Inbrottsskyddssystem

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 16 mars 2013; kontroller kräver 35 redigeringar .

Intrusion Prevention System ( IPS) är ett mjukvaru- eller hårdvarunätverk och datorsäkerhetssystem som upptäcker intrång eller säkerhetsintrång och automatiskt skyddar mot dem.

IPS-system kan ses som en förlängning av Intrusion Detection Systems (IDS) eftersom uppgiften att spåra attacker förblir densamma. De skiljer sig dock åt genom att IPS måste övervaka realtidsaktivitet och snabbt vidta åtgärder för att förhindra attacker.

Klassificering

Nätverks-IPS ( Network-based Intrusion Prevention, NIPS ): övervaka trafiken på ett datornätverk och blockera misstänkta dataströmmar.
IPS för trådlösa nätverk ( Wireless Intrusion Prevention Systems, WIPS ): kontrollerar aktivitet på trådlösa nätverk. I synnerhet upptäcker den felkonfigurerade trådlösa åtkomstpunkter, man-in-the-middle-attacker och MAC- adressförfalskning .
Network Behaviour Analysis (NBA ) : analyserar nätverkstrafik, identifierar atypiska flöden, såsom DoS- och DDoS- attacker.
IPS för enskilda datorer ( Host-based Intrusion Prevention, HIPS ): inbyggda program som upptäcker misstänkt aktivitet på en dator.

Utvecklingshistorik

Historien om utvecklingen av modern IPS inkluderar historien om utvecklingen av flera oberoende lösningar, proaktiva skyddsmetoder som utvecklades vid olika tidpunkter för olika typer av hot. De proaktiva skyddsmetoderna som erbjuds av marknaden idag inkluderar följande:

Process Behavior Analyzer för att analysera beteendet hos processer som körs i systemet och upptäcka misstänkta aktiviteter, d.v.s. okänd skadlig programvara.
Eliminerar risken för infektion på datorn, blockerar portar som redan används av kända virus och de som kan användas av deras nya modifieringar.
Förebyggande av buffertspill för de vanligaste programmen och tjänsterna, som oftast används av angripare för att utföra en attack.
Minimera skadan som orsakas av infektionen, förhindra ytterligare reproduktion, begränsa åtkomst till filer och kataloger; upptäckt och blockering av infektionskällan i nätverket.

Nätverkspaketanalys

Morrismasken , som infekterade nätverksanslutna Unix -datorer i november 1988, brukar nämnas som det första hotet mot intrång i motåtgärder .

Enligt en annan teori blev en grupp hackares handlingar tillsammans med Sovjetunionens och DDR:s underrättelsetjänster incitamentet för skapandet av en ny befästning. Mellan 1986 och 1989 vidarebefordrade gruppen, vars ideologiska ledare var Markus Hess, till sina nationella underrättelsetjänster information som de fått genom intrång i datorer. Allt började med ett okänt konto på bara 75 cent på National Laboratory. E. Lawrence i Berkeley. [1] En analys av hans ursprung ledde så småningom till Hess, som arbetade som programmerare för ett litet västtyskt företag och även tillhörde extremistgruppen Chaos Computer Club, baserad i Hamburg. Invasionen som organiserades av honom började med ett samtal hemifrån via ett enkelt modem, som gav honom en anslutning till det europeiska Datex-P-nätverket och sedan trängde in i datorn på Bremens universitetsbibliotek, där hackaren fick de nödvändiga privilegierna och redan med de tog sig till National Laboratory. E. Lawrence i Berkeley. [1] Den första loggen registrerades den 27 juli 1987, och av 400 tillgängliga datorer kunde den komma in i cirka 30 och sedan tyst filibustera på det stängda Milnet- nätverket , med användning av i synnerhet en fälla i form av en fil som heter Strategic Defense Initiative Network Project (han var intresserad av allt relaterat till president Reagans strategiska försvarsinitiativ ) [1] . Ett omedelbart svar på uppkomsten av externa nätverkshot var skapandet av brandväggar , som de första systemen för att upptäcka och filtrera hot.

Analys av program och filer

Heuristiska analysatorer Beteendeblockerare

Med tillkomsten av nya typer av hot kom man ihåg beteendeblockerare.

