации документооборота. Принципы иерархического проектирования корпоративных сетей.

учебное пособие, добавлен 20.05.2014


Понятие и изучение устройства корпоративных информационных систем; основные этапы их создания и методики внедрения. Описание моделей жизненного цикла программного обеспечения. Архитектура корпоративных компьютерных сетей, обеспечение их безопасности.

контрольная работа, добавлен 21.03.2013


Атаки на беспилотные летательные аппараты. Этапы воздействия на беспилотные авиационные комплексы и взаимодействующие сети и системы. Угрозы и уязвимые места беспилотных летательных аппаратов. Методы обнаружения и обезвреживания компьютерных атак.

статья, добавлен 02.04.2016


Разработка и проектирование информационного и программного обеспечения системы аттестационного тестирование по информатике. Архитектура и платформа реализации системы. Выбор технических средств и ресурсный анализ системы управления базами данных.

дипломная работа, добавлен 08.10.2018


Анализ и характеристика информационных ресурсов предприятия ООО "Овен". Цели и задачи формирования системы ИБ на предприятии. Предлагаемые мероприятия по улучшению системы информационной безопасности организации. Модель информационной защиты информации.

курсовая работа, добавлен 03.02.2011


Использование компьютерных технологий тестирования, их описание, значение и достоинства. Разработка технического задания для создания информационной системы. Выбор технического и программного обеспечения, проектирование приложения системы тестов.

дипломная работа, добавлен 03.03.2015


Компания "Гарант" как одна из крупнейших российских информационных компаний, история ее развития. Характеристика справочно-правовой системы "Гарант": услуги, клиентура, особенности функционирования. Главные преимущества поисковой системы "Гарант".

реферат, добавлен 19.05.2013


Определение информационной безопасности, ее угрозы в компьютерных системах. Базовые понятия политики безопасности. Криптографические методы и алгоритмы защиты компьютерной информации. Построение современной системы антивирусной защиты корпоративной сети.

учебное пособие, добавлен 04.12.2013


Общие принципы организации и функционирования сетевых технологий. Взаимодействие компьютеров в сети. Системы передачи данных и множество вычислительных сетей. Процесс маршрутизации и доменной системы имён в сети Интернет. Особенности DNS-сервиса.

• Кирилович Екатерина Игоревна , бакалавр, студент
• Башкирский государственный аграрный университет

• МЕТОД АНОМАЛИЙ
• СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
• СЕТЕВЫЕ АТАКИ

В данной статье рассматриваются системы обнаружения вторжений, которые так актуальны в настоящее время для обеспечения широкой информационной безопасности в информационных корпоративных сетях.

• The onion router: механизм работы и способы обеспечения анонимности
• Совершенствование формирования фонда капитального ремонта в многоквартирных домах
• Нормативно-правовое регулирование вопросов оценки качества предоставляемых государственных (муниципальных) услуг в России

На сегодняшний день системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) являются важным элементом защиты от сетевых атак. Главной целью таких систем является обнаружение случаев несанкционированного входа в корпоративную сеть и принятие мер сопротивления.

Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.

Использование IDS помогает достичь таких целей, как: обнаруживать вторжение или сетевую атаку; прогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития; выполнять документирование существующих угроз; получать полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов; определять расположение источника атаки по отношению к локальной сети.

В зависимости от того, каким способом сбирается информация, IDS могут быть сетевыми и системными (хостовыми).

Сетевые (NIDS) следят за пакетами в сетевом окружении и отслеживают попытки злоумышленника проникнуть внутрь защищаемой системы. После того, как NIDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.

Системными (хостовыми) называются IDS, которые устанавливаются на хосте и обнаруживают злонамеренные действия на нём. В качестве примера хостовых IDS можно взять системы контроля целостности файлов, которые проверяют системные файлы для определения внесения изменений.

Первым методом, примененным для обнаружения вторжений, был анализ сигнатур. Детекторы атак анализируют деятельность системы, используя для этого событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой. Во входящем пакете просматривается байт за байтом и сравнивается с сигнатурой (подписью) – характерной строкой программы, указывающей на характеристику вредного трафика. Такая подпись может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено, объявляется тревога.

