Есть два основных способа обнаружения атак.
Распознавание сигнатуры является наиболее распространенным методом, при котором входящий/исходящий трафик сравнивается с известными "сигнатурами". Например, большое число TCP-соединений с различными портами указывает на то, что кто-то занимается сканированием TCP-портов. Обнаружение аномалий является другим методом, когда отклонения от основного режима функционирования описываются такими параметрами как внезапное увеличение трафика, использование CPU, обращения к файлом и т.д.). Этот метод менее эффективный, чем распознавание сигнатуры, но имеет преимущество, которое заключается в том, что он может улавливать атаки, для которых нет сигнатур. Обнаружение аномалий с этой точки зрения является более теоретическим и представляет собой тему для интенсивных исследований (некоторые исследователи получают степень Ph.D. просто классифицируя сигнатуры), особенно в области нейронных сети, нечеткой логики или других методов искусственного интеллекта. Обратите внимание, что обнаружение может осуществляться как в реальном масштабе времени, так и путем чтения журналов регистрации уже прошедших событий. Каким образом NIDS сравнивает сигнатуры с входящим трафиком? Трафик состоит из IP-пакетов, проходящих через сеть. NIDS способна захватывать эти пакеты по мере их прохождения через сеть. NIDS состоит из специального TCP/IP-стека, который разбирает IP-пакеты и TCP-потоки. Затем они применяет некоторые из следующих методов: Проверка стека протокола. Большое количество атак, таких как "Ping-Of-Death" или "TCP Stealth Scanning" используют, лежащие в основе всего стека протоколов TCP/IP, нарушения в IP, TCP, UDP и ICMP-протоколов для того, чтобы атаковать компьютеры. Простая проверка системы может показать недопустимые пакеты. Эта проверка может включать контроль допустимых, но подозрительных пакетов, таких как, например, несколько фрагментированных пакетов.
Проверка прикладных протоколов. Большое количество атак используют недопустимые режимы протоколов, например, "WinNuke", который использует недопустимые параметры NetBIOS-протокола. Для того чтобы эффективно обнаруживать эти атаки NIDS должна заново реализовать широкий ряд прикладных протоколов для того, чтобы обнаруживать подозрительные или недопустимые действия. Создание новых регистрируемых событий. NIDS может быть использована для расширения возможностей подсистемы аудита вашего ПО управлению сетью. Например, NIDS может просто регистрировать все протоколы на уровне приложения, используемые на компьютере. Системы регистрации событий в поступающем потоке данных (Windows NT Event Log, UNIX syslog, SNMP TRAPS и т.д.) могут затем сравнивать эти события с другими событиями в сети. Какие есть ограничения у систем обнаружения атак? Рассмотрим следующие ограничения: Подмена адреса/посредничество: Одна из целей обнаружения атак заключается в том, чтобы указать пальцем на того, кто вас атакует. Это может оказаться трудным по целому ряду причин. В случае 'smurf'-атаки, например, вы получаете тысячи ответов на запрос, который вы никогда не посылали. NIDS как раз и обнаруживает эти ответы, но не может обнаружить того, кто послал поддельный пакет. При предсказании номера ТСР-последовательности (TCP Sequence Number Prediction) поддельные IP-адреса используются так, чтобы NIDS не могла точно определить откуда действует хакер. В конце концов, большинство хакеров будут 'хвастаться' своими атаками через FTP или Web- procy-сервера, или организовывать свои атаки с других серверов, которые они уже взломали. Таким образом, найти того, кто атакует ваш сервер будет очень трудно, не поможет и конфигурирование фильтров IP-адресов в вашем МСЭ.
Ограничения по ресурсам: NIDS страдает от того факта, что она требует немалые ресурсы для удержания хакеров. Большинство NIDS разбирает TCP-потоки, но немногие из них разбирают пакеты (из-за требуемых ресурсов центрального процессора и оперативной памяти). Нарушители, которые фрагментируют свои пакеты, часто могут остаться необнаруженными. Аналогично, хакеры могут потратить месяцы, медленно зондируя сеть. Опять же, NIDS не имеют достаточно ресурсов для того, хранить журналы регистрации очень долго для того, чтобы сравнивать прошедшие события с событиями, которые имеют место в настоящий момент во время атаки. В конце концов, несмотря на то, что устройства, работающие в режиме "прослушивания" (promiscuous) трафика могут поддерживать T-1-соединения с сетью Интернет, им требуется гораздо больше времени в случае 100 Мбит/сек или гигабитных скоростей на главной магистрали. Что происходит после того, как NIDS обнаруживает атаку? Реконфигурация МСЭ Сконфигурируйте МСЭ так, чтобы отфильтровать IP-адрес хакера. Однако, это по-прежнему позволяет хакеру осуществлять атаки с других адресов. Компания Checkpoint имеет стандарт OPSEC для реконфигурации МСЭ путем блокирования атакующего IP-адреса. МСЭ компании Checkpoint поддерживает "Протокол мониторинга подозрительной деятельности" (Suspicious Activity Monitoring Protocol, SAMP) для конфигурирования своего межсетевого экрана. Звуковой сигнал Звуковой сигал или воспроизведение.WAV файла. Например, вы можете услышать запись "Вы атакованы". SNMP Trap Посылка управляющей SNMP-последовательности на консоль управления типа HP OpenView, Tivoli TNE, Cabletron Spectrum и т.д. NT Event Сохранение информации о событии в журнале регистрации Windows NT Event Log. Syslog Сохранение информации о событии в журнале регистрации syslog UNIX. Посылка e-mail Посылка администратору уведомления об атаке по e-mail. Сообщений на пейджер Посылка администратору уведомления об атаке на пейджер. Регистрация атаки Сохранение информации об атаке (время, IP-адрес хакера, IP-адрес атакованной машины/порта, информация о протоколе). Сохранение свидетельств Сохранение tracefile-файла необработанных (raw) пакетов для последующего анализа.
Запуск программы Запуск заданной программы для обработки события Отключение TCP-сессии Создание TCP FIN-пакета (или RST) для того, чтобы автоматически завершить соединение. Какие другие кроме NIDS существуют контрмеры? Межсетевые экраны Многие люди думают о межсетевых экранах, как о первой и единственной линии обороны. Это означает, что если злоумышленники смогут обойти ее (что просто реализуется, тем более что атак совершается сотрудниками компании), то они будут неконтролируемыми внутри корпоративной сети. Лучшим подходом было бы думать, что МСЭ - это последняя линия обороны. Вы в первую очередь должны правильно конфигурировать свои компьютеры и использовать обнаружение атак. И только потом устанавливать межсетевой экран. Помните, что практически любой современный маршрутизатор обладает функциями межсетевого экрана. Аутентификация Вы должны использовать системы анализа защищенности, которые автоматизируют поиск учетных записей без паролей. Вы должны использовать пароли не менее чем из 7 символов (включая цифры, пунктуацию и символы в верхнем и нижнем регистрах), используя для их проверки специальные программы встроенные в операционные системы или дополняющие их (PASSFILT.DLL для Windows NT и Crack для Unix - примечание переводчика). Вы также можете использовать системы Single-Sign On или интегрировать системы типа RADIUS/TACACS в Unix или Windows NT, а также использовать встроенные возможности (например, Kerberos в Windows 2000). Эти системы аутентификации помогут устранить опасность использования паролей, передаваемых "открытым текстом" по протоколам Telnet, FTP, IMAP, POP и т.д.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|