Ips предотвращение вторжений. Особенности применения систем IPS

Система предотвращения вторжений (англ. Intrusion Prevention System , IPS) - программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.

Энциклопедичный YouTube

1 / 5

Основы работы IPS

Анализ защищенности сетевой инфраструктуры

Система обнаружения атак «Форпост» и решения

Контроль приложений с помощью сервисов FirePOWER

Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поколения

Субтитры

Классификация

Сетевые IPS (Network-based Intrusion Prevention, NIPS ): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

• IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS ): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине , спуфинг mac-адресов.
• Анализатор поведения сети (Network Behavior Analysis, NBA ): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
• IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS ): резидентные программы, обнаруживающие подозрительную активность на компьютере.

История разработок

История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:

1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
3. Недопущение переполнения буфера у наиболее распространенных программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети.

Анализ сетевых пакетов

Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса , поразивший подключенные к сети Unix -компьютеры ноября 1988 года.

По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986-го по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet , используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало все, что было связано с Стратегической оборонной инициативой президента Рейгана) . Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов , как первых систем обнаружения и фильтрации угроз.

Анализ программ и файлов

Эвристические анализаторы

Поведенческий блокиратор

С появлением новых видов угроз вспомнили о поведенческих блокираторах.

Первое поколение поведенческих блокираторов появилось ещё в середине 90-х годов. Принцип их работы - при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого - как известного, так и неизвестного - вируса . Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого - неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA , можно с очень большой вероятностью отличить вредоносные действия от полезных.

Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.

Тестирование от Current Analysis

В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков - компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

Для участников были сформулированы требования:

1. Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
2. Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
3. Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи .
4. Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.

После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems , продукт получил название Cisco Security Agent).

Дальнейшее развитие

В 2003 г. был опубликован отчёт компании Gartner , в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.

Методы реагирования на атаки

После начала атаки

Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного выполнения защищаемой системе может быть нанесён ущерб.

Блокирование соединения

Если для атаки используется TCP -соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.

Метод характеризуется двумя основными недостатки:

1. Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
2. Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.

Блокирование записей пользователей

Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.

Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.

Блокирование хоста компьютерной сети

Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:

• на который будут поступать команды об изменении конфигурации МЭ.
• который будет редактировать конфигурации МЭ для модификации его параметров.
Активное подавление источника атаки

Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.

Такой метод реализован в нескольких некоммерческих ПО:

• NetBuster предотвращает проникновение в компьютер «Троянского коня» . Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
• Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.

Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.

В начале атаки

Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.

С помощью сетевых датчиков

Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.

Анализ пакетов проводится на основе сигнатурного или поведенческого методов.

Система обнаружения и предотвращения вторжений

Система предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для обнаружения, журналирования и предотвращения атак злоумышленников на сервер, интегрированные службы (почта, веб-сайт и др.) и защищаемую интернет-шлюзом локальную сеть.

Правила блокировки трафика включают в себя блокирование активности троянских программ, spyware, бот-сетей, клиентов p2p и торрент -трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и многое другое.

Настроить службу можно на вкладке Правила - Предотвращение вторжений :

Установив или сняв галочку "Включить IDS/IPS " можно соответственно включить/выключить службу предотвращения вторжений.

В поле "Список локальных подсетей " добавьте локальные сети, обслуживаемые UTM. Как правило, это сети локальных интерфейсов UTM, а также могут быть маршрутизируемые на них сети удаленных сегментов локальной сети вашего предприятия. Ни в коем случае не указывайте сети, принадлежащие внешним сетевым интерфейсам UTM и внешним сетям. Указанные здесь сети участвуют в правилах службы предотвращения вторжения как локальные, характеризуя трафик в/из локальных сетей. Локальный межсегментный трафик не исключается из проверок системы.

Опция "Хранить записи журнала " позволяет выбрать время хранения логов системы: 1, 2 или 3 месяца.

При использовании системы предотвращения вторжений не рекомендуется использовать внутренние DNS-серверы для компьютеров сети, т.к. система анализирует проходящие через нее DNS-запросы и определяет по ним зараженные устройства. В случае использования внутреннего домена AD, рекомендуется на компьютерах указывать DNS-сервер Ideco UTM в качестве единственного DNS-сервера, а в настройках DNS-сервера на UTM указать Forward-зону для локального домена.

Журнал

В журнале можно просмотреть последние 100 строк логов предупреждений системы предотвращения вторжений.