Следующий метод – метод аномалий. Он заключается в определении необычного поведения на хосте или в сети. Детекторы аномалий предполагают, что атаки отличаются от нормальной деятельности и могут быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной. Каждый пакет сопровождается различными протоколами. У каждого протокола имеется несколько полей, имеющих ожидаемые или нормальные значения. IDS просматривает каждое поле всех протоколов входящих пакетов: IP, TCP, и UDP. Если имеются нарушения протокола, объявляется тревога.

У систем обнаружения вторжений различают локальную и глобальную архитектуру. В первом случае реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем. Первичный сбор данных осуществляют агенты (сенсоры). Регистрационная информация может извлекаться из системных или прикладных журналов, либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.

Агенты передают информацию в центр распределения, который приводит ее к единому формату, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Если в процессе анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования. Хорошая система обнаружения вторжений должна уметь объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия.

Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений. На одном уровне могут находиться компоненты, которые анализируют подозрительную активность с разного ракурса.

Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего. Иногда локальный компонент не имеет достаточно оснований для возбуждения тревоги, но в целом подозрительные ситуации могут быть объединены и совместно проанализированы, после чего порог подозрительности окажется превышенным. Целостная картина позволяет выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в масштабе организации.

Как и любая система безопасности, IDS не гарантирует стопроцентную защиту сети или компьютера, но выполняемые ею функции позволят своевременно обнаружить атаку, тем самым сократив ущерб от утечки информации, удалении файлов, использования компьютера в противоправных действиях.

Список литературы

1. Сайт института механики сплошных сред [Электронный ресурс]. – Режим доступа: http://www.icmm.ru/~masich/win/lexion/ids/ids.html. – Системы обнаружения вторжений.
2. МЕЖСОСЕДСКАЯ КООПЕРАЦИЯ ХОЗЯЙСТВ НАСЕЛЕНИЯ Шарафутдинов А.Г. В сборнике: Интеграция науки и практики как механизм эффективного развития АПК материалы Международной научно-практической конференции в рамках XXIII Международной специализированной выставки "АгроКомплекс-2013". 2013. С. 212-214.
3. Учебное пособие [Электронный ресурс]. - Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001.
4. НЕСАНКЦИОНИРОВАННЫЕ СПОСОБНОСТИ НАРУШЕНИЯ ЦЕННОСТИ КСОД Мухутдинова Р.Д., Шарафутдинов А.Г. Экономика и социум. 2014. № 4-3 (13). С. 1596-1599.
5. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ КАК ОБЫДЕННОСТЬ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ КОМПАНИЙ Шарафутдинов А.Г., Мухамадиев А.А. В сборнике: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ЖИЗНИ СОВРЕМЕННОГО ЧЕЛОВЕКА Материалы IV международной научно-практической конференции. Ответственный редактор: Зарайский А. А.. 2014. С. 90-92.

Принципы использования IDS

Обнаружение и предотвращение вторжений ( IDP ) является подсистемой NetDefendOS, которая предназначена для защиты от попыток вторжения. Система просматривает сетевой трафик, проходящий через межсетевой экран , и ищет трафик, соответствующий шаблонам. Обнаружение такого трафика указывает на попытку вторжения. После обнаружения подобного трафика IDP выполняет шаги по нейтрализации как вторжения, так и его источника.

Для обнаружения и предотвращения вторжения, необходимо указать следующую информацию:

1. Какой трафик следует анализировать.
2. Что следует искать в анализируемом трафике.
3. Какое действие необходимо предпринять при обнаружении вторжения.

Эта информация указывается в IDP-правилах .

Maintenance и Advanced IDP

Компания D-Link предоставляет два типа IDP :

1. Maintenance IDP

   Maintenance IDP является основой системы IDP и включено в стандартную комплектацию NetDefendDFL-210, 800, 1600 и 2500.

   Maintenance IDP является упрощенной IDP, что обеспечивает базовую защиту от атак, и имеет возможность расширения до более комплексной Advanced IDP.

   IDP не входит в стандартную комплектацию DFL-260, 860, 1660, 2560 и 2560G; для этих моделей межсетевых экранов необходимо приобрести подписку на Advanced IDP.

