Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Системы (IDP) (IDS) : сетевая безопасность в интернете : сетевая атака : обнаружение сетевых атак

Технологии преднамеренных сетевых атак постоянно совершенствуются, их реализация не всегда связана с явным использованием свойств протоколов сетевого и транспортного уровня. Например, «тело» сетевого вируса приходит с вполне легальной почтой. Приложения также могут иметь недостатки, использование которых позволит злоумышленнику получить доступ к соответствующим ресурсам либо добиться от штатных приложений выполнения выгодных ему действий, а его взаимодействие с уже несанкционированно установленным ПО с точки зрения функционирования сетевых протоколов выглядит как вполне легальный процесс.

Основные проблемы систем IDS и IDP

Обнаружение атак предполагает достаточно сложный анализ проходящего трафика, и хотя для некоторых типов атак возможна его реализация на межсетевом экране, для этой цели применяются специализированные устройства – IDS (Intrusion Detection System) или IDP (Intrusion Detection&Prevention System). Как следует из названия систем, их функциональность может включать только обнаружение атаки либо ее обнаружение и предотвращение (т. е. терминацию опасного трафика).

Основная проблема реализации таких систем заключается в том, что вследствие сложности технологии атак алгоритм

обнаружения может давать ложные результаты, и если ложная тревога будет использована (самим устройством обнаружения или во взаимодействии с другими компонентами) как основание для управляющего воздействия (фильтрации трафика), то будет отброшен полезный трафик. Вот почему системы, использующие примитивный алгоритм обнаружения, как правило, применяются только в качестве сенсора, оставляя принятие решения об управляющем воздействии сетевому администратору. Тем временем вирус (если это была вирусная атака) уже достигает места назначения.

Решение NetScreen

Особенностью решения NetScreen является использование комплексного метода обнаружения вторжений на 2–7 уровнях модели OSI (включающего анализ поведения протоколов и характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществлять немедленную терминацию атак в реальном времени.

Комплексный метод включает в себя ряд технологий обнаружения атак, к основным относятся следующие:

• обнаружение предопределенных последовательностей (Signature Detection). Классическая реализация этого наиболее известного метода заключается только в анализе потока данных на предмет наличия в нем некоторой заранее известной информационной последовательности (шаблона). NetScreen отличается тем, что содержимое потока соотносится с состоянием соответствующих сессий и особенностями приложений, которым сессии принадлежат. В соответствии с этим метод NetScreen получил название Stateful Signature Detection. В отличие от классической реализации (типа IDS) он характеризуется весьма низкой вероятностС его помощью распознаются атаки, которые не могут быть классифицированы, не имеют шаблона или никогда ранее не

обнаруживались. В основе метода лежит анализ соответствия характера трафика заранее заданным спецификациям, описывающим нормальное поведение стандартных протоколов.

Отклонение от нормального поведения указывает на наличие несанкционированной деятельности. Если штатное приложение имеет некорректно реализованную поддержку стандартного протокола, определение соответствующей аномалии может быть отключено. NetScreen IDP обеспечивает анализ поведения очень большого количества протоколов. В частности, данный метод является первым продуктом на рынке, распознающим аномалии, связанные с использованием протоколов SNMP и NetBIOS;

• Backdoor Detection. Технология позволяет распознавать интерактивное взаимодействие злоумышленника с ПО, которое несанкционированно установлено на хосте внутренней сети лицом, находящимся в сговоре с злоумышленником, либо при помощи почтовой системы и технологии «троянского коня». Это наиболее опасный вид атаки, поскольку ее результатом может быть не просто нарушение функционирования подлежащих защите сетевых и информационных ресурсов, а полный контроль злоумышленника над ними. Данный способ дает возможность также обнаружить неизвестные атаки, основанные не на технологии нестандартного использования протоколов, которые не удается выявить в процессе анализа поведения протоколов;

• Network Honeypot. При попытке сканирования портов межсетевой экран откликается от имени не существующего в действительности сервиса. Получив отклик, злоумышленник, как правило, пытается «развить успех», но тем самым обнаруживает себя, поскольку легальный пользователь не может не знать о том, что соответствующий сервис закрыт.

Семейство специализированных продуктов NetScreen-IDP включает три одинаковые по функциональности модели – IDP-10, IDP-100, IDP-500, различающиеся величиной пропускной способности и ассортиментом интерфейсов.

NetScreen-IDP встраивается непосредственно в линию связи и может работать в режиме моста (без IP-адресов на интерфейсах) и маршрутизатора. Устройство может использоваться и в качестве пассивного детектора атак (сниффера).

Для организации отказоустойчивых структур и распределения нагрузки, а также для увеличения пропускной способности узла защиты несколько устройств

могут объединяться в кластер. Предусмотрено и более экономичное решение – совместно с IDP-10 и IDP-100 может быть использован так называемый Bypass Unit, который включается в линию вместо IDP и осуществляет продвижение трафика при выходе из строя IDP.

Продукты NetScreen-IDP имеют хорошо продуманный и удобный графический web-интерфейс. С его помощью на отдельном устройстве могут быть решены все задачи по конфигурированию узла защиты. Однако в распределенных системах формирование и приложение правил, последующий контроль состояния и анализ событий вручную путем конфигурий невыполнимые.

Для поддержки комплексного масштабируемого решения предназначена система централизованного управления узлами обнаружения атак IDP Management Software. Система предоставляет исчерпывающий ассортимент возможностей по формированию политики безопасности и последующего ее приложения к сети в целом, а также других задач автоматизированного конфигурирования, управления, инвентаризации оборудования и ПО, анализа событий и отчетности.

Ближайшие планы компании предусматривают включение кода IDP в операционную систему межсетевых экранов ScreenOS (начиная с версии 5.0) и объединение функций систем управления межсетевыми экранами GlobalPRO и IDP Management Software в одном продукте: NetScreen – Security Manager (NSM).

Дополнительная информация по продуктам и технологиям NetScreen Technologies доступна на ее официальном сайте www.NetScreen.com , а также у эксклюзивного дистрибьютора в РФ компании Netwell (www.Netwell.ru).

Главная страница / Архитектура отрасли