Система предотвращения вторжений

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Система предотвращения вторжений (англ. Intrusion Prevention System, IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.

Классификация[править | править вики-текст]

  • Поведение Системы обнаружения вторжения (слева), поведение Системы предотвращения вторжения (справа).
    Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
  • IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.
  • Анализатор поведения сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
  • IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.

История разработок[править | править вики-текст]

История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:

  1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
  2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
  3. Недопущение переполнения буфера у наиболее распространенных программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
  4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети.

Анализ сетевых пакетов[править | править вики-текст]

Основная статья: Межсетевой экран

Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса, поразивший подключенные к сети Unix-компьютеры ноября 1988 года.

По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986-го по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли.[1] Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли.[1] Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet, используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало все, что было связано с Стратегической оборонной инициативой президента Рейгана)[1]. Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов, как первых систем обнаружения и фильтрации угроз.

Анализ программ и файлов[править | править вики-текст]

Эвристические анализаторы[править | править вики-текст]

Основная статья: Эвристический анализ


Поведенческий блокиратор[править | править вики-текст]

С появлением новых видов угроз вспомнили о поведенческих блокираторах.

Первое поколение поведенческих блокираторов появилось ещё в середине 90-х годов. Принцип их работы — при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого — как известного, так и неизвестного — вируса. Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого — неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA, можно с очень большой вероятностью отличить вредоносные действия от полезных.

Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.

Тестирование от Current Analysis[править | править вики-текст]

В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков — компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

Для участников были сформулированы требования:

  1. Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
  2. Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
  3. Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи.
  4. Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.

После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems, продукт получил название Cisco Security Agent).[2]

Дальнейшее развитие[править | править вики-текст]

В 2003 г. был опубликован отчёт компании Gartner, в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.

Методы реагирования на атаки[править | править вики-текст]

После начала атаки[править | править вики-текст]

Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного выполнения защищаемой системе может быть нанесён ущерб.

Блокирование соединения[править | править вики-текст]

Если для атаки используется TCP-соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.

Метод характеризуется двумя основными недостатки:

  1. Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
  2. Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.

Блокирование записей пользователей[править | править вики-текст]

Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.

Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.

Блокирование хоста компьютерной сети[править | править вики-текст]

Если с одного из хостов была зафиксирована атака, то может быть произведена его блокировка хостовыми датчиками или блокирование сетевых интерфейсов либо на нём, либо на маршрутизаторе или коммутаторе, при помощи которых хост подключён к сети. Разблокирование может происходить спустя заданный промежуток времени или при помощи активации администратора безопасности. Блокировка не отменяется из-за перезапуска или отключения от сети хоста. Так же для нейтрализации атаки можно блокировать цель, хост компьютерной сети.

Блокирование атаки с помощью межсетевого экрана[править | править вики-текст]

IPS формирует и отсылает новые конфигурации в МЭ, по которым экран будет фильтровать трафик от нарушителя. Такая реконфигурация может происходить в автоматическом режиме с помощью стандартов OPSEC (например SAMP, CPMI).[3][4]

Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:

  • на который будут поступать команды об изменении конфигурации МЭ.
  • который будет редактировать конфигурации МЭ для модификации его параметров.

Изменение конфигурации коммуникационного оборудования[править | править вики-текст]

Для протокола SNMP, IPS анализирует и изменяет параметры из базы данных MIB (такие как таблиц маршрутизации, настройки портов) с помощью агента устройства, чтобы блокировать атаку. Также могут использованы протоколы TFTP, Telnet и др.

Активное подавление источника атаки[править | править вики-текст]

Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.

Такой метод реализован в нескольких некоммерческих ПО:

  • NetBuster предотвращает проникновение в компьютер «Троянского коня». Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
  • Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.

Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.

В начале атаки[править | править вики-текст]

Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.

С помощью сетевых датчиков[править | править вики-текст]

Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.[5]

Анализ пакетов проводится на основе сигнатурного или поведенческого методов.

С помощью хостовых датчиков[править | править вики-текст]

  • Удаленные атаки, реализуемые отправкой от злоумышленника серией пакетов. Защита реализуется с помощью сетевой компоненты IPS по аналогии с сетевыми датчиками, но в отличие от последних сетевая компонента перехватывает и анализирует пакеты на различных уровнях взаимодействия, что даёт предотвращать атаки по криптозащищённым IPsec- и SSL/TLS соединениям.
  • Локальные атаки при несанкционированном запуске злоумышленником программ или других действиях, нарушающих информационную безопасность. Перехватывая системные вызовы всех приложений и анализируя их, датчики блокируют те вызовы, которые представляют опасность.[5]

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

Ссылки[править | править вики-текст]