2. Advanced IDP

   Advanced IDP является расширенной системой IDP с более широким диапазоном баз данных сигнатур и предъявляет более высокие требования к оборудованию. Стандартной является подписка сроком на 12 месяцев, обеспечивающая автоматическое обновление базы данных сигнатур IDP.

   Эта опция IDP доступна для всех моделей D-Link NetDefend, включая те, в стандартную комплектацию которых не входит Maintenance IDP.

   Maintenance IDP можно рассматривать, как ограниченное подмножество Advanced IDP. Рассмотрим функционирование Advanced IDP.

   Advanced IDP приобретается как дополнительный компонент к базовой лицензии NetDefendOS. Подписка означает, что база данных сигнатур IDP может быть загружена на NetDefendOS, а также, что база данных регулярно обновляется по мере появления новых угроз.

   Обновления базы данных сигнатур автоматически загружаются системой NetDefendOS через сконфигурированный интервал времени. Это выполняется с помощью HTTP-соединения с сервером сети D-Link, который предоставляет последние обновления базы данных сигнатур. Если на сервере существует новая версия базы данных сигнатур, она будет загружена, заменив старую версию.

   Термины Intrusion Detection and Prevention (IDP), Intrusion Prevention System (IDP) и Intrusion Detection System (IDS) взаимозаменяютдругдруга. Все они относятся к функции IDP.

Последовательность обработка пакетов

Последовательность обработки пакетов при использовании IDP является следующей:

1. Пакет приходит на межсетевой экран. Если пакет является частью нового соединения, то первым делом ищется соответствующее IP-правило фильтрования. Если пакет является частью существующего соединения, он сразу же попадает в модуль IDP. Если пакет не является частью существующего соединения или отбрасывается IP-правилом, то дальнейшей обработки данного пакета не происходит.

Адреса источника и назначения пакета сравниваются с набором правил IDP. Если найдено подходящее правило, то пакет передается на обработку системе IDP, в которой ищется совпадение содержимого пакета с одним из шаблонов. Если совпадения не обнаружено, то пакет пропускается системой IDP. Могут быть определены дальнейшие действия в IP-правилах фильтрования, такие как NAT и создание логов.

Поиск на соответствие шаблону

Сигнатуры

Для корректного определения атак система IDP использует шаблоны, связанные с различными типами атак. Эти предварительно определенные шаблоны, также называемые сигнатурами, хранятся в локальной базе данных и используются системой IDP для анализа трафика. Каждая сигнатура имеет уникальный номер.

Рассмотрим пример простой атаки, состоящий в обращении к FTP -серверу. Неавторизованный пользователь может попытаться получить файл паролей passwd с FTP -сервера с помощью команды FTP RETR passwd. Сигнатура , содержащая текстовые строки ASCII RETR и passwd, обнаружит соответствие, указывающее на возможную атаку. В данном примере шаблон задан в виде текста ASCII , но поиск на соответствие шаблону выполняется аналогично и для двоичных данных.

Распознавание неизвестных угроз

Злоумышленники, разрабатывающие новые атаки, часто просто модифицируют старый код. Это означает, что новые атаки могут появиться очень быстро как расширение и обобщение старых. Чтобы противостоять этому, D-Link IDP использует подход, при котором модуль выполняет сканирование, учитывая возможное многократное использование компонент , выявляя соответствие шаблону общих блоков, а не конкретного кода. Этим достигается защита как от известных, так и от новых, недавно разработанных, неизвестных угроз, созданных модификацией программного кода атаки.

Описания сигнатур

Каждая сигнатур имеет пояснительное текстовое описание. Прочитав текстовое описание сигнатуры, можно понять, какую атаку или вирус поможет обнаружить данная сигнатура . В связи с изменением характера базы данных сигнатур, текстовые описания не содержатся в документации D-Link, но доступны на веб-сайте D-Link: http ://security.dlink. com .tw

Типы сигнатур IDP

В IDP имеется три типа сигнатур, которые предоставляют различные уровни достоверности в определении угроз:

• Intrusion Protection Signatures (IPS) – Данный тип сигнатур обладает высокой точностью, и соответствие трафика данному шаблону в большинстве случаев означает атаку. Для данных угроз рекомендуется указывать действие Protect. Эти сигнатуры могут обнаружить действия, направленные на получение прав администратора, и сканеры безопасности.
• Intrusion Detection Signatures (IDS) – У данного типа сигнатур меньше точности, чем у IPS, и они могут дать иметь ложные срабатывания, таким образом, поэтому перед тем как указывать действие Protect рекомендуется использовать действие Audit.
• Policy Signatures – Этот тип сигнатур обнаруживает различные типы прикладного трафика. Эти сигнатуры могут использоваться для блокировки некоторых приложений, предназначенных для совместного использования приложений и мгновенного обмена сообщениями.

Предотвращение атак Denial-of-Service

Механизмы DoS-атак

DoS-атаки могут выполняться самыми разными способами, но все они могут быть разделены на три основных типа:

• Исчерпание вычислительных ресурсов, таких как полоса пропускания, дисковое пространство, время ЦП.
• Изменение конфигурационной информации, такой как информация маршрутизации.
• Порча физических компонентов сети.

Одним из наиболее часто используемых методов является исчерпание вычислительных ресурсов, т.е. невозможность нормального функционирования сети из-за большого количества запросов, часто неправильно сформатированных, и расходования ресурсов, используемых для запуска критически важных приложений. Могут также использоваться уязвимые места в операционных системах Unix и Windows для преднамеренного разрушения системы.

Перечислим некоторые из наиболее часто используемых DoS-атак:

• Ping of Death / атаки Jolt
• Перекрытие фрагментов: Teardrop / Bonk / Boink / Nestea
• Land и LaTierra атаки
• WinNuke атака
• Атаки с эффектом усиления: Smurf, Papasmurf, Fraggle
• TCP SYN Flood
• Jolt2

Атаки Ping of Death и Jolt

" Ping of Death" является одной из самых ранних атак, которая выполняется на 3 и 4 уровнях стека протоколов. Один из простейших способов выполнить эту атаку – запустить ping -l 65510 1.2.3.4 на Windows 95 , где 1.2.3.4 – это IP - адрес компьютера-жертвы. "Jolt" – это специально написанная программа для создания пакетов в операционной системе, в которой команда ping не может создавать пакеты, размеры которых превышают стандартные нормы.

Смысл атаки состоит в том, что общий размер пакета превышает 65535 байт , что является максимальным значением, которое может быть представлено 16-битным целым числом. Если размер больше, то происходит переполнение .

Защита состоит в том, чтобы не допустить фрагментацию, приводящую к тому, что общий размер пакета превышает 65535 байт . Помимо этого, можно настроить ограничения на длину IP -пакета.

Атаки Ping of Death и Jolt регистрируются в логах как отброшенные пакеты с указанием на правило "LogOversizedPackets". Следует помнить, что в этом случае IP - адрес отправителя может быть подделан.

Атаки, связанные с перекрытием фрагментов: Teardrop, Bonk, Boink и Nestea

Teardrop – это атака , связанная с перекрытием фрагментов. Многие реализации стека протоколов плохо обрабатывают пакеты, при получении которых имеются перекрывающиеся фрагменты. В этом случае возможно как исчерпание ресурсов, так и сбой.

NetDefendOS обеспечивает защиту от атак перекрытия фрагментов. Перекрывающимся фрагментам не разрешено проходить через систему.

Teardrop и похожие атаки регистрируются в логах NetDefendOS как отброшенные пакеты с указанием на правило "IllegalFrags". Следует помнить, что в этом случае IP - адрес отправителя может быть подделан.

Атаки Land и LaTierra

Атаки Land и LaTierra состоят в посылке такого пакета компьютеру-жертве, который заставляет его отвечать самому себе, что, в свою очередь , генерирует еще один ответ самому себе, и т.д. Это вызовет либо полную остановку работы компьютера, либо крах какой-либо из его подсистем

Атака состоит в использовании IP -адреса компьютера-жертвы в полях Source и Destination .

NetDefendOS обеспечивает защиту от атаки Land , используя защиту от IP -спуфинга ко всем пакетам. При использовании настроек по умолчанию все входящие пакеты сравниваются с содержанием таблицы маршрутизации; если пакет приходит на интерфейс , с которого невозможно достигнуть IP -адреса источника, то пакет будет отброшен.

Атаки Land и LaTierra регистрируются в логах NetDefendOS как отброшенные пакеты с указанием на правило по умолчанию AutoAccess, или, если определены другие правила доступа, указано правило правило доступа, в результате которого отброшен пакет. В данном случае IP - адрес отправителя не представляет интереса, так как он совпадает с IP -адресом получателя.

Атака WinNuke

Принцип действия атаки WinNuke заключается в подключении к TCP -сервису, который не умеет обрабатывать " out-of-band " данные ( TCP -пакеты с установленным битом URG), но все же принимает их. Это обычно приводит к зацикливанию сервиса и потреблению всех ресурсов процессора.

Одним из таких сервисов был NetBIOS через TCP / IP на WINDOWS -машинах, которая и дала имя данной сетевой атаке.

NetDefendOS обеспечивает защиту двумя способами:

• Политики для входящего трафика как правило разработаны достаточно тщательно, поэтому количество успешных атак незначительно. Извне доступны только публичные сервисы, доступ к которым открыт. Только они могут стать жертвами атак.
• Удаление бита URG из всех TCP-пакетов.

Веб- интерфейс

Advanced Settings -> TCP -> TCPUrg

Как правило, атаки WinNuke регистрируются в логах как отброшенные пакеты с указанием на правило, запретившего попытку соединения. Для разрешенных соединений появляется запись категории " TCP " или " DROP " (в зависимости от настройки TCP URG), с именем правила " TCP URG". IP - адрес отправителя может быть не поддельным, так как соединение должно быть полностью установлено к моменту отправки пакетов " out-of-band ".

Атаки, приводящие к увеличению трафика: Smurf, Papasmurf, Fraggle

Эта категория атак использует некорректно настроенные сети, которые позволяют увеличивать поток трафика и направлять его целевой системе. Целью является интенсивное использование полосы пропускания жертвы. Атакующий с широкой полосой пропускания может не использовать эффект усиления, позволяющий полностью загрузить всю полосу пропускания жертвы. Эти атаки позволяют атакующим с меньшей полосой пропускания, чем у жертвы, использовать усиление, чтобы занять полосу пропускания жертвы.

• "Smurf" и "Papasmurf" отправляют эхо-пакеты ICMP по широковещательному адресу, указывая в качестве IP-адреса источника IP-адрес жертвы. После этого все компьютеры посылают ответные пакеты жертве.
• "Fraggle" базирауется на "Smurf", но использует эхо-пакеты UDP и отправляет их на порт 7. В основном, атака "Fraggle" имеет более слабое усиление, так как служба echo активирована у небольшого количества хостов.

Атаки Smurf регистрируются в логах NetDefendOS как большое число отброшенных пакетов ICMP Echo Reply . Для подобной перегрузки сети может использоваться поддельный IP - адрес . Атаки Fraggle также отображаются в логах NetDefendOS как большое количество отброшенных пакетов. Для перегрузки сетb используется поддельный IP - адрес .

При использовании настроек по умолчанию пакеты, отправленные по адресу широковещательной рассылки, отбрасываются.

Веб- интерфейс

Advanced Settings -> IP -> DirectedBroadcasts

В политиках для входящего трафика следует учитывать, что любая незащищенная сеть может также стать источником подобных атак усиления.

Защита на стороне компьютера-жертвы

Smurf и похожие атаки являются атаками, расходующими ресурсы соединения. В общем случае межсетевой экран является узким местом в сети и не может обеспечить достаточную защиту против этого типа атак. Когда пакеты доходят до межсетевого экрана, ущерб уже нанесен.

Тем не менее система NetDefendOS может уменьшить нагрузку на внутренние сервера, делая их сервисы доступными изнутри или через альтернативное соединение, которое не стало целью атаки.

• Типы flood-атак Smurf и Papasmurf на стороне жертвы выглядят как ответы ICMP Echo Response. Если не используются правила FwdFast, таким пакетам не будет разрешено инициировать новые соединения независимо от того, существуют ли правила, разрешающие прохождение пакетов.
• Пакеты Fraggle могут прийти на любой UDP-порт назначения, который является мишенью атакующего. В этой ситуации может помочь увеличение ограничений в наборе правил.

