Agent86 - 11-6-2003 у 07:19
Атака - ця подія, при якій хтось намагається проникнути всередину вашої системи
або вчинити по відношенню до неї яке-небудь зловживання..
"Система виявлення атак (Intrusion Detection System, IDS)" - це система, призначена для
виявлення таких атак. Принцип дії IDS достатньо простий: в систему закладається
база відомих багів і вона при коннекті проглядає вхідний трафік на предмет
шкідливих дій. Якщо такі виявляються системою, вона відразу повідомляє про це
адміністратора, що відповідає за безпеку (виводить повідомлення на консоль, шле
повідомлення по E-mail або на Internet-пейджер/SMS, пише в лог-файл, etc.), а також самостійно
робить які-небудь дії, що присікають атаку зловмисника. Тому, при захисті IDS,
використання стандартних і відомих багів для атаки на захищену систему безглуздо
і марно.
Існують різні категорії IDS, кожна х яких призначається для певних цілей:
• Системи виявлення атак на мережному рівні (Network IDS, NIDS) контролює пакети в
мережному середовищі і намагається знайти спроби зловмисника проникнути в
систему( або реалізувати атаку типу "відмова в обслуговуванні". Системи виявлення атак мережного рівня
використовують, як джерело даних для аналізу необроблені (raw) мережні пакети. Як
правило, IDS мережного рівня використовують мережний адаптер, що функціонує в
режимі "прослуховування " (promiscuous), і аналізують трафік в реальному масштабі
часу у міру його проходження через сегмент мережі. Модуль розпізнавання атак
використовує чотири широко відомі методи для розпізнавання сигнатури атаки:
- Відповідність трафіку шаблону (сигнатурі), виразу або байткоду, характеризуючих
про атаку або підозрілу дію;
- Контроль частоти подій або перевищення порогової величини;
- Кореляція декількох подій з низьким пріоритетом;
- Виявлення статистичних аномалій.
Типовий приклад - система, яка контролює велике число TCP-запитів на з'єднання (SYN)
з багатьма портами на вибраному комп'ютері, знаходячи, таким чином, що хтось
намагається здійснити сканування TCP-портів. Система виявлення атак на мережному
рівні (NIDS) може запускатися або на окремому комп'ютері, який контролює свій
власний трафік, або на виділеному комп'ютері, прозоро проглядаючому весь
трафік в мережі (концентратор, маршрутизатор, зонд). Відзначимо, що "мережні
IDS" контролюють багато комп'ютерів, тоді як інші системи виявлення атак
контролюють тільки один (той, на якому вони встановлені).
• IDS системного рівня використовують журнали реєстрації, вони є автоматизованими
і включають найскладніші методи виявлення, засновані на новітніх дослідженнях в
області математики. Як правило IDS системного рівня контролюють систему, події і
журналах реєстрації подій безпеки (security log або syslog) в мережах, що працюють під
управлінням Windows NT або Unix. Коли який-небудь з цих файлів змінюється IDS порівнює
нові записи з сигнатурами атак, щоб перевірити, чи є відповідність. Один їх таких
популярних методів полягає в перевірці контрольних сум ключових системних і
виконуваних файлів через регулярні інтервали часу на предмет несанкціонованих
змін. Якщо така відповідність знайдена то система посилає адміністратору сигнал
тривоги або приводить в дію інші задані механізми реагування. Тут також можуть
перевірятись файли реєстрації інших служб системи.Типовим прикладом є
синтаксичний аналізатор для log-файлів HTTP-серверу, який шукає хакерів, що
намагаються використовувати добре відомі уразливості, наприклад, використовуючи
атаку типу „phf”.
Системи, які працюють з потоками даних в мережі, можуть ( і бажано ) застосовуються
спільно з системними IDS.
Також системи виявлення атак можна розглядати такі, що діють на базі знань, і ті,
що аналізують поведінку. Більшість сучасних комерційних систем спирається на
отримані раніших знань, виконуючи пошук сигнатур відомих атак при аналізі змін в
системі або потоків пакетів в мережі. Ці системи надійні і генерують досить мало
помилкових повідомлень про проникнення, але вони можуть виявити тільки тих
порушників, які використовують вже відомі методи. Такі системи часто виявляються
даремними у разі нових видів атак, тому їх слід постійно обновляти, додаючи свіжу
інформацію.
Системи IDS, що спираються на характеристики поведінки, аналізують дії,
намагаючись виявити атаки за рахунок моніторингу системної або мережної
активності і позначаючи будь-які дії, які здаються підозрілими. Такого роду дії
можуть включати тривогу, часто помилкову. Хоча помилкові спрацьовування
характерні для IDS, аналізуючи характеристики поведінки, ці системи дозволяють
виявити атаки, про які раніше ніколи не повідомлялося.
Ще один тип інструментальних засобів виявлення атак — так звана «приманка», як
яка виступає абсолютно ізольована система, створена з метою представити хакерам
ціль, яка настправді є пасткою.
Наприклад Honeypot.
Система Honeypot покликана служити приманкою для хакерів. Будь-які атаки на Honeypot їх
ініціаторам здаються успішними, що дає адміністраторам час мобілізуватися,
зареєструвати і, можливо, відстежити і арештувати зловмисника, не піддаючи ризику
систему.
Іншими прикладами таких приманок є The Deception Toolkit, CyberCop Sting и Mantrap.
Неповний список відомих систем виявлення атак:
1. RealSecure від фірми Internet Security Systems, Inc. http://www.iss.net, http://www.infosec.ru
2. OmniGuard Intruder Alert від Axent Technologies http://www.axent.com
3. SessionWall-3 від MEMCO Software http://www.abirnet.com
4. Kane Security Monitor від Security Dynamics http://www.securid.com
5. Network Flight Recorder від NFR http://www.nfr.com
6. BlackICE Defender від Network ICE http://www.networkice.com
7. The Deception Tool Kit http://www.all.net/dtk/
Сторінки які присв’ячені коп’ютерній безпеці:
1) http://www.cert.org - CERT(Computer Emergency Response Team). Американське комп’ютерне агенство по
проблемах комп’ютерної безпеки, по екстренному реагуванню на комп’ютерні
інциденти.
2) http://www.cisecurity.org - Center for Internet Security. Центр по інтернет-безпеці. Ця некомерційна
організація, в яку входять підприємства, урядові організації і університети (у
тому числі Visa, PricewaterhouseCoopers, Intel, Chevron, Стендфордській університет, міністерства
юстиції, фінансів і безпеки США.)
3) http://www.itaa.org - Information Technology Information Sharing and Analysis Center - IT-ISAC. Центр аналізу і обміну
інформацією. Діяльність організації повинна привести до підвищення доступності,
конфіденційності і цілісності мережних інформаційних систем. До числа
засновників IT-ISAC входять IBM, Microsoft, Intel, Oracle, AT&T, Cisco і інші.
4) http://www.gocsi.com - CSI (Computer Security Institute). Інститут комп'ютерної безпеки.
5) http://www.isalliance.org - ISA(Internet Security Alliance). Альянс по безпеці в Інтернет.
6) http://www.esecurityonline.com - сайт що містить інформацію про вразливі місця комп'ютерних
систем, віруси і можливості навчання в області інформаційної безпеки.
7) http://www.SecurityFocus.com - SecurityFocus, одна з самих відомих компаній, що спеціалізуються на
питаннях комп'ютерної безпеки.
8) http://www.fagci.ru – ФАПСИ - федеральне агенство урядовому зв'язку і інформатизації
РФ.
9) http://www.Sec.ru - портал по безпеці і зв'язку.
10) http://catalog.sec.ru - каталог фірм, що працюють у сфері забезпечення безпеки. У тому
числі фірми, що розробляють інтелектуальні системи охорони приміщень і осіб,
квартирні і офісні комплекси безпеки на базі потужних процесорів і логічних
принципів прорахунку ситуацій.
11) http://www.bezpeka.com - Український Центр інформаційної безпеки.
12) http://www.firebox.ru - сайт, присвячений питанням безпеки корпоративних мереж.
Міжмережеве екранування, антивіруси.
13) http://www.bugtraq.ru - сайт присвячений інформаційній безпеці.
14) http://www.security.nnov.ru - сайт присвячений інформаційній безпеці.
15) http://www.zone-h.com/ru/ - російський розділ на багатомовному інформаційному порталі Zone-H
по комп'ютерній безпеці.
16) http://http://www.infosec.ru/ - Системи управління безпекою.
Жаровський Максим, студент кафедри ІСМ НУ"ЛП".
Ігор+ - 12-6-2003 у 00:30
Була в мене на рутері включена подібна функція, але я її змушений був виключити, бо
при великому трафіку вона не справлялась з потоком даних, які на 99.9% були зовсім
нешкодні.
Дмитро Тарасов - 12-6-2003 у 15:45
Програму антивірусний монітор теж не кожен файл-сервер витримає