На сегодняшний день системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) являются важным элементом защиты от сетевых атак. Главной целью таких систем является обнаружение случаев несанкционированного входа в корпоративную сеть и принятие мер сопротивления.

Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством — они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин. [1]

Использование IDS помогает достичь таких целей, как: обнаруживать вторжение или сетевую атаку; прогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития; выполнять документирование существующих угроз; получать полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов; определять расположение источника атаки по отношению к локальной сети. [3]

В зависимости от того, каким способом сбирается информация, IDS могут быть сетевыми и системными (хостовыми).

Сетевые (NIDS) следят за пакетами в сетевом окружении и отслеживают попытки злоумышленника проникнуть внутрь защищаемой системы. После того, как NIDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.

Системными (хостовыми) называются IDS, которые устанавливаются на хосте и обнаруживают злонамеренные действия на нём. В качестве примера хостовых IDS можно взять системы контроля целостности файлов, которые проверяют системные файлы для определения внесения изменений.

Первым методом, примененным для обнаружения вторжений, был анализ сигнатур. Детекторы атак анализируют деятельность системы, используя для этого событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой. Во входящем пакете просматривается байт за байтом и сравнивается с сигнатурой (подписью) – характерной строкой программы, указывающей на характеристику вредного трафика. Такая подпись может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено, объявляется тревога.

Следующий метод – метод аномалий. Он заключается в определении необычного поведения на хосте или в сети. Детекторы аномалий предполагают, что атаки отличаются от нормальной деятельности и могут быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной. Каждый пакет сопровождается различными протоколами. У каждого протокола имеется несколько полей, имеющих ожидаемые или нормальные значения. IDS просматривает каждое поле всех протоколов входящих пакетов: IP, TCP, и UDP. Если имеются нарушения протокола, объявляется тревога. [3]

У систем обнаружения вторжений различают локальную и глобальную архитектуру. В первом случае реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем. Первичный сбор данных осуществляют агенты (сенсоры). Регистрационная информация может извлекаться из системных или прикладных журналов, либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.

Агенты передают информацию в центр распределения, который приводит ее к единому формату, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Если в процессе анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования. Хорошая система обнаружения вторжений должна уметь объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия.

Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений. На одном уровне могут находиться компоненты, которые анализируют подозрительную активность с разного ракурса.

Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего. Иногда локальный компонент не имеет достаточно оснований для возбуждения тревоги, но в целом подозрительные ситуации могут быть объединены и совместно проанализированы, после чего порог подозрительности окажется превышенным. Целостная картина позволяет выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в масштабе организации. [3]

Как и любая система безопасности, IDS не гарантирует стопроцентную защиту сети или компьютера, но выполняемые ею функции позволят своевременно обнаружить атаку, тем самым сократив ущерб от утечки информации, удалении файлов, использования компьютера в противоправных действиях.

IDS (Интернет Системы Бронирования), также известные как ADS (Альтернативные Системы Бронирования), появились в начале 90-х годов XX века и получили свое второе название, выступив в качестве альтернативы Глобальным Системам Дистрибьюции (GDS). 

В противовес GDS, доступ к которым имели лишь агенты туристических компаний, ADS предоставляли возможность бронирования туристических услуг частным клиентам, а именно: бронирование авиабилетов, морских круизов и гостиниц и аренда машин. С годами число международных интернет систем неустанно росло, и сегодня их точное количество назвать довольно сложно — оно превышает несколько тысяч. Среди наиболее известных IDS: Expedia.com, Booking.com, Orbitz.com, HRS.com, Travelocity.com, Hotels.com, Priceline.com, Hotels.su, Ostrovok.ru и многие другие.

Схема работы в них предельно проста для клиента: зайдя на любой из порталов ADS, он может самостоятельно выбрать нужную гостиницу и тип номера на определенные даты, забронировать размещение в режиме реального времени и получить моментальное подтверждение о резервации на свой электронный ящик.

Интернет быстро становится одним из главных средств для покупки (бронирования) путешествия или гостиницы. Интернет сайтов туристических агентств и порталов велико и может стать подавляющим. Наша цель состоит в том, что бы сделать Интернет продажи простыми, легкими, всесторонними, эффектными и эффективными.

В связи с увеличением числа бронирований через Интернет, RekОnline установил деловые связи с Интернет-порталами компаний предлагающими большое количество посетителей. Интернет помогает увеличить возможности дохода для Вашей гостиницы. RekOnline разработал пакетные предложения для гостиниц, которые включают в себя:

— подключение к электронным каналам дистрибуции (ADS)

— эффективный менеджмент в электронных каналах дистрибуции (ADS)

— комплексное обучение работе с каналами электронной дистрибуции (ADS)

Более подробную информацию Вы можете получить, отправив запрос или  по телефону:

+7 812 346 50 57.

Подробная информация о пакетных предложениях на сайте : http://consulting.prohotel.ru

Перечень средств защиты информации

IDS, IPS

Система обнаружения вторжений (СОВ) (IntrusionDetectionSystem (IDS)) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютера. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает в себя:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
• хранилище, обеспечивающее накопление первичных событий и результатов анализа
• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

В сетевой IDS, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные IDS используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В host IDS сенсор обычно является программным агентом, который ведет наблюдение за активностью системы, на который он установлен. Также существуют гибридные версии перечисленных видов IDS.

• Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или коммутатору, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.
• Основанная на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.

  Средства обнаружения и предотвращения вторжений

  Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.

• Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.
• Узловая СОВ (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.
• Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети.

  В качестве примера гибридной СОВ можно привести Prelude.

В пассивной IDS при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system), СОВ производит ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Firewall является механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики firewall-а. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. IDS могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки. Сегодня IDS становятся необходимым дополнением инфраструктуры безопасности.

Система предотвращения вторжений (IntrusionPreventionSystem (IPS)) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами, корректировать CRC и др.

• Сетевые IPS (Network—basedIntrusionPrevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
• IPS для беспроводных сетей (WirelessIntrusionPreventionSystems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки «человек посередине», фальсификацию (spoofing) MAC-адресов.
• Поведенческий анализ сети (NetworkBehaviorAnalysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
• Система предотвращения вторжений для отдельных компьютеров (Host—basedIntrusionPrevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.

Роль и место IDS в сети часто путают с контролем доступа и firewall-ами прикладного уровня. Существует несколько заметных отличий между этими технологиями. При некоторой схожести, то, как они обеспечивают сетевую безопасность или безопасность системы, отличается заметно.

В типичном случае IPS спроектирована так, что она функционирует в сети как полностью «невидимая». Обычно IPS-системы не имеют IP-адреса в защищаемой сети, но могут реагировать на трафик самым разнообразным способом. Обычные варианты реакции IPS включают отбрасывание пакетов, сброс соединений, генерация сигналов тревоги или даже помещение нарушителя в сетевой карантин. Хотя некоторые IPS имеют возможность реализации правил, подобных правилам firewall-а, обычно это сделано просто для удобства и не является основной функцией продукта.

Firewall прикладного уровня работает на заметно других технологиях. Firewall прикладного уровня использует прокси для предоставления ему контроля доступа к сети и трафика уровня приложения. Application firewall-ы имеют IP-адрес и к ним можно напрямую обращаться по этому адресу.

Достарыңызбен бөлісу: