System til forebyggelse af indtrængen

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 16. marts 2013; checks kræver 35 redigeringer .

Intrusion Prevention System ( IPS) er et  software- eller hardwarenetværk og computersikkerhedssystem, der registrerer indtrængen eller sikkerhedsbrud og automatisk beskytter mod dem.

IPS-systemer kan ses som en forlængelse af Intrusion Detection Systems (IDS), fordi opgaven med at spore angreb forbliver den samme. De adskiller sig dog ved, at IPS'en skal overvåge realtidsaktivitet og hurtigt gribe ind for at forhindre angreb.

Klassifikation

Udviklingshistorie

Historien om udviklingen af ​​moderne IPS omfatter historien om udviklingen af ​​flere uafhængige løsninger, proaktive beskyttelsesmetoder, der blev udviklet på forskellige tidspunkter for forskellige typer trusler. De proaktive beskyttelsesmetoder, der tilbydes af markedet i dag, omfatter følgende:

  1. Process Behavior Analyzer til at analysere adfærden af ​​processer, der kører i systemet og opdage mistænkelige aktiviteter, dvs. ukendt malware.
  2. Eliminerer muligheden for infektion på computeren, blokerer porte, der allerede bruges af kendte vira, og dem, der kan bruges af deres nye modifikationer.
  3. Bufferoverløbsforebyggelse for de mest almindelige programmer og tjenester, som oftest bruges af angribere til at udføre et angreb.
  4. Minimere skaden forårsaget af infektionen, forhindre dens yderligere reproduktion, begrænse adgangen til filer og mapper; påvisning og blokering af infektionskilden i netværket.

Netværkspakkeanalyse

Morris-ormen , som inficerede netværksforbundne Unix -computere i november 1988, nævnes normalt som den første trussel mod at trænge ind i modforanstaltninger .

Ifølge en anden teori blev handlingerne fra en gruppe hackere sammen med USSR's og DDR's hemmelige tjenester incitamentet til at skabe en ny befæstning. Mellem 1986 og 1989 videregav gruppen, hvis ideologiske leder var Markus Hess, til deres nationale efterretningstjenester oplysninger, som de havde fået ved indtrængen i computere. Det hele startede med en ukendt konto på kun 75 cent på National Laboratory. E. Lawrence i Berkeley. [1] En analyse af hans oprindelse førte til sidst til Hess, der arbejdede som programmør for et lille vesttysk firma og også tilhørte den ekstremistiske gruppe Chaos Computer Club med base i Hamborg. Invasionen, som han organiserede, begyndte med et opkald hjemmefra gennem et simpelt modem, der gav ham forbindelse til det europæiske Datex-P-netværk og trængte derefter ind i computeren på Bremen Universitetsbibliotek, hvor hackeren fik de nødvendige privilegier og allerede med dem tog vej til National Laboratory. E. Lawrence i Berkeley. [1] Den første log blev registreret den 27. juli 1987, og ud af 400 tilgængelige computere var den i stand til at komme ind på omkring 30 og derefter stille og roligt filibustere på det lukkede Milnet -netværk , ved at bruge især en fælde i form af en fil kaldet Strategic Defense Initiative Network Project (han var interesseret i alt relateret til præsident Reagans Strategic Defense Initiative ) [1] . Et øjeblikkeligt svar på fremkomsten af ​​eksterne netværkstrusler var oprettelsen af ​​firewalls , som de første systemer til at opdage og filtrere trusler.

Analyse af programmer og filer

Heuristiske analysatorer Adfærdsblokering

Med fremkomsten af ​​nye typer trusler blev adfærdsblokkere husket.

Den første generation af adfærdsblokkere dukkede op tilbage i midten af ​​1990'erne. Princippet for deres arbejde - når en potentielt farlig handling blev opdaget, blev brugeren spurgt, om han skulle tillade eller afvise handlingen. Teoretisk set er blokkeren i stand til at forhindre spredning af enhver - både kendt og ukendt - virus . Den største ulempe ved de første adfærdsblokkere var et for stort antal anmodninger til brugeren. Årsagen til dette er en adfærdsblokkers manglende evne til at bedømme en handlings skadelighed. Men i programmer skrevet i VBA , er det muligt at skelne mellem ondsindede og gavnlige handlinger med en meget høj sandsynlighed.

Anden generation af adfærdsblokkere er anderledes ved, at de ikke analyserer individuelle handlinger, men en sekvens af handlinger og ud fra dette konkluderer skadeligheden af ​​en bestemt software.

Test fra aktuel analyse

I 2003 inviterede Current Analysis, ledet af Mike Fratto, følgende leverandører til at teste HIP-produkter: Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( en del af IBM ) og WatchGuard. Som et resultat blev kun følgende produkter testet i Syracuse University 's RealWorld Lab : Argus' PitBull LX og PitBull Protector, CA's eTrust Access Control, Entercept's Web Server Edition, Harris' STAT Neutralizer, Okena's StormWatch og StormFront, Okena's ServerLock og AppLock /Web vagt vagt.

Følgende krav blev formuleret til deltagerne:

  1. Produktet bør tillade centraliseret styring af værtens sikkerhedspolitik, som begrænser adgangen til applikationer til kun de systemressourcer, som de (applikationer) har brug for for at fungere.
  2. Produktet skal være i stand til at oprette en adgangspolitik for enhver serverapplikation.
  3. Produktet skal kontrollere adgangen til filsystemet, netværksporte, I/O-porte og andre midler til OS-kommunikation med eksterne ressourcer. Derudover skulle et ekstra beskyttelseslag give mulighed for at blokere stak- og heap -bufferoverløb .
  4. Produktet skal fastslå afhængigheden af ​​adgang til ressourcer af navnet på brugeren (applikationen) eller hans medlemskab i en bestemt gruppe.

Efter halvanden måneds test vandt Okenas StormWatch-produkt (senere erhvervet af Cisco Systems , produktet fik navnet Cisco Security Agent). [2]

Videreudvikling

I 2003 blev en Gartner- rapport offentliggjort , som beviste ineffektiviteten af ​​datidens IDS-generation og forudsagde deres uundgåelige udstyr med IPS. Derefter begyndte IDS-udviklere ofte at kombinere deres produkter med IPS.

Metoder til at reagere på angreb

Efter angrebet

Metoder implementeres efter et informationsangreb er blevet opdaget. Det betyder, at selvom et angreb med succes forhindres, kan det beskyttede system blive beskadiget.

Forbindelsesblokering

Hvis der bruges en TCP- forbindelse til angrebet , lukkes den ved at sende hver eller én af deltagerne en TCP-pakke med RST-flaget sat. Som følge heraf er angriberen ikke i stand til at fortsætte angrebet ved hjælp af denne netværksforbindelse. Denne metode implementeres oftest ved hjælp af eksisterende netværkssensorer.

Metoden har to hovedulemper:

  1. Understøtter ikke ikke-TCP-protokoller, der ikke kræver en forudetableret forbindelse (såsom UDP og ICMP ).
  2. Metoden kan kun bruges, efter at angriberen allerede har opnået en uautoriseret forbindelse.
Blokering af brugerregistreringer

Hvis flere brugerkonti blev kompromitteret som følge af et angreb eller viste sig at være deres kilder, så blokeres de af systemets værtssensorer. For at blokere skal sensorerne køres under en konto med administratorrettigheder.

Blokering kan også forekomme i en specificeret periode, som bestemmes af indstillingerne af indtrængningsforebyggelsessystemet.

Blokering af en computernetværksvært

Hvis et angreb blev opdaget fra en af ​​værterne , kan det blokeres af værtssensorer, eller netværksgrænseflader kan blokeres enten på den eller på den router eller switch, som værten er forbundet til netværket med. Ophævelse af blokering kan ske efter et bestemt tidsrum eller ved at aktivere sikkerhedsadministratoren. Låsen annulleres ikke på grund af en genstart eller afbrydelse af værtens netværk. For at neutralisere angrebet kan du også blokere målet, værten for computernetværket.

Blokering af et angreb med en firewall

IPS genererer og sender nye konfigurationer til firewallen , hvorved skærmen vil filtrere trafik fra den ubudne gæst. En sådan omkonfiguration kan foregå automatisk ved hjælp af OPSEC -standarder (f.eks . SAMP , CPMI ). [3] [4]

For firewalls, der ikke understøtter OPSEC-protokoller, kan et adaptermodul bruges til at interagere med systemet til forebyggelse af indtrængen:

  • som vil modtage kommandoer til at ændre ME-konfigurationen.
  • som vil redigere ME-konfigurationen for at ændre dens parametre.
Ændring af konfigurationen af ​​kommunikationsudstyr

For SNMP -protokollen parser og ændrer IPS indstillinger fra MIB - databasen (såsom routingtabeller , portindstillinger ) ved hjælp af en enhedsagent til at blokere et angreb. TFTP , Telnet osv. protokoller kan også bruges .

Aktiv kildeundertrykkelse

Metoden kan teoretisk bruges, hvis andre metoder er ubrugelige. IPS detekterer og blokerer den ubudne gæsters pakker og angriber dens node, forudsat at dens adresse er entydigt bestemt, og som et resultat af sådanne handlinger vil andre legitime noder ikke blive skadet.

Denne metode er implementeret i flere ikke-kommercielle software:

  • NetBuster forhindrer en trojansk hest i at infiltrere din computer . Det kan også bruges som et middel til at "narre-den-en-forsøger-at-NetBus-dig" ("narre den, der prøver at komme ind i dig med en trojansk hest"). I dette tilfælde leder den efter malware og bestemmer, hvem der lancerede den computer, og returnerer derefter dette program til modtageren.
  • Tambu UDP Scrambler arbejder med UDP-porte. Produktet fungerer ikke kun som en dummy UDP-port, det kan bruges til at lamme hackers udstyr med et lille UDP-floderprogram.

Da det er umuligt at garantere opfyldelsen af ​​alle betingelser, er den brede anvendelse af metoden i praksis endnu ikke mulig.

I begyndelsen af ​​angrebet

Metoder implementerer foranstaltninger, der forhindrer opdagede angreb, før de når målet.

Brug af netværkssensorer

Netværkssensorer er installeret i mellemrummet i kommunikationskanalen for at analysere alle passerende pakker. For at gøre dette er de udstyret med to netværksadaptere, der fungerer i "blandet tilstand", til at modtage og sende, skrive alle passerende pakker til bufferhukommelsen, hvorfra de læses af IPS-angrebsdetekteringsmodulet. Hvis et angreb opdages, kan disse pakker blive fjernet. [5]

Pakkeanalyse er baseret på signatur- eller adfærdsmæssige metoder.

Brug af værtssensorer
  • Fjernangreb , implementeret ved at sende en række pakker fra en angriber. Beskyttelse implementeres ved hjælp af IPS-netværkskomponenten, svarende til netværkssensorer, men i modsætning til sidstnævnte opfanger og analyserer netværkskomponenten pakker på forskellige niveauer af interaktion, hvilket gør det muligt at forhindre angreb på kryptobeskyttede IPsec - og SSL / TLS - forbindelser .
  • Lokale angreb i tilfælde af uautoriseret lancering af en angriber af programmer eller andre handlinger, der krænker informationssikkerheden . Ved at opsnappe systemopkald fra alle applikationer og analysere dem blokerer sensorer de opkald, der er farlige. [5]

Se også

Noter

  1. ↑ 1 2 3 Markus Hess  //  Wikipedia, den frie encyklopædi.
  2. Funktioner af forebyggelse - nr. 39, 2003 | Computerworld Rusland | Forlaget "Åbne systemer" . www.osp.ru Hentet 30. november 2015. Arkiveret fra originalen 8. december 2015.
  3. Internetpublikation om højteknologier . www.cnews.ru Hentet 23. november 2015. Arkiveret fra originalen 24. november 2015.
  4. Forbedring af virksomhedens sikkerhedssystem baseret på CheckPoint Software Technologies-produkter . citforum.ru. Hentet 23. november 2015. Arkiveret fra originalen 24. november 2015.
  5. ↑ 1 2 Systemer til forebyggelse af indtrængen: Det næste skridt i udviklingen af ​​IDS | Symantec Connect . www.symantec.com. Hentet 30. november 2015. Arkiveret fra originalen 25. november 2015.

Links