Здравствуйте, уважаемые! Сегодня мы поговорим о системах обнаружения вторжений. Итак IDS (Intrusion Detection Systems). 

Все, кого не спроси о том, что нужно для обеспечения хорошего уровня безопасности своего компа или локальной сети в один голос скажут — хороший, грамотно настроенный файрволл + антивирусная система. Ну не все, конечно, но большинство точно. Например, был недавно на одном форуме и прочитал статейку на тему безопасности. Смысл сводился к одному — firewall is the must, ну и еще говорилось о том, как его настроить правильно :). Ну и так далее… На самом деле этого часто бывает недостаточно. В этой статье я опишу основные принципы работы различных IDS и сделаю краткий их обзор — под
Windows и unix. А Что делать с данной инфой решать тебе. Если тебя заботит высокий уровень безопасности своей системы, можешь поставить IDS себе на комп. Если же тебя заботит высокий уровень безопасности какой-нибудь организации ;), то вот, собственно…

Что есть IDS и как она работает

Существует много программных продуктов, сочетающих в себе функции файволла и IDS. Например @guard или McAfee Firewall и т.д. Основная функция — блок наиболее распространенных портов — типа 139 и 31337 :). Если говорить просто и коротко, то IDS — более «умный» файрволл. IDS — система обнаружения вторжений, которая позволяет фиксировать и блокировать попытку взлома компьютера
+ об этом оповещать. Если хочешь составить себе представление о том, как функционирует IDS, то представь себе этакий гибрид анализатора, сниффера, системы блокировки и системы оповещения, которая делает все, что угодно — пишет в лог, играет звуковой файл, пишет в консоль, шлет почту и даже кидает SMS :). Вот так работает
классическая IDS: на сервер коннектится хакер и, естественно, предпринимает какие-то действия. Система снифферит весь входящий траффик на предмет наличия вредоносных кодов, команд. Как она определяет, что эта команда вредоносная:)? В систему вписано большое количество уязвимостей разных типов — она просто сопоставляет действия хакера с действиями, необходимыми для реализации этих багов, и чуть что, поднимает панику.

Теперь о том, как делятся различные IDS по уровню обнаружения атак и по вариации принципов их деятельности.

1. NIDS — Network Intrusion Detection Systems. Механизм работы частично заимствован у сниффера, частично у антивирусной системы. Слышал о так называемом эвристическом анализе антивируса? В Касперском это есть. Это когда антивирус работает с шаблонами характерный действий вируса. Отличие IDS в том, что в ней не происходит поиска опасного кода, а идет анализ траффика на предмет нахождения подозрительных свойств, относящихся к какому-нибудь способу взлома. Еще NIDS может вовремя принять необходимые действия в случае когда на систему еще только готовится нападение. Как известно,
первый этап атаки на локальную сеть — сбор данных — так называемая инвентаризация сети. Если хакер для этого просто примитивно сканирует порты, NIDS обнаружит это и вовремя будет реагировать. Это классическая IDS.

2. GrIDS — Graph-Based Intrusion Detection System. Попросту говоря, GrIDS — просто усовершенствованная NIDS. Как я уже говорил, одна из задач любой IDS — пресечь сбор данных о локальной сети. Естественно, проводить инвентаризацию методами, которые может зафиксировать обычная NIDS никто нормальный не будет. Какой смысл светиться, даже не начав атаку? Поэтому был разработан другой способ — распределенный сбор информации. Для этого надо, чтобы у атакующего было несколько компов. Это позволяет избежать фиксации факта сбора инфы обычной NIDS — она не чувствует сходства траффика с шаблонами, которые характеризуют тактику
инвентаризации или вторжения. Но на GrIDS такой способ не распространяется. У GrIDS другой принцип функционирования: имеется много снифферов и каждый устанавливается в определенный сегмент сети. Переданная ими информация собирается в одно целое, происходит анализ полученных данных и они представляются в виде схемы информационных потоков — так называемого графа. Отсюда и название — Graph-Based Intrusion Detection System. Такой принцип действия позволяет распознавать сложные тактики хакеров. Кстати, с помощью таких систем обнаруживаются сетевые черви. Но все-таки даже такая навороченная система как GrIDS — далеко не выход.

3. OIDS — Operational Intrusion Detection Systems. Эти системы разработаны на тот случай, если хакеру все-таки удалось проникнуть внутрь сети от имени какого-то легального пользователя (под чужим логином) или атака на сеть идет из нее самой. Надо немножко отвлечься и сообщить статистические данные — 18% взломов приходятся на долю внешних взломов, и 82% — на внутренние. Все становится понятно… Принцип действия OIDS: система сопоставляет линию поведения пользователя, зарегистрированного под
определенным логином (она составляется из тех действий, которые совершает юзер с начала регистрации) с теми действиями, которые производятся от имени этого юзера в данный момент времени. И если система выявляет какие-то разительные отличия в поведении, то она поднимает панику. Попросту говоря, OIDS оценивают типичность операций каждого пользователя (в отличие от NIDS, которые оценивают типичность траффика)

4. Host Based IDS — дополнительная мера защиты — это уже совсем круто. Такие системы применяются для защиты особенно важных или наиболее уязвимых участков
LAN. Работают они так: тот самый модуль анализа (анализатор), который включает в себя любая IDS, устанавливается прямо на те вещи, которые собираются защищать. Потом Host Based IDS анализирует траффик на наличие типичных сигнатур (Сигнатуры это то, что выше я называл подозрительными свойствами, относящимися к одному из способов взлома). Или по-другому — IDS проверяет контрольную сумму файлов на объекте и через некоторое время сравнивает ее с более
поздней суммой. Так выявляется факт несанкционированного изменения файлов

5. И наконец самые сложные — ERIDS (External Routing Intrusion Detection System). Они созданы для противостояния самым изощренным и нетривиальным попыткам взлома и инвентаризации. Например, если хакер атакует маршрутизатор и изменяет его опции так, что он направляет траффик через те сегменты сети, которые не
контролируются IDS.

Каждая IDS далеко не самодостаточна — разработчики, естественно, учитывают взаимодействие своего продукта с разного рода файрволлами и антивирусными системами.

Наверное напрашивается вопрос: на фига это все, мне такие вещи на компе не нужны. А тебе их и не достать :). Я это написал для того, чтобы показать, на что серьезные дяди в больших корпорациях тратят деньги и как они защищаются от хакеров. Хотя я знаю 3-х человек, которые поставили себе на комп IDS. Поэтому для параноиков и вообще, для тех кому интересно, сделаю краткий обзор юниксовских и мастдаевских IDS. 

Под Юникс:

1. HostSentry. Когда прогу установили, надо первым делом открыть hostsentry.conf и проверить установку путей к ignore file, astion file, wtmp file. Потом можно удалить ненужные модули в hostsentry.modules. Эта система класса OIDS — отслеживает нестандартные команды, нетипичное поведение юзера и т.д.

2. TCPLOGD — создана как средство выявления скрытого сканирования портов с помощью nmap и т.д. Еще можно блокировать любой порт.

3. LIDS. Самая убойная и сложная IDS. Принцип работы — прога урезает права
рута и создает еще один аккаунт с правами рута. И если даже хакер получил права рута, то сделать ничего не сможет.

Под Виндовс:

Здесь только одна достойная IDS :). Почему? Потому, что все те системы, о которых я говорил в обзоре бесплатные, и хоть они и являются достаточно мощными, надежными и т.д., но с теми IDS, которые покупаются за большие баксы, их, конечно, не сравнить.

BlackICE Defenfer. Есть база со списком уязвимостей. Если обнаружилась атака, то прога пишет это в лог и проигрывает музыкальный файл по твоему желанию. Очень много достоинств.

И напоследок минусы IDS:

1. IDS ничего не сможет сделать если хакер шифрует траффик. Очевидно, что IDS не может анализировать траффик если он зашифрован. Противостоять этому могут только Host Based IDS, потому что прежде, чем траффик попадает на хост, он расшифровывается и далее подвергается анализу.

2. Базы уязвимостей надо постоянно апдейтить. 

Cамый лучший из всех плюсов IDS — постоянно обновлять эти базы уязвимостей админам офигенно лень 😉

Оставить мнение

Check Also

Страдания с ReactOS. Почему в заменителе Windows работают трояны, но не работает Word

Сегодня в нашей кунсткамере демонстрируется необычайный организм — двадцатилетний зародыш …