Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения
По существу, процесс обнаружения вторжений является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение вторжения — это процесс идентификации и
Обнаружение и предотвращение вторжений
Подсистема обнаружения и предотвращения вторжений включает в себя:
|
Подсистемы/функции |
Варианты решения |
|
Предотвращение вторжений системного уровня |
Cisco Security Agent Check Point Endpoint Security Symantec Endpoint Protection Trend Micro OfficeScan Corporate Edition IBM Proventia Server IPS Kaspersky Total Security |
|
Предотвращение вторжений сетевого уровня |
Cisco IPS Sensor Cisco IOS IPS Модули Cicso IDS и IPS Check Point IPS-1 Check Point Interspect IBM Proventia Network IPS Juniper Intrusion Prevention McAfee IntruShield IPS |
|
Защита от DDoS атак |
Peakflow SP Cisco Guard Cisco Traffic Anomaly Detector |
Таблица 1. Подсистемы обнаружения и предотвращения вторжений
Обнаружение вторжений – это процесс мониторинга
Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.
По способу мониторинга средства подсистемы делятся на:
- средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
- средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.
Выделяется несколько методов анализа событий:
- обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
- обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.
В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.
Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и
Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.
Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.
Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.
Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и
Предотвращение вторжений системного уровня
Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.
Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.
К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.
Варианты решения:
|
Cisco Security Agent |
||
|
Check Point Endpoint Security |
||
|
Symantec Endpoint Protection |
||
|
Trend Micro OfficeScan Corporate Edition |
||
|
IBM Proventia Server Intrusion Prevention System |
||
|
Kaspersky Total Security |
Предотвращение вторжений сетевого уровня
Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.
Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.
Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.
В качестве мер противодействия, может выполняться:
- блокирование выбранных сетевых пакетов;
- изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
- сохранения выбранных пакетов для последующего анализа;
- регистрация событий и оповещение ответственных лиц.
Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.
Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:
Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems
Варианты решения:
|
Cisco IPS Sensor |
||
|
Cisco IOS IPS |
||
|
Модули Cicso IDS и IPS |
||
|
Check Point IPS-1 |
||
|
Check Point Interspect |
||
|
IBM Proventia Network IPS |
||
|
Juniper Intrusion Prevention |
||
|
McAfee IntruShield IPS |
Защита от DDoS атак
Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.
Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.
Общий подход к защите от атак DDoS включает реализацию следующих механизмов:
- обнаружение вторжения;
- определение источника вторжения;
- предотвращение вторжения.
[Электронный ресурс]//URL: https://inauka.net/kontrolnaya/sistemyi-predotvrascheniya-vtorjeniy/
Решение для операторов связи
Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.
Бизнес-преимущества внедряемого решения:
- возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
- возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
- улучшается управляемость сетевой инфраструктурой;
- возможность предоставления абонентам отчетов об атаках.
Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.
Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:
- выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
- услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки
Архитектура решения
Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи
Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.
В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.
