Системы обнаружения вторжений
Системы обнаружения вторжений (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия. Рост в последние годы числа проблем, связанных с компьютерной безопасностью, привёл к тому, что системы обнаружения вторжения очень быстро стали ключевым компонентом любой стратегии сетевой защиты. За последние несколько лет их популярность значительно возросла, поскольку продавцы средств защиты значительно улучшили качество и совместимость своих программ.
Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.
Классификация IDS
Для проведения классификации IDS необходимо учесть несколько факторов.
|
Метод обнаружения описывает характеристики анализатора. Когда IDS использует информацию о нормальном поведении контролируемой системы, она называется поведенческой. Когда IDS работает с информацией об атаках, она называется интеллектуальной.
Поведение после обнаружения указывает на реакцию IDS на атаки. Реакция может быть активной – IDS предпринимает корректирующие (устраняет лазейки) или действительно активные (закрывает доступ для возможных нарушителей, делая недоступными сервисы) действия. Если IDS только выдаёт предупреждения, её называют пассивной.
Расположение источников результата аудита подразделяет IDS в зависимости от вида исходной информации, которую они анализируют. Входными данными для них могут быть результаты аудита, системные регистрационные файлы или сетевые пакеты.
Частота использования отражает либо непрерывный мониторинг контролируемой системы со стороны IDS, либо соответствующие периодическим запускам IDS для проведения анализа.
Классифицировать IDS можно и по другим параметрам:
1. По способам реагирования:
1.1 Динамические. Осуществляют мониторинг в реальном времени всех действий, происходящих в системе, просматривая файлы аудита или сетевые пакеты, передаваемые за определённый промежуток времени.
1.2 Статические. Делают «снимки» среды и осуществляют их анализ, разыскивая уязвимое ПО, ошибки в конфигурациях и т.д. Обнаруживают следы вторжения.
2. По способу сбора информации:
2.1 Сетевые. Контролируют пакеты в сетевом окружении и обнаруживают попытки злоумышленника проникнуть внутрь защищаемой системы или реализовать атаку «отказ в обслуживании». Эти IDS работают с сетевыми потоками данных. Типичный пример NIDS – система, которая контролирует большое число TPC-запросов на соединение (SYN) со многими портами на выбранном компьютере, обнаруживая, таким образом, что кто-то пытается осуществить сканирование TCP-портов. Сетевая IDS может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, либо на выделенном компьютере, прозрачно просматривающим весь трафик в сети (концентратор, маршрутизатор). Сетевые IDS контролируют много компьютеров, тогда как другие IDS контролируют только один.
2.2 Системные (хостовые). Примерами системных IDS могут быть системы контроля целостности файлов (СКЦФ), которые проверяют системные файлы с целью определения, когда в них были внесены изменения. Мониторы регистрационных файлов (Log-file monitors, LFM), контролируют регистрационные файлы, создаваемые сетевыми сервисами и службами. Обманные системы, работающие с псевдосервисами, цель которых заключается в воспроизведении хорошо известных уязвимостей для обмана злоумышленников.
3. По методам анализа:
3.1 IDS, которые сравнивают информацию с предустановленной базой сигнатур атак.
3.2 IDS, контролирующие частоту событий или обнаружение статистических аномалий.
Сетевой сканер NMap
Сетевое сканирование — один из первых шагов в процессе взлома или его предупреждения, так как оно позволяет определить наиболее уязвимые и потенциально опасные открытые порты компьютера. Поскольку каждый компьютер обладает набором определенных особенностей, с помощью сканера портов можно определить, какие службы (FTP-, web-, почтовый сервер и т.п.) запущены на компьютере, а также какая операционная система управляет им. Чем больше служб запущено на компьютере, тем выше вероятность его взлома — ведь каждое программное обеспечение имеет уязвимые места.
Сетевые сканеры предназначены для сканирования определенного сетевого адреса (IP-адреса) или адресов и выявления открытых и, возможно, небезопасных портов на исследуемом компьютере. Тем не менее такие программы применяются, как правило, хакерами для определения возможных уязвимостей и последующего взлома компьютера, а отнюдь не с целью обеспечения его безопасности. Получается, что безопасность и взлом хоть и антиподы по своей сути, но допускают использование одних и тех же средств.
Среди множества сетевых сканеров в последнее время отдельно выделим сканер NMap, поскольку набрали популярность системы на базе Linux и FreeBSD, в дистрибутивы большинства из которых NMap входит по умолчанию.
Описание
Программа Nmap предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети а также портов и соответствующих им служб. Для этого Nmap использует много различных методов сканирования, таких, как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование. Более подробное их описание приведено в разделе "Опции выбора методов сканирования".
Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы (далее - ОС) удаленного хоста с использованием отпечатков стека TCP/IP, "невидимое" сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации а также произвольное указание IP-адресов и номеров портов сканируемых сетей.
Результатом работы Nmap является список отсканированных портов удаленной машины с указанием номера и состояния порта, типа используемого протокола а также названия службы, закрепленной за этим портом. Порт характеризуется тремя возможными состояниями: "открыт", "фильтруемый" и "нефильтруемый". Состояние "открыт" означает, что удаленная машина прослушивает данный порт. Состояние "фильтруемый" означает, что файрволл, пакетный фильтр или другое устройство блокирует доступ к этому порту и Nmap не смог определить его состояние. "Нефильтруемый" означает, что по результатам сканирования Nmap воспринял данный порт как закрытый, при этом средства защиты не помешали Nmap определить его состояние. Это состояние Nmap определяет в любом случае (даже если большинство сканируемых портов хоста фильтруются).
В зависимости от указанных опций, Nmap также может определить следующие характеристики сканируемого хоста: метод генерации TCP ISN, имя пользователя (username) владельца процесса, зарезервировавшего сканируемый порт, символьные имена, соответствующие сканируемым IP-адресам и т.д.
Опции
Большинство опций могут комбинироваться друг с другом. Одни опции предназначены для выбора определенного метода сканирования, другие указывают на использование дополнительных возможностей или служат для настройки различных параметров сканирования. Nmap предупреждает пользователя о недопустимом сочетании указанных им опций. Те, кто хотят немедленно начать работу с программой, могут пропустить этот раздел и перейти к изучению примеров вызова Nmap в конце данного руководства. Можно также запустить программу Nmap с ключом '-h' для получения краткой справки по всем опциям.