Behatolásgátló rendszer

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2013. március 16-án áttekintett verziótól ; az ellenőrzések 35 szerkesztést igényelnek .

Intrusion Prevention System ( IPS) egy szoftveres vagy hardveres hálózati és számítógépes biztonsági rendszer, amely észleli a behatolásokat vagy a biztonsági réseket, és automatikusan védekezik ellenük.

Az IPS-rendszerek az Intrusion Detection Systems (IDS) kiterjesztésének tekinthetők, mivel a támadások követésének feladata változatlan marad. Különböznek azonban abban, hogy az IPS-nek valós idejű tevékenységet kell figyelnie, és gyorsan intézkednie kell a támadások megakadályozása érdekében.

Osztályozás

Hálózati IPS ( Network-based Intrusion Prevention, NIPS ): figyeli a számítógépes hálózat forgalmát és blokkolja a gyanús adatfolyamokat.
IPS vezeték nélküli hálózatokhoz ( Wireless Intrusion Prevention Systems, WIPS ): ellenőrzi a tevékenységet a vezeték nélküli hálózatokon. Különösen a rosszul konfigurált vezeték nélküli hozzáférési pontokat, a köztes támadásokat és a MAC- címhamisítást észleli .
Network Behavior Analysis (NBA ) : elemzi a hálózati forgalmat, azonosítja az atipikus áramlásokat, például a DoS és DDoS támadásokat.
IPS az egyes számítógépekhez ( Host-based Intrusion Prevention, HIPS ): rezidens programok, amelyek észlelik a gyanús tevékenységeket a számítógépen.

Fejlesztési előzmények

A modern IPS fejlődésének története több független megoldás, proaktív védelmi módszer kifejlesztésének történetét foglalja magában, amelyeket különböző időpontokban fejlesztettek ki különböző típusú fenyegetésekre. A piac által ma kínált proaktív védelmi módszerek a következők:

Process Behavior Analyzer a rendszerben futó folyamatok viselkedésének elemzésére és a gyanús tevékenységek, azaz az ismeretlen rosszindulatú programok észlelésére.
A fertőzés lehetőségének kiküszöbölése a számítógépen, az ismert vírusok által már használt portok blokkolása, illetve az új módosításaik által használható portok blokkolása.
Puffer túlcsordulás megelőzése a leggyakoribb programok és szolgáltatások számára, amelyet a támadók leggyakrabban támadások végrehajtására használnak.
A fertőzés okozta károk minimalizálása, további szaporodásának megakadályozása, a fájlokhoz és könyvtárakhoz való hozzáférés korlátozása; a fertőzés forrásának észlelése és blokkolása a hálózatban.

Hálózati csomagelemzés

A Morris férget , amely 1988 novemberében fertőzte meg a hálózatba kapcsolt Unix számítógépeket, általában az első fenyegetésként említik, amely az ellenintézkedések behatolását fenyegeti .

Egy másik elmélet szerint a hackerek egy csoportjának a Szovjetunió és az NDK titkosszolgálataival közös akciói váltak ösztönzővé egy új erődítmény létrehozására. 1986 és 1989 között a csoport, amelynek ideológiai vezetője Markus Hess volt, továbbította nemzeti hírszerző ügynökségeiknek azokat az információkat, amelyeket számítógépekbe való behatolással szereztek. Az egész egy ismeretlen, mindössze 75 centes számlával kezdődött a Nemzeti Laboratóriumban. E. Lawrence a Berkeley-ben. [1] Származásának elemzése végül Hesshez vezetett, aki programozóként dolgozott egy kis nyugatnémet cégnél, és a hamburgi székhelyű Chaos Computer Club szélsőséges csoporthoz is tartozott. Az általa szervezett invázió otthonról, egy egyszerű modemen keresztüli telefonhívással kezdődött, amely kapcsolatot biztosított számára az európai Datex-P hálózattal, majd behatolt a Brémai Egyetem könyvtárának számítógépébe, ahol a hacker megkapta a szükséges jogosultságokat és már eljutottak a Nemzeti Laboratóriumba. E. Lawrence a Berkeley-ben. [1] Az első naplót 1987. július 27-én jegyezték be, és a rendelkezésre álló 400 számítógépből körülbelül 30-ba tudott bejutni, majd csendesen átjutott a zárt Milnet hálózaton , különösen egy csapda segítségével. a Strategic Defense Initiative Network Project nevű fájl (minden érdekelte, ami Reagan elnök Stratégiai Védelmi Kezdeményezésével kapcsolatos ) [1] . Azonnali válasz a külső hálózati fenyegetések megjelenésére a tűzfalak létrehozása volt , mint a fenyegetések észlelésére és szűrésére szolgáló első rendszerek.

Programok és fájlok elemzése

Heurisztikus analizátorok Viselkedésblokkoló

Az új típusú fenyegetések megjelenésével a viselkedési blokkolók emlékeztek meg.

A viselkedési blokkolók első generációja az 1990-es évek közepén jelent meg. Munkájuk elve - amikor potenciálisan veszélyes műveletet észleltek, a felhasználót megkérdezték, hogy engedélyezi-e vagy megtagadja a műveletet. Elméletileg a blokkoló képes megakadályozni bármely ismert és ismeretlen vírus terjedését . Az első viselkedésblokkolók fő hátránya a felhasználóhoz intézett kérések túlzott száma volt. Ennek az az oka, hogy a viselkedési blokkoló nem tudja megítélni egy cselekvés ártalmasságát. A VBA nyelven írt programokban azonban nagyon nagy valószínűséggel meg lehet különböztetni a rosszindulatú és a hasznos tevékenységeket.

A viselkedésblokkolók második generációja abban különbözik, hogy nem egyedi cselekvéseket, hanem cselekvések sorozatát elemzik, és ez alapján vonnak le következtetést egy adott szoftver ártalmasságáról.

Tesztelés az aktuális elemzésből

2003-ban a Mike Fratto által vezetett Current Analysis a következő gyártókat hívta meg a HIP termékek tesztelésére: Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( az IBM része ) és a WatchGuard. Ennek eredményeként csak a következő termékeket tesztelték a Syracuse Egyetem RealWorld Labjában : Argus PitBull LX és PitBull Protector, CA eTrust Access Control, Entercept Web Server Edition, Harris STAT Neutralizer, Okena StormWatch és StormFront Server, Okena'sLock /Webóra őr.

A résztvevőkkel szemben a következő követelményeket fogalmazták meg:

A terméknek lehetővé kell tennie a gazdagép biztonsági szabályzatának központosított kezelését, amely az alkalmazások hozzáférését csak azokra a rendszererőforrásokra korlátozza, amelyeknek (alkalmazásoknak) működniük kell.
A terméknek képesnek kell lennie hozzáférési szabályzat létrehozására bármely kiszolgálóalkalmazáshoz.
A terméknek szabályoznia kell a fájlrendszerhez, a hálózati portokhoz, az I/O-portokhoz és az operációs rendszer külső erőforrásokkal való kommunikációjának egyéb eszközeihez való hozzáférést. Ezenkívül egy további védelmi rétegnek lehetővé kell tennie a verem- és kupacpuffer túlcsordulás blokkolását .
A terméknek meg kell határoznia az erőforrásokhoz való hozzáférés függőségét a felhasználó (alkalmazás) nevétől vagy egy adott csoporthoz való tagságától.

Másfél hónapos tesztelés után az Okena StormWatch terméke (később a Cisco Systems megvásárolta , a termék a Cisco Security Agent nevet kapta) nyert. [2]

Továbbfejlesztés

2003-ban megjelent egy Gartner -jelentés , amely bebizonyította az akkori IDS-generáció elégtelenségét, és előrevetítette az elkerülhetetlen IPS-sel való felszerelésüket. Ezt követően az IDS fejlesztők gyakran kezdték kombinálni termékeiket az IPS-sel.

A támadásokra adott válaszmódszerek

A támadás után

A módszereket az információs támadás észlelése után alkalmazzák. Ez azt jelenti, hogy a védett rendszer még akkor is megsérülhet, ha a támadást sikeresen megakadályozzák.

Kapcsolat blokkolása

Ha TCP -kapcsolatot használnak a támadáshoz , akkor azt úgy zárják le, hogy mindegyik résztvevőnek elküldenek egy TCP-csomagot az RST jelzővel. Ennek eredményeként a támadó nem tudja folytatni a támadást ezen a hálózati kapcsolaton keresztül. Ezt a módszert leggyakrabban meglévő hálózati érzékelők segítségével valósítják meg.

A módszernek két fő hátránya van:

Nem támogatja a nem TCP protokollokat, amelyek nem igényelnek előre meghatározott kapcsolatot (például UDP és ICMP ).
A módszer csak akkor használható, ha a támadó már megszerezte a jogosulatlan kapcsolatot.

Felhasználói rekordok blokkolása

Ha több felhasználói fiókot feltörtek egy támadás következtében, vagy kiderült, hogy azok forrásai, akkor a rendszer gazdaérzékelői blokkolják azokat. Az érzékelők blokkolásához rendszergazdai jogosultságokkal rendelkező fiókot kell futtatni.

A blokkolás egy meghatározott időtartamra is megtörténhet, amelyet a Behatolásmegelőzési Rendszer beállításai határoznak meg.

Számítógépes hálózati gazdagép blokkolása

Ha támadást észleltek az egyik gazdagépről , akkor azt letilthatják a gazdagép érzékelői, vagy letilthatók a hálózati interfészek akár azon, akár azon az útválasztón vagy kapcsolón, amellyel a gazdagép csatlakozik a hálózathoz. A feloldás meghatározott idő elteltével vagy a biztonsági rendszergazda aktiválásával történhet. A zárolás nem törlődik újraindítás vagy a gazdagép hálózatáról való leválasztás miatt. Ezenkívül a támadás semlegesítéséhez blokkolhatja a célpontot, a számítógépes hálózat gazdagépét.