Шейпинг трафика также помогает предотвращать некоторые flood -атаки на защищаемые сервера.

Атаки TCP SYN Flood

Принцип атак TCP SYN Flood заключается в отправке большого количества TCP -пакетов с установленным флагом SYN на определенный порт и в игнорировании отправленных в ответ пакетов с установленными флагами SYN ACK . Это позволяет исчерпать ресурсы стека протоколов на сервере жертвы, в результате чего он не сможет устанавливать новые соединения, пока не истечет таймаут существования полуоткрытых соединений.

Система NetDefendOS обеспечивает защиту от flood -атак TCP SYN , если установлена опция SYN Flood Protection в соответствующем сервисе, который указан в IP -правиле фильтрования. Иногда опция может обозначаться как SYN Relay .

Защита от flood -атак включена по умолчанию в таких сервисах, как http -in, https-in, smtp -in и ssh-in.

Механизм защиты от атак SYN Flood

Защиты от атак SYN Flood выполняется в течение трехкратного рукопожатия, которое происходит при установлении соединения с клиентом. В системе NetDefendOS как правило не происходит исчерпание ресурсов, так как выполняется более оптимальное управление ресурсами и отсутствуют ограничения, имеющие место в других операционных системах. В операционных системах могут возникнуть проблемы уже с 5 полуоткрытыми соединениями, не получившими подтверждение от клиента, NetDefendOS может заполнить всю таблицу состояний, прежде чем будут исчерпаны какие-либо ресурсы. Когда таблица состояний заполнена, старые неподтвержденные соединения отбрасываются, чтобы освободить место для новых соединений.

Обнаружение SYN Floods

Атаки TCP SYN flood регистрируются в логах NetDefendOS как большое количество новых соединений (или отброшенных пакетов, если атака направлена на закрытый порт ). Следует помнить, что в этом случае IP - адрес отправителя может быть подделан.

ALG автоматически обеспечивает защиту от flood-атак

Следует отметить, что нет необходимости включать функцию защиты от атак SYN Flood для сервиса, для которого указан ALG . ALG автоматически обеспечивает защиту от атак SYN flood .

Атака Jolt2

Принцип выполнения атаки Jolt2 заключается в отправке непрерывного потока одинаковых фрагментов компьютеру-жертве. Поток из нескольких сотен пакетов в секунду останавливает работу уязвимых компьютеров до полного прекращения потока.

NetDefendOS обеспечивает полную защиту от данной атаки. Первый полученный фрагмент ставится в очередь до тех пор, пока не придут предыдущие по порядку фрагменты, чтобы все фрагменты могли быть переданы в нужном порядке. В случае наличия атаки ни один фрагмент не будет передан целевому приложению. Последующие фрагменты будут отброшены, так как они идентичны первому полученному фрагменту.

Если выбранное злоумышленником значение смещения фрагмента больше, чем ограничения, указанные в настройках Advanced Settings -> Length Limit Settings в NetDefendOS, пакеты будут немедленно отброшены. Атаки Jolt2 могут быть зарегистрированы в логах. Если злоумышленник выбирает слишком большое значение смещения фрагмента для атаки, это будет зарегистрировано в логах как отброшенные пакеты с указанием на правило LogOversizedPackets. Если значение смещения фрагмента достаточно маленькое, регистрации в логах не будет. IP - адрес отправителя может быть подделан.

Атаки Distributed DoS (DDoS)

Наиболее сложной DoS-атакой является атака Distributed Denial of Service . Хакеры используют сотни или тысячи компьютеров по всей сети интернет , устанавливая на них программное обеспечение для выполнения DDoS-атак и управляя всеми этими компьютерами для осуществления скоординированных атак на сайты жертвы. Как правило эти атаки расходуют полосу пропускания, вычислительные мощности маршрутизатора или ресурсы для обработки стека протоколов, в результате чего сетевые соединения с жертвой не могут быть установлены.

Хотя последние DDoS-атаки были запущены как из частных, так и из публичных сетей, хакеры, как правило, часто предпочитают корпоративные сети из-за их открытого и распределенного характера. Инструменты, используемые для запуска DDoS-атак, включают Trin00, TribeFlood Network (TFN), TFN2K и Stacheldraht.

Описание практической работы

Общий список сигнатур

В веб-интерфейсе все сигнатуры перечислены в разделе IDP /IPS -> IDP Signatures.

IDP-правила

Правило IDP определяет, какой тип трафика необходимо анализировать. Правила IDP создаются аналогично другим правилам, например, IP -правилам фильтрования. В правиле IDP указывается комбинация адреса/интерфейса источника/назначения, сервиса, определяющего какие протоколы будут сканироваться. Главное отличие от правил фильтрования в том, что правило IDP определяет Действие, которое следует предпринять при обнаружении вторжения.

Веб-интерфейс:

IDP/IPS -> IDP Rules -> Add -> IDP Rule

Действия IDP

При выявлении вторжения будет выполнено действие, указанное в правиле IDP . Может быть указано одно из трех действий:

1. Ignore – Если обнаружено вторжение, не выполнять никаких действий и оставить соединение открытым.
2. Audit – Оставить соединение открытым, но зарегистрировать событие.
3. Protect – Сбросить соединение и зарегистрировать событие. Возможно использовать дополнительную опцию занесения в "черный список" источник соединения.

Нормализация HTTP

IDP выполняет нормализацию HTTP ,т.е. проверяет корректность URI в HTTP -запросах. В IDP -правиле можно указать действие, которое должно быть выполнено при обнаружении некорректного URI .

IDP может определить следующие некорректные URI :

Некорректная кодировка UTF8

Выполняется поиск любых недействительных символов UTF8 в URI .

Некорректный шестнадцатеричный код

Корректной является шестнадцатеричная последовательность, где присутствует знак процента, за которым следуют два шестнадцатеричных значения, являющихся кодом одного байта. Некорректная шестнадцатеричная последовательность – это последовательность, в которой присутствует знак процента, за которым не следуют шестнадцатеричные значения, являющиеся кодом какого-либо байта.

Двойное кодирование

Выполняется поиск любой шестнадцатеричной последовательности, которая сама является закодированной с использованием других управляющих шестнадцатеричных последовательностей. Примером может быть последовательность %2526, при этом %25 может быть интерпретировано HTTP -сервером как %, в результате получится последовательность %26, которая будет интерпретирована как &.

Предотвращение атак, связанных со вставкой символов или обходом механизмов IDP

В IDP -правиле можно установить опцию Protect against Insertion/Evasion attack . Это защита от атак, направленных на обход механизмов IDP . Данные атаки используются тот факт, что в протоколах TCP / IP пакет может быть фрагментирован, и отдельные пакеты могут приходить в произвольном порядке. Атаки, связанные со вставкой символов и обходом механизмов IDP , как правило используют фрагментацию пакетов и проявляются в процессе сборки пакетов.

Атаки вставки

Атаки вставки состоят в такой модификации потока данных, чтобы система IDP пропускала полученную в результате последовательность пакетов, но данная последовательность будет являться атакой для целевого приложения. Данная атака может быть реализована созданием двух различных потоков данных.

В качестве примера предположим, что поток данных состоит из 4 фрагментов пакетов: p1, p2, p3 и p4. Злоумышленник может сначала отправить фрагменты пакетов p1 и p4 целевому приложению. Они будут удерживаться и системой IDP , и приложением до прихода фрагментов p2 и p3, после чего будет выполнена сборка . Задача злоумышленника состоит в том, чтобы отправить два фрагмента p2’ и p3’ системе IDP и два других фрагмента p2 и p3 приложению. В результате получаются различные потоки данных , который получены системой IDP и приложением.

Атаки обхода

У атак обхода такой же конечный результат, что и у атак вставки, также образуются два различных потока данных: один видит система IDP , другой видит целевое приложение , но в данном случае результат достигается противоположным способом, который заключается в отправке фрагментов пакетов, которые будут отклонены системой IDP , но приняты целевым приложением.

Обнаружение подобных атак

Если включена опция Insertion/Evasion Protect attacts, и