Полные логи системы находятся на сервере в каталоге: /var/log/suricata

drop.log - информация об отклоненных пакетах.

fast.log - логи предупреждений.

suricata.log - логи работы службы.

В логах предупреждений указывается группа (Classification), к которой принадлежит сработавшее правило, ID правила и дополнительная информация.

Правила

На вкладке Правила доступны для просмотра и включения/отключения группы правил системы предотвращения вторжений.

При включении/отключении группы правил настройки применяются мгновенно, без необходимости перезапускать службу.

Исключения

Есть возможность отключить определенные правила системы предотвращения вторжений, в случае их ложных срабатываний или по другим причинам.

На вкладке "Исключения" можно добавить ID правила (его номер, см. пример анализа логов ниже).

Внимание! Со временем при обновлении баз ID правил могут меняться.

Пример анализа логов

Пример 1

04/04/2017-19:31:14.341627 [**] ET P2P BitTorrent DHT ping request [**] {UDP} 10.130.0.11:20417 -> 88.81.59.137:61024

Расшифровка полей:

04/04/2017-19:31:14.341627 - дата и время события.

Действие системы, Drop - пакет блокирован, любая другая информация в этом поле означает Alert, информирование.

[ 1:2008581:3 ] - ID правила в группе (ID содержится между знаками ":"). В случае, если правило необходимо добавить в исключения, нужно добавить туда номер 2008581 .

[**] ET CINS Active Threat Intelligence Poor Reputation IP group 3 [**] {UDP} 24.43.1.206:10980 -> 192.168.10.14:32346

Для более подробного анализа логов с IP компьютера 192.168.10.14 в консоли сервера выполняем команду:

grep "10.80.1.13:" /var/log/suricata/fast.log

Получаем достаточно большое количество строк с блокировками соединений с IP-адресами, классифицируемыми разными категориями опасности.

В результате анализа ПО на компьютере была обнаружена и удалена adware-программа, на которую не реагировал локально установленный антивирус.

Технические требования

Для работы системы предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 и более ядер) процессоры. Минимальное количество оперативной памяти для использования системы: 8 Гб.

После включения системы желательно проконтролировать, что мощности вашего процессора достаточно для проверки следующего через шлюз трафика.

В разделе Мониторинг - Системные ресурсы . Параметр load average (средняя загрузка за 1, 5 и 15 минут) не должен быть больше, чем количество физических ядер установленного процессора.

Системы обнаружения вторжений или IDS (Intrusion Detection System) появились не так давно, по крайней мере если сравнивать их с антивирусами или файрволами. Возможно по этой причине службы информационной безопасности не всегда считают нужным внедрять эти решения, уделяя основное внимания другим системам в области ИБ. А ведь практическая польза от IDS существует и она довольно существенна.

В отличие от межсетевых экранов, которые функционируют на базе заранее определенных политик, IDS служат для мониторинга и выявления подозрительной активности. Таким образом, IDS можно назвать важным дополнением для инфраструктуры сетевой безопасности. Именно с помощью с истемы обнаружения вторжений администратор сможет детектировать неавторизованный доступ (вторжение или сетевую атаку) в компьютерную систему или сеть, и предпринять шаги по предотвращению атаки.

В целом, благодаря IDS, представляющем собой программное или аппаратное решение, администратор сможет не только о бнаружить вторжение или сетевую атаку, но и спрогнозировать возможные будущие атаки и найти уязвимости для предотвращения их вторжения. Ведь атакующий предварительно выполняет ряд действий, таких как сетевое сканирование для обнаружения уязвимостей целевой системы. Кроме того, служба ИТ сможет документировать существующие угрозы и локализировать источник атаки по отношению к локальной сети: внешние или внутренние атаки.

От обнаружения вторжений - к предотвращению

В свою очередь, системы предотвращения IPS (Intrusion Prevention System) появились на базе IDS, то есть каждая IPS включает в себя модуль IDS. По своим функциям они довольно схожи, но есть и отличие, оно состоит в том, что заключается в том, что первая система - это «пассивное» решение, которая занимается мониторингом сетевых пакетов, портов, сравнивает трафик с определенным набором правил и оповещением при обнаружении вредоносностей, в то время как IPS блокирует его при попытках проникновения в сеть. В случае риска вторжения сетевое соединение отключается, либо блокируется сессия пользователя с остановкой доступа к ІР-адресам, аккаунту, сервису или приложению.

Кроме того, чтобы отвести угрозу атаки, IPS-устройства способны провести перенастройку межсетевого экрана или маршрутизатора. Некоторые решения также используют накатывание новых патчей при повышенной уязвимости хоста. Тем не менее, необходимо признать, что технологии IDS/ IPS не делают систему абсолютно безопасной.

Особенности архитектуры

При развертывании систем IPS используется четыре основных технологии. Первая - это установка выделенных устройств по периметру корпоративной сети, а также внутри нее. Как правило, IPS интегрирована в инфраструктуру, поскольку такой вариант намного выгоднее автономного решения. Прежде всего, потому что стоимость интегрированного устройства ниже цены автономного (stand-alone) устройства, да и стоимость внедрения ниже. В-третьих, выше надежность, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам.

Как правило, IPS интегрируют в маршрутизатор, тогда система получает доступ к анализируемому трафику. Это вторая используемая технология. Однако у этого варианта есть недостаток: интегрированная в маршрутизатор IPS способна отражать атаки только на периметре сети. Поэтому, чтобы защитить внутренние ресурсы, механизмы предотвращения атак внедряют в коммутаторы локальной сети.

Системы IDS/IPS устанавливаются по периметру корпоративной сети

Третий форпост IPS связан с быстро растущей популярностью беспроводных технологий. Поэтому системами IPS сегодня активно оснащают и точки беспроводного доступа. Подобные решения, помимо обнаружения и предотвращения различных атак, способны находить несанкционированно установленные точки доступа и клиентов.

Еще одним рубежом обороны является рабочая станция или сервер. В этом случае система IPS на рабочей станции или сервере устанавливается как прикладное ПО поверх ОС и называется Host IPS (HIPS). Подобные решения выпускаются множеством производителей. Например , можно отметить продукты , , , и другие .

Использование системы Host IPS ведет к сокращению частоты установки критических обновлений, помогает защищать конфиденциальные данные и выполнять регулятивные требования и предписания. Она сочетает в себе систему предотвращения вторжений (IPS) на основе анализа поведения и сигнатур, брандмауэр, имеющий функцию отслеживания состояния соединений, и механизм блокирования приложений с целью защиты всех конечных точек — настольных ПК, ноутбуков и серверов — от известных и неизвестных угроз.

Основные ошибки при внедрении

Системы IDS/IPS - это довольно сложный инструмент, требующий определенной квалификации при внедрении и постоянного внимания во время эксплуатации. Если этого не делать, то системы часто будут генерировать ложный сигнал, ошибочно определяя трафик как вредоносный.

Чтобы системы предотвращения вторжений работала надежно, требуется произвести настройку точности. Кроме того, устройство необходимо перманентно подстраивать при изменении конфигурации сети, а также к новым угрозам, появившимся в сети.

Эксперты называют семь основных ошибок при развертывании и эксплуатации систем Host IDS/IPS.

Во-первых, нельзя блокировать сигнатуры среднего и высокого уровня опасности без предварительного анализа собранных данных. Вместо этого рекомендуется заблокировать только сигнатуры высокого уровня опасности. Это обеспечит защиту от наиболее серьезных уязвимостей при небольшом числе ложных событий. В свою очередь, сигнатуры среднего уровня опасности работают по поведенческому алгоритму и обычно требуют обязательной предварительной настройки.

Во-вторых, нельзя использовать во всех системах одни и те же политики. Вместо этого надо разделить ПК на группы по приложениям и привилегиям, начиная с создания стандартных профилей для самых простых систем.

Далее, система Host IPS не приемлет принципа «поставил и забыл». В отличие от антивируса, здесь для обеспечения точности и эффективности защиты требуется регулярный мониторинг и регулярное обслуживание системы.

Кроме того, нельзя одновременно включать IPS, брандмауэр и режим блокирования приложений. Рекомендуется начать с IPS, затем добавить брандмауэр, а потом при необходимости активировать режим блокирования приложений.

Также нельзя оставлять IPS, брандмауэр или механизм блокирования приложений в адаптивном режиме на неопределенный срок. Вместо этого надо включить адаптивный режим на короткие промежутки времени, когда у ИТ-администратора есть возможность отслеживать создаваемые правила.

И наконец, нельзя немедленно блокировать все, что система распознает как вторжение. Сначала стоит убедиться, что наблюдаемый трафик действительно является вредоносным. В этом помогут такие средства, как захват пакетов, сетевой IPS и другие.

Публикации по теме

29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
28 января 2014 По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

Что такое система предотвращения атак

Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). IDS изначально лишь детектировали угрозы прослушивая трафик в сети и на хостах, а затем посылали администратору оповещения различными способами. IPS сейчас блокируют атаки сразу в момент их обнаружения, хотя могут и работать в режиме IDS - только оповещая о проблемах.

Иногда функционал IPS понимают как совместное функционирование в одном устройстве и IDS и firewall. Это часто вызвано тем, что некоторые IPS имеют встроенные правила блокирования пакетов по адресу источника и получателя. Однако, это не firewall. В firewall блокирование трафика полностью зависит от вашего умения настраивать правила, а в IPS от умения программистов производителя писать безошибочные алгоритмы поиска атак в идущем по сети трафике. Есть еще одна «похожесть»: технология firewall, известная как statefull inspection, очень похожа на одну из технологий, используемых в IPS для идентификации принадлежности разных соединений одному сетевому протоколу, и тут она называется port following. Различий гораздо больше, например, Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет.

Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. Для работы в соответствующем режиме в IPS встраивают так называемый модуль обхода. Благодаря ему, даже если вы случайно выключите питание IPS, то трафик будет идти свободно через устройство. Иногда IPS тоже настраивают блокировать трафик при выходе из строя - но это частные случаи, чаще всего используемые, когда два устроства используются в режиме High Avalability.
IPS это значительно более сложное устройство чем firewall. IPS используют для угроз, с которыми последний не справился. IPS заключает в себе концентрированные знания огромного числа специалистов по безопасности, которые выявили, нашли закономерности и затем запрограммировали код, выявляющий проблемы, в виде правил анализа контента идущего по сети.

IPS в корпоративных сетях являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. В итоге, для каждой атаки сейчас есть возможности не только идентифицировать ее, а затем оповестить администратора или заблокировать, но и провести полный анализ инцидента: собрать пакеты идущие от атакующего, инициировать расследование, произвести устранение уязвимости путем модификации пакета.

В сочетании с правильной системой управления безопасностью появляется возможность контролировать действия самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. Что, в общем, внесло осязаемый смысл в работу таких систем. Какой смысл говорить о проблемах в сети, если на эти проблемы никто не реагирует и не несет ответственности за это? Всем известна эта вечная проблема: тот кто несет убытки от нарушения работы компьютерной системы и тот кто защищает эту систему - разные люди. Если не рассматривать крайний случай, например, домашнего компьютера подключенного к Интернет.

Задержки трафика

С одной стороны хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее самим устройством. Но с другой стороны системы предотвращения атак приходится ставить не на SPAN порт свитча, а пропускать весь сетевой трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети. А в случае с VoIP это критично, хотя, если вы собираетесь защищаться от атак на VoIP, то другого способа защититься от таких атак нет.

Таким образом, одной из характеристик, по которой вам необходимо оценивать систему предотвращения атак при покупке являются величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно почитать исследования независимых тестовых лабораторий, например NSS. Доверять производителю одно, а проверить самому - другое.

Количество ложных срабатываний

Второй характеристикой на которую нужно смотреть: количество ложных срабатываний. Так же как мы раздражаемся от спама, точно такое же впечатление производят ложные срабатывания на администраторов безопасности. В конце концов администраторы, чтобы защитить свою психику, просто перестают реагировать на все сообщения системы и ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить эту систему более менее адекватно именно к угрозам в вашей сети нужно потратить уйму времени.

В некоторых системах обнаружения и предотвращения атак встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например от сканера безопасности. Например, если сканер безопасности увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со сто процентной уверенностью сказать что атака червя Slammer (которая нацелена на MS SQL) на данный сервер не пройдет. Таким образом такие системы корреляции помечают часть атак как неудавшиеся, что сильно облегчает работу администратора.

Современность защитных технологий

Третьей характеристикой являются методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Изначально существует два разных подхода: сигнатурные IPS ищут атаки, основываясь на найденных ранее эксплойтах, а IPS с анализом протоколов ищут атаки на базе знаний о найденных ранее уязвимостях. Если написать новый эксплойт для той же уязвимости, то IPS первого класса не обнаружат и не блокируют его, а второго класса и обнаружат и заблокируют. IPS второго класса гораздо эффективнее, поскольку блокируют целые классы атак. В итоге, у одного производителя нужно 100 сигнатур для обнаружения всех разновидностей одной и той же атаки, у другого достаточно одного правила, анализирующего уязвимость протокола или формата данных, которыми все эти разновидности атак пользуются. Недавно появился термин превентивная защита. В него включаются и возможность защиты от атак, которые еще неизвестны и защита от атак, которые уже известны, но производитель еще не выпустил патча. Вообще слово «превентивная» очередной американизм. Есть более русский термин: «своевременная» - та защита, которая срабатывает до того как нас взломали или заразили, а не после. Такие технологии уже есть и их надо использовать. Спросите у производителя при покупке: какие технологии превентивной защиты у них использованы и вы все поймете.

К сожалению, еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому вам для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов. Другое будет использовать методы статистические и аналитические по анализу аномалий в поведении сетевых потоков. Сигнатурные методы еще используются во многих системах обнаружения и предотвращения атак, но к сожалению они не оправдывают себя. Они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Сигнатурные антивирусы не справляются сейчас с новыми вирусами по той же причине - реактивность защиты. Поэтому, самыми передовыми методами анализа атак сейчас является полный анализ протокола. Идея этого метода в том, что анализируется не конкретная атака, а в самом протоколе ищется признак использования уязвимости атакующим. Например, система может отследить был ли перед началом TCP пакета с атакой трехпакетный обмен по установлению TCP соединения (пакеты с флагами SYN, SYN+ACK, ACK). Если перед проведением атаки нужно установление соединения, то система по анализу протоколов проверит были ли оно и если пойдет пакет с атакой без установления соединения, то она обнаружит, что такая атака неуспешна, поскольку соединения не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по другому. Они анализируют сетевой трафик (например, около недели) и запоминают какие сетевые потоки идут обычно. Как только возникает трафик, который не соответствует запомненному поведению - ясно, что в сети что-то происходит новое: например, распространение нового червя. Кроме того, такие системы связаны с центром обновлений и раз в час или чаще получают новые правила поведения червей и и другие обновления, например, списки фишинговых сайтов, что позволяет им их сразу блокировать, или списки хостов управления бот сетями, что сразу позволяет детектировать заражение какого-то хоста, как только он пытается соедиться с центром управления бот сетью и т.д.

Даже появление нового хоста в сети - для поведенческой системы важное событие: надо узнать что за хост, что на нем установлено, есть ли на нем уязвимости, а может новый хост сам будет атакующим. Для провайдеров такие поведенческие системы важны тем, что они позволяют отслеживать изменения в «грузопотоке», ведь провайдеру важно обеспечить скорость и надежность доставки пакетов, а если вдруг с утра оказалось, что весь трафик идет по одному каналу и не умещается в нем, а остальные несколько каналов в Интернет через других провайдеров незадействованы, то это значит, что где-то сбились настройки и надо заняться балансировкой и перераспределением нагрузки.
Для хозяина небольшой сети важно, что внутри не завелись атакующие, чтобы сеть не записали в черный список спамеров, чтобы атакующие не забили весь канал в Интернет мусором. А ведь за Интернет канал и трафик надо платить провайдеру деньги. Каждый директор фирмы хотел бы вовремя обнаруживать и останавливать трату денег на трафик бесполезный для бизнеса.

Анализируемые протоколы и форматы данных

Если мы говорим о технических специалистах, которые принимают решение о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно вас интересует что-то конкретное: например анализ атак в javascript, или отражение попыток sql injection, или DDoS атак, или у вас вообще SCADA (система контроля и управления датчиками) и нужно анализировать протоколы вашей специализированной системы, или вам критично защищать протоколы VoIP, в которых уже имеются уязвимости при реализации в силу их сложности.
Кроме того, не все знают, что события IPS бывают не только типа «атака», бывают еще типы «аудит» и «статус». Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ - её использование - атака. Если нет - значит вы просто можете отслеживать все подключения и кто с кем общается. Или просто отключить эту сигнатуру, если считаете это нетичным.

Специалисты

Возникает вопрос: где же брать таких специалистов, которые разбираются что нужно купить, и которые потом будут знать как реагировать на каждое сообщение системы предотвращения атак и даже смогут ее настраивать. Понятно, что можно пойти на курсы по обучению управлением такой системы, но на самом деле человек должен сначала разбираться в сетевых протоколах, потом в сетевых атаках, а потом в методах реагирования. А такие курсы отсутствуют. Тут нужен опыт. Есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений поступающих с консолей систем безопасности. В них работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернет и они обеспечивают эффективную защиту, а вы в свою очередь избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии имеющихся средств защиты начиная от VPN и заканчивая антивирусами. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А нанять специалиста обычно можно только на работу с понедельника по пятницу с 9 до 18, и то он иногда болеет, учится, ходит на конференции, ездит в командировки и, бывает, что неожиданно увольняется.

Поддержка продукта

Важно подчеркнуть такой момент в IPS как поддержка своих продуктов производителем. К сожалению обновления алгоритмов, сигнатур и правил до сих пор необходимы, поскольку технологии и злоумышленники не стоят на месте и нужно постоянно закрывать новые классы уязвимостей в новых технологиях. Каждый год находят несколько тысяч уязвимостей. Наверняка, ваши программные и аппаратные средства содержат несколько из них. Как вы узнавали про уязвимости в них и как потом защищались? А ведь нужен постоянный контроль за актуальностью защиты. Поэтому важным компонентом является постоянная поддержка защитных средств, которым вы доверили безопасность своей компании: наличие профессиональной команды, которая постоянно отслеживает новые уязвимости и своевременно пишет новые проверки, которая сама ищет уязвимости, чтобы быть впереди злоумышленников. Так что когда покупаете такую сложную систему как IPS посмотрите на то, какую поддержку предлагает производитель. Нелишне узнать насколько хорошо и вовремя он справился с атаками, которые уже были в прошлом.

Защита от методов обхода IPS

На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. (Управление IPS осуществляется через отдельный порт управления.) Однако, существуют методы обхода IPS, позволяющие его «обмануть» и провести атаку на защищаемые ими сети. В популярной литературе эти методы подробно описаны. Например, тестовая лаборатория NSS активно использует методы обхода для проверки IPS. Производителям IPS сложно противодействовать этим методам. И то, как производитель справляется с методами обхода и является еще одной интересной характеристикой системы предотвращения атак.

Важность использования IPS в корпоративных сетях назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак уже разработаны, так что остается только их грамотно установить и эксплуатировать. В статье специально не были названы имена производителей, чтобы сделать обзор свойств IPS максимально непредвзятым.

Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.

Общее описание технологии

Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:

• Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
• Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
• Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:

• IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
• IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
• IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).

Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.

Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.

1. Обнаружение атаки, основанное на сигнатурах.

Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:

• соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
• входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
• лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.

2. Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.

Технология IDS/IPS в ALTELL NEO

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO

№	Функция	Поддержка
1.	Обнаружение уязвимостей (эксплойтов) компонент ActiveX
2.	Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки
3.	Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C)
4.	Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями
5.	Обнаружение сетевого трафика от взломанных сетевых узлов
6.	Обнаружение сетевого трафика, направленного на сервера DNS
7.	Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service)
8.	Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list
9.	Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield
10.	Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов)
11.	Обнаружение трафика, характерного для компьютерных игр
12.	Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов
13.	Обнаружение сетевого трафика, характерного для атак на сервисы IMAP
14.	Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации
15.	Обнаружение сетевого трафика, характерного для вредоносных программ (malware)
16.	Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS
17 .	Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети)
18.	Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP)
19.	Обнаружение трафика, характерного для атак на сервисы POP3
20.	Обнаружение сетевого трафика от узлов сети Russian Business Network
21.	Обнаружение атак на сервисы RPC (удаленный вызов процедур)
22.	Обнаружение сетевого трафика программ сканирования портов
23.	Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера)
24.	Обнаружение трафика, характерного для атак на сервисы SMTP
25.	Обнаружение сетевого трафика протокола SNMP
26.	Обнаружение правил для различных программ баз данных SQL
27.	Обнаружение сетевого трафика протокола Telnet в сети
28.	Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP)
29.	Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности
30.	Обнаружение трафика, характерного для троянских программ
31.	Обнаружение атак на пользовательские агенты
32.	Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO)
33.	Обнаружение сетевого трафика, характерного для атак на сервисы VoIP
34.	Обнаружение уязвимостей (эксплойтов) для web-клиентов
35.	Обнаружение атак на web-серверы
36.	Обнаружение атак на основе инъекций SQL (sql-injection attacks)
37.	Обнаружение сетевого трафика, характерного для сетевых червей
38.	Защита от хакерских атак

Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.

В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

• Alert (режим IDS) - трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
• Drop (режим IPS) - анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
• Reject (режим IPS) - в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
• Pass (режим IDS и IPS) - в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.

Бесплатное тестирование

Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью