- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
Лекция 8. Классификация ids
Цель: изучить классификацию систем обнаружения вторжений
План:
Основное понятие IDS
Варианты IDS
Классификация IDS
Все, кого не спроси о том, что нужно для обеспечения хорошего уровня безопасности своего компа или локальной сети в один голос скажут - хороший, грамотно настроенный файрволл + антивирусная система. Ну не все, конечно, но большинство точно. Например, был недавно на одном форуме и прочитал статейку на тему безопасности. Смысл сводился к одному - firewall is the must, ну и еще говорилось о том, как его настроить правильно :). Ну и так далее... На самом деле этого часто бывает недостаточно. В этой статье я опишу основные принципы работы различных IDS и сделаю краткий их обзор - под Windows и unix. А Что делать с данной инфой решать тебе. Если тебя заботит высокий уровень безопасности своей системы, можешь поставить IDS себе на комп.
Что такое IDS и как она работает. Существует много программных продуктов, сочетающих в себе функции файволла и IDS. Например @guard или McAfee Firewall и т.д. Основная функция - блок наиболее распространенных портов - типа 139 и 31337 :). Если говорить просто и коротко, то IDS - более "умный" файрволл. IDS - система обнаружения вторжений, которая позволяет фиксировать и блокировать попытку взлома компьютера + об этом оповещать. Если хочешь составить себе представление о том, как функционирует IDS, то представь себе этакий гибрид анализатора, сниффера, системы блокировки и системы оповещения, которая делает все, что угодно - пишет в лог, играет звуковой файл, пишет в консоль, шлет почту и даже кидает SMS :). Вот так работает классическая IDS: на сервер коннектится хакер и, естественно, предпринимает какие-то действия. Система снифферит весь входящий траффик на предмет наличия вредоносных кодов, команд. Как она определяет, что эта команда вредоносная:)? В систему вписано большое количество уязвимостей разных типов - она просто сопоставляет действия хакера с действиями, необходимыми для реализации этих багов, и чуть что, поднимает панику.
Теперь о том, как делятся различные IDS по уровню обнаружения атак и по вариации принципов их деятельности.
1. NIDS - Network Intrusion Detection Systems. Механизм работы частично заимствован у сниффера, частично у антивирусной системы. Слышал о так называемом эвристическом анализе антивируса? В Касперском это есть. Это когда антивирус работает с шаблонами характерный действий вируса. Отличие IDS в том, что в ней не происходит поиска опасного кода, а идет анализ траффика на предмет нахождения подозрительных свойств, относящихся к какому-нибудь способу взлома. Еще NIDS может вовремя принять необходимые действия в случае когда на систему еще только готовится нападение. Как известно, первый этап атаки на локальную сеть - сбор данных - так называемая инвентаризация сети. Если хакер для этого просто примитивно сканирует порты, NIDS обнаружит это и вовремя будет реагировать. Это классическая IDS.
2. GrIDS - Graph-Based Intrusion Detection System. Попросту говоря, GrIDS - просто усовершенствованная NIDS. Как я уже говорил, одна из задач любой IDS - пресечь сбор данных о локальной сети. Естественно, проводить инвентаризацию методами, которые может зафиксировать обычная NIDS никто нормальный не будет. Какой смысл светиться, даже не начав атаку? Поэтому был разработан другой способ - распределенный сбор информации. Для этого надо, чтобы у атакующего было несколько компов. Это позволяет избежать фиксации факта сбора инфы обычной NIDS - она не чувствует сходства траффика с шаблонами, которые характеризуют тактику инвентаризации или вторжения. Но на GrIDS такой способ не распространяется. У GrIDS другой принцип функционирования: имеется много снифферов и каждый устанавливается в определенный сегмент сети. Переданная ими информация собирается в одно целое, происходит анализ полученных данных и они представляются в виде схемы информационных потоков - так называемого графа. Отсюда и название - Graph-Based Intrusion Detection System. Такой принцип действия позволяет распознавать сложные тактики хакеров. Кстати, с помощью таких систем обнаруживаются сетевые черви. Но все-таки даже такая навороченная система как GrIDS - далеко не выход.
3. OIDS - Operational Intrusion Detection Systems. Эти системы разработаны на тот случай, если хакеру все-таки удалось проникнуть внутрь сети от имени какого-то легального пользователя (под чужим логином) или атака на сеть идет из нее самой. Надо немножко отвлечься и сообщить статистические данные - 18% взломов приходятся на долю внешних взломов, и 82% - на внутренние. Все становится понятно... Принцип действия OIDS: система сопоставляет линию поведения пользователя, зарегистрированного под определенным логином (она составляется из тех действий, которые совершает юзер с начала регистрации) с теми действиями, которые производятся от имени этого юзера в данный момент времени. И если система выявляет какие-то разительные отличия в поведении, то она поднимает панику. Попросту говоря, OIDS оценивают типичность операций каждого пользователя (в отличие от NIDS, которые оценивают типичность траффика)
4. Host Based IDS - дополнительная мера защиты - это уже совсем круто. Такие системы применяются для защиты особенно важных или наиболее уязвимых участков LAN. Работают они так: тот самый модуль анализа (анализатор), который включает в себя любая IDS, устанавливается прямо на те вещи, которые собираются защищать. Потом Host Based IDS анализирует траффик на наличие типичных сигнатур (Сигнатуры это то, что выше я называл подозрительными свойствами, относящимися к одному из способов взлома). Или по-другому - IDS проверяет контрольную сумму файлов на объекте и через некоторое время сравнивает ее с более поздней суммой. Так выявляется факт несанкционированного изменения файлов
5. И наконец самые сложные - ERIDS (External Routing Intrusion Detection System). Они созданы для противостояния самым изощренным и нетривиальным попыткам взлома и инвентаризации. Например, если хакер атакует маршрутизатор и изменяет его опции так, что он направляет траффик через те сегменты сети, которые не контролируются IDS.
Каждая IDS далеко не самодостаточна - разработчики, естественно, учитывают взаимодействие своего продукта с разного рода файрволлами и антивирусными системами.
Системы обнаружения вторжений (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия. Рост в последние годы числа проблем, связанных с компьютерной безопасностью, привёл к тому, что системы обнаружения вторжения очень быстро стали ключевым компонентом любой стратегии сетевой защиты. За последние несколько лет их популярность значительно возросла, поскольку продавцы средств защиты значительно улучшили качество и совместимость своих программ.
Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.
Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.
Но системы обнаружения вторжений лишь один из инструментов защитного арсенала и он не должен рассматриваться как замена для любого из других защитных механизмов. Защита информации наиболее эффективна, когда в интрасети поддерживается многоуровневая защита. Она складывается из следующих компонентов:
Политика безопасности интрасети организации;
Система защиты хостов в сети;
Сетевой аудит;
Защита на основе маршрутизаторов;
Межсетевые экраны;
Системы обнаружения вторжений;
План реагирования на выявленные атаки.
Следовательно для полной защиты целостности сети необходима реализация всех вышеперечисленных компонентов защиты. И использование многоуровневой защиты является наиболее эффективным методом предотвращения несанкционированного использования компьютерных систем и сетевых сервисов. Таким образом, система обнаружения вторжений – это одна из компонент обеспечения безопасности сети в многоуровневой стратегии её защиты.