Systém prevence narušení

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 16. března 2013; kontroly vyžadují 35 úprav .

Intrusion Prevention System ( IPS) je softwarový nebo hardwarový síťový a počítačový bezpečnostní systém, který detekuje narušení nebo narušení bezpečnosti a automaticky proti nim chrání.

Systémy IPS lze považovat za rozšíření systémů detekce narušení (IDS), protože úkol sledování útoků zůstává stejný. Liší se však tím, že IPS musí sledovat aktivitu v reálném čase a rychle zasáhnout, aby útokům zabránil.

Klasifikace

Network IPS ( Network-based Intrusion Prevention, NIPS ): monitoruje provoz v počítačové síti a blokuje podezřelé datové toky.
IPS pro bezdrátové sítě ( Wireless Intrusion Prevention Systems, WIPS ): kontroluje aktivitu v bezdrátových sítích. Zejména detekuje nesprávně nakonfigurované bezdrátové přístupové body, útoky typu man-in-the-middle a falšování MAC adres .
Network Behavior Analysis (NBA ) : analyzuje síťový provoz, identifikuje atypické toky, jako jsou útoky DoS a DDoS .
IPS pro jednotlivé počítače ( Host-based Intrusion Prevention, HIPS ): rezidentní programy, které detekují podezřelou aktivitu v počítači.

Historie vývoje

Historie vývoje moderních IPS zahrnuje historii vývoje několika nezávislých řešení, metod proaktivní ochrany, které byly vyvinuty v různých dobách pro různé typy hrozeb. Proaktivní metody ochrany, které dnes trh nabízí, zahrnují následující:

Process Behavior Analyzer pro analýzu chování procesů běžících v systému a detekci podezřelých aktivit, tedy neznámého malwaru.
Eliminace možnosti infekce v počítači, blokování portů, které již používají známé viry, a těch, které mohou být použity jejich novými modifikacemi.
Prevence přetečení vyrovnávací paměti u nejběžnějších programů a služeb, kterou útočníci nejčastěji využívají k provedení útoku.
Minimalizace škod způsobených infekcí, zabránění její další reprodukci, omezení přístupu k souborům a adresářům; detekce a blokování zdroje infekce v síti.

Analýza síťových paketů

Červ Morris , který infikoval unixové počítače v síti v listopadu 1988, je obvykle uváděn jako první hrozba proti vniknutí do protiopatření .

Podle jiné teorie se akce skupiny hackerů spolu s tajnými službami SSSR a NDR staly podnětem k vytvoření nového opevnění. V letech 1986 až 1989 skupina, jejímž ideologickým vůdcem byl Markus Hess, předávala svým národním zpravodajským agenturám informace, které získaly vniknutím do počítačů. Všechno to začalo neznámým účtem pouhých 75 centů v Národní laboratoři. E. Lawrence v Berkeley. [1] Analýza jeho původu nakonec vedla k Hessovi, který pracoval jako programátor pro malou západoněmeckou společnost a patřil také do extremistické skupiny Chaos Computer Club se sídlem v Hamburku. Jím organizovaná invaze začala telefonátem z domova přes jednoduchý modem, který mu zajistil spojení s evropskou sítí Datex-P a následně pronikl do počítače knihovny Brémské univerzity, kde hacker získal potřebná privilegia a již s dostali se do Národní laboratoře. E. Lawrence v Berkeley. [1] První protokol byl zaregistrován 27. července 1987 a ze 400 dostupných počítačů se mu podařilo dostat se do cca 30 a poté v tichosti narušitel na uzavřené síti Milnet , a to zejména pomocí pasti v podobě soubor s názvem Strategic Defense Initiative Network Project (zajímal se o vše, co se týkalo strategické obranné iniciativy prezidenta Reagana ) [1] . Bezprostřední reakcí na vznik vnějších síťových hrozeb bylo vytvoření firewallů , jako prvních systémů pro detekci a filtrování hrozeb.

Analýza programů a souborů

Heuristické analyzátory Behavior Blocker

S příchodem nových typů hrozeb se pamatovalo na blokátory chování.

První generace behaviorálních blokátorů se objevila již v polovině 90. let. Princip jejich práce – při zjištění potenciálně nebezpečné akce byl uživatel dotázán, zda akci povolit nebo zamítnout. Teoreticky je blokátor schopen zabránit šíření jakéhokoli - známého i neznámého - viru . Hlavní nevýhodou prvních blokátorů chování byl nadměrný počet požadavků na uživatele. Důvodem je neschopnost blokátoru chování posoudit škodlivost akce. V programech napsaných ve VBA je však možné s velmi vysokou pravděpodobností rozlišit mezi škodlivými a prospěšnými akcemi.

Druhá generace behaviorálních blokátorů se liší v tom, že neanalyzují jednotlivé akce, ale sled akcí a na základě toho vyvozují závěr o škodlivosti konkrétního softwaru.

Testování z aktuální analýzy

V roce 2003 společnost Current Analysis, vedená Mikem Frattem, pozvala k testování produktů HIP následující dodavatele: Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( součást IBM ) a WatchGuard. Výsledkem bylo, že v laboratoři RealWorld Lab Syracuse University byly testovány pouze následující produkty : Argus' PitBull LX a PitBull Protector, CA's eTrust Access Control, Entercept's Web Server Edition, Harris' STAT Neutralizer, Okena's StormWatch a StormFront, Okena's ServerLock a AppLock /Strážce webových hodinek.

Pro účastníky byly formulovány následující požadavky:

Produkt by měl umožňovat centralizovanou správu bezpečnostní politiky hostitele, která omezuje přístup aplikací pouze k těm systémovým zdrojům, které potřebují (aplikace) ke své činnosti.
Produkt musí být schopen vytvořit zásady přístupu pro jakoukoli serverovou aplikaci.
Produkt musí řídit přístup k systému souborů, síťovým portům, I/O portům a dalším prostředkům komunikace OS s externími zdroji. Další vrstva ochrany by navíc měla poskytovat schopnost blokovat přetečení zásobníku a haldy .
Produkt musí vytvořit závislost přístupu ke zdrojům na jménu uživatele (aplikace) nebo jeho členství v konkrétní skupině.

Po měsíci a půl testování zvítězil produkt StormWatch společnosti Okena (později koupený společností Cisco Systems , produkt byl pojmenován Cisco Security Agent). [2]

Další vývoj

V roce 2003 byla zveřejněna zpráva Gartner , která prokázala neefektivnost tehdejší generace IDS a předpověděla jejich nevyhnutelné vybavení IPS. Poté začali vývojáři IDS často kombinovat své produkty s IPS.

Metody reakce na útoky

Po útoku

Metody jsou implementovány po zjištění informačního útoku. To znamená, že i když je úspěšně zabráněno útoku, chráněný systém může být poškozen.

Blokování připojení

Pokud je pro útok použito TCP spojení , pak je ukončeno zasláním TCP paketu každému nebo jednomu z účastníků s nastaveným příznakem RST. Výsledkem je, že útočník není schopen pokračovat v útoku pomocí tohoto síťového připojení. Tato metoda je nejčastěji implementována pomocí stávajících síťových senzorů.

Metoda má dvě hlavní nevýhody:

Nepodporuje protokoly jiné než TCP, které nevyžadují předem vytvořené připojení (například UDP a ICMP ).
Metodu lze použít až poté, co útočník již získal neoprávněné připojení.

Blokování uživatelských záznamů

Pokud bylo v důsledku útoku ohroženo několik uživatelských účtů nebo se ukázalo, že jsou jejich zdrojem, jsou blokovány hostitelskými senzory systému. Pro zablokování musí být senzory spuštěny pod účtem s administrátorskými právy.

K blokování může také dojít po určitou dobu, která je určena nastavením Systému prevence narušení.

Blokování hostitele počítačové sítě

Pokud byl detekován útok z jednoho z hostitelů , může být zablokován hostitelskými senzory nebo mohou být blokována síťová rozhraní buď na něm nebo na routeru nebo přepínači, se kterým je hostitel připojen k síti. K odblokování může dojít po uplynutí stanovené doby nebo aktivací bezpečnostního správce. Zámek není zrušen kvůli restartu nebo odpojení od sítě hostitele. Pro neutralizaci útoku můžete také zablokovat cíl, hostitele počítačové sítě.

Blokování útoku pomocí firewallu

IPS generuje a odesílá nové konfigurace firewallu , pomocí kterých bude obrazovka filtrovat provoz od narušitele. Taková rekonfigurace může probíhat automaticky pomocí standardů OPSEC (např . SAMP , CPMI ). [3] [4]

U firewallů, které nepodporují protokoly OPSEC, lze k interakci se systémem prevence narušení použít modul adaptéru:

který bude přijímat příkazy ke změně konfigurace ME.
který upraví konfiguraci ME a upraví její parametry.