Támadás blokkolása tűzfallal

Az IPS új konfigurációkat hoz létre és küld a tűzfalnak , amelyek segítségével a képernyő kiszűri a behatoló forgalmat. Az ilyen újrakonfigurálás automatikusan megtörténhet az OPSEC szabványok (pl . SAMP , CPMI ) használatával. [3] [4]

Az OPSEC protokollokat nem támogató tűzfalak esetében egy adaptermodul használható a behatolásgátló rendszerrel való interakcióhoz:

amely parancsokat kap az ME konfiguráció módosítására.
amely szerkeszti az ME konfigurációt a paramétereinek módosításához.

Kommunikációs berendezés konfigurációjának módosítása

Az SNMP protokoll esetében az IPS elemzi és módosítja a MIB - adatbázis beállításait (például útválasztási táblákat , portbeállításokat ) egy eszközügynök segítségével a támadások blokkolására . TFTP , Telnet stb . protokollok is használhatók .

Aktív forráselnyomás

A módszer elméletileg alkalmazható, ha más módszerek haszontalanok. Az IPS észleli és blokkolja a behatoló csomagjait, és megtámadja a csomópontját, feltéve, hogy annak címe egyedileg van meghatározva, és az ilyen műveletek eredményeként a többi legitim csomópont nem sérül.

Ezt a módszert számos nem kereskedelmi szoftverben alkalmazzák:

A NetBuster megakadályozza, hogy egy trójai faló behatoljon a számítógépébe . Használható a "bolond-the-one-trying-to-NetBus-you" eszközként is ("trükk, aki trójai falóval próbál bejutni hozzád"). Ebben az esetben rosszindulatú programokat keres, ill. meghatározza, hogy ki indította el a számítógépet, majd visszaküldi a programot a címzettnek.
A Tambu UDP Scrambler UDP portokkal működik. A termék nem csak ál-UDP portként működik, hanem a hackerek berendezéseinek megbénítására is használható egy kis UDP elárasztó programmal.

Mivel nem garantálható minden feltétel teljesülése, a módszer széles körű gyakorlati alkalmazása még nem lehetséges.

A támadás kezdetén

A módszerek olyan intézkedéseket hajtanak végre, amelyek megakadályozzák az észlelt támadásokat, mielőtt azok elérnék a célt.

Hálózati érzékelők használata

A hálózati érzékelők a kommunikációs csatorna résébe vannak telepítve, hogy elemezze az összes átmenő csomagot. Ehhez két "vegyes módban" működő hálózati adapterrel vannak felszerelve, amelyek fogadják és továbbítják az összes átmenő csomagot a puffermemóriába, ahonnan azokat az IPS támadásérzékelő modulja olvassa be. Ha a rendszer támadást észlel, ezek a csomagok eltávolíthatók. [5]

A csomagelemzés aláírási vagy viselkedési módszereken alapul.

Gazdaérzékelők használata

Távoli támadások , amelyeket a támadótól érkező csomagok küldésével hajtanak végre. A védelem a hálózati érzékelőkhöz hasonlóan az IPS hálózati komponens segítségével valósul meg, de ez utóbbitól eltérően a hálózati komponens az interakció különböző szintjein elfogja és elemzi a csomagokat, ami lehetővé teszi a titkosítással védett IPsec - és SSL / TLS kapcsolatok elleni támadások megelőzését. .
Helyi támadások az információbiztonságot sértő programok támadó általi jogosulatlan elindítása vagy egyéb műveletek esetén . Az összes alkalmazás rendszerhívásainak elfogásával és elemzésével az érzékelők blokkolják azokat a hívásokat, amelyek veszélyesek. [5]

Lásd még

Jegyzetek

↑ 1 2 3 Markus Hess // Wikipédia, a szabad enciklopédia.
↑ A megelőzés jellemzői - No. 39, 2003 | Computerworld Oroszország | Kiadó "Nyílt rendszerek" . www.osp.ru Letöltve: 2015. november 30. Az eredetiből archiválva : 2015. december 8.. (határozatlan)
↑ Internetes publikáció a csúcstechnológiákról . www.cnews.ru Letöltve: 2015. november 23. Az eredetiből archiválva : 2015. november 24.. (határozatlan)
↑ A vállalati biztonsági rendszer fejlesztése a CheckPoint Software Technologies termékeken . citforum.ru. Letöltve: 2015. november 23. Az eredetiből archiválva : 2015. november 24.. (határozatlan)
↑ 1 2 Behatolásmegelőző rendszerek: a következő lépés az IDS fejlődésében | Symantec Connect . www.symantec.com. Letöltve: 2015. november 30. Az eredetiből archiválva : 2015. november 25.. (határozatlan)

Linkek

V. A. Serdyuk. Új a vállalati rendszerek feltörése elleni védelemben. - Moszkva: Technoszféra, 2007. - 360 p. - ISBN 978-5-94836-133-8 .
L. Chernyak . Szemantikai elemzés a szolgáltatásban, Nyílt rendszerek, 2010. 10. szám
Mike Fratto . HIP megoldások áttekintése, 2003
A. Prohorov . Internetes jelenlétének védelme a vírusok ellen, ComputerPress 6'2005
Deborah Radcliff . Strike Back, Hálózatok/hálózati világ, 2000. 09. szám