Den första generationen beteendeblockerare dök upp redan i mitten av 1990-talet. Principen för deras arbete - när en potentiellt farlig åtgärd upptäcktes fick användaren frågan om han skulle tillåta eller neka åtgärden. Teoretiskt sett kan blockeraren förhindra spridningen av alla - både kända och okända - virus . Den största nackdelen med de första beteendeblockerarna var ett alltför stort antal förfrågningar till användaren. Anledningen till detta är oförmågan hos en beteendeblockerare att bedöma en handlings skadlighet. Men i program skrivna i VBA är det möjligt att skilja mellan skadliga och fördelaktiga handlingar med mycket hög sannolikhet.

Den andra generationen av beteendeblockerare är annorlunda genom att de inte analyserar individuella handlingar, utan en sekvens av handlingar och, baserat på detta, drar en slutsats om skadligheten av en viss programvara.

Testning från aktuell analys

2003 bjöd Current Analysis, ledd av Mike Fratto, in följande leverantörer att testa HIP-produkter: Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( en del av IBM ) och WatchGuard. Som ett resultat testades endast följande produkter i Syracuse Universitys RealWorld Lab : Argus PitBull LX och PitBull Protector, CA:s eTrust Access Control, Entercepts Web Server Edition, Harris STAT Neutralizer, Okenas StormWatch och StormFront, Okenas ServerLock och AppLock /Webbevakningsvakt.

Följande krav formulerades för deltagarna:

Produkten bör tillåta centraliserad hantering av värdsäkerhetspolicyn, vilket begränsar åtkomsten av applikationer till endast de systemresurser som de (applikationer) behöver för att fungera.
Produkten måste kunna skapa en åtkomstpolicy för vilken serverapplikation som helst.
Produkten måste kontrollera åtkomst till filsystemet, nätverksportar, I/O-portar och andra sätt för OS-kommunikation med externa resurser. Dessutom bör ett extra skyddslager ge möjligheten att blockera stack- och heapbuffertspill .
Produkten måste fastställa beroendet av tillgång till resurser på namnet på användaren (applikationen) eller hans medlemskap i en viss grupp.

Efter en och en halv månads testning vann Okenas StormWatch-produkt (senare förvärvad av Cisco Systems , produkten fick namnet Cisco Security Agent). [2]

Vidareutveckling

År 2003 publicerades en Gartner- rapport , som bevisade ineffektiviteten hos dåtidens IDS-generation och förutspådde deras oundvikliga utrustning med IPS. Efter det började IDS-utvecklare ofta kombinera sina produkter med IPS.

Metoder för att svara på attacker

Efter attacken

Metoder implementeras efter att en informationsattack har upptäckts. Detta innebär att även om en attack lyckas förhindras, kan det skyddade systemet skadas.

Anslutningsblockering

Om en TCP- anslutning används för attacken stängs den genom att var och en av deltagarna skickar ett TCP-paket med RST-flaggan. Som ett resultat kan angriparen inte fortsätta attacken med denna nätverksanslutning. Denna metod implementeras oftast med hjälp av befintliga nätverkssensorer.

Metoden har två huvudsakliga nackdelar:

Stöder inte icke-TCP-protokoll som inte kräver en företablerad anslutning (som UDP och ICMP ).
Metoden kan endast användas efter att angriparen redan har fått en obehörig anslutning.

Blockering av användarposter

Om flera användarkonton äventyrades som ett resultat av en attack eller visade sig vara deras källor, så blockeras de av systemets värdsensorer. För att blockera sensorerna måste köras under ett konto med administratörsrättigheter.

Blockering kan också inträffa under en viss period, vilket bestäms av inställningarna för intrångsskyddssystemet.

Blockera en värd för datornätverk

Om en attack upptäcktes från en av värdarna kan den blockeras av värdsensorer eller nätverksgränssnitt kan blockeras antingen på den eller på routern eller switchen som värden är ansluten till nätverket med. Avblockering kan ske efter en viss tidsperiod eller genom att aktivera säkerhetsadministratören. Låset avbryts inte på grund av en omstart eller frånkoppling från värdens nätverk. För att neutralisera attacken kan du också blockera målet, värden för datornätverket.

Blockera en attack med en brandvägg

IPS genererar och skickar nya konfigurationer till brandväggen , genom vilka skärmen kommer att filtrera trafik från inkräktaren. Sådan omkonfiguration kan ske automatiskt med OPSEC- standarder (t.ex. SAMP , CPMI ). [3] [4]

För brandväggar som inte stöder OPSEC-protokoll kan en adaptermodul användas för att interagera med intrångsskyddssystemet:

som kommer att ta emot kommandon för att ändra ME-konfigurationen.
som kommer att redigera ME-konfigurationen för att ändra dess parametrar.

Ändra konfigurationen av kommunikationsutrustning

För SNMP- protokollet analyserar och modifierar IPS inställningar från MIB- databasen (som routingtabeller , portinställningar ) med hjälp av en enhetsagent för att blockera en attack. TFTP , Telnet , etc. -protokoll kan också användas .

Aktiv källundertryckning

Metoden kan teoretiskt användas om andra metoder är värdelösa. IPS upptäcker och blockerar inkräktarens paket och attackerar dess nod, förutsatt att dess adress är unikt fastställd och som ett resultat av sådana åtgärder kommer andra legitima noder inte att skadas.

Denna metod är implementerad i flera icke-kommersiell programvara:

NetBuster förhindrar en trojansk häst från att infiltrera din dator . Det kan också användas som ett sätt att "lura-den-försöker-att-NetBus-diga" ("lura den som försöker komma in i dig med en trojansk häst"). I det här fallet letar den efter skadlig kod och bestämmer vem som startade datorn och returnerar sedan programmet till mottagaren.
Tambu UDP Scrambler fungerar med UDP-portar. Produkten fungerar inte bara som en dummy UDP-port, den kan användas för att paralysera hackares utrustning med ett litet UDP flooder-program.

Eftersom det är omöjligt att garantera att alla villkor uppfylls, är den breda tillämpningen av metoden i praktiken ännu inte möjlig.

I början av attacken

Metoder implementerar åtgärder som förhindrar upptäckta attacker innan de når målet.

Använda nätverkssensorer

Nätverkssensorer är installerade i gapet i kommunikationskanalen för att analysera alla passerande paket. För att göra detta är de utrustade med två nätverksadaptrar som arbetar i "blandat läge", för att ta emot och för att sända, skriva alla passerande paket till buffertminne, varifrån de läses av IPS-attackdetekteringsmodulen. Om en attack upptäcks kan dessa paket tas bort. [5]

Paketanalys baseras på signatur- eller beteendemetoder.

Använda värdsensorer

Fjärråttacker , implementerade genom att skicka en serie paket från en angripare. Skyddet implementeras med hjälp av IPS-nätverkskomponenten, liknande nätverkssensorer, men till skillnad från de senare fångar och analyserar nätverkskomponenten paket på olika nivåer av interaktion, vilket gör det möjligt att förhindra attacker på kryptoskyddade IPsec- och SSL / TLS - anslutningar .
Lokala attacker i händelse av obehörig lansering av en angripare av program eller andra åtgärder som bryter mot informationssäkerheten . Genom att avlyssna systemanrop från alla applikationer och analysera dem blockerar sensorer de samtal som är farliga. [5]

Se även

Anteckningar

↑ 1 2 3 Markus Hess // Wikipedia, den fria encyklopedin.
↑ Funktioner för förebyggande - nr 39, 2003 | Computerworld Ryssland | Förlag "Öppna system" . www.osp.ru Hämtad 30 november 2015. Arkiverad från originalet 8 december 2015. (obestämd)
↑ Internetpublikation om högteknologi . www.cnews.ru Hämtad 23 november 2015. Arkiverad från originalet 24 november 2015. (obestämd)
↑ Förbättra företagets säkerhetssystem baserat på produkter från CheckPoint Software Technologies . citforum.ru. Hämtad 23 november 2015. Arkiverad från originalet 24 november 2015. (obestämd)
↑ 1 2 System för förebyggande av intrång: nästa steg i utvecklingen av IDS | Symantec Connect . www.symantec.com. Hämtad 30 november 2015. Arkiverad från originalet 25 november 2015. (obestämd)

Länkar

V. A. Serdyuk. Nytt i skydd mot hackning av företagssystem. - Moskva: Technosphere, 2007. - 360 sid. - ISBN 978-5-94836-133-8 .
L. Chernyak . Semantisk analys i tjänst, öppna system, nr 10, 2010
Mike Fratto . Översikt över HIP-lösningar, 2003
A. Prokhorov . Skydda din internetnärvaro från virus, ComputerPress 6'2005
Deborah Radcliff . Strike Back, Nätverk/nätverksvärld, nr 09, 2000