Introducere în sistemul de detectare a intruziunilor (ID-uri)

Introducere în sistemul de detectare a intruziunilor (ID-uri)

Într-o lume ideală, rețeaua merge numai cei care au nevoie - colegi, prieteni, angajații companiei. Cu alte cuvinte, cei pe care le cunoașteți și de încredere.

În lumea reală, ai nevoie de multe ori pentru a da acces la clienții rețea internă, furnizori de software, și așa mai departe. D. În același timp, datorită globalizării și dezvoltarea pe scară largă a frilanserstva, accesul persoanelor care nu cunosc foarte bine și nu au încredere devine o necesitate.

Dar, odată ce ați ajuns la decizia pe care doriți să permiteți accesul la rețea internă 24/7, ar trebui să înțeleagă că utilizarea acestei „ușă“ va fi nu numai „băieții buni.“ În mod obișnuit, ca răspuns la o astfel de declarație nu este posibil să auzi ceva de genul „bine, nu e vorba de noi, avem o companie mica,“ „dar care au nevoie de noi“, „trebuie să-l rupe, nu este nimic“.

Și asta nu e în întregime adevărat. Chiar dacă ne imaginăm o societate în care computerele nu au nimic, dar sistem de operare proaspăt instalat - resursele Este. Resursele care pot lucra. Și nu doar pentru tine.

Cu toate acestea, există opțiunea de a utiliza mașinile de rețea atakuschih cereri unui proxy. Prin urmare, activitățile lor ilegale te-ai implicat într-un lanț de secvențe de pachete și cel puțin adăuga la durerea societății-mamă, în caz de litigiu.

Și atunci se pune întrebarea: cum să se facă distincția legală de acțiuni ilegale?

De fapt, pe această temă și trebuie să răspundă la un sistem de detectare a intruziunilor. Cu el poate detecta cele mai multe dintre bine-cunoscutele atacuri asupra rețelei sale, și pentru a avea timp pentru a opri atacurile înainte de a ajunge la ceva important.

De obicei, în acest moment există o idee că raționamentul descris mai sus se poate realiza firewall convențional. Și pe bună dreptate, dar nu toate.

Modern Firewall poate fi completat cu o varietate de plug-in-uri care pot face lucruri similare asociate cu pachete de adâncime de inspecție. Adesea, aceste plugin-uri oferă ei înșiși IDS furnizori pentru a consolida Firewall ligament - IDS.

Ca o abstracție, vă puteți imagina IDS ca sistemul de alarmă de acasă sau de la birou. IDS va monitoriza perimetrul și va anunța când va fi ceva neintenționat. Dar nu IDS nu va preveni penetrarea.

Și această particularitate determină ca IDS formă pură, probabil, nu ceea ce vrei de la sistemul de securitate (cel mai probabil, nu doriți un sistem pentru a proteja acasa sau la birou - nu are încuietori).

Deci, acum aproape fiecare IDS este combinația de IDS și (Intrusion Prevention System - Sistem de prevenire a intruziunilor) IPS.

Apoi, trebuie să înțeleagă în mod clar diferențele dintre IDS și VS (Vulnerability Scanner - Vulnerability Scanner). Dar ele diferă pe principiul acțiunii. Scanere uyazvomostey - o măsură preventivă. Puteți scana toate resursele. Dacă scanerul găsește ceva, puteți repara.

Dar, după timpul pe care ați petrecut scanare și scanare la următoarea în infrastructura se poate schimba, iar scanarea este lipsită de sens ca nu mai reflectă situația reală. Poate schimba lucruri, cum ar fi setările de configurare pentru serviciile individuale, noi utilizatori, drepturile utilizatorilor existenți, adăuga noi resurse și servicii în rețea.

Spre deosebire de IDS este ca acestea să efectueze detectarea în timp real, cu configurația actuală.

Este important să se înțeleagă că IDS, de fapt, nu știu nimic despre vulnerabilități în serviciile din rețea. Ea nu a avut nevoie să. Acesta detectează atacurile prin propriile lor reguli - la apariția semnăturilor în traficul în rețea. Astfel, în cazul în care IDS va include, de exemplu, semnătura pentru atacul asupra webserver Apache, și ai să-l nicăieri - IDS detectează încă pachete cu astfel de semnături (poate că cineva încearcă să trimită exploit de la Apache la Nginx pe ignoranță, sau Se face set de instrumente automatizat).

Desigur, un astfel de atac asupra unui serviciu inexistent la nimic plumb, dar cu IDS Vei fi conștient de faptul că această activitate are loc.

O soluție bună este să se alăture scanari periodice de vulnerabilitate și încorporate IDS / IPS.

Metode de intruziuni. Detectarea Soluții software și hardware.

Astăzi, mulți furnizori oferă IDS / IPS soluții. Și ei vând toate produsele lor în diferite moduri.

Primul lucru pe care să ia în considerare - este scala: Va IDS / IPS pentru a lucra numai cu traficul pe care un anumit gazdă, sau dacă va investiga traficul către întreaga rețea.

Al doilea este că acesta a fost comercializat inițial produs: se poate soluție software și hardware-ul poate fi.

Să ne uităm la așa-numitele, IDS bazate pe gazdă (HIDS - Sistem de detectare a intruziunilor)

HIDS este doar exemplificat, și un produs implementare software este instalat pe o singură mașină. Astfel, acest tip de sistem „vede“, singurele informații disponibile pentru această mașină și, prin urmare, poate detecta atacurile afectează numai această mașină. Avantajul acestui tip de sistem este că a fi într-o mașină, ei văd toate structura sa internă și poate monitoriza și verifica mult mai multe obiecte. Nu numai traficul extern.

Astfel de sisteme monitorizează în mod obișnuit fișierele jurnal, încercând să identifice anomalii în fluxurile de evenimente, magazin de fișiere de configurare checksum critice și periodic să nu se schimbe dacă cineva compară aceste fișiere.

Și acum să comparăm aceste sisteme cu sisteme bazate pe rețea (NIDS), despre care am vorbit la început.

Pentru a lucra nevoile NIDs, de fapt, numai interfața de rețea din care NIDS poate primi trafic.

Mai mult, tot ceea ce face NIDS - compară traficul cu modele predefinite (semnături) atacuri, și imediat ce apare ceva sub semnături de atac, veți obține o notificare a unei tentative de intruziune. NIDS este, de asemenea, capabil să detecteze DoS și alte tipuri de atacuri care HIDS pur și simplu nu se poate vedea.

Puteți merge la comparație cu de altă parte:

Dacă alegeți IDS / IPS implementat ca o soluție software, veți obține controlul asupra unor „de fier“ pe care îl va instala. Și în cazul în care „de fier“ este deja acolo, puteți salva.

De asemenea, în implementarea programului, există versiuni gratuite ale IDS / IPS. Desigur, ar trebui să înțeleagă că, folosind un sistem liber, nu obține același suport tehnic, actualizări, viteza și de rezolvare a problemelor ca o versiune plătită. Dar aceasta este o modalitate buna de a începe. În ele puteți înțelege ceea ce ai cu adevarat nevoie de aceste sisteme, veți vedea ceea ce lipsește, că nu este necesar, de a identifica problemele, și veți ști ce să ceară de la sistemele de taxare vânzătorii de la început.

Dacă selectați o soluție de hardware, veți obține o cutie este aproape gata de utilizare. Beneficiile unui astfel de punere în aplicare sunt evidente - „de fier“, selectează vânzătorul și el trebuie să se asigure că această glandă decizia sa de a lucra cu caracteristicile menționate (nu încetini, nu închide). De obicei, situate în interiorul un fel de distribuție Linux, cu software-ul preinstalat. Aceste distribuții sunt, de obicei puternic tăiate pentru a oferi viteza de rapid, păstrează doar pachetele și utilitățile necesare (în același timp, rezolvă problema seta dimensiunea discului - mai mici cu atât mai puțin nevoia de HDD - reducerea costurilor de producție - mai mult profit).

Solutii software este adesea foarte exigente privind resursele de calcul.

Parțial datorită faptului în „caseta“ este doar IDS / IPS, iar pe servere cu IDS software / IPS se execută de obicei întotdeauna o mulțime de lucruri în plus.