Změna konfigurace komunikačního zařízení

Pro protokol SNMP IPS analyzuje a upravuje nastavení z databáze MIB (jako jsou směrovací tabulky , nastavení portů ) pomocí agenta zařízení k blokování útoku. Lze také použít protokoly TFTP , Telnet atd .

Aktivní potlačení zdroje

Metodu lze teoreticky použít, pokud jsou jiné metody k ničemu. IPS detekuje a blokuje pakety vetřelce a útočí na jeho uzel za předpokladu, že jeho adresa je jednoznačně určena a v důsledku takových akcí nebudou poškozeny ostatní legitimní uzly.

Tato metoda je implementována v několika nekomerčních softwarech:

NetBuster zabraňuje trojskému koni proniknout do vašeho počítače . Může být také použit jako prostředek „blázen-ten-jeden-pokoušející se-NetBus-you“ („napálit toho, kdo se do vás snaží dostat trojským koněm“). V tomto případě hledá malware a určí, kdo jej na počítači spustil, a poté tento program vrátí adresátovi.
Tambu UDP Scrambler pracuje s porty UDP. Produkt funguje nejen jako fiktivní UDP port, ale může být použit k paralyzaci vybavení hackerů pomocí malého programu UDP flooder.

Vzhledem k tomu, že nelze garantovat splnění všech podmínek, není zatím možné široké uplatnění metody v praxi.

Na začátku útoku

Metody implementují opatření, která zabrání detekovaným útokům dříve, než dosáhnou cíle.

Použití síťových senzorů

Síťové senzory jsou instalovány v mezeře komunikačního kanálu tak, aby analyzovaly všechny procházející pakety. K tomu jsou vybaveny dvěma síťovými adaptéry pracujícími ve „smíšeném režimu“, pro příjem a pro vysílání, zapisování všech procházejících paketů do vyrovnávací paměti, odkud je čte modul detekce útoků IPS. Pokud je detekován útok, mohou být tyto balíčky odstraněny. [5]

Analýza paketů je založena na podpisových nebo behaviorálních metodách.

Použití hostitelských senzorů

Vzdálené útoky realizované odesláním série paketů od útočníka. Ochrana je implementována pomocí síťové komponenty IPS, která je podobná síťovým senzorům, ale na rozdíl od nich síťová komponenta zachycuje a analyzuje pakety na různých úrovních interakce, což umožňuje zabránit útokům na krypto-chráněné IPsec a SSL / TLS připojení . .
Lokální útoky v případě neoprávněného spuštění programů útočníkem nebo jiných akcí narušujících bezpečnost informací . Zachycováním systémových volání všech aplikací a jejich analýzou senzory blokují volání, která jsou nebezpečná. [5]

Viz také

Poznámky

↑ 1 2 3 Markus Hess // Wikipedie, bezplatná encyklopedie.
↑ Vlastnosti prevence - č. 39, 2003 | Computerworld Rusko | Nakladatelství "Otevřené systémy" . www.osp.ru Získáno 30. listopadu 2015. Archivováno z originálu 8. prosince 2015. (neurčitý)
↑ Internetová publikace o špičkových technologiích . www.cnews.ru Získáno 23. listopadu 2015. Archivováno z originálu 24. listopadu 2015. (neurčitý)
↑ Zlepšení podnikového bezpečnostního systému založeného na produktech CheckPoint Software Technologies . citforum.ru. Získáno 23. listopadu 2015. Archivováno z originálu 24. listopadu 2015. (neurčitý)
↑ 1 2 Systémy prevence narušení: další krok ve vývoji IDS | Symantec Connect . www.symantec.com. Získáno 30. listopadu 2015. Archivováno z originálu 25. listopadu 2015. (neurčitý)

Odkazy

V. A. Serdyuk. Novinka v ochraně proti hackování podnikových systémů. - Moskva: Technosphere, 2007. - 360 s. - ISBN 978-5-94836-133-8 .
L. Černyak . Sémantická analýza ve službě, otevřené systémy, č. 10, 2010
Mike Fratto . Přehled HIP řešení, 2003
A. Prochorov . Ochrana vaší internetové přítomnosti před viry, ComputerPress 6'2005
Deborah Radcliffová . Strike Back, Networks/network world, č. 09, 2000