ShareIT — поделись знаниями!
Содержание
- Полезно
- Навигация
- Серверные решения
- Телефония
- Корпоративные сети
- Зачем вам 802.1X и что он решает?
- Модель OSI – это просто!
- IoT: топ – 10 уязвимостей интернета вещей
- Корпоративные сети передачи данных
- Что такое IPS, IDS, UTM?
- Содержание
- Классификация [ править | править код ]
- История разработок [ править | править код ]
- Методы реагирования на атаки [ править | править код ]
- После начала атаки [ править | править код ]
- Блокирование соединения [ править | править код ]
- Блокирование записей пользователей [ править | править код ]
- Блокирование хоста компьютерной сети [ править | править код ]
- Блокирование атаки с помощью межсетевого экрана [ править | править код ]
- Изменение конфигурации коммуникационного оборудования [ править | править код ]
- Активное подавление источника атаки [ править | править код ]
- В начале атаки [ править | править код ]
- Рекомендуем к прочтению
- После начала атаки [ править | править код ]
Полезно
Узнать IP — адрес компьютера в интернете
Онлайн генератор устойчивых паролей
Онлайн калькулятор подсетей
Калькулятор инсталляции IP — АТС Asterisk
Руководство администратора FreePBX на русском языке
Руководство администратора Cisco UCM/CME на русском языке
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Популярное и похожее
Зачем вам 802.1X и что он решает?
Модель OSI – это просто!
IoT: топ – 10 уязвимостей интернета вещей
Корпоративные сети передачи данных
Что такое IPS, IDS, UTM?
Если вы только думаете о том, чтобы заняться информационной безопасностью, вам не помешает знать эти аббревиатуры. Мы также поговорим о том что это, каковы их задачи и в чем их отличия.
Отличия IPS от IDS
IPS – Intrusion Prevention System, а IDS – Intrusion Detection System. То есть, первый помогает предотвращать вторжения, а второй помогает их обнаруживать. Но что интересно – они используют ну очень похожие технологии.
При всей похожести названий и технологий, это два абсолютно разных инструмента, которые используются в очень разных местах, разными людьми и выполняют очень разные задачи. /
Когда мы говорим про IPS/, то первое что приходит на ум – функционал фаервола, или межсетевого экрана – в нем всегда есть определенное количество правил: десятки, сотни, тысячи и иже с ними – в зависимости от требований. Большинство этих правил – разрешающие, т.е разрешить такой-то трафик туда-то, а в конце правила – все остальное запретить. Как вы наверное догадались, такой функционал реализуется с помощью ACL (листов контроля доступа).То есть, если трафик или его источник неизвестен – МСЭ его просто дропнет и все.
IPS в свою очередь повторяет историю про определенное количество правил – только эти правила в основном запрещающие: заблокировать такую-то проблему безопасности и т.д. Так что когда появляется пакет, IPS рассматривает свои правила свеху вниз, пытаясь найти причины дропнуть этот пакет. В конце каждого списка правил стоит скрытое «пропускать все остальное, что не попадает под критерии выше». Таким образом, в отсутствие повода или известной сигнатуры атаки, IPS просто пропустит трафик.
То есть МСЭ и IPS – устройства контроля. Они обычно находятся на периметре сети и следятпропускают только то, что соответствует политикам безопасности. И самой логичной причиной использования IPS является наличие огромного количества известных атак в сети Интернет – и каждое IPS устройство обладает набором сигнатур (типичных признаков атак), которые должны непрерывно обновляться, чтобы вас не могли взломать с помощью новомодного, но уже известного производителям ИБ средства.
Что такое UTM?
Очевидная мысль о том, что неплохо было бы оба этих устройства поместить в одну железку, породили нечто, называемое UTM – Unified Threat Management, где IPS уже встроен в МСЭ. Более того, сейчас в одно устройство очень часто помещается гигантское количество функций для обеспечения безопасности – IPS/IDS, защита DNS, защита от угроз нулевого дня (с облачной песочницей), возможность осуществления URL фильтрации и многое другое. В случае Cisco и их МСЭ ASA/FirePOWER, к примеру, если вы купите просто железку, без подписок – вы получите только функционал stateful firewall-а и возможность смотреть в приложения, то есть распаковывать пакет до 7 уровня. А дополнительные возможности, вроде описанных выше – становятся доступными только после покупки подписок.
Опять же, какой бы сладкой не казалась мысль об унифицированной чудо-коробке, которая защитит вас от хакеров, нужно признать, что такой дизайн подходит далеко не всем.Очень часто из-за высокой нагрузки или специфической задачи данные решения требуется разносить по отдельным устройствам. Опять же – если у вас на периметре будет стоять только одно UTM – устройство, то это будет самым слабым местом вашей сети, так что всегда нужно думать о резервировании подобных вещей.
Что такое IDS?
Если IPS – это определенно средство контроля, то IDS это средство для повышения видимости в вашей сети. IDS мониторит трафик в различных точках вашей сети и дает понимание того, насколько хорошо обстоят дела с точки зрения защищенности. Можно сравнить IDS с анализатором протоколов (всем известный Wireshark) – только в этом случае анализ направлен на оценку состояния безопасности.
В руках аналитика по ИБ в не очень большой и серьезной организации, IDS обычно служит как бы окном в сеть и может показать следующие вещи:
- Нарушения политик безопасности – например системы или пользователи, которые запускают приложения, запрещенные политиками компании
- Признаки заражения систем вирусами или троянами, которые начинают пытаться захватить полный или частичный контроль для дальнейшего заражения и атак
- Работающее шпионское ПО или кейлоггеры, «сливающие» информацию без уведомления пользователя
- Некорректно работающие фаерволы или их политики, некорректные настройки и т.д – все, что может повлиять на производительность и целостность сети
- Работающие сканеры портов, «левые» службы DNS и DHCP, внезапные средства для подключения к удаленному рабочему столу и пр.
Итак: IDS и IPS смогут замечать и предотвращать как автоматизированные вторжения, так и преднамеренные – но вместе они дают вам большую ценность, а именно – большую видимость и
Что же купить?
Если вы небольшая организация, мы бы посоветовали смотреть в сторону наборов «все-в-одном», а именно UTM решений. Опять же, многие вендоры сейчас выпускают гибридные продукты, которые совмещают в себе видимость IDS с возможностями контроля IPS. /
На всякий случай – IPS это не то, что один раз настроил и забыл. IPS систему нужно постоянно тюнинговать, чтобы она была заточена под именно вашу организацию и сеть. Если же этого не сделать, то возможно большое количество ложно-положительных и ложно-отрицательных срабатываний – то есть или пострадают какие-нибудь ваши сервисы, или вы пропустите много атак.
А если говорить про IDS, то важна не «крутость» и объем собираемых данных, а вид и удобство пользования системой конечным пользователем (скорость навигации через предоставленную IDS ценную информацию быстро и легко) – будь то системный администратор или аналитик.
Мы написали эту статью исключительно с целью общего понимания что такое IDS, IPS и UTM – конечно, есть огромное количество разнообразных типов этих систем и механизмов работы, но мы решили рассказать для начала очень кратко – чтобы дальше можно было уже глубже погружаться в подобные материи. И не забывайте, что существует огромное количество бесплатных IPS/IDS решений – каждый при должном желании и старании может попробовать скачать, установить и настроить подобное решение для более глубого понимания механизмов работы.
Пожалуйста, расскажите почему?
Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.
Система предотвращения вторжений (англ. Intrusion Prevention System , IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Содержание
Классификация [ править | править код ]
История разработок [ править | править код ]
История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:
- Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
- Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
- Недопущение переполнения буфера у наиболее распространённых программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
- Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и каталогам; обнаружение и блокировка источника инфекции в сети.
Анализ сетевых пакетов [ править | править код ]
Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса, поразивший подключенные к сети Unix-компьютеры ноября 1988 года.
По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986 по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. [1] Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. [1] Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet, используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало всё, что было связано с Стратегической оборонной инициативой президента Рейгана) [1] . Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов, как первых систем обнаружения и фильтрации угроз.
Анализ программ и файлов [ править | править код ]
Эвристические анализаторы [ править | править код ]
Поведенческий блокиратор [ править | править код ]
С появлением новых видов угроз вспомнили о поведенческих блокираторах.
Первое поколение поведенческих блокираторов появилось ещё в середине 1990-х годов. Принцип их работы — при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого — как известного, так и неизвестного — вируса. Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого — неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA, можно с очень большой вероятностью отличить вредоносные действия от полезных.
Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.
Тестирование от Current Analysis [ править | править код ]
В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков — компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.
Для участников были сформулированы требования:
- Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
- Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
- Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи.
- Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.
После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems, продукт получил название Cisco Security Agent). [2]
Дальнейшее развитие [ править | править код ]
В 2003 году был опубликован отчёт компании Gartner, в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.
Методы реагирования на атаки [ править | править код ]
После начала атаки [ править | править код ]
Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного предотвращения атаки, защищаемой системе может быть нанесён ущерб.
Блокирование соединения [ править | править код ]
Если для атаки используется TCP-соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.
Метод характеризуется двумя основными недостатками:
- Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
- Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.
Блокирование записей пользователей [ править | править код ]
Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.
Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.
Блокирование хоста компьютерной сети [ править | править код ]
Если с одного из хостов была зафиксирована атака, то может быть произведена его блокировка хостовыми датчиками или блокирование сетевых интерфейсов либо на нём, либо на маршрутизаторе или коммутаторе, при помощи которых хост подключён к сети. Разблокирование может происходить спустя заданный промежуток времени или при помощи активации администратора безопасности. Блокировка не отменяется из-за перезапуска или отключения от сети хоста. Так же для нейтрализации атаки можно блокировать цель, хост компьютерной сети.
Блокирование атаки с помощью межсетевого экрана [ править | править код ]
IPS формирует и отсылает новые конфигурации в МЭ, по которым экран будет фильтровать трафик от нарушителя. Такая реконфигурация может происходить в автоматическом режиме с помощью стандартов OPSEC (например SAMP, CPMI). [3] [4]
Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:
- на который будут поступать команды об изменении конфигурации МЭ.
- который будет редактировать конфигурации МЭ для модификации его параметров.
Изменение конфигурации коммуникационного оборудования [ править | править код ]
Для протокола SNMP, IPS анализирует и изменяет параметры из базы данных MIB (такие как таблиц маршрутизации, настройки портов) с помощью агента устройства, чтобы блокировать атаку. Также могут использованы протоколы TFTP, Telnet и др.
Активное подавление источника атаки [ править | править код ]
Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.
Такой метод реализован в нескольких некоммерческих ПО:
- NetBuster предотвращает проникновение в компьютер «Троянского коня». Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» («обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
- Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.
Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.
В начале атаки [ править | править код ]
Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.
С помощью сетевых датчиков [ править | править код ]
Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены. [5]
Анализ пакетов проводится на основе сигнатурного или поведенческого методов.
Система предотвращения вторжений (IPS)
В рамках данной статьи мы рассмотрим систему предотвращения вторжений (IPS) и научимся настраивать ее на FortiGate. Как уже говорилось ранее, IPS использует базы сигнатур для обнаружения известных атак, а также протокольные декодеры для обнаружения сетевых проблем и аномалий.
Что такое протокольные декодеры?
Разберемся с протокольными декодерами чуть подробнее. Они анализирует каждый пакет в соответствии со спецификациями протокола. Некоторым декодерам требуется конкретный номера порта (определяется в командной строке), но обычно он определяется автоматически. Если трафик не соответствует спецификации, например, отправляет неверные команды, декодер протокола обнаружит ошибку.
Понятие и типы баз сигнатур
Теперь поговорим о пополнении базы сигнатур и обновлении механизма IPS. По умолчанию начальный набор сигнатур IPS включен в каждую версию встроенного ПО FortiGate. Данные базы обновляются с помощью службы FortiGuard. Обновление доступно в том случае, если активна лицензия на FortiGuard Services. В таком случае система IPS остается эффективной против новых угроз. Однако, если лицензия не активна, базы IPS продолжают работать, но не обновляются. Сигнатуры IPS обновляются регулярно. Сам же механизм IPS обновляется реже.
Базы сигнатур делятся на обычные и расширенные. Обычные базы сигнатур содержат информацию об общих атаках, в таком случае ложные срабатывания бывают очень редко, или их не бывает вообще. Расширенные базы содержат сигнатуры атак, которые могут оказывать значительное влияние на производительность, а также тех атак, которые нельзя заблокировать из-за их особого строения. Расширенные базы могут не поддерживаться FortiGate с малыми объемами памяти, однако в тех случаях, когда требуется обеспечить высокую безопасности сети, рекомендуется использовать именно эту базу сигнатур.
Настройка сигнатур
Для того, чтобы настроить IPS в FortiGate, необходимо перейти в меню Security Profiles → Intrusion Prevention System. Переход в меню создания нового профиля аналогично примеру, рассмотренному в статье по профилям безопасности.
Существует два способа добавления сигнатур IPS к вашему профилю. Первый способ — добавление сигнатур индивидуально. Второй же — с помощью определенных фильтров. Этим способом можно выбрать сразу несколько сигнатур, совпадающих по определенным свойствам.
В поле IPS Signatures выбрана одна сигнатура и поставлено действие — block (см. рис. 1). В поле IPS Filters выбран уже фильтр — ОС Linux. Это значит, что теперь профиль безопасности AgainstLinux содержит сигнатуры, обнаруживающие атаки на ОС Linux.

Рисунок 1. Пример добавления сигнатур.
Так же присутствует возможность добавлять Rate Based сигнатуры для определенного трафика, для того, чтобы блокировать его, если объем этого трафика превышает допустимый за определенный период времени. Вы можете изменить время и объем, которые изначально установлены по умолчанию.
Когда движок IPS сравнивает трафик с сигнатурами, порядок расположения сигнатур в каждом фильтре имеет значение. Это действие аналогично проверке политик брандмауэра. То есть сначала сравниваются сигнатуры, находящиеся в начале списка. И если обнаружено совпадение, проверка дальше не производится. Таким образом, необходимо более подходящие сигнатуры располагать в начале списка. Необходимо так же избегать большого количества групп сигнатур в каждом фильтре, а также большого количества фильтров — это уменьшит производительность.
В случае ложного срабатывания сигнатуры вы можете изменить действие на Monitor. Так, трафик, соответствующий данной сигнатуре, будет проходить, но вы сможете отслеживать события, связанные с ним.
Иногда необходимо исключить срабатывание определенных сигнатур на IP адреса некоторых источников или приемников. Это помогает решать проблемы с ложными срабатываниями сигнатур. Настраивать исключения необходимо для каждой сигнатуры индивидуально. Каждая сигнатура может иметь несколько исключений. Чтобы добавить исключение, необходимо выделить требуемую сигнатуру и нажать на кнопку Edit IP Exemption.
После выбора фильтров или сигнатур, необходимо выбрать действие, которое будет применяться над ними. Щелкните правой кнопкой мыши на выбранный фильтр/сигнатуру и выберите действие:
• Pass — пропустить трафик до пункта назначения;
• Monitor — пропустить трафик до пункта назначения и регистрировать его активность;
• Block — отбрасывание трафика;
• Reset — генерация пакета TCP RST при обнаружении сигнатуры;
• Quarantine — помещает IP адрес атакующего в карантин на определенное время. Время может быть выставлено любое, на ваше усмотрение;
• Packet Logging — позволяет сохранять копии пакетов, которые совпали с сигнатурами, для их последующего анализа.
После того, как профиль IPS настроен, необходимо применить его к нужной политике. Делается это так же, как мы применяли профиль антивируса в статье про профили безопасности, только вместо поля Antivirus — поле IPS.






