Προγράμματα ανίχνευσης επιθέσεων δικτύου. Ανίχνευση επιθέσεων δικτύου

Κατηγορία ~ Ασφάλεια

Πέρασαν οι εποχές που ένας ιός ήταν απλώς ένας ιός και όλα τα άλλα ήταν «ακριβώς σωστά»! Τώρα δεν είναι όλα έτσι. Ο πιο γνωστός κίνδυνος είναι τα προγράμματα που ονομάζονται συλλογικά «κακόβουλο λογισμικό». Τέτοια προγράμματα εξελίσσονται συνεχώς και αποτελούν σοβαρή απειλή για την ασφάλειά σας.

Εκτός από τις ήδη γνωστές λειτουργικές μονάδες για την εργασία με αρχεία, το μητρώο και τις εφαρμογές, το Malware Defender περιλαμβάνει επίσης μια μονάδα παρακολούθησης δικτύου, η οποία περιλαμβάνει τη δυνατότητα προβολής όλων των συνδέσεων. Αυτό το καθιστά τον ιδανικό σύντροφο για όσους χρησιμοποιούν το τυπικό τείχος προστασίας των Windows και δεν θέλουν να εμβαθύνουν στον κόσμο των τειχών προστασίας και της ασφάλειας δικτύου.

Παρά το γεγονός ότι αυτό το πρόγραμμα έχει μεγάλο αριθμό πλεονεκτημάτων, η δυσκολία χρήσης του για τον μέσο χρήστη το καθιστά σίγουρα όχι μεγάλης κλίμακας. Φυσικά, τα σφάλματα μπορούν να διορθωθούν αλλάζοντας ξανά τους κανόνες άδειας, αλλά αν δεν έχετε απενεργοποιήσει τις ζωτικές λειτουργίες του συστήματος, τότε το πιθανότερο είναι ότι δεν θα είναι τόσο εύκολο να επιστρέψετε.

Το WinPatrol Intrusion Prevention Software είναι ένα ισχυρό εργαλείο για όλους τους χρήστες

συμβάλλει στην προστασία των υπολογιστών σε όλες τις χώρες για περισσότερα από δέκα χρόνια. Αυτό το πρόγραμμα έχει πολλούς θαυμαστές. Έχει πρόσφατα ενημερωθεί για να είναι πιο συμβατό με τα Windows Vista/7. Ο κύριος σκοπός του προγράμματος είναι να προειδοποιήσει τον χρήστη για αλλαγές που έγιναν στο σύστημα που μπορεί να είναι συνέπεια κακόβουλου λογισμικού. Για να επιτευχθεί ο στόχος, λαμβάνει ένα στιγμιότυπο των ρυθμίσεων του συστήματος. Και σε περίπτωση οποιασδήποτε αλλαγής, ειδοποιεί τον χρήστη. Το WinPatrol χρησιμοποιεί μια ευρετική προσέγγιση στη δουλειά του, η οποία δίνει μεγαλύτερη σιγουριά ότι δεν θα λάβετε νέο κακόβουλο λογισμικό από τους παραδοσιακούς σαρωτές υπογραφών, οι οποίοι εξαρτώνται σε μεγάλο βαθμό από τη διαθεσιμότητα ενημερώσεων.

Το WinPatrol θα σας ειδοποιήσει για τυχόν νέες αλλαγές που προσπαθούν να κάνουν τα προγράμματα. Μπορούμε να πούμε ότι το WinPatrol είναι ένα αρκετά αποτελεσματικό εργαλείο για την καταπολέμηση μιας σειράς κακόβουλων προγραμμάτων, όπως worms, Trojans, προγράμματα που τροποποιούν cookies, adware και spyware. Πολλές δυνατότητες για τη ρύθμιση του συστήματος (όπως "", "εργασίες" κ.λπ.), οι οποίες είναι διάσπαρτες σε αυτό, διπλασιάζονται στη διεπαφή WinPatrol, η οποία σας επιτρέπει να παρακολουθείτε γρήγορα και εύκολα την κατάσταση του συστήματος. Μπορείτε επίσης να χρησιμοποιήσετε το WinPatrol για να φιλτράρετε ανεπιθύμητα cookies και πρόσθετα IE.

Από την έκδοση 19.0, το WinPatrol έχει γίνει μια "λύση cloud". Οι περισσότερες από τις πρόσθετες λειτουργίες είναι διαθέσιμες μόνο σε χρήστες Plus επί πληρωμή. Η κοινότητα χρηστών WinPatrol σάς επιτρέπει να βασίζεστε σε καλά σχόλια όταν προκύπτουν προβλήματα. Επιπλέον, όλες οι λύσεις στα προβλήματα που εξετάζονται είναι διαθέσιμες τόσο στους χρήστες της δωρεάν όσο και στην επί πληρωμή έκδοση.

Το πρόγραμμα πρόληψης εισβολής MJ Registry Watcher παρακολουθεί το μητρώο και το σύστημα αρχείων

Ένα άλλο βοηθητικό πρόγραμμα που ίσως δεν γνωρίζουν πολλοί άνθρωποι, αλλά είναι αρκετά καλό. Αυτό είναι ένα αρκετά απλό πρόγραμμα για την παρακολούθηση του μητρώου, των αρχείων και των καταλόγων, το οποίο εγγυάται την ασφάλεια των πιο σημαντικών θέσεων στο σύστημά σας. Καταναλώνει πολύ λίγους πόρους συστήματος. Ο τρόπος δράσης είναι πολύ απλός. Κάθε 30 δευτερόλεπτα το πρόγραμμα κάνει δημοσκοπήσεις στο σύστημα. Εάν είναι απαραίτητο, η ώρα της ψηφοφορίας μπορεί να αλλάξει. Όλες οι ρυθμίσεις του βοηθητικού προγράμματος αποθηκεύονται σε ένα αρχείο διαμόρφωσης, το οποίο είναι πολύ βολικό όταν πρέπει να μπορείτε να προσαρμόσετε γρήγορα το βοηθητικό πρόγραμμα για τον εαυτό σας. Το MJ Registry Watcher όχι μόνο ελέγχει το σύστημα για αλλαγές, αλλά αναλαμβάνει σχεδόν αμέσως τον έλεγχο των περισσότερων αλλαγών σε κλειδιά μητρώου, αρχεία και φακέλους. Η διαγραφή κλειδιών στο μητρώο παρεμποδίζεται επίσης ως μέρος μιας δημοσκόπησης συστήματος.

Η λίστα των κλειδιών και των αρχείων που θα παρακολουθούνται είναι πλήρως διαμορφώσιμη από το χρήστη. Δεν χρειάζεται να φοβάσαι. Το MJ Registry Watcher έχει τις δικές του λίστες που ταιριάζουν στους περισσότερους χρήστες. Για να εργαστεί με αυτό το βοηθητικό πρόγραμμα, ο χρήστης πρέπει να έχει μέσες γνώσεις σχετικά με το σύστημα. Αυτό το βοηθητικό πρόγραμμα θα εκτιμηθεί ιδιαίτερα από χρήστες που προτιμούν να παρέχουν προστασία πολλαπλών επιπέδων μέσω της χρήσης πολλών μικρών εξειδικευμένων βοηθητικών προγραμμάτων. Το βοηθητικό πρόγραμμα δεν απαιτεί εγκατάσταση. Απλώς κατεβάστε και εκτελέστε.

Το πρόγραμμα περιλαμβάνει επίσης: παρακολούθηση διαδικασιών, παρακολούθηση εργασιών με αρχεία και φακέλους, παρακολούθηση email και ενότητα για εργασία με καραντίνα.

Γρήγορος οδηγός (Σύνδεσμοι για λήψη δωρεάν λογισμικού εντοπισμού και πρόληψης εισβολών)

Malware Defender

WinPatrol

Διεισδύστε σε κάποιου άλλου ασύρματο δίκτυο– γιατί δεν είναι διασκεδαστικό;! Παίξτε και θα χαθείτε. Ο χάκερ δεν συνδέεται στο δίκτυο μέσω καλωδίου και μπορεί να εντοπιστεί οπουδήποτε, αρκεί να υπάρχει αξιόπιστη λήψη. Σε ένα αυτοκίνητο, στο δρόμο, για παράδειγμα. Προσπαθήστε να το πιάσετε! Αλλά θα σας πω το εξής: όλα αυτά είναι μια δημοφιλής παρανόηση. Οι τεχνολογίες προστασίας αναπτύσσονται και ακόμη και μια απλή σάρωση των ραδιοκυμάτων με τα ίδια τα συνηθισμένα προγράμματα θα σας χαρίσει εντελώς. Δεν ήξερες;

Πώς να εντοπίσετε μια σάρωση;

Για να βρείτε κοντά ασύρματες συσκευές, και ως εκ τούτου
ασύρματο δίκτυο, χρησιμοποιήστε ειδικούς σαρωτές αιθέρα. Βάζετε αυτό το πράγμα στον φορητό υπολογιστή ή το PDA σας και περπατάτε στην πόλη, ενώ το πρόγραμμα διατηρεί αρχεία καταγραφής όλων των σημείων πρόσβασης που βρέθηκαν, υποδεικνύοντας το SSID (αναγνωριστικό δικτύου), τον κατασκευαστή του εξοπλισμού, τον μηχανισμό κρυπτογράφησης, την ταχύτητα λειτουργίας και ακόμη και τις συντεταγμένες εάν υπάρχει GPS συνδεδεμένο με τη μονάδα φορητού υπολογιστή.

Γνωστό λογισμικό - Netstambler, Macstambler, Kismet (ή η έκδοσή του για Windows - Kiswin) - θα σαρώσει τον αέρα σε χρόνο μηδέν και θα εμφανίσει όλες τις πληροφορίες στην οθόνη.

Αλλά υπάρχει ένα σημαντικό σημείο που πολλοί άνθρωποι δεν γνωρίζουν καν! Αυτοί οι σαρωτές δεν σαρώνουν απλώς παθητικά τα ραδιοκύματα, αλλά χρησιμοποιούν και ενεργητικές μεθόδους έρευνας, στέλνοντας ειδικά πακέτα στο δίκτυο. Αν σαρώσατε την εκπομπή με το Netstambler, τότε σκεφτείτε ότι έχετε ήδη δώσει την παρουσία σας. Είναι καλό αν
ασύρματο δίκτυο- πρόκειται για ένα μοναχικό σημείο πρόσβασης, το οποίο είναι απίθανο να έχει αλλάξει καν τον κωδικό πρόσβασης για διαχείριση μέσω του πίνακα web. Αν όμως πρόκειται για σοβαρή εταιρεία, τότε οποιαδήποτε τέτοια δραστηριότητα (εντός κλειστού δικτύου) θα αντιμετωπίζεται με καχυποψία. Και εδώ είναι το θέμα.

Όταν πραγματοποιείται παθητική σάρωση (σύμφωνα με το πρότυπο 802.11, δηλαδή Wi-Fi), δεν συμβαίνει τίποτα τρομερό, αλλά η αποτελεσματικότητα μιας τέτοιας σάρωσης είναι μηδενική! Μόλις πρόκειται για προσωπικές πληροφορίες σχετικά με το δίκτυο (που μπορεί να είναι πολύ χρήσιμες σε έναν εισβολέα), ο stalker αποκαλύπτει την παρουσία του λόγω ενός ειδικού πλαισίου LLC/SNAP.

Πριν από 3 χρόνια (23 Μαρτίου 2004), ο χάκερ-ερευνητής Mike Craik πρότεινε ένα μοναδικό αναγνωριστικό που μπορεί να χρησιμοποιηθεί για τον εντοπισμό της κυκλοφορίας του προγράμματος NetStumbler: πλαίσια LLC που δημιουργούνται από τον σαρωτή και περιέχουν ένα μοναδικό αναγνωριστικό (OID) 0x00601d και ένα αναγνωριστικό πρωτοκόλλου (PID). ) 0x0001. Επιπλέον, μια ειδική μεταβλητή συμβολοσειράς που περνά μέσα από το πεδίο δεδομένων των 58 byte περιέχει πληροφορίες σχετικά με την έκδοση του προϊόντος σε ένα λεγόμενο "Easter egg":

0.3.2 Flurble gronk bloopit, bnip Frundletrune
0.3.2 Όλα τα 802.11b σας ανήκουν σε εμάς
0.3.3 "σκόπιμα κενό"

Μπορεί να υπάρχουν πολλοί λόγοι για τέτοιες παγίδες, συμπεριλαμβανομένου του αιτήματος των επιχειρησιακών αρχών, με τις οποίες ο συγγραφέας ενός δωρεάν προγράμματος, φυσικά, δεν θέλει να διαπληκτιστεί. Για να εξαλείψετε το Πασχαλινό αυγό, θα πρέπει να σκάψετε στο δυαδικό αρχείο netstumbler.exe με ένα πρόγραμμα επεξεργασίας πόρων και να το αλλάξετε. Αλλά αυτό δεν θα λύσει το πρόβλημα ανίχνευσης σάρωσης (δεν μπορεί να γίνει τίποτα με το πλαίσιο LLC). Και παρεμπιπτόντως, το Ministumbler είναι ένα εργαλείο από την ίδια σειρά, μόνο για την πλατφόρμα Pocket PC, -
περιέχει παρόμοιες παγίδες.

Τι γίνεται με μια εναλλακτική λύση στο Netstumbler;

Τώρα είναι ξεκάθαρο πώς μπορεί να σας δώσει μια τακτική σάρωση; Και φαίνεται ότι δεν κάνατε τίποτα, αλλά μπορείτε ήδη να χτυπήσετε στο κεφάλι σας. Και τι γίνεται με το Netstumbler, τι γίνεται με οποιοδήποτε άλλο λογισμικό. Ας δούμε μόνο μερικά παραδείγματα.

Αυτός είναι ο πιο διάσημος σαρωτής BSD ασύρματα δίκτυα, το οποίο, σε αντίθεση με το Netstumbler, μπορεί να διεξάγει παθητική σάρωση (λειτουργία RFMON), δηλαδή προσδιορίζει την παρουσία ενός σημείου πρόσβασης και το SSID του. Ωστόσο, έχει επίσης αποκλειστικές ιδιότητες σε λειτουργία ενεργής σάρωσης. Σε αναζήτηση σημείου πρόσβασης, το πρόγραμμα δημιουργεί έναν τεράστιο αριθμό αιτημάτων (frame_control 0x0040). Αφού λάβετε την απάντηση του σημείου πρόσβασης σε ένα τέτοιο αίτημα, θα επιχειρηθεί ένα αίτημα εξουσιοδότησης (0x0b) και ένα αίτημα συσχέτισης (0x0c). Αυτές οι τιμές είναι σταθερές, που σημαίνει
δίνει το δικαίωμα χρήσης τους ως μοναδικό αναγνωριστικό.

Ίσως κάποιος που διαβάζει αυτό να σκεφτεί: «Ποιο είναι το πρόβλημα; Χρησιμοποιήστε το ίδιο, παθητική σάρωση, και αυτό είναι!» Ας πάρουμε τον σαρωτή Wellenreiter που περιλαμβάνεται στη γνωστή διανομή Hacker LiveCD - BackTrack. Το βοηθητικό πρόγραμμα είναι προσαρμοσμένο για περιβάλλον Unixware και, φυσικά, χρησιμοποιεί το iwconfig ως βασική συνθήκη εκκίνησης. Μετά την ταυτοποίηση
ασύρματη κάρταΤο ESSID θα οριστεί αυτόματα σε "This is used for wellenreiter" και η διεύθυνση MAC θα ρυθμιστεί σε τυχαία. Ξεθωριάστε ξανά!

Μετά από μια τέτοια ήττα, έστω και ένας τα παρατάει. Όχι λογισμικό, αλλά ένα πραγματικό σφάλμα για έναν χάκερ. Τι να κάνω; Χρησιμοποιήστε τον μηχανισμό των Windows; Δεν χρειάζεται να κατεβάσετε τίποτα και λειτουργεί, σε γενικές γραμμές, αρκετά καλά - φαίνεται καλή επιλογή... Όποια κι αν είναι! Ο μηχανισμός του χρησιμοποιεί επίσης μια ενεργή λειτουργία σάρωσης τα ίδια αιτήματα αποστέλλονται με ένα SSID εκπομπής και ένα μοναδικό αναγνωριστικό λογισμικού, το οποίο θα είναι η βάση για τον εντοπισμό αυτού του τύπου σάρωσης. Το μοναδικό κομμάτι βρίσκεται στο τμήμα "SSID Parameter Set" και αποτελείται από 32 byte.

Χρησιμοποιώντας τις λειτουργικές δυνατότητες του Ethereal sniffer (Wireshark), μπορείτε εύκολα να προσδιορίσετε μια τέτοια δραστηριότητα ενός πιθανού «εναέριου» χάκερ:

Netstumbler: wlan.fc.type_subtype eq 32 και llc.oui eq 0x00601d και llc.pid eq 0x0001

Dstumbler: (wlan.seq eq 11 και wlan.fc.subtype eq 11) ή (wlan.seq eq 12 και wlan.fc.subtype eq 00)

Πώς να πιάσετε έναν νταή;

Είναι σημαντικό όχι τόσο ο εντοπισμός μη εξουσιοδοτημένων ενεργειών στο δίκτυο, αλλά ο εντοπισμός του παραβάτη. Εδώ προκύπτει ένα συγκεκριμένο παζλ, καθώς η κινητικότητα της ίδιας της τεχνολογίας Wi-Fi αρχικά συνεπάγεται τους ίδιους πελάτες κινητής τηλεφωνίας που μπορούν να μετακινηθούν κατά τη διάρκεια μιας συνεδρίας δικτύου. Το καθήκον μας θα είναι να αναπτύξουμε ένα διάγραμμα υποδομής δικτύου στο οποίο θα υπάρχουν τουλάχιστον δύο προϋποθέσεις που θα υποδεικνύουν την παρουσία ενός εισβολέα μεταξύ της αξιόπιστης ραδιοκάλυψης. Οι μέθοδοι για τον εντοπισμό ενός εισβολέα βασίζονται συνήθως σε δεδομένα που προέρχονται από διαφορετικές πηγές που είναι απομακρυσμένες η μία από την άλλη. Ταυτόχρονα, αναλύονται δεδομένα για το επίπεδο λήψης του συνδρομητή, καθώς και πληροφορίες από τα αρχεία καταγραφής των συστημάτων ανίχνευσης εισβολής
(IDS).

Αρχείο καταγραφής συστήματος IDS, σημειώνοντας τη δραστηριότητα των ασύρματων συνδέσεων που χρησιμοποιούν τον τυπικό μηχανισμό των Windows XP

Στο παρουσιαζόμενο διάγραμμα, έχουμε ένα ασήμαντο μοντέλο εγκατάστασης: τα σημεία Y και Z λειτουργούν ως «οθόνες» AP (αισθητήρες επίθεσης), με τον ένα ή τον άλλο τρόπο μεταδίδοντας το συμβάν «συνέβη η σάρωση» σε ένα ειδικό σύστημα. Το τέλος του διαδρόμου περιορίζεται από τοίχους από σκυρόδεμα, απομονώνοντας το σήμα από εξωτερικές παρεμβολές. Θέτοντας ένα όριο στην ραδιοκάλυψη ενός σημείου (για παράδειγμα, 10 μέτρα), μπορείτε να αναπτύξετε ενέργειες για την απόκριση σε ύποπτα συμβάντα.

Μοντέλο λογικής ασφάλειας κτιρίου με τη συμμετοχή αισθητήρων

Δεν είναι δύσκολο να μαντέψει κανείς ότι αν υπάρχει υποψία διαδοχικού παραπάτημα από τα σημεία z,y έως x, τότε ο εισβολέας βρίσκεται σε ένα πολύ συγκεκριμένο τετράγωνο χώρου. Αντίστοιχα, δημιουργώντας μια παρόμοια αρχιτεκτονική βασισμένη σε σημαίες και βασιζόμενοι στην προσοχή και ένα συγκεκριμένο σύνολο λογισμικού, μπορείτε να δώσετε εντολή στην υπηρεσία ασφαλείας να κινηθεί προς τις κατάλληλες κατευθύνσεις.

Το ερώτημα παραμένει: πώς να καταγράψετε τις ενέργειες του σαρωτή; Αυτό υλοποιείται από τις ακόλουθες λύσεις λογισμικού.

Snort Wireless

Διεύθυνση: snort-wireless.org
Πλατφόρμα: Unix

Ένα είδος «συναγερμού πυρκαγιάς» που θα προειδοποιεί για σχεδόν κάθε απόπειρα διάρρηξης. Το κύριο πράγμα είναι ότι όλοι οι κανόνες ή, με άλλα λόγια, τα προκαθορισμένα πρότυπα έχουν ρυθμιστεί σωστά
επιθέσειςκαι κακόβουλα αντικείμενα. Το Snort Wireless λειτουργεί παρόμοια με το δημοφιλές Snort, αλλά σε
ασύρματα δίκτυα 802.11x, προστατεύοντάς τους από επίθεση. Η ρύθμιση καταλήγει στα ακόλουθα σημεία:

• ένδειξη πληροφοριών για την προστατευόμενη περιοχή (παράμετροι δικτύου, όνομα σημείου πρόσβασης).
• Διαμόρφωση προεπεξεργαστή.
• Ρύθμιση παραμέτρων plugin?
• πρόσθετους δικούς τους κανόνες.

Το πιο σημαντικό σημείο εδώ είναι η διαμόρφωση των προεπεξεργαστών, χάρη στην οποία η μετάβαση από την υπόδειξη σε
επίθεσηγια καταπολέμηση συναγερμού.

Προεπεξεργαστής Anti Stumbler. Για να ανακαλύψετε σημεία πρόσβασης, το Netstumbler εκπέμπει μηδενικά SSID, τα οποία αναγκάζουν άλλα σημεία πρόσβασης να στείλουν τα SSID τους σε εμάς. Ο Snort αντιλαμβάνεται την τεράστια κλίμακα αυτής της υπόθεσης από μία διεύθυνση MAC και σημάνει συναγερμό. Επιπλέον, το σετ Snort Wireless περιέχει προεπεξεργαστές για τον εντοπισμό παθητικής σάρωσης και τις προσπάθειες πλαστογράφησης.
ΜΑΚ.

Προεπεξεργαστής Anti Flood. Όταν ξεπεραστεί ένας ορισμένος αριθμός καρέ ανά μονάδα χρόνου ή προσπάθειες εξουσιοδότησης, αναγνωρίζεται η άρνηση υπηρεσίας
Επίθεση.

Προεπεξεργαστής κατά της πλαστογράφησης Mac. Εντοπισμός ασυνεπειών και σύγκριση με βάση δεδομένων αξιόπιστων πελατών.

Μετά την επεξεργασία όλων των παραμέτρων, το αρχείο snort.conf θα ενημερωθεί και μπορείτε να εκτελέσετε τον δαίμονα στο παρασκήνιο:

Snort -D -A ful l

Nssys ποτήρι

Διεύθυνση: home.comcast.net/~jay.deboer/nsspyglass
Πλατφόρμα: Windows

Το Netstumbler Spyglass χρησιμοποιεί την ίδια αρχή με τον προεπεξεργαστή Snort Wireless. Δυστυχώς, λόγω της μικρής γκάμας του υποστηριζόμενου εξοπλισμού, δεν χρησιμοποιείται πολύ συχνά. Ας δούμε πώς να το ρυθμίσουμε χρησιμοποιώντας τον δρομολογητή LinkSys ως παράδειγμα. Πριν ξεκινήσετε την εργασία, πρέπει να βεβαιωθείτε ότι έχετε το πρόγραμμα οδήγησης WinPcap
(winpcap.polito.it).

Η διαμόρφωση Nssys απαιτεί προσαρμογέα δικτύου

0402011110BB Διεύθυνση MAC Σημείου Πρόσβασης (Χωρίς άνω και κάτω τελείες και χωρίς κενά)
C:\windows\calc.exe
0
5
C:\windows\notepad.exe
0
1
1
0
1
0
1

Σε μια τέτοια ακατανόητη διαμόρφωση, ο ίδιος ο διάβολος θα σπάσει το πόδι του, οπότε θα τα εξηγήσω όλα με τη σειρά. Στην πρώτη γραμμή πρέπει να εισαγάγετε τη διεύθυνση MAC του σημείου πρόσβασης. Η δεύτερη γραμμή καθορίζει τη διαδρομή προς την εφαρμογή που θα ξεκινήσει όταν εντοπιστεί ο εισβολέας. Το τρίτο παίρνει τιμές 0 ή 1, ανάλογα με την επιθυμία σας να εκκινήσετε την καθορισμένη εφαρμογή ή όχι. Η τέταρτη γραμμή είναι το χρονικό όριο σε δευτερόλεπτα πριν από την εκκίνηση της επόμενης εφαρμογής μετά τον εντοπισμό του wardriver. Η πέμπτη και η έκτη γραμμή είναι παρόμοιες με τη δεύτερη και την τρίτη, αλλά μόνο την επόμενη εφαρμογή. Το έβδομο ορίζει την καταγραφή του ιστορικού συμβάντων στο αρχείο καταγραφής NSSpyglassLog.txt. Τα υπόλοιπα δεν έχουν σημασία - αντιγράψτε τα ως έχουν.

Αφού δοκίμασα αυτό το λογισμικό, το Nestumbler δεν θέλω καν να χρησιμοποιήσω

Airsnare

Διεύθυνση: home.comcast.net/~jay.deboer/airsnare
Πλατφόρμα: Windows

Εάν οι ίδιες συσκευές λειτουργούν στο δίκτυο (για παράδειγμα, φορητοί υπολογιστές εργαζομένων), τότε μπορείτε εύκολα να προσθέσετε τις διευθύνσεις MAC τους στη "λευκή λίστα" και να παρακολουθήσετε την εμφάνιση ξένων συσκευών που δεν περιλαμβάνονται σε αυτήν τη λίστα. Το πρόγραμμα Airsnare, ειδικότερα, βασίζεται σε αυτήν την απλή αρχή. Το μόνο που χρειάζεστε για να εργαστείτε είναι η βιβλιοθήκη WinPcap (winpcap.polito.it) και ένας δωρεάν υπολογιστής συνδεδεμένος στο
ασύρματο σημείο πρόσβασης. Στις ρυθμίσεις του προγράμματος, μην ξεχάσετε να επιλέξετε τον απαιτούμενο προσαρμογέα και να προσθέσετε στη λίστα Friendly Mac όλες τις αξιόπιστες συσκευές που είναι συνδεδεμένες στο δίκτυό σας, συμπεριλαμβανομένων Mac, Xbox, διακομιστές εκτύπωσης δικτύου, φορητούς υπολογιστές, iPod με αυξημένο Wi-Fi και παρόμοια μόδα. Πατάμε «Έναρξη» και η οθόνη αλλάζει χρώμα σε κόκκινο, κάτι που δείχνει ότι το αυτοκίνητό σας έχει μπει σε λειτουργία μάχης, στη λειτουργία αναζήτησης για λάτρεις των χάκερ.

Η παρακολούθηση των μαθητών που έχουν πρόσβαση στο δίκτυο είναι προφανής

Ενεργητικές μέθοδοι

Όλα αυτά τα παραδείγματα αφορούσαν συστήματα στατικής ανίχνευσης με τον ένα ή τον άλλο τρόπο.
επιθέσεις σε ασύρματο περιβάλλον. Υπάρχουν όμως πιθανώς πιο περίπλοκες και αποτελεσματικές τεχνικές για τον εντοπισμό ενός εισβολέα! Θα ήθελα να επιστήσω την προσοχή σας στο σύστημα
Κατανεμημένο Ασύρματο Ελεγκτή Ασφαλείας, το οποίο είναι θεμελιωδώς διαφορετικό από τα υπόλοιπα.

συγκρότημα DWSA αυτοπροσώπως! Σημεία πρόσβασης, υπάλληλοι, αξιόπιστος εξοπλισμός, ακόμη και εισβολείς - όλα είναι σε πλήρη θέα.

Οι δυνατότητες DWSA καθιστούν δυνατό τον προσδιορισμό της φυσικής θέσης του εισβολέα και ακόμη και την εμφάνισή της σε έναν διαδραστικό χάρτη, δηλαδή την πραγματοποίηση μιας πραγματικής αναφοράς στην περιοχή. Αυτό γίνεται αρκετά πραγματικό λόγω της συνεχούς κατανεμημένης παρακολούθησης του δικτύου. Αυτό γίνεται με τον εξής τρόπο: ορισμένος αριθμός εργαζομένων της εταιρείας, ας πούμε της υπηρεσίας ασφαλείας, εκδίδονται φορητοί υπολογιστές με ειδικό λογισμικό. Παράλληλα με αυτό, εγκαθίσταται ένας διακομιστής ασφαλείας back-end, ο οποίος θα διαβάζει πληροφορίες στόχου από συσκευές εργαζομένων και ταυτόχρονα θα καθορίζει τη θέση τους σε σχέση με τα σημεία πρόσβασης με βάση πληροφορίες σχετικά με το σήμα και την ραδιοκάλυψη τους. Αυτά τα δεδομένα επεξεργάζονται κεντρικά από έναν ειδικό διακομιστή. Αναλύει την κατάσταση του ραδιοφωνικού αέρα από διάφορες πηγές και, χρησιμοποιώντας τους νόμους της γεωμετρίας και των διακριτών μαθηματικών, καθορίζει την κατά προσέγγιση θέση του αντικειμένου. Είναι σαφές ότι όσο περισσότερα στοιχεία συμμετέχουν στη λειτουργία του κατανεμημένου συστήματος παρακολούθησης, τόσο μεγαλύτερη θα είναι η ακρίβεια προσδιορισμού σε μια δεδομένη περιοχή.

Ποια αρχή βασίζεται στον προσδιορισμό των συντεταγμένων ενός αντικειμένου; Κοινή τριγωνοποίηση, που χρησιμοποιείται επίσης στο παγκόσμιο σύστημα εντοπισμού θέσης GPS. Ήταν σύνηθες να χρησιμοποιείται μια ανάπτυξη της IBM που ονομάζεται Wireless Security Auditor (WSA) ως αυτές οι φορητές συσκευές. Η συσκευή είναι ένα πολύ συνηθισμένο iPAQ PDA με ειδική διανομή Linux και ένα σύνολο προεγκατεστημένα εργαλεία για δοκιμές στυλό και έλεγχο
ασύρματα δίκτυα: wlandump, ethereal, Sniffer κ.λπ. Με τη χρήση τους, οι εργαζόμενοι ουσιαστικά διενεργούν ενεργό έλεγχο, αναφέροντας στον κύριο διακομιστή.

Μέθοδος τριγωνισμού με δάχτυλα

Αχ αυτή η διεύθυνση MAC

Ακόμη και απλώς βρίσκοντας έναν ξένο στο διαδίκτυο, μπορείτε να μάθετε κάτι για αυτόν. Η ίδια διεύθυνση MAC, η οποία είναι ένα μοναδικό χαρακτηριστικό οποιουδήποτε εξοπλισμού, θα δώσει κάποιες πληροφορίες. Είναι πολύ εύκολο να δημιουργήσετε μια σύνδεση μεταξύ αυτού και του κατασκευαστή της συσκευής. Το γεγονός είναι ότι σύμφωνα με τις πρώτες οκτάδες του MAC και
Η βάση δεδομένων OUI μπορεί να συσχετιστεί προσδιορίζοντας τον κατασκευαστή. Θυμηθείτε, το Netstumbler, συγκεκριμένα, βασίζεται σε αυτό όταν βρίσκει ένα σημείο, επισημαίνοντας τον εξοπλισμό που χρησιμοποιείται, για παράδειγμα CISCO, στη στήλη ΠΡΟΜΗΘΕΤΗΣ. Στη βάση δεδομένων OUI μοιάζει με αυτό:

00-00-0C (hex) CISCO SYSTEMS, INC.
00000C (βάση 16) CISCO SYSTEMS, INC.

Οι εξειδικευμένες δομές τηρούν αρχεία τέτοιων πληροφοριών σε σχέση με τις συσκευές που πωλούνται. Επικοινωνώντας με την κατασκευάστρια εταιρεία, οι αρμόδιες δομές θα εντοπίσουν πρώτα από όλα σε ποια σημεία διανεμήθηκε και σε ποια πρόσωπα πουλήθηκε. Κανείς δεν έχει ακυρώσει ακόμη δάνεια και πλαστικές κάρτες, οπότε με λίγη τύχη και τη διαθεσιμότητα ευκαιριών (που έχουν οι αρχές), μπορείτε να βρείτε έναν χάκερ, ακόμη και γνωρίζοντας, όπως φαίνεται, κάποιο είδος διεύθυνσης MAC. Λοιπόν, έχετε αμφισβητήσει την πλήρη ανωνυμία σας;

Για να αποκτήσει πρόσβαση στις πληροφορίες της εταιρείας σας, ένας εισβολέας πρέπει να περάσει από πολλά επίπεδα ασφάλειας. Ταυτόχρονα, μπορεί να χρησιμοποιήσει τρωτά σημεία και λανθασμένες ρυθμίσεις τερματικών σταθμών εργασίας, τηλεπικοινωνιακού εξοπλισμού ή κοινωνικής μηχανικής. Οι επιθέσεις σε ένα πληροφοριακό σύστημα (IS) συμβαίνουν σταδιακά: διείσδυση παρακάμπτοντας τις πολιτικές ασφάλειας πληροφοριών (IS), εξάπλωση στο IS με την καταστροφή των ιχνών της παρουσίας του και μόνο τότε η ίδια η επίθεση. Η όλη διαδικασία μπορεί να διαρκέσει αρκετούς μήνες ή και χρόνια. Συχνά, ούτε ο χρήστης ούτε ο διαχειριστής ασφάλειας πληροφοριών γνωρίζουν μη φυσιολογικές αλλαγές στο σύστημα και την επίθεση που πραγματοποιείται σε αυτό. Όλα αυτά οδηγούν σε απειλές για την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των πληροφοριών που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα.

Για την αντιμετώπιση των σύγχρονων επιθέσεων, τα παραδοσιακά μέσα προστασίας, όπως τα τείχη προστασίας, τα antivirus κ.λπ., δεν αρκούν. Απαιτείται ένα σύστημα παρακολούθησης και ανίχνευσης για πιθανές επιθέσεις και ανωμαλίες που υλοποιεί τις ακόλουθες λειτουργίες:

• ανίχνευση προσπαθειών εισβολής σε συστήματα πληροφοριών·
• ανίχνευση επιθέσεων στο προστατευμένο δίκτυο ή στα τμήματα του·
• παρακολούθηση μη εξουσιοδοτημένης πρόσβασης σε έγγραφα και στοιχεία του συστήματος πληροφοριών·
• ανίχνευση ιών, κακόβουλου λογισμικού, Trojans, botnets.
• παρακολούθηση στοχευμένων επιθέσεων.

Είναι σημαντικό να ληφθεί υπόψη ότι εάν το IP της εταιρείας επεξεργάζεται πληροφορίες που υπόκεινται σε υποχρεωτική προστασία σύμφωνα με τις απαιτήσεις της ρωσικής νομοθεσίας (για παράδειγμα, προσωπικά δεδομένα), τότε είναι απαραίτητο να χρησιμοποιηθούν πιστοποιημένα μέσα προστασίας που έχουν περάσει τη συμμόρφωση διαδικασία αξιολόγησης από τις ρυθμιστικές αρχές FSTEC της Ρωσίας ή/και το FSB της Ρωσίας.

S-Terra OWL

Για πολλά χρόνια, η εταιρεία S-Terra CP παράγει προϊόντα VPN για την οργάνωση κρυπτογραφικής προστασίας μεταδιδόμενων δεδομένων και τείχους προστασίας. Σε σχέση με τις αυξημένες ανάγκες των χρηστών να αυξήσουν το συνολικό επίπεδο ασφάλειας πληροφοριών, η εταιρεία S-Terra CSP έχει αναπτύξει ένα ειδικό εργαλείο ασφάλειας πληροφοριών που παρέχει ανίχνευση επιθέσεων και ανώμαλων δραστηριοτήτων.

Το S-Terra IDS είναι ένα εργαλείο ασφαλείας που επιτρέπει στους διαχειριστές ασφάλειας πληροφοριών να εντοπίζουν επιθέσεις με βάση την ανάλυση της κυκλοφορίας του δικτύου. Η λειτουργία αυτού του εργαλείου προστασίας βασίζεται στη χρήση μηχανισμών ανάλυσης υπογραφών.

Κατά την ανάλυση της κυκλοφορίας δικτύου χρησιμοποιώντας τη μέθοδο της υπογραφής, ο διαχειριστής θα μπορεί πάντα να προσδιορίζει ακριβώς ποιο συγκεκριμένο πακέτο ή ομάδα πακέτων ενεργοποίησε τον αισθητήρα που είναι υπεύθυνος για την ανίχνευση ανώμαλης δραστηριότητας. Όλοι οι κανόνες είναι σαφώς καθορισμένοι, για πολλούς από αυτούς μπορεί να ανιχνευθεί ολόκληρη η αλυσίδα: από πληροφορίες σχετικά με τις λεπτομέρειες της ευπάθειας και τις μεθόδους εκμετάλλευσής της, μέχρι την υπογραφή που προκύπτει. Με τη σειρά της, η βάση δεδομένων των κανόνων υπογραφής είναι εκτεταμένη και ενημερώνεται τακτικά, διασφαλίζοντας έτσι την αξιόπιστη προστασία της IP της εταιρείας.

Για να ελαχιστοποιηθούν οι κίνδυνοι από θεμελιωδώς νέες επιθέσεις zero-day για τις οποίες δεν υπάρχουν υπογραφές, το προϊόν S-Terra IDS περιλαμβάνει μια πρόσθετη μέθοδο για την ανάλυση της δραστηριότητας του δικτύου - ευρετική. Αυτή η μέθοδος ανάλυσης δραστηριότητας βασίζεται σε ευρετικούς κανόνες, δηλ. με βάση την πρόβλεψη της δραστηριότητας του IS και τη σύγκρισή του με την κανονική συμπεριφορά «πρότυπο», που διαμορφώνεται κατά τη διάρκεια της λειτουργίας εκπαίδευσης ενός δεδομένου συστήματος με βάση τα μοναδικά χαρακτηριστικά του. Μέσω της χρήσης αυτού του μηχανισμού προστασίας, το S-Terra IDS σάς επιτρέπει να ανιχνεύετε νέες, προηγουμένως άγνωστες επιθέσεις ή οποιαδήποτε άλλη δραστηριότητα που δεν εμπίπτει σε κάποια συγκεκριμένη υπογραφή.

Ο συνδυασμός υπογραφών και ευρετικών αναλύσεων σάς επιτρέπει να εντοπίζετε μη εξουσιοδοτημένες, παράνομες, ύποπτες ενέργειες εκ μέρους εξωτερικών και εσωτερικών παραβατών. Ένας διαχειριστής ασφάλειας πληροφοριών μπορεί να προβλέψει πιθανές επιθέσεις, καθώς και να εντοπίσει τρωτά σημεία για να αποτρέψει την ανάπτυξή τους και τον αντίκτυπό τους στο σύστημα πληροφοριών της εταιρείας. Η έγκαιρη ανίχνευση αναδυόμενων απειλών σάς επιτρέπει να προσδιορίσετε τη θέση της πηγής της επίθεσης σε σχέση με το τοπικό προστατευμένο δίκτυο, γεγονός που διευκολύνει τη διερεύνηση περιστατικών ασφάλειας πληροφοριών.

Τραπέζι 1.Λειτουργικότητα του S-Terra SOV

Το σύστημα ανίχνευσης επιθέσεων S-Terra SOV έχει μια βολική διεπαφή, η διαχείριση και ο έλεγχος πραγματοποιείται μέσω ασφαλούς καναλιού χρησιμοποιώντας τεχνολογία IPsec που βασίζεται σε εγχώριους κρυπτογραφικούς αλγόριθμους GOST.

Η χρήση του S-Terra IDS ως στοιχείο προστασίας αυξάνει το συνολικό επίπεδο ασφάλειας IS λόγω της συνεχούς ανάλυσης των αλλαγών στην κατάστασή του, του εντοπισμού ανωμαλιών και της ταξινόμησής τους. Μια οπτική και λειτουργική διεπαφή ιστού για τη διαχείριση και παρακολούθηση του συστήματος ανίχνευσης εισβολής, καθώς και η διαθεσιμότητα πρόσθετων βοηθητικών προγραμμάτων διαχείρισης, σας επιτρέπει να διαμορφώνετε σωστά τους αισθητήρες συμβάντων, να επεξεργάζεστε αποτελεσματικά και να παρουσιάζετε τα αποτελέσματα της ανάλυσης κυκλοφορίας.

Διάγραμμα σύνδεσης S-Terra SOV

Το S-Terra IDS βρίσκεται σε ένα τμήμα τοπικού δικτύου (για παράδειγμα, μια ζώνη DMZ), όλη η κίνηση που κυκλοφορεί σε αυτό το τμήμα διπλασιάζεται και ανακατευθύνεται στη συσκευή ασφαλείας μέσω της θύρας εκτόξευσης «κατοπτρισμού» του μεταγωγέα. Η διαχείριση πραγματοποιείται μέσω ξεχωριστής διεπαφής μέσω ασφαλούς καναλιού. Ένα πιο λεπτομερές σχήμα για συμπερίληψη στην IP της εταιρείας παρουσιάζεται στο Φιγούρα 1.

Εικόνα 1.Διάγραμμα σύνδεσης για ξεχωριστά S-Terra SOV και S-Terra Gateway

Μία συσκευή μπορεί ταυτόχρονα να λειτουργεί το S-Terra Gateway για κρυπτογράφηση κυκλοφορίας και τείχος προστασίας, καθώς και το S-Terra SOV για τον εντοπισμό επιθέσεων δικτύου. Ένα λεπτομερές διάγραμμα μιας τέτοιας συμπερίληψης παρουσιάζεται στο Σχήμα 2.

Σχήμα 2.Σχέδιο για την ενεργοποίηση της κοινής λειτουργίας του S-Terra SOV και του S-Terra Gateway

Επιλογή προϊόντος

Το S-Terra SOV παρέχεται ως σύμπλεγμα λογισμικού και υλικού ή ως εικονική μηχανή για δημοφιλείς υπερβάτες (VMware ESX, Citrix XenServer, Parallels, KVM).

Η επιλογή μιας συγκεκριμένης υλοποίησης εξαρτάται από την ποσότητα των πληροφοριών που μεταδίδονται μέσω του δικτύου, τον αριθμό των υπογραφών που χρησιμοποιούνται και άλλους παράγοντες.

Εάν προτιμάται η πλατφόρμα υλικού, τότε μπορείτε να επιλέξετε από τρεις επιλογές για απόδοση ανάλυσης πληροφοριών - για ταχύτητες 10, 100 και 1000 Mbit/s.

Η απόδοση του Virtual IDS μπορεί να ποικίλλει πολύ και εξαρτάται από τις ρυθμίσεις του hypervisor που χρησιμοποιούνται και τους πόρους της πλατφόρμας υλικού στην οποία εκτελείται το εικονικό IDS.

Μπορείτε να λάβετε βοήθεια για την επιλογή προϊόντων και εξοπλισμού, καθώς και για τον υπολογισμό του κόστους μιας λύσης για τον οργανισμό σας, επικοινωνώντας με τους διαχειριστές μας:
- από το τηλέφωνο +7 499 940-90-61
– ή μέσω email:
Σίγουρα θα σας βοηθήσουν!

Ντμίτρι Κοστρόφ,
JSC "Ekvant"
[email προστατευμένο]

Όχι ύψος και δύναμη, αλλά ευφυΐα
Υπόσχεται νίκη στον πόλεμο.
Ουίλιαμ Σαίξπηρ

Τα συστήματα ανίχνευσης επιθέσεων σε υπολογιστή (IDS - Intrusion Detection Systems) είναι ένα από τα πιο σημαντικά στοιχεία των συστημάτων ασφάλειας πληροφοριών δικτύου κάθε σύγχρονης επιχείρησης, δεδομένου του τρόπου με τον οποίο ο αριθμός των προβλημάτων που σχετίζονται με την ασφάλεια των υπολογιστών αυξάνεται τα τελευταία χρόνια (Εικ. 1). . Αν και η τεχνολογία IDS δεν παρέχει πλήρη ασφάλεια πληροφοριών, εντούτοις παίζει πολύ σημαντικό ρόλο σε αυτόν τον τομέα. Ένα σύντομο ιστορικό του θέματος, καθώς και ορισμένα πειραματικά και εμπορικά συστήματα, συζητήθηκαν στο άρθρο ("BYTE / Ρωσία", Νο. 10 "2001). Εδώ θα συζητήσουμε λεπτομερέστερα τα τρέχοντα προϊόντα στην αγορά και τις κατευθύνσεις για περαιτέρω ανάπτυξη του IDS.

Η αγορά των συστημάτων IDS αναπτύσσεται με ταχείς ρυθμούς από το 1997. Ήταν εκείνη τη στιγμή που ο ISS (http://www.iss.com) πρόσφερε το προϊόν του με το όνομα Real Secure. Ένα χρόνο αργότερα, η Cisco Systems (http://www.cisco.com), συνειδητοποιώντας τη σκοπιμότητα ανάπτυξης IDS, αγόρασε το προϊόν NetRanger μαζί με την εταιρεία Wheel Group. Είναι αδύνατο να μην αναφέρουμε εδώ τη συγχώνευση της SAIC και της Haystack Labs στην Centrax Corporation (http://www.centrax.com).

Θα πρέπει να σημειωθεί ότι τα συμβατικά IDS εντοπίζουν έγκαιρα μόνο γνωστούς τύπους επιθέσεων. Λειτουργούν στον ίδιο τρόπο λειτουργίας με τα προγράμματα προστασίας από ιούς: οι γνωστοί συλλαμβάνονται, οι άγνωστοι όχι. Ο εντοπισμός μιας άγνωστης επίθεσης είναι μια δύσκολη εργασία που συνορεύει με τον τομέα των συστημάτων τεχνητής νοημοσύνης και της προσαρμοστικής διαχείρισης ασφάλειας. Τα σύγχρονα IDS είναι ικανά να παρακολουθούν τη λειτουργία των συσκευών δικτύου και του λειτουργικού συστήματος, να εντοπίζουν μη εξουσιοδοτημένες ενέργειες και να ανταποκρίνονται αυτόματα σε αυτές σχεδόν σε πραγματικό χρόνο. Κατά την ανάλυση των τρεχόντων γεγονότων, μπορούν να ληφθούν υπόψη εκείνα που έχουν ήδη συμβεί, γεγονός που καθιστά δυνατό τον εντοπισμό επιθέσεων που έχουν διαχωριστεί στο χρόνο και ως εκ τούτου την πρόβλεψη μελλοντικών γεγονότων.

Στη δεκαετία του '80, οι περισσότεροι εισβολείς ήταν ειδικοί στο hacking και οι ίδιοι δημιούργησαν προγράμματα και μεθόδους για μη εξουσιοδοτημένη είσοδο σε δίκτυα υπολογιστών. αυτοματοποιημένα εργαλεία χρησιμοποιήθηκαν σπάνια. Τώρα έχει εμφανιστεί ένας μεγάλος αριθμός «ερασιτέχνων», με αδύναμο επίπεδο γνώσεων σε αυτόν τον τομέα, που χρησιμοποιούν αυτόματα μέσα εισβολής και εκμεταλλεύσεων (το exploit είναι κακόβουλος κώδικας που χρησιμοποιεί γνωστά σφάλματα στο λογισμικό και χρησιμοποιείται από έναν εισβολέα για να διαταράξει την κανονική λειτουργία του συγκροτήματος λογισμικού και υλικού). Με άλλα λόγια, καθώς βελτιώθηκαν τα αυτοματοποιημένα εργαλεία εισβολής, το επίπεδο γνώσης και τα προσόντα των περισσότερων εισβολέων έχει μειωθεί.

Υπάρχουν πολλοί διαφορετικοί τύποι επιθέσεων και μπορούν να ταξινομηθούν κατά σειρά αυξανόμενης σοβαρότητας ως εξής:

• εικασία κωδικού πρόσβασης
• κωδικός αναπαραγωγής
• παραβίαση κωδικού πρόσβασης
• αξιοποίηση γνωστών τρωτών σημείων
• απενεργοποίηση/παράκαμψη συστημάτων ελέγχου
• κλοπή δεδομένων
• πίσω πόρτες (ειδικές είσοδοι σε ένα πρόγραμμα που προκύπτουν λόγω σφαλμάτων κατά την εγγραφή του ή αφήνονται από τους προγραμματιστές για εντοπισμό σφαλμάτων)
• χρήση sniffers και sweepers (συστήματα ελέγχου περιεχομένου)
• χρησιμοποιώντας διαγνωστικά προγράμματα δικτύου για τη λήψη των απαραίτητων δεδομένων
• χρησιμοποιώντας αυτοματοποιημένους σαρωτές ευπάθειας
• πλαστογράφηση δεδομένων σε πακέτα IP
• επιθέσεις άρνησης υπηρεσίας (DoS).
• επιθέσεις σε διακομιστές Ιστού (σενάρια CGI)
• τεχνολογίες κρυφής σάρωσης
• κατανεμημένα μέσα επίθεσης.

Τώρα η επίθεση δεν διαρκεί περισσότερο από μερικά δευτερόλεπτα και μπορεί να προκαλέσει πολύ ευαίσθητη ζημιά. Για παράδειγμα, μια επίθεση άρνησης υπηρεσίας μπορεί να απενεργοποιήσει ένα κατάστημα Web ή μια ηλεκτρονική ανταλλαγή για μεγάλο χρονικό διάστημα. Αυτές οι επιθέσεις είναι οι πιο συνηθισμένες και οι άμυνες εναντίον τους εξελίσσονται γρήγορα.

Ο στόχος κάθε IDS είναι να ανιχνεύσει μια επίθεση με τα λιγότερα δυνατά σφάλματα. Σε αυτή την περίπτωση, ο στόχος της επίθεσης (θύμα) συνήθως θέλει απάντηση στις παρακάτω ερωτήσεις.

• Τι συνέβη στο σύστημά μου;
• Τι δέχθηκε επίθεση και πόσο επικίνδυνη ήταν η επίθεση;
• Ποιος είναι ο επιτιθέμενος;
• Πότε ξεκίνησε η επίθεση και από πού;
• Πώς και γιατί έγινε η εισβολή;

Ο επιτιθέμενος, με τη σειρά του, συνήθως προσπαθεί να μάθει τα εξής. ·

• Ποιος είναι ο στόχος της επίθεσης;
• Υπάρχουν τρωτά σημεία και ποια είναι αυτά;
• Τι κακό μπορεί να γίνει;
• Ποια εργαλεία ή εργαλεία διείσδυσης είναι διαθέσιμα;
• Υπάρχει κίνδυνος να ανακαλυφθεί;

Τύποι IDS

Η ελπίδα της νίκης φέρνει τη νίκη πιο κοντά,
η εμπιστοσύνη στη νίκη μας τη στερεί.
Τίτου Λίβιου

Πρώτα απ 'όλα, το IDS χρησιμοποιεί διάφορες μεθόδους για τον εντοπισμό μη εξουσιοδοτημένης δραστηριότητας. Τα προβλήματα που σχετίζονται με επιθέσεις μέσω ενός τείχους προστασίας είναι γνωστά. Το τείχος προστασίας επιτρέπει ή αρνείται την πρόσβαση σε ορισμένες υπηρεσίες (θύρες), αλλά δεν ελέγχει τη ροή των πληροφοριών που διέρχονται από την ανοιχτή θύρα. Το IDS, με τη σειρά του, προσπαθεί να ανιχνεύσει μια επίθεση στο σύστημα ή στο δίκτυο στο σύνολό του και να ειδοποιήσει τον διαχειριστή ασφαλείας σχετικά, ενώ ο εισβολέας πιστεύει ότι δεν εντοπίστηκε.

Εδώ μπορούμε να κάνουμε μια αναλογία με την προστασία ενός σπιτιού από τους κλέφτες. Οι κλειδωμένες πόρτες και παράθυρα είναι ένα τείχος προστασίας. Και το σύστημα συναγερμού διάρρηξης αντιστοιχεί σε IDS.

Υπάρχουν διάφοροι τρόποι ταξινόμησης IDS. Έτσι, σύμφωνα με τη μέθοδο απόκρισης, διακρίνονται τα παθητικά και τα ενεργά IDS. Οι παθητικές απλώς καταγράφουν το γεγονός μιας επίθεσης, γράφουν δεδομένα σε ένα αρχείο καταγραφής και εκδίδουν προειδοποιήσεις. Τα ενεργά IDS προσπαθούν να εξουδετερώσουν την επίθεση, για παράδειγμα, διαμορφώνοντας εκ νέου τις παραμέτρους του τείχους προστασίας ή δημιουργώντας λίστες πρόσβασης δρομολογητή. Συνεχίζοντας την αναλογία, μπορούμε να πούμε ότι εάν το σύστημα συναγερμού στο σπίτι ανάψει μια ηχητική σειρήνα για να τρομάξει έναν κλέφτη, αυτό είναι ανάλογο με ένα ενεργό IDS και αν στείλει σήμα στην αστυνομία, αυτό αντιστοιχεί σε παθητικό IDS .

Με βάση τη μέθοδο ανίχνευσης μιας επίθεσης, γίνεται διάκριση μεταξύ συστημάτων που βασίζονται σε υπογραφές και συστημάτων που βασίζονται σε ανωμαλίες. Ο πρώτος τύπος βασίζεται στη σύγκριση πληροφοριών με μια προκαθορισμένη βάση δεδομένων υπογραφών επίθεσης. Με τη σειρά τους, οι επιθέσεις μπορούν να ταξινομηθούν ανά τύπο (για παράδειγμα, Ping-of-Death, Στρουμφ). Ωστόσο, συστήματα αυτού του τύπου δεν μπορούν να πιάσουν νέους, άγνωστους τύπους επιθέσεων. Ο δεύτερος τύπος βασίζεται στην παρακολούθηση της συχνότητας των συμβάντων ή στην ανίχνευση στατιστικών ανωμαλιών. Ένα τέτοιο σύστημα επικεντρώνεται στον εντοπισμό νέων τύπων επιθέσεων. Ωστόσο, το μειονέκτημά του είναι η ανάγκη για συνεχή εκπαίδευση. Στο παράδειγμα της οικιακής ασφάλειας, ένα ανάλογο ενός τόσο πιο προηγμένου συστήματος IDS είναι γείτονες που ξέρουν ποιοι ήρθαν σε εσάς, παρακολουθούν προσεκτικά αγνώστους και συλλέγουν πληροφορίες για μια κατάσταση έκτακτης ανάγκης στο δρόμο. Αυτό αντιστοιχεί στον ανώμαλο τύπο IDS.

Η πιο δημοφιλής ταξινόμηση βασίζεται στη μέθοδο συλλογής πληροφοριών σχετικά με την επίθεση: βάσει δικτύου, βάσης υπολογιστή, βάσης εφαρμογής. Ο πρώτος τύπος συστήματος λειτουργεί σαν sniffer, «ακούγοντας» την κίνηση στο δίκτυο και προσδιορίζοντας πιθανές ενέργειες των εισβολέων.

Η αναζήτηση μιας επίθεσης ακολουθεί την αρχή "host to host". Μέχρι πρόσφατα, η λειτουργία τέτοιων συστημάτων ήταν δύσκολη σε δίκτυα που χρησιμοποιούσαν πρωτόκολλα μεταγωγής, κρυπτογράφησης και υψηλής ταχύτητας (πάνω από 100 Mbit/s). Όμως πρόσφατα εμφανίστηκαν λύσεις από τη NetOptics (http://www.netoptics.com) και τη Finisar (http://www.finisar.com) για εργασία σε περιβάλλον μεταγωγής, ειδικότερα, οι τεχνολογίες θύρας SPAN (Switched Port Analyzer) και Πατήστε Network (Test Access Port). Το Network Tap (είτε ως αυτόνομη συσκευή είτε ως μονάδα ενσωματωμένη στο διακόπτη) σάς επιτρέπει να παρακολουθείτε όλη την κίνηση στον διακόπτη. Ταυτόχρονα, η Cisco και η ISS έχουν επιτύχει κάποια επιτυχία στην εφαρμογή τέτοιων συστημάτων σε δίκτυα υψηλής ταχύτητας.

Τα συστήματα του δεύτερου τύπου, βασισμένα σε κεντρικούς υπολογιστές, έχουν σχεδιαστεί για να παρακολουθούν, να ανιχνεύουν και να ανταποκρίνονται στις ενέργειες των εισβολέων σε έναν συγκεκριμένο κεντρικό υπολογιστή. Το σύστημα, που βρίσκεται στον προστατευμένο κεντρικό υπολογιστή, ελέγχει και εντοπίζει ενέργειες που στρέφονται εναντίον του. Ο τρίτος τύπος IDS, που βασίζεται σε εφαρμογές, βασίζεται στην εύρεση προβλημάτων σε μια συγκεκριμένη εφαρμογή. Υπάρχουν επίσης υβριδικά IDS, τα οποία είναι ένας συνδυασμός διαφορετικών τύπων συστημάτων.

Το γενικό διάγραμμα λειτουργίας του IDS φαίνεται στο Σχ. 2. Πρόσφατα, έχουν εμφανιστεί πολλές δημοσιεύσεις σχετικά με συστήματα που ονομάζονται κατανεμημένα IDS (dIDS). Το dIDS αποτελείται από πολλαπλά IDS που βρίσκονται σε διαφορετικά μέρη ενός μεγάλου δικτύου και είναι συνδεδεμένα μεταξύ τους και σε έναν κεντρικό διακομιστή διαχείρισης. Ένα τέτοιο σύστημα ενισχύει την ασφάλεια του εταιρικού υποδικτύου συγκεντρώνοντας πληροφορίες επίθεσης από διάφορα IDS. Το dIDS αποτελείται από τα ακόλουθα υποσυστήματα: κεντρικό διακομιστή ανάλυσης, πράκτορες δικτύου και διακομιστή συλλογής πληροφοριών επίθεσης.

Ρύζι. 2. Γενικό σχήμα λειτουργίας IDS.

Ο κεντρικός διακομιστής ανάλυσης αποτελείται συνήθως από μια βάση δεδομένων και έναν διακομιστή Ιστού, ο οποίος σας επιτρέπει να αποθηκεύετε πληροφορίες σχετικά με επιθέσεις και να χειρίζεστε δεδομένα χρησιμοποιώντας μια βολική διεπαφή Ιστού.

Ο πράκτορας δικτύου είναι ένα από τα πιο σημαντικά στοιχεία του dIDS. Είναι ένα μικρό πρόγραμμα του οποίου ο σκοπός είναι να αναφέρει μια επίθεση σε έναν κεντρικό διακομιστή ανάλυσης.

Ο διακομιστής συλλογής πληροφοριών επίθεσης είναι μέρος του συστήματος dIDS, που βασίζεται λογικά στον κεντρικό διακομιστή ανάλυσης. Ο διακομιστής καθορίζει τις παραμέτρους με τις οποίες ομαδοποιούνται οι πληροφορίες που λαμβάνονται από τους πράκτορες δικτύου. Η ομαδοποίηση μπορεί να πραγματοποιηθεί σύμφωνα με τις ακόλουθες παραμέτρους:

• διεύθυνση IP του εισβολέα·
• θύρα παραλήπτη?
• αριθμός αντιπροσώπου?
• ημερομηνία ώρα;
• πρωτόκολλο;
• είδος επίθεσης κ.λπ.

Παρά τις πολυάριθμες επικρίσεις και αμφιβολίες σχετικά με την απόδοση του IDS, οι χρήστες χρησιμοποιούν ήδη ευρέως τόσο εμπορικά όσο και ελεύθερα διανεμημένα εργαλεία. Οι προγραμματιστές εξοπλίζουν τα προϊόντα τους με την ικανότητα να ανταποκρίνονται ενεργά σε μια επίθεση. Το σύστημα όχι μόνο ανιχνεύει, αλλά προσπαθεί επίσης να σταματήσει την επίθεση και μπορεί επίσης να πραγματοποιήσει μια επίθεση αντιποίνων στον εισβολέα. Οι πιο συνηθισμένοι τύποι ενεργής απόκρισης είναι ο τερματισμός περιόδου λειτουργίας και η επαναδιαμόρφωση του τείχους προστασίας.

Ο τερματισμός περιόδου λειτουργίας είναι πιο δημοφιλής επειδή δεν χρησιμοποιεί προγράμματα οδήγησης εξωτερικών συσκευών, όπως τείχος προστασίας. Για παράδειγμα, τα πακέτα TCP RESET (με τη σωστή σειρά/αριθμό επιβεβαίωσης) απλώς αποστέλλονται και στα δύο άκρα της σύνδεσης. Ωστόσο, έχουν ήδη περιγραφεί τρόποι με τους οποίους οι εισβολείς μπορούν να παρακάμψουν μια τέτοια προστασία (για παράδειγμα, χρησιμοποιώντας τη σημαία PUSH σε ένα πακέτο TCP/IP ή χρησιμοποιώντας το τρέχον τέχνασμα δείκτη).

Η δεύτερη μέθοδος, η αναδιαμόρφωση του τείχους προστασίας, επιτρέπει σε έναν εισβολέα να μάθει για την παρουσία ενός τείχους προστασίας στο σύστημα. Στέλνοντας μια μεγάλη ροή πακέτων ping σε έναν κεντρικό υπολογιστή και βλέποντας ότι μετά από κάποιο χρονικό διάστημα η πρόσβαση σταματά (το ping δεν περνάει), ο εισβολέας μπορεί να συμπεράνει ότι το IDS έχει επαναδιαμορφώσει το τείχος προστασίας, θέτοντας νέους κανόνες για να αρνηθεί το ping στον κεντρικό υπολογιστή. Ωστόσο, υπάρχουν τρόποι για να παρακάμψετε αυτή την προστασία.

Ένα από αυτά είναι η χρήση εκμεταλλεύσεων πριν από την εκ νέου διαμόρφωση του τείχους προστασίας. Υπάρχει πιο εύκολος τρόπος. Ένας εισβολέας, όταν επιτίθεται σε ένα δίκτυο, μπορεί να ορίσει διευθύνσεις IP γνωστών εταιρειών ως διεύθυνση αποστολέα (ipspoofing). Ως απόκριση σε αυτό, ο μηχανισμός αναδιαμόρφωσης τείχους προστασίας αποκλείει τακτικά την πρόσβαση στους ιστότοπους αυτών των εταιρειών (για παράδειγμα, ebay.com, cnn.com, cert.gov, aol.com), μετά τις οποίες πολλές κλήσεις από αγανακτισμένους χρήστες στην υπηρεσία υποστήριξης των «κλειστών» εταιρειών ξεκινούν , και ο διαχειριστής αναγκάζεται να απενεργοποιήσει αυτόν τον μηχανισμό. Αυτό θυμίζει πολύ το σβήσιμο ενός συναγερμού αυτοκινήτου τη νύχτα, οι συνεχείς συναγερμοί του οποίου κρατούν τους κατοίκους των γύρω σπιτιών από τον ύπνο. Μετά από αυτό, το αυτοκίνητο γίνεται πολύ πιο προσιτό στους κλέφτες αυτοκινήτων.

Είναι απαραίτητο να θυμάστε ότι υπάρχουν ήδη εργαλεία για την αναγνώριση IDS που λειτουργούν με τη λειτουργία "ακρόασης" της κυκλοφορίας (http://www.securitysoftwaretech.com/antisniff/download.html).

Επιπλέον, πολλά IDS είναι επιρρεπή σε επιθέσεις DoS (άρνηση υπηρεσίας).

Οι πιο προηγμένοι σε αυτόν τον τομέα είναι οι «δωρεάν» προγραμματιστές του κόσμου posix. Οι απλούστερες επιθέσεις εκμεταλλεύονται τρωτά σημεία που σχετίζονται με τη χρήση IDS που βασίζονται σε υπογραφές. Για παράδειγμα, η χρήση μιας έκδοσης του δωρεάν προϊόντος Snort μπορεί να μηδενιστεί με τον ακόλουθο τρόπο. Όταν προσπαθεί να αποκτήσει πρόσβαση στο αρχείο /etc/passwd, όπου το UNIX αποθηκεύει ονόματα χρηστών, συνδρομές ομάδων και κελύφη, το Snort χρησιμοποιεί την ακόλουθη υπογραφή για να εντοπίσει αυτήν τη δραστηριότητα:

Ειδοποίηση tcp $EXTERNAL_NET οποιαδήποτε -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";σημαία: A+; περιεχόμενο:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev: 1;)

Υπάρχουν επιθέσεις που βασίζονται σε πολυμορφικό κώδικα κελύφους. Αυτός ο κώδικας αναπτύχθηκε από τον συγγραφέα του http://ktwo.ca/ και βασίζεται στη χρήση ιών. Αυτή η τεχνολογία είναι πιο αποτελεσματική έναντι συστημάτων που βασίζονται σε υπογραφές παρά έναντι συστημάτων που βασίζονται σε ανωμαλίες ή ανάλυση πρωτοκόλλων. Ο πολυμορφικός κώδικας χρησιμοποιεί διάφορες τεχνικές για να παρακάμψει συστήματα αντιστοίχισης συμβολοσειρών (βρίσκεται στη διεύθυνση http://cansecwest.com/noplist-v1-1.txt).

Μπορείτε επίσης να ανακαλέσετε επιθέσεις που χρησιμοποιούν κατακερματισμό πακέτων, αποτυχία υπηρεσίας IDS, διαχωρισμό της επίθεσης μεταξύ πολλών χρηστών, κωδικοποίηση της επίθεσης σε κωδικοποίηση "ebcdic" με αλλαγή του τύπου τερματικού σε "ebcdic", υλοποίηση επίθεσης μέσω κρυπτογραφημένου καναλιού, καταστολή της μονάδας παρακολούθησης port, αλλάζοντας τον πίνακα δρομολόγησης, για να αποφύγετε την κυκλοφορία της κυκλοφορίας στο σύστημα ανίχνευσης εισβολής κ.λπ.

Τα συστήματα IDS χρησιμοποιούνται για τον εντοπισμό όχι μόνο εξωτερικών αλλά και εσωτερικών παραβατών.

Όπως δείχνει η πρακτική, μερικές φορές υπάρχουν πολύ περισσότερα από αυτά από τα εξωτερικά. Οι εσωτερικές επιθέσεις δεν είναι συνηθισμένος τύπος επίθεσης. Σε αντίθεση με τους εξωτερικούς εισβολείς, ένας εσωτερικός είναι ένας εξουσιοδοτημένος χρήστης που έχει επίσημη πρόσβαση σε πόρους του ενδοδικτύου, συμπεριλαμβανομένων εκείνων στους οποίους κυκλοφορούν εμπιστευτικές πληροφορίες. Η κοινή πρακτική είναι η χρήση υπηρεσιών ασφάλειας πληροφοριών για την προστασία της περιμέτρου του intranet, ενώ η προστασία από εσωτερικές απειλές δίδεται πολύ λιγότερη προσοχή. Εδώ μπαίνει το IDS. Η διαμόρφωση ενός IDS για προστασία από επιθέσεις εκ των έσω δεν είναι εύκολη υπόθεση. απαιτεί επίπονη εργασία με κανόνες και προφίλ χρηστών.

Για την καταπολέμηση των εσωτερικών επιθέσεων, είναι απαραίτητο να χρησιμοποιήσετε έναν συνδυασμό διαφορετικών IDS.

Εταιρείες και προϊόντα

Υπάρχουν αρκετές δεκάδες εμπορικά συστήματα IDS στην αγορά, γεγονός που εξασφαλίζει την επιλογή της καταλληλότερης λύσης. Δυστυχώς, δεν υπάρχουν ακόμη εγχώρια προϊόντα, αν και δύο ρωσικές εταιρείες ετοιμάζονται να κυκλοφορήσουν τα συστήματα ανίχνευσης επιθέσεων μέχρι το τέλος αυτού του έτους.

Παρακάτω περιγράφονται προϊόντα από περισσότερες από είκοσι εταιρείες. Σύμφωνα με τον συγγραφέα, η σειρά της τακτοποίησής τους στο άρθρο αντιστοιχεί περίπου στον βαθμό φήμης στη Ρωσία.

Το υποσύστημα IDS είναι διαθέσιμο στον μεταγωγέα Catalyst - Catalyst 6000 Intrusion Detection Module (ενσωματωμένο σε ενσωματωμένο δίκτυο βάσει δικτύου).

Το Cisco IDS Host Sensor 2.0 και το Cisco IDS Host Sensor Web Server, που αναπτύχθηκαν από την Entercept, παρέχουν ασφάλεια βασισμένη στον κεντρικό υπολογιστή. Το IDS σε επίπεδο δρομολογητή (Firewall Feature Set 12.1(4)T) είναι ικανό να αποκρούσει 59 από τους πιο επικίνδυνους τύπους επιθέσεων (σύστημα που βασίζεται σε δίκτυο). Όταν χρησιμοποιείτε IDS στο επίπεδο τείχους προστασίας PIX 535, 525, 515E, 506E, 501 (v.6.2.2), αντικατοπτρίζονται περισσότεροι από 55 από τους πιο επικίνδυνους τύπους επιθέσεων (σύστημα που βασίζεται σε δίκτυο). Η διαχείριση των συστημάτων ασφαλείας γίνεται με χρήση του CiscoWorks VPN/Security Management Solution (VMS) ή του λογισμικού Cisco IDS έκδοση 3.1(2). Ρύζι. Το Σχήμα 4 απεικονίζει τη λειτουργία του αισθητήρα δικτύου Cisco όταν προσπαθείτε να βρείτε ονόματα κεντρικών υπολογιστών.

Ρύζι. 4. Η λειτουργία του αισθητήρα δικτύου Cisco κατά την προσπάθεια εύρεσης ονομάτων κεντρικών υπολογιστών.

Συστήματα Ασφαλείας Διαδικτύου

Η εταιρεία ISS κάποτε έκανε ένα απότομο άλμα σε αυτόν τον τομέα και κατέχει ηγετική θέση στην εφαρμογή συστημάτων ανίχνευσης επιθέσεων. Προσφέρει επίσης μια ολόκληρη οικογένεια λύσεων για διαφορετικά επίπεδα.

Το RealSecure Network Sensor είναι μια λύση λογισμικού σχεδιασμένη για εγκατάσταση σε αποκλειστικό υπολογιστή σε ένα κρίσιμο τμήμα δικτύου. Αναλύοντας την κίνηση του δικτύου και συγκρίνοντάς την με μια βάση δεδομένων υπογραφών επίθεσης, ο αισθητήρας εντοπίζει διάφορες παραβιάσεις της πολιτικής ασφαλείας (Εικ. 5).

Το σύστημα RealSecure Gigabit Sensor επεξεργάζεται περισσότερα από 500 χιλιάδες πακέτα ανά δευτερόλεπτο, χρησιμοποιώντας έναν πατενταρισμένο αλγόριθμο ανάλυσης επτά επιπέδων, ανιχνεύει μεγάλο αριθμό επιθέσεων που χάνονται από άλλα συστήματα. Χρησιμοποιείται κυρίως σε δίκτυα που λειτουργούν υπό βαρύ φορτίο.

Ο αισθητήρας διακομιστή RealSecure σάς επιτρέπει να εντοπίζετε επιθέσεις σε όλα τα επίπεδα που στοχεύουν σε έναν συγκεκριμένο κόμβο δικτύου. Επιπλέον, μπορεί να πραγματοποιήσει ανάλυση ασφαλείας και να εντοπίσει τρωτά σημεία στον ελεγχόμενο κόμβο.

Το RealSecure Desktop Protector (παλαιότερα ονομαζόταν BlackICE Agent) έχει σχεδιαστεί για να ανιχνεύει σε πραγματικό χρόνο επιθέσεις που στοχεύουν σε σταθμούς εργασίας σε ένα εταιρικό δίκτυο.

Το RealSecure for Nokia είναι μια λύση λογισμικού και υλικού που αναπτύχθηκε από την ISS και τη Nokia. Συνδυάζει όλη τη λειτουργικότητα του RealSecure Network Sensor και της Nokia IP Network Security Solutions. Το σύστημα λειτουργεί υπό το ασφαλές λειτουργικό σύστημα IPSO, που βασίζεται στο FreeBSD.

Το RealSecure Guard είναι μια λύση λογισμικού που συνδυάζει τις δυνατότητες ενός τείχους προστασίας και ενός συστήματος ανίχνευσης επιθέσεων σε πραγματικό χρόνο. Εγκαθίσταται μεταξύ των προστατευμένων και ανοιχτών τμημάτων του δικτύου (τα λεγόμενα inline-IDS) και αναλύει όλη την κίνηση που διέρχεται από αυτό σε αναζήτηση απαγορευμένων ή επικίνδυνων πακέτων. Το σύστημα μπορεί να ανιχνεύσει επιθέσεις τόσο σε τμήματα δικτύου όσο και σε μεμονωμένους, πιο σημαντικούς κόμβους.

Για τη διαχείριση των αναγραφόμενων συστημάτων RealSecure, χρησιμοποιείται η λειτουργική μονάδα RealSecure SiteProtector, η οποία χρησιμεύει ως το κύριο στοιχείο της κεντρικής διαχείρισης τόσο για τα συστήματα Internet Scanner όσο και για τα συστήματα System Scanner. Προορίζεται για χρήση σε μεγάλα, γεωγραφικά κατανεμημένα δίκτυα ή σε οργανισμούς που χρησιμοποιούν πολλές λύσεις ISS ταυτόχρονα.

Η απλούστερη λειτουργική μονάδα RealSecure WorkGroup Manager έχει σχεδιαστεί για τη διαχείριση μόνο RealSecure Network Sensor, Gigabit Sensor, RealSecure Server Sensor και RealSecure για Nokia. Μπορεί να χρησιμοποιηθεί απουσία άλλων λύσεων ISS και με μικρό αριθμό αισθητήρων στο δίκτυο (έως πέντε).

Η διεπαφή γραμμής εντολών RealSecure έχει σχεδιαστεί μόνο για τον έλεγχο της γραμμής εντολών του αισθητήρα δικτύου RealSecure και του αισθητήρα Gigabit. Αυτή η μονάδα ελέγχου είναι προσανατολισμένη για τοπική χρήση.

Symantec

Τα προϊόντα Intruder Alert και NetProwler (επί του παρόντος κυκλοφορούν εκδόσεις 3.6 και 3.5.1, αντίστοιχα) περιγράφονται με αρκετή λεπτομέρεια στην ανασκόπηση που αναφέρεται παραπάνω ("BYTE / Ρωσία", Αρ. 10" 2001, σελ. 14).

Δίκτυα Enterasys

Η Enterasys Networks είναι μέρος της πρώην εταιρείας Cabletron Systems. Παράγει IDS Dragon (τύπος δικτύου). Η εσωτερική αρχιτεκτονική της έκτης έκδοσης του συστήματος έχει αυξημένη επεκτασιμότητα. Το σύστημα περιλαμβάνει στοιχεία Network Sensor, Squire Host Sensor, μονάδα ελέγχου με διεπαφή Web Dragon Policy Manager και ένα κεντρικό σύστημα παρακολούθησης της ασφάλειας δικτύου σε πραγματικό χρόνο Dragon Security Information Manager.

Συνεργάτες Πληροφορικής

Το eTrust Intrusion Detection (πρώην SessionWall) παρέχει δυνατότητες ασφάλειας τοπικού δικτύου και παρακολούθησης. Αυτό το εξαιρετικά αποτελεσματικό και αρκετά απλό προϊόν λογισμικού παρέχει δυνατότητες παρακολούθησης, ανίχνευσης επιθέσεων, έλεγχο κυκλοφορίας WWW και καταγραφή. Η εκτεταμένη βιβλιοθήκη μοτίβων επίθεσης του eTrust Intrusion Detection ενημερώνεται τακτικά και εντοπίζει αυτόματα επιθέσεις που ταιριάζουν με τα μοτίβα.

Το σύστημα μπορεί να χρησιμοποιηθεί ως ανιχνευτής, επιπλέον, σας επιτρέπει να περιορίσετε την πρόσβαση σε ιστότοπους του Διαδικτύου χρησιμοποιώντας κανόνες που περιέχουν λέξεις-κλειδιά. Το eTrust διατηρεί επίσης ποσοτικά αρχεία της κίνησης του δικτύου.

Εντοπίζονται ιοί και επικίνδυνα στοιχεία Java/ActiveX. Εντοπίζονται και καταγράφονται οι προσπάθειες των χρηστών να μαντέψουν έναν κωδικό πρόσβασης για τη σύνδεση στο σύστημα, κάτι που μπορεί στη συνέχεια να είναι χρήσιμο για οργανωτικές αποφάσεις από τη διοίκηση της εταιρείας.

Το eTrust Intrusion Detection παρέχει συμφραζόμενη προβολή όλων των πακέτων που κυκλοφορούν στο τοπικό δίκτυο και τον αποκλεισμό τους εάν υπάρχουν λέξεις-κλειδιά που ορίζονται από τον διαχειριστή.

Ασφάλεια NFR

Η εταιρεία ιδρύθηκε το 1996 με στόχο την ανάπτυξη προηγμένων συστημάτων IDS.

Το σύστημα NFR NID παρέχει παρακολούθηση σε πραγματικό χρόνο της κυκλοφορίας του δικτύου, εντοπίζοντας ύποπτες δραστηριότητες, διάφορες επιθέσεις, απαγορευμένη συμπεριφορά χρήστη στο δίκτυο και διάφορες στατιστικές ανωμαλίες. Οι αισθητήρες που χρησιμοποιούνται μπορούν να λειτουργήσουν σε ταχύτητες 1 Gbit/s και 100 Mbit/s χωρίς απώλεια πακέτων. Σε αντίθεση με τα παραδοσιακά συστήματα IDS (συγκρίνοντας την κυκλοφορία με τις υπογραφές επίθεσης), το NFR NID χρησιμοποιεί μια εξειδικευμένη βάση γνώσεων, ελέγχει τη δραστηριότητα του δικτύου χρησιμοποιώντας γνωστά exploits, τα οποία καθιστούν δυνατό τον εντοπισμό νέων τύπων επιθέσεων στην κυκλοφορία, όπως το Code Red και το Nimda.

Το NFR HID λειτουργεί σε επίπεδο κεντρικού υπολογιστή, σας επιτρέπει να εντοπίζετε τρωτά σημεία και αδύναμες πολιτικές ασφαλείας, να προσδιορίζετε ύποπτη δραστηριότητα χρήστη και να παρακολουθείτε τον προστατευμένο κεντρικό υπολογιστή σε επίπεδο επιθέσεων δικτύου. Δυνατότητα υποστήριξης έως και 10 χιλιάδων κεντρικών υπολογιστών, κάτι που είναι πολύ βολικό σε μεγάλα δίκτυα. Το σύστημα χρησιμοποιεί δύο τύπους προγραμμάτων πρακτόρων: Το Log Analysis Agent παρακολουθεί τα αρχεία καταγραφής του πυρήνα και του δικτύου, συμπεριλαμβανομένων των syslogs. Το Network Node Agent παρακολουθεί την κυκλοφορία του δικτύου και εντοπίζει επιθέσεις DoS στον προστατευμένο κεντρικό υπολογιστή (άρνηση υπηρεσίας), επιθέσεις άρσης κωδικού πρόσβασης FTP, επιθέσεις Web phf, σαρώσεις CGI, σαρώσεις BackOrifice κ.λπ. Κατάλληλο για εργασία σε δίκτυα με κρυπτογράφηση και μεταγωγή δικτύων.

Tripwire

Η ιστορία της ανάπτυξης των Tripwire και NFR, καθώς και ορισμένα από τα λειτουργικά χαρακτηριστικά των προϊόντων τους, περιγράφονται στην ίδια ανασκόπηση. Σημειώστε ότι υπάρχουν τρία κύρια προϊόντα αυτής της εταιρείας, τα ονόματα των οποίων μιλούν από μόνα τους (για Διακομιστές, για Συσκευές Δικτύου και για Ιστοσελίδες). Το κύριο τεχνολογικό τους χαρακτηριστικό είναι ο υπολογισμός των αθροισμάτων ελέγχου των κύριων αρχείων και ενοτήτων.

Φύσημα

Το Snort είναι ένα ελαφρύ σύστημα ανίχνευσης εισβολής. Το πρόγραμμα αναλύει το πρωτόκολλο μετάδοσης, εντοπίζει διάφορες επιθέσεις, για παράδειγμα, υπερχείλιση buffer, σάρωση, επιθέσεις CGI, προσπάθειες ανίχνευσης του λειτουργικού συστήματος κ.λπ. Το Snort χρησιμοποιεί ειδικούς κανόνες για την αναζήτηση επιθέσεων στην κυκλοφορία. Το σύστημα είναι εύκολο στη ρύθμιση και τη συντήρηση, αλλά πολλά από αυτά πρέπει να ρυθμιστούν με το χέρι, χωρίς μια βολική γραφική διεπαφή.

Το πρόγραμμα λειτουργεί σε τρεις λειτουργίες: ανιχνευτής, καταγραφέας πακέτων και σύστημα ανίχνευσης εισβολής δικτύου. Στην πρώτη περίπτωση, το σύστημα προβάλλει πακέτα σε επίπεδο δικτύου και εμφανίζει πληροφορίες σχετικά με αυτά στην κονσόλα, στη δεύτερη, γράφει αρχεία καταγραφής στο δίσκο, στην τρίτη, αναλύει την κυκλοφορία του δικτύου για αντιστοίχιση υπογραφών επίθεσης και σημάτων σχετικά με αυτά.

Ερευνητική ομάδα Διαδικτύου, BBN Technologies

Η σειρά προϊόντων NIDS, SecureNet, περιλαμβάνει συσκευές σχεδιασμένες για δίκτυα υψηλής ταχύτητας (SecureNet 5000 και 7000), προστασία προσωπικών υπολογιστών (SecureNet 2000), καθώς και το σύστημα παρακολούθησης SecureNet Provider και ειδικό λογισμικό SecureNet Pro.

Το σύστημα SecureHost (host-based IDS) έχει σχεδιαστεί για να προστατεύει υπολογιστές και διακομιστές με την εισαγωγή ειδικών προγραμμάτων αισθητήρων - πρακτόρων. Οι πράκτορες διασφαλίζουν ότι οι αποφάσεις λαμβάνονται όταν μια επίθεση συμβαίνει σε πραγματικό χρόνο, σύμφωνα με την υιοθετημένη πολιτική προστασίας. Η σουίτα λογισμικού Intrusion SecureHost αποτελείται από μια κονσόλα διαχείρισης που βασίζεται στον Microsoft Windows 2000 Server και πράκτορες που εκτελούνται σε συστήματα με Microsoft Windows NT, Windows 2000 ή Sun Solaris 2.8.

καταιγίδα πυρκαγιάς

Το υψηλής ταχύτητας NIDS Firestorm, που αναπτύχθηκε από τον Giani Tedesco και διανέμεται ελεύθερα, παρουσιάζεται επί του παρόντος κυρίως ως αισθητήρας με Linux. Τα χαρακτηριστικά του συστήματος είναι:

• Οι πληροφορίες συλλέγονται χρησιμοποιώντας βιβλιοθήκες libpcap, οι οποίες σας επιτρέπουν να παρακολουθείτε πακέτα από την κυκλοφορία του δικτύου.
• το σύστημα υποστηρίζει κανόνες που έχουν γραφτεί για το Snort.
• ρυθμίζεται εύκολα με την επεξεργασία του αρχείου firestorm.conf.
• κατανοεί τον τρόπο λειτουργίας της επιθεώρησης κατάστασης (τεχνολογία επιθεώρησης πακέτων λαμβάνοντας υπόψη την κατάσταση του πρωτοκόλλου).
• προετοιμάζει αρχεία καταγραφής σε μορφή ASCII ή tcpdump.
• συσχετίζει γεγονότα.
• εκδίδει σήματα σχετικά με μια επίθεση σε μια απομακρυσμένη συσκευή - την κονσόλα.

Ωστόσο (όπως συμβαίνει συχνά με το ελεύθερο λογισμικό), το σύστημα είναι επιρρεπές σε επιθέσεις. Υπάρχει πιθανότητα επίθεσης σε αυτό το σύστημα που θα προκαλέσει πάγωμα του NIDS. Η επίθεση έχει ήδη περιγραφεί σε ειδήσεις, το πρόβλημα αποδείχθηκε ότι ήταν σφάλμα στη μονάδα επεξεργασίας μνήμης.

Psionic Technologies

Το προϊόν TriSentry (πρώην εργαλεία Abacus Project) έχει σχεδιαστεί για να βελτιώνει την ασφάλεια του δικτύου μιας εταιρείας εντοπίζοντας διάφορες επιθέσεις. Το σύστημα αποτελείται από τρία βασικά στοιχεία: PortSentry, HostSentry και LogSentry. Το IDS έχει σχεδιαστεί για να λειτουργεί σε περιβάλλον UNIX.

Το PortSentry είναι ένας απλός ανιχνευτής σάρωσης που σταματά την επικοινωνία μεταξύ του κεντρικού υπολογιστή-θύματος και του εισβολέα. Ο κεντρικός υπολογιστής "επαναφέρει" τοπικές διαδρομές, ορίζει κανόνες δυναμικής πρόσβασης και προσθέτει τον κεντρικό υπολογιστή σε ειδικά αρχεία hosts.deny περιτυλίγματος TCP, όλα σε πραγματικό χρόνο.

Το HostSentry επιτρέπει στον διαχειριστή ασφαλείας να ανιχνεύει ασυνήθιστη δραστηριότητα χρήστη (Ανίχνευση ανωμαλίας σύνδεσης, LAD).

Το LogSentry (πρώην Logcheck) παρακολουθεί αυτόματα τα αρχεία καταγραφής συστήματος για συμβάντα ασφαλείας σε συστήματα email. Αυτό το σύνολο προγραμμάτων, που προηγουμένως παρασχέθηκε με το τείχος προστασίας TIS Gauntlet, έχει επανασχεδιαστεί σημαντικά για να ελέγχει ένα ευρύτερο φάσμα συστημάτων.

Lancope

Το σύστημα υλικού και λογισμικού StealthWatch είναι ένα ισχυρό σύστημα παρακολούθησης, ανίχνευσης και απόκρισης σε επιθέσεις σε περιβάλλον υψηλής ταχύτητας. Σε αντίθεση με τα παραδοσιακά συστήματα, έχει μια αρχιτεκτονική που βασίζεται στη ροή, η οποία σας επιτρέπει να αναγνωρίζετε νέες επιθέσεις χωρίς να έχετε πρόσβαση στη βάση δεδομένων των υπαρχουσών υπογραφών. Η νέα αρχιτεκτονική παρέχει εις βάθος ανίχνευση επιθέσεων με βάση την ανώμαλη δραστηριότητα, λειτουργία σε περιβάλλοντα υψηλής ταχύτητας (από 100 Mbps full duplex έως 1 Gbps) και ανταποκρίνεται σημαντικά λιγότερο σε ψευδείς επιθέσεις.

OneSecure

Στο σύστημα OneSecure Intrusion Detection and Prevention (IDP), η εταιρεία πρότεινε έναν ειδικό μηχανισμό - Multi-Method Detection (MMD), ο οποίος συνδυάζει τις πιο γνωστές μεθόδους για τον εντοπισμό τρωτών σημείων.

Τεχνολογίες προσφυγής

Η εταιρεία προσφέρει δύο προϊόντα: το ManTrap παρέχει προστασία για τους πιο κρίσιμους διακομιστές, το ManHunt ανιχνεύει επιθέσεις σε επίπεδο δικτύου, μεταξύ άλλων σε περιβάλλον gigabit. Χρησιμοποιούνται κατανεμημένοι αισθητήρες και κεντρικός διακομιστής επεξεργασίας και λήψης αποφάσεων. Παράλληλα, η μεθοδολογία που έχει αναπτύξει η εταιρεία (zero-day) εντοπίζει όχι μόνο γνωστές αλλά και νέες επιθέσεις.

Τα προϊόντα Emerald, NetStat, Shadow και Bro συζητούνται λεπτομερώς στο "BYTE/Russia", Νο. 10"2001.

Νέες τάσεις

Οι διακόπτες χρησιμοποιούνται όλο και περισσότερο σε εταιρικά δίκτυα επειδή προσφέρουν μεγαλύτερο εύρος ζώνης από τους διανομείς και προστατεύουν από επιθέσεις sniffer για την υποκλοπή ευαίσθητων πληροφοριών. Ωστόσο, εξακολουθούν να υπάρχουν προβλήματα με τη χρήση του NIDS. Υπάρχουν διακόπτες με αντικατοπτρισμό θυρών (θύρες SPAN), οι οποίοι αντιγράφουν τα δεδομένα που περνούν από το μεταγωγέα σε μια αποκλειστική θύρα. Θεωρητικά, χρησιμοποιώντας μια θύρα SPAN, είναι δυνατός ο έλεγχος ολόκληρης της ροής δεδομένων, αλλά εάν ο όγκος της κατοπτρισμένης κίνησης υπερβαίνει το επιτρεπόμενο όριο, τότε αρχίζει η απώλεια πακέτων.

Υπάρχουν ήδη λύσεις για δίκτυα gigabit, αλλά υπάρχει ένα άλλο πρόβλημα - η κρυπτογράφηση. Σήμερα, κανένας διαχειριστής που σέβεται τον εαυτό του δεν λειτουργεί εξ αποστάσεως με τα συστήματά του χωρίς SSH ή SSL και δεδομένου ότι η μεταφορά δεδομένων είναι κρυπτογραφημένη, το πρόβλημα της χρήσης IDS παραμένει. Βρίσκεται στην αδυναμία αποκρυπτογράφησης όλης της κυκλοφορίας και, ως εκ τούτου, του ελέγχου των υπογραφών επίθεσης. Στο εγγύς μέλλον, σχεδόν όλοι οι κατασκευαστές (αν θέλουν να καταλάβουν μια άξια θέση στην αγορά IDS) θα οριστικοποιήσουν τα προϊόντα τους για χρήση σε δίκτυο gigabit.

Ένα άλλο ζήτημα είναι η συλλογή πληροφοριών και η ανάλυσή τους. Ακόμη και ο πιο σοβαρός ειδικός ασφαλείας είναι επίσης άτομο και μπορεί να μην παρατηρήσει κάποιες λεπτομέρειες που θα του κρύψουν την προετοιμασία ή την εκτέλεση επίθεσης στον οικοδεσπότη της εταιρείας. Τα έργα Spice και Spade έχουν ξεκινήσει για την ανάπτυξη τεχνολογίας για την ανίχνευση ανώμαλης δραστηριότητας και θα βοηθήσουν στην επίλυση αυτού του προβλήματος.

Δεν υπάρχει αμφιβολία ότι οι IDS εξελίσσονται προς την κατεύθυνση της συλλογής και του συσχετισμού πληροφοριών. Σε αυτή την περίπτωση, οι πληροφορίες πρέπει να προέρχονται από ποικίλες πηγές (αισθητήρες). Πιθανότατα, οι διαφορές μεταξύ NIDS και HIDS θα εξαφανιστούν σταδιακά και στο μέλλον θα δημιουργηθούν κεντρικά συστήματα διαχείρισης με δυνατότητες λήψης αποφάσεων (τουλάχιστον σε απλές περιπτώσεις), γεγονός που θα μειώσει σημαντικά την επιβάρυνση των διαχειριστών που είναι υπεύθυνοι για την ασφάλεια του υπολογιστή. δίκτυα.

Τα πρώτα συστήματα που κατέστησαν δυνατό τον εντοπισμό ύποπτης δραστηριότητας δικτύου σε εταιρικά intranet εμφανίστηκαν σχεδόν πριν από 30 χρόνια. Μπορούμε να θυμηθούμε, για παράδειγμα, το σύστημα MIDAS, που αναπτύχθηκε το 1988. Ωστόσο, ήταν περισσότερο πρωτότυπο.

Για μεγάλο χρονικό διάστημα, ένα εμπόδιο στη δημιουργία ολοκληρωμένων συστημάτων αυτής της κατηγορίας ήταν η αδύναμη υπολογιστική ισχύς των μαζικών πλατφορμών υπολογιστών και οι πραγματικά λειτουργικές λύσεις παρουσιάστηκαν μόλις 10 χρόνια αργότερα. Λίγο αργότερα, βγήκαν στην αγορά τα πρώτα εμπορικά δείγματα συστημάτων ανίχνευσης εισβολής (IDS, ή IDS - Intrusion Detection Systems)...

Σήμερα, το έργο της ανίχνευσης επιθέσεων δικτύου είναι ένα από τα πιο σημαντικά. Η σημασία του έχει αυξηθεί λόγω της αυξανόμενης πολυπλοκότητας τόσο των μεθόδων επίθεσης όσο και της τοπολογίας και της σύνθεσης των σύγχρονων intranets. Ενώ προηγουμένως οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν μόνο μια γνωστή στοίβα εκμετάλλευσης για να πραγματοποιήσουν μια επιτυχημένη επίθεση, τώρα καταφεύγουν σε πολύ πιο εξελιγμένες μεθόδους, ανταγωνιζόμενοι σε δεξιότητες με ειδικούς από την πλευρά της άμυνας.

Σύγχρονες απαιτήσεις για IDS

Τα συστήματα ανίχνευσης εισβολών που είναι καταχωρημένα στο ρωσικό μητρώο λογισμικού χρησιμοποιούν ως επί το πλείστον μεθόδους υπογραφής. Ή ισχυρίζονται ότι εντοπίζουν ανωμαλίες, αλλά η ανάλυση, το πολύ, λειτουργεί σε δεδομένα όχι πιο λεπτομερή από τον τύπο του πρωτοκόλλου. Το «Pluto» βασίζεται σε βαθιά ανάλυση πακέτων με ανίχνευση λογισμικού. Το "Pluto" υπερθέτει τα δεδομένα ενός εισερχόμενου πακέτου στις ιδιαιτερότητες των δεδομένων κεντρικού υπολογιστή - πιο ακριβή και ευέλικτα αναλυτικά στοιχεία.

Προηγουμένως, οι μέθοδοι επιφανειακής ανάλυσης και υπογραφής εκτελούσαν με επιτυχία τις λειτουργίες τους (εκείνη την εποχή, οι εισβολείς προσπάθησαν να εκμεταλλευτούν ήδη γνωστά τρωτά σημεία λογισμικού). Όμως, στις σύγχρονες συνθήκες, οι επιθέσεις μπορούν να επεκταθούν με την πάροδο του χρόνου (το λεγόμενο APT), όταν η επισκεψιμότητά τους καλύπτεται από κρυπτογράφηση και συσκότιση (αποσύνθεση), τότε οι μέθοδοι υπογραφής είναι αναποτελεσματικές. Επιπλέον, οι σύγχρονες επιθέσεις χρησιμοποιούν διάφορες μεθόδους για να παρακάμψουν το IDS.

Ως αποτέλεσμα, η προσπάθεια που απαιτείται για τη διαμόρφωση και τη διατήρηση των παραδοσιακών συστημάτων ανίχνευσης εισβολής μπορεί να υπερβεί τα λογικά όρια, και οι επιχειρήσεις συχνά καταλήγουν στο συμπέρασμα ότι μια τέτοια άσκηση είναι σπατάλη πόρων. Ως αποτέλεσμα, το IDS υπάρχει επίσημα, εκτελώντας μόνο το καθήκον της παρουσίας και τα συστήματα πληροφοριών της επιχείρησης παραμένουν ανυπεράσπιστα. Αυτή η κατάσταση είναι γεμάτη με ακόμη μεγαλύτερες απώλειες.

IDS νέας γενιάς

Το SOV PAK "Pluto", που αναπτύχθηκε από την Jet Infosystems, είναι ένα συγκρότημα υψηλής απόδοσης νέας γενιάς για τον εντοπισμό επιθέσεων δικτύου. Σε αντίθεση με τα παραδοσιακά IDS, ο Pluto συνδυάζει την ταυτόχρονη ανάλυση πακέτων δικτύου με χρήση υπογραφών και ευρετικών μεθόδων με την αποθήκευση περιβαλλοντικών δεδομένων, παρέχοντας βαθιές αναλύσεις και επεκτείνοντας το σύνολο δεδομένων προς διερεύνηση. Οι προηγμένες μέθοδοι για τον εντοπισμό πιθανών απειλών, οι οποίες συμπληρώνονται από αναδρομικά δεδομένα για το περιβάλλον του δικτύου, την κυκλοφορία και τα αρχεία καταγραφής του συστήματος, καθιστούν τον Πλούτωνα σημαντικό στοιχείο του συστήματος ασφάλειας πληροφοριών μιας επιχείρησης. Το σύστημα είναι σε θέση να εντοπίζει σημάδια επιθέσεων υπολογιστή και ανωμαλιών στη συμπεριφορά των κόμβων δικτύου σε κανάλια επικοινωνίας με χωρητικότητα μεγαλύτερη από 1 Gbit/s.

Εκτός από την ανίχνευση σημαδιών επιθέσεων υπολογιστή σε συστήματα πληροφοριών, ο Pluto παρέχει σοβαρή προστασία για τα δικά του στοιχεία, καθώς και προστασία για τα κανάλια επικοινωνίας: σε περίπτωση βλάβης του εξοπλισμού, η σύνδεση δεν θα διακόπτεται. Όλα τα στοιχεία του Pluto λειτουργούν σε κλειστό περιβάλλον λογισμικού - αυτό καθιστά αδύνατη την εκτέλεση κώδικα λογισμικού τρίτων και χρησιμεύει ως πρόσθετη εγγύηση κατά της μόλυνσης από κακόβουλο λογισμικό. Επομένως, μπορείτε να είστε σίγουροι ότι ο Πλούτωνας δεν θα γίνει «παράθυρο» στο δίκτυό σας για επιτιθέμενους και δεν θα μετατραπεί σε «πονοκέφαλο» για τους δικτυωτές και τους ειδικούς ασφαλείας.

Ο «Πλούτωνας» παρακολουθεί προσεκτικά την «υγεία» του, παρακολουθώντας την ακεραιότητα της διαμόρφωσης των στοιχείων του συστήματος, τα δεδομένα σχετικά με τα συμβάντα ασφάλειας των συλλεγόμενων πληροφοριών δικτύου και την κυκλοφορία του δικτύου. Αυτό διασφαλίζει τη σωστή λειτουργία των στοιχείων του συστήματος και, κατά συνέπεια, τη σταθερότητα της λειτουργίας του. Και η χρήση ειδικών καρτών δικτύου ως μέρος των στοιχείων της λύσης καθιστά δυνατή την αποφυγή διακοπής των καναλιών επικοινωνίας ακόμη και σε περίπτωση πλήρους βλάβης του εξοπλισμού ή διακοπής ρεύματος.

Λαμβάνοντας υπόψη την πολυπλοκότητα της εφαρμογής συστημάτων ανίχνευσης εισβολής, καθώς και τη συνεχή αύξηση της χωρητικότητας του καναλιού επικοινωνίας, έχουμε προβλέψει τη δυνατότητα ευέλικτης οριζόντιας κλιμάκωσης των σύνθετων εξαρτημάτων. Εάν υπάρχει ανάγκη σύνδεσης πρόσθετων αισθητήρων δικτύου στο σύστημα, αρκεί να εγκαταστήσετε έναν πρόσθετο διακομιστή διαχείρισης, συνδέοντάς τον σε ένα σύμπλεγμα με τον υπάρχοντα. Σε αυτήν την περίπτωση, η υπολογιστική ισχύς και των δύο διακομιστών θα συνδυαστεί λογικά σε έναν μόνο πόρο. Έτσι, η αύξηση της απόδοσης του συστήματος γίνεται μια πολύ απλή εργασία. Επιπλέον, το σύστημα έχει μια αρχιτεκτονική ανεκτική σε σφάλματα: εάν ένα από τα στοιχεία αποτύχει, η ροή των γεγονότων ανακατευθύνεται αυτόματα στα εφεδρικά στοιχεία του συμπλέγματος.

Ο Πλούτωνας βασίζεται στην 20ετή εμπειρία μας στην ανάπτυξη και λειτουργία πολύπλοκων αμυντικών συστημάτων. Γνωρίζουμε τα πιο συνηθισμένα προβλήματα των πελατών και τις ελλείψεις των σύγχρονων λύσεων IDS. Η τεχνογνωσία μας μας επέτρεψε να εντοπίσουμε τα πιο πιεστικά προβλήματα και μας βοήθησε να βρούμε τους βέλτιστους τρόπους επίλυσής τους.

Επί του παρόντος, το συγκρότημα Pluto υποβάλλεται σε πιστοποίηση στοιχείο προς συστατικό για τις απαιτήσεις για συστήματα ανίχνευσης εισβολής σε επίπεδο δικτύου (2η κατηγορία προστασίας) και για την απουσία αδήλωτων δυνατοτήτων (2ο επίπεδο ελέγχου).

Λειτουργίες του Πλούτωνα:

Προσδιορισμός σημείων επιθέσεων υπολογιστή στην κυκλοφορία δικτύου, συμπεριλαμβανομένων εκείνων που διανέμονται με την πάροδο του χρόνου, με χρήση υπογραφών και ευρετικών μεθόδων.

Παρακολούθηση μη φυσιολογικής δραστηριότητας κόμβων δικτύου και εντοπισμός σημείων παραβίασης της εταιρικής πολιτικής ασφάλειας.

. συσσώρευση και αποθήκευση:

— αναδρομικά δεδομένα για εντοπισμένα συμβάντα ασφάλειας πληροφοριών με προσαρμόσιμο βάθος αποθήκευσης·

— πληροφορίες αποθέματος για κόμβους δικτύου (προφίλ κεντρικού υπολογιστή).

— πληροφορίες σχετικά με τις επικοινωνίες δικτύου των κόμβων, συμπεριλαμβανομένων των στατιστικών κατανάλωσης κίνησης (από το δίκτυο στο επίπεδο εφαρμογής σύμφωνα με το μοντέλο OSI).

— μεταδεδομένα σχετικά με αρχεία που μεταφέρονται μεταξύ κόμβων δικτύου.

Μεταφορά των αποτελεσμάτων της ανάλυσης της κυκλοφορίας δικτύου σε εξωτερικά συστήματα ασφαλείας για την αύξηση της αποτελεσματικότητας του εντοπισμού περιστατικών ασφάλειας πληροφοριών διαφόρων τύπων.

Παροχή αποδεικτικών στοιχείων για γεγονότα επιθέσεων σε υπολογιστή και επικοινωνιών δικτύου για έρευνες συμβάντων.