Въвеждане на системата за откриване на проникване (идентификатори)

Въвеждане на системата за откриване на проникване (идентификатори)

В един идеален свят, вашата мрежа отидат само тези, които имат нужда - колеги, приятели, служители на фирмата. С други думи, тези, които познаваш и доверие.

В реалния свят, често се налага да се даде достъп до вътрешната мрежа клиенти, доставчици на софтуер, и така нататък. Д. В същото време, благодарение на глобализацията и широкото развитие на frilanserstva, достъпът на хора, които не познавате много добре и не се доверявайте се превръща в необходимост.

Но след като дойде до решението, че искате да се позволи достъп до вътрешната мрежа 24/7, трябва да се разбере, че използването на тази "врата" ще бъде не само "добрите". Обикновено, в отговор на такова твърдение не е възможно да се чуе нещо като "добре, това не е за нас, ние имаме малка компания", "но които имат нужда от нас", "ние трябва да го прекъсне, няма нищо."

И това не е съвсем вярно. Дори да си представим една компания, в която компютрите да имат нищо друго освен прясно инсталирана операционна система - това е ресурси. Ресурси, които могат да работят. И не само за вас.

И все пак има възможност за използване на мрежовите машини atakuschih искания на прокси сървър. Ето защо, техните незаконни дейности ви се включиха във веригата от последователност на пакети и най-малко се добавят към болката на компанията-майка в случай на съдебен спор.

И тогава възниква въпросът: как да се направи разграничение правен от незаконни действия?

Всъщност, по този въпрос и трябва да отговори на система за откриване на проникване. С него можете да се открие най-добре познатите атаки по мрежата си, както и да имат време да спре нападенията преди да стигнем до нещо важно.

Обикновено в този момент има представа, че мотивите на този, описан по-горе може да изпълнява конвенционална защитна стена. И с право, но не всички.

Модерен Firewall може да бъде допълнена с различни приставки, които могат да правят подобни неща, свързани с пакети дълбоко инспекция. Често тези плъгини предлагат себе си IDS продавачите да засили защитната стена на сухожилие - IDS.

Като абстракция, можете да си представите IDS като алармената система на вашия дом или офис. IDS ще наблюдават периметъра и ще ви уведомим, когато ще има нещо неволно. Но го прави IDS няма да попречи на проникването.

И тази особеност, че причинява IDS чиста форма, може би не това, което искате от вашата система за сигурност (най-вероятно не искате една система за защита на вашия дом или офис - тя няма брави).

Така че сега почти всеки IDS е комбинацията от IDS и IPS (System предпазване от външна намеса - Intrusion система за превенция).

След това трябва да се разбере ясно разликите между IDS и VS (скенер за уязвимости - скенер за уязвимости). Но те се различават по принципа на действие. Скенери uyazvomostey - превантивна мярка. Можете да сканирате всичките си ресурси. Ако скенерът намира нещо, можете да го оправя.

Но, след като времето, което са прекарали сканиране и сканиране към следващия в инфраструктурата може да се промени, както и сканиране е безсмислено, тъй като вече не отразява реалната ситуация. Могат да се променят такива неща като конфигурационните настройки за отделните услуги, нови потребители, правата на съществуващите потребители, да добавяте нови ресурси и услуги в мрежата.

За разлика от IDS е, че те извършват откриване в реално време, с текущата конфигурация.

Важно е да се разбере, че IDS, всъщност, не знам нищо за уязвимостите в услугите в мрежата. Тя не трябва да. Той открива атаки от свои собствени правила - при настъпване на подписи в трафика в мрежата. По този начин, ако IDS ще включват, например, подписа за нападението на Apache уеб сървър, а вие имате него никъде - IDS все още разпознава пакети с такива подписи (може би някой се опитва да изпрати експлойта от Apache да Nginx на невежество, или да го Това прави автоматизирано инструментариум).

Разбира се, такава атака срещу несъществуваща услуга за нищо олово, но с IDS Вие ще бъдете наясно, че тази дейност се извършва.

Добро решение е да се присъединят периодични уязвимост сканиране и включени IDS / IPS.

Методи за откриване на проникване. Софтуер и хардуерни решения.

Днес, много производители предлагат своите IDS / IPS решения. И всички те продават продуктите си по различни начини.

Първото нещо, което да се вземе предвид - това е скалата: Ще IDS / IPS да работят само с трафика даден хост, или дали ще разследва трафика към цялата мрежа.

Второто е, че тя е била първоначално на пазара продукт: той може софтуерно решение и може да бъде хардуер.

Нека да разгледаме така наречените, Хост-базирани IDS (ксенон - Host-базирана система за откриване на проникване)

HIDS е просто пример за и продукт изпълнение на софтуера, инсталиран на една машина. По този начин, този вид система "вижда" само наличната информация за тази машина и затова открива атаки засягат само тази машина. Предимството на този тип система е, че да си в кола, те виждат всичко на вътрешната си структура и може да наблюдава и контролира много повече обекти. Не само външен трафик.

Такива системи обикновено следят лог файлове, опитвайки се да се идентифицират аномалии в потоците на събитието, магазин контролни суми на критични конфигурационни файлове и периодично да не се сравняват промените дали някой тези файлове.

А сега нека да сравни тези системи със системи за мрежово базирани (NIDS), за които говорихме в началото.

За да работите нужди NIDS, всъщност, само на мрежовия интерфейс, от които може да получава NIDS трафик.

Освен това, всичко, което прави NIDS - тя сравнява трафик с предварително определени модели (подписи) атаки, и щом нещо е под атака подписи, ще получите уведомление за опит за проникване. NIDS също е в състояние да открива DoS и някои други видове атаки, които HIDS просто не могат да видят.

Можете да отидете в сравнение с другата ръка:

Ако изберете най-IDS / IPS приложени като софтуерно решение, можете да получите контрол над някои "желязо", ще го инсталирате. И ако "желязото" е вече там, можете да спестите.

Също така в изпълнението на програмата, има безплатни версии на IDS / IPS. Разбира се, трябва да се разбере, че с помощта на свободна система, те не получават една и съща техническа поддръжка, актуализациите, скоростта и решаване на проблеми като платена версия. Но това е един добър начин да започнете. В тях можете да разберете от тези системи, това, което наистина имате нужда, ще видите това, което липсва, че не е необходимо, какви проблеми, и вие ще знаете какво да питам от търговци платени системи в началото.

Ако изберете хардуерно решение, вие получавате една кутия е почти готова за използване. Ползите от такава реализация са очевидни - "желязо" избира продавача и той трябва да се гарантира, че тази жлеза решението му да работи с посочените характеристики (не се забави, не се затвори). Обикновено се намира вътре някаква Linux дистрибуция с предварително инсталиран софтