Опубликован: 21.09.2006 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 5:

Развертывание IDS

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Аннотация: Рассматривается еще одна смежная IDS технология – создание Honey Pot и Padded Cell. Приводятся различные способы развертывания IDS разного типа. Исследуются возможные комбинации использования network-based и host-based IDS. Даются способы обработки выходной информации IDS. Перечисляются типы компьютерных атак, обычно определяемых IDS.

Системы Honey Pot и Padded Cell

В настоящее время разрабатываются новые дополнения для традиционных IDS. Важно понимать, чем они отличаются от технологий, используемых в обычных IDS.

Honey Pot являются системами-ловушками, которые разработаны для привлечения потенциального атакующего и отвлечения его от уязвимых систем. Honey Pot создаются для того, чтобы:

  • отвлечь атакующего от доступа к критичным системам;
  • собрать информацию о деятельности атакующего;
  • способствовать тому, чтобы атакующий оставил достаточно следов в системе.

Такие системы заполняются ложной информацией, но информация создается таким образом, чтобы она казалась ценной. Законные пользователи не должны иметь доступ к данной системе. Таким образом, любой вход в Honey Pot является подозрительным. Honey Pot содержит мониторы уязвимостей и логгеры событий, которые определяют, что такие доступы произошли, и также собирают информацию о деятельности атакующих.

Padded Cell используют другой подход. Вместо того, чтобы пытаться привлечь атакующих заманчивыми данными, Padded Cell функционируют вместе с традиционной IDS. Когда IDS определяет атакующего, она перенаправляет его в специальный Padded Cell хост. После того как атакующие попадают в Padded Cell, они находятся внутри эмулированного окружения, где не могут причинить вред. Как и Honey Pot, данное эмулированное окружение заполняется представляющими интерес данными, разработанными для того, чтобы убедить атакующего, будто атака продолжается по его плану. Как и Honey Pot, Padded Cell являются хорошо оборудованными и имеют уникальные возможности для мониторинга действий атакующего. Разработчики IDS используют системы Padded Cell и Honey Pot, начиная с 1980 года. Важно проконсультироваться с законодательством, прежде чем принять решение об использовании тех или иных систем в конкретном функциональном окружении.

Преимущества систем Honey Pot и Padded Cell:

  • Атакующие могут быть направлены в сторону от целевой системы, тем самым они не в состоянии принести вред.
  • Администраторы имеют дополнительное время для принятия решения о том, как ответить атакующему.
  • Действия атакующего могут быть легко и более обширно проанализированы, с получением результатов, которые могут использоваться для уточнения моделей угроз и для улучшения системы защиты.
  • Honey Pot могут быть эффективны для обнаружения внутренних нарушителей, которые просматривают сеть.

Недостатки систем Honey Pot и Padded Cell:

  • Законодательные положения для использования таких устройств недостаточно хорошо определены.
  • Honey Pot и Padded Cell пока еще не являются общеиспользуемыми технологиями безопасности.
  • Опытный атакующий, однажды попав в ловушку, может стать агрессивным и запустить более враждебную атаку против системы.
  • Администратору необходим большой опыт, чтобы использовать такие системы.

Выбор IDS

Сегодня доступен широкий выбор продуктов определения проникновения, адресованных широкому спектру целей безопасности. Имея такой спектр продуктов и возможностей, процесс выбора продукта, который является наилучшим для конкретных нужд, становится достаточно трудным. Ниже перечислены вопросы, которые могут использоваться в качестве критерия при приобретении конкретной IDS.

Чтобы определить, какие IDS могут использоваться в конкретном окружении, следует в первую очередь, рассмотреть окружение, в технических и физических терминах и в терминах политики.

Выбор самой подходящей IDS

Самой подходящей IDS в каждом конкретном случае является та, которая наилучшим образом удовлетворяет целям и задачам безопасности в организации, при этом могут учитываться существующие ограничения. Определяющими факторами обычно считаются следующие:

  • окружение системы, в терминах аппаратной и программной инфраструктур.
  • окружение безопасности, в терминах политик и существующих механизмов безопасности и ограничений.
  • организационные цели, в терминах задач функционирования предприятия (например, организации электронной коммерции могут иметь цели и ограничения, отличные от целей и ограничений организаций, которые занимаются производством).
  • ограничения ресурсов в терминах финансовых возможностей приобретения, кадрового обеспечения и инфраструктуры.

Определение окружения IDS

Во-первых, следует понимать, в каком окружении IDS должна функционировать. Это важно, поскольку если IDS не развернута с учетом информационных источников, которые доступны системе, она может не иметь возможности видеть все, что делается в сети или системе – как атаку, так и нормальную деятельность.

  1. Технические спецификации окружения систем

Во-первых, следует специфицировать технические характеристики окружения систем. Такая спецификация должна включать топологию сети с учетом количества и расположения хостов, ОС на каждом хосте, количества и типов сетевых устройств, таких как роутеры, мосты, коммутаторы, количества и типов граничных маршрутизаторов и dial-up соединений. Должно быть сделано описание всех серверов, включая типы, конфигурации, прикладное ПО и версии, выполняющиеся на каждом из них. Если работает система управления сетью, то нужно описать ее функционирование.

  1. Технические спецификации используемой системы безопасности

После того как описаны технические характеристики окружения системы, следует определить возможности системы обеспечения безопасности, которые уже существуют.

Следует специфицировать количество, типы и расположение сетевых firewall’ов, серверов идентификации и аутентификации, устройств шифрования данных и соединений, антивирусные пакеты, ПО управления доступом, специализированную аппаратуру обеспечения безопасности (такую как аппаратный крипто-акселератор для web-серверов), VPNs и любые другие механизмы обеспечения безопасности.

  1. Цели организации

Некоторые IDS разработаны для обеспечения определенных нужд конкретной индустрии или ниши рынка, например, электронная коммерция, здравоохранение, финансовые рынки. Следует определить соответствие возможностей системы целям организации.

  1. Возможность формализации окружения системы и принципы управления, используемые в организации

Организационные стили могут сильно отличаться, в зависимости от функций организации и ее традиций. Например, военные или аналогичные организации, которые имеют дело с проблемами национальной безопасности, стремятся функционировать с высокой степенью формализации своей деятельности, особенно в сравнении с университетами или другими академическими средами.

Некоторые IDS предлагают возможности, которые поддерживают создание конфигураций с формально заданными политиками и с возможностями создания расширенных отчетов, детализирующих нарушения политики.

Цели и задачи использования IDS

После того как специфицировано техническое описание систем в организации и существующие механизмы безопасности, следует определить цели и задачи, которые должны быть достигнуты при использовании IDS.

Наиболее простой способ описания целей использования состоит в определении категорий возможных угроз.

  1. Защита от внешних угроз

Следует максимально конкретно определить возможные внешние угрозы.

  1. Защита от внутренних угроз

Следует рассмотреть угрозы, которые могут исходить из самой организации, обращая внимание не только на тех пользователей, которые атакуют систему изнутри, не имея никаких прав доступа в системе, но также и на авторизованных пользователей, которые хотят увеличить свои привилегии, тем самым нарушая политику безопасности организации.

  1. Возможность определения необходимости обновления

Система, выполняющая мониторинг, иногда предоставляет инструментальные средства для определения того, когда системы, за которыми ведется наблюдение, требуется модифицировать или заменить. Когда такой мониторинг выполняет IDS, необходимость замены может быть определена при аномальном уровне пользовательской активности.

  1. Возможность использования IDS для контроля поведения пользователя

Существуют системы, где может быть создана политика, целью которой является определение поведения пользователей, а не решение проблем информационной безопасности. Такая политика может включать ограничение возможности доступа к определенным web-сайтам, в зависимости от предоставляемого ими содержимого, или ограничение использования e-mail или других систем обмена сообщениями. Некоторые IDS предоставляют подобные возможности.

Существующая политика безопасности

Политика безопасности должна являться шаблоном, в соответствии с которым будут конфигурироваться IDS. Такая политика должна обладать следующими свойствами.

  1. Структурированность

Следует определить цели политики безопасности в терминах стандартных целей безопасности (целостность, конфиденциальность и доступность), а также общих целей управления.

  1. Описание функций, выполняемых пользователями системы

Следует определить список функций пользователей системы (возможно, что несколько функций будет назначено единственному пользователю), а также необходимые данные и требуемый сетевой доступ для каждой функции.

  1. Реакция на нарушения политики

Следует иметь четкое представление, что предполагается делать, если IDS определит, что политика нарушена. Если не предполагается реагировать на такие нарушения, можно соответствующим образом сконфигурировать IDS. С другой стороны, если предполагается ответ на определенные нарушения, функционирование IDS должно быть сконфигурировано соответствующим образом, чтобы IDS могла сообщать о тревоге, используя конкретные механизмы оповещения.

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Игорь Касаткин
Игорь Касаткин
Россия, Москва
Зарина Каримова
Зарина Каримова
Казахстан, Алматы, Гимназия им. Ахмета Байтурсынова №139, 2008