IDS/IPS - системы обнаружения и предотвращения вторжений и хакерских атак

Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) — необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем — выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.

Общее описание технологии

Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:

  • Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
  • Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
  • Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:

  • IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
  • IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
  • IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).

Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.

Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.

1. Обнаружение атаки, основанное на сигнатурах.

Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам — это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:

  • соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
  • входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
  • лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.

2. Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.

Технология IDS/IPS в ALTELL NEO

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO, лежит открытая технология Suricata, дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства — одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO

ФункцияПоддержка
1. Обнаружение уязвимостей (эксплойтов) компонент ActiveX
2. Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки
3.Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C)
4.Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями
5.Обнаружение сетевого трафика от взломанных сетевых узлов
6.Обнаружение сетевого трафика, направленного на сервера DNS
7.Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service)
8.Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list
9.Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield
10.Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов)
11.Обнаружение трафика, характерного для компьютерных игр
12.Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов
13.Обнаружение сетевого трафика, характерного для атак на сервисы IMAP
14.Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации
15.Обнаружение сетевого трафика, характерного для вредоносных программ (malware)
16.Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS
17.Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети)
18.Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP)
19.Обнаружение трафика, характерного для атак на сервисы POP3
20.Обнаружение сетевого трафика от узлов сети Russian Business Network
21.Обнаружение атак на сервисы RPC (удаленный вызов процедур)
22.Обнаружение сетевого трафика программ сканирования портов
23.Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера)
24.Обнаружение трафика, характерного для атак на сервисы SMTP
25.Обнаружение сетевого трафика протокола SNMP
26.Обнаружение правил для различных программ баз данных SQL
27.Обнаружение сетевого трафика протокола Telnet в сети
28.Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP)
29.Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности
30.Обнаружение трафика, характерного для троянских программ
31.Обнаружение атак на пользовательские агенты
32.Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO)
33.Обнаружение сетевого трафика, характерного для атак на сервисы VoIP
34.Обнаружение уязвимостей (эксплойтов) для web-клиентов
35.Обнаружение атак на web-серверы
36.Обнаружение атак на основе инъекций SQL (sql-injection attacks)
37.Обнаружение сетевого трафика, характерного для сетевых червей
38.Защита от хакерских атак


Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов — от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» — средним, приоритет «3» — низким.

В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

  • Alert (режим IDS) — трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
  • Drop (режим IPS) — анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
  • Reject (режим IPS) — в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
  • Pass (режим IDS и IPS) — в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.


Бесплатное тестирование

Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью конфигуратора.

Отправить заявку