|
Лекция №23
Обнаружение и предотвращение вторжений
Оглавление
Введение.
1. Обнаружение вторжений системой IPS
1.1. Обнаружение аномального поведения
1.2. Обнаружение злоупотреблений
2. Предотвращение вторжений в ИС
2.1. Предотвращение вторжений системного уровня
2.2. Предотвращение вторжений сетевого уровня
2.3. Защита от DDoS-атак
2.4. Отечественное оборудование IPS
Введение.
Системы предотвращения вторжений IPS (Intrusion Prevention System) предназначены обеспечить безопасность защищаемых объектов от воздействия, которое признано вторжением в ИС.
Системы IPS оказались настолько популярными, что некоторые производители стали рекламировать свои IDS (Intrusion Detection System) как системы предотвращения атак, то есть IPS, тем самым незаслуженно открывая для себя новые рынки и новых клиентов.
На самом деле системы предотвращения вторжений IPS существенно превосходят по своим возможностям системы обнаружения вторжений IDS. Системы IPS объединяют целый ряд технологий безопасности и достаточно далеко продвинулись по сравнению со своими предшественниками – системами обнаружения вторжений IDS.
Сокращение
на англ.
|
IPS
|
IDS
|
Англ.
|
Intrusion Prevention System
|
Intrusion Detection System
|
Русск.
|
Система предотвращения вторжений
|
Система обнаружения вторжений
|
Сокращение на русск.
|
СПВ
|
СОВ
|
Средства системы обнаружения и предотвращения вторжений IPS автоматизируют указанные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.
В отличие от системы IDS, признаками настоящей системы IPS являются следующие:
система IPS функционирует в режиме in-line (пропускает трафик через себя) на скорости канала. Иначе говоря, решение IPS не снижает скорости передачи данных;
система IPS обеспечивает сборку передаваемых пакетов в правильном порядке и анализирует эти пакеты с целью обнаружения следов несанкционированной активности;
во время анализа используются различные методы обнаружения атак – сигнатурный и поведенческий, – а также идентификация аномалий в протоколах;
система IPS в состоянии блокировать вредоносный трафик.
Таким образом, чтобы получить систему IPS из IDS, надо не только заменить одну букву в названии, но и изменить принципы работы решения, добавив новые технологии.
При рассмотрении IPS применяют классификацию, унаследованную от систем обнаружения вторжений, – деление средств предотвращения вторжений на сетевые и хостовые.
Сетевая cистема NIPS (Network-based IPS) представляет средство предотвращения вторжений сетевого уровня, которое находится на пути передачи сетевого трафика и осуществляет его мониторинг. Основная задача сетевой NIPS – защита группы хостов сети от возможных атак путем анализа передаваемого трафика и блокирования трафика, связанного с проведением атак.
Хостовая cистема HIPS (Host-based IPS) – это средство предотвращения вторжений уровня хоста, которое располагается на конкретном хосте и обеспечивает его защиту от разрушающих воздействий путем анализа сетевого трафика, поведения приложений, активируемых системных вызовов и т. п.
В системе предотвращения вторжений IPS выделяют также средства защиты от распределенных атак типа «отказ в обслуживании».
Во многих средствах защиты сегодня объединены возможности обнаружения и блокирования вторжений, поэтому иногда их условно называют продуктами IDS/IPS.
Однако для эффективной защиты применения только средств IPS оказывается недостаточно – желательно заранее знать слабые места (уязвимости) ИС, через которые злоумышленники могут успешно осуществить атаку. Уязвимостями могут стать слабые пароли, несоответствия в настройках сетевых устройств, уязвимости операционных систем и приложений и т. п.
Для поиска и выявления таких уязвимостей существуют специализированные средства – сканеры уязвимости (Vulnerability Assessment). Их использование в ИС существенно повышает уровень защиты: определив слабые места, администратор безопасности может предпринять соответствующие меры по их устранению до того, как злоумышленник воспользуется ими. В последнее время стали появляться специализированные средства, которые обеспечивают автоматический процесс устранения уязвимостей, но пока подобные решения предлагают немногие производители.
Чтобы максимально снизить риск негативного воздействия атак, необходимо объединить средства IPS, сканеры уязвимости и средства устранения уязвимостей в единую подсистему с централизованным управлением.
Do'stlaringiz bilan baham: |
