6.3.2 Средства определения вторжения

• Системы обнаружения вторжения

• Средства сетевого наблюдения

• Антивирусное программное обеспечение

Системы обнаружения вторжения

Система обнаружения вторжения (intrusion detection system – IDS) для компьютера подобна системе охраны дома. При обнаружении вторжения, IDS уведомляет сетевого администратора, подобно тому, как срабатывает тревога в домашней системе безопасности для уведомления домовладельцев. IDS собирает и анализирует информацию внутри компьютера или сети для определения возможных нарушений защиты. В случае нарушения защиты, IDS может помочь в обнаружении злоумышленника, предоставив отчет о событиях дня. Однако IDS не блокирует потенциально разрушительный трафик. При использовании вместе с firewall IDS может проверить настройки firewall и обеспечить дополнительный уровень безопасности, который предупреждает сетевого администратора о подозрительных данных, проходящих через firewall. По сравнению с firewall, IDS обеспечивает более глубокий мониторинг трафика.

IDS работает, сопоставляя входящий трафик с записям сигнатурной (signature) базы данных известных атак или подозрительной деятельности и предупреждает администраторов при таком соответствия. ID (intrusion detection) сигнатура (ID signature) может быть специальным состоянием TCP, специальными байтами в заголовке IP или специальным байтовым потоком в пакете. Некоторые подписи нападений и характерные базы данных общедоступны. IDS может также послать автоматические уведомления для предупреждения сетевых администраторов о потенциальных нарушениях безопасности через разнообразные каналы, в том числе электронную почту и мобильные телефоны. Эти уведомления могут помочь сетевым администраторам определить последующие шаги для анализа нарушения безопасности и усиления стратегии защиты.

Сильные стороны IDS:

• Может отследить каждый шаг атаки

• Нельзя легко обойти

Слабые места IDS:

• Не может блокировать вторгающийся трафик

• Устойчивость зависит от базы данных

• Возможны ложные тревоги

• Установка может потребовать определенных знаний о конфигурации и безопасности систем

Примером IDS с открытым кодом является Snort. Она сохраняет активный файл протокола для определения возможных атак или нарушений доступа, происходящих в реальном времени. Она также может следить и проверять сетевой трафик и неудачные попытки соединения, подключения к/от необычных расположений, несанкционированные сетевые зондирования, систематические сканирования портов, трафик, противоречащий установкам firewall и необычную активность принятия файлов.

Установка IDS

Обычно, IDS устанавливается после firewall для более основательного анализа пакетов, фильтруемых firewall. Рисунок внизу показывает, как можно установить IDS в сетевой системе.

Рисунок 1. Установка IDS

Средства сетевого наблюдения

Сетевой мониторинг нужно проводить непрерывно для поддержки доверия к надёжности защищаемой сети и источников данных. Сетевые мониторы могут устанавливаться в стратегических местах, для непрерывного сбора и анализа информации, которая может указать на подозрительную деятельность. Некоторые системы могут реагировать на подозрительную сетевую деятельность, блокируя подозрительные подключения, ограничивая или отключая действующие сервисы, изолируя пораженные системы и собирая свидетельства для последующего анализа. Дополнительно, мониторинг может помочь определить, эффективны ли контрмеры защиты.

Внизу приведен список средств сетевого наблюдения с кратким описанием, которое даст вам возможность понять, какие средства сетевого мониторинга используются в настоящее время.

• Tripwire® - позволяет определять непредвиденное содержимое файлов и папок

• Analyzer/Sniffer - захватывает и анализирует сетевые пакеты. Собирает информацию о данных, проходящих через вашу сеть, и расшифровывает анализируемые данные.

• Big Brother - тестирует состояния системы и доступность сетевых сервисов и уведомляет администраторов о системных проблемах.

• Ethereal - позволяет исследовать данные из Интернета или файл с диска. Это бесплатный анализатор сетевого протокола для UNIX и Windows (включая Win2K).

Антивирусное программное обеспечение

Вирусные атаки могут распространяться быстро, они обходятся дорого и требуют много времени для восстановления нормальной работы. Исследователи в CAIDA оценивают, что Code Red червь заразил 359,000 компьютеров менее чем за 14 часов. [CAIDA] Поэтому необходимы инвестиции в установку антивирусного программного обеспечения на всех серверах и рабочих станциях в пределах защищенной сети, чтобы защититься от разрушительных программных атак.

Вообще, антивирусное программное обеспечение ищет в файлах (или памяти) признаки злоумышленного кода, используя вирусный профиль (иногда называемый "сигнатурой"), предоставленный продавцом программного обеспечения. Антивирусное программное обеспечение может также удалить вирусы из файлов, изолировать файлы, которые не могут быть почищены и обнаруживает Троянских коней и червей. Некоторые антивирусные средства могут восстанавливать данные, удаленные вирусами.

Так как новые вирусы обнаруживаются каждый день, эффективность антивирусного программного обеспечения зависит от наличия последних вирусных баз, установленных на вашем компьютере. Некоторые продавцы антивирусных средств обеспечивают сервисы подписки или другие возможности распространения, помогающие пользователям в получении последних баз данных вирусов.

Сильные стороны антивирусного программного обеспечения:

• Защищает пользователей от переносимого почтой вредоносного кода, невыявленного IDS и системой сетевой защиты

• Может вирусы, распространяемые через сеть

Слабые стороны антивирусного программного обеспечения:

• Необходимо периодическое обновление

• Не защищает от всех сетевых нападений

Две популярные антивирусные программы – средства Norton Anti-Virus и McAfee Anti-Virus. Нажмите на какую-нибудь из ссылок для просмотра библиотек с информацией о вирусах.

Дополнительную информацию о вирусах и антивирусных программах вы можете найти на CERT Computer Virus Resource page.

Вы можете также прочитать статью «Malicious Code Propagation and Antivirus Software Updates» со страницы инцидентов на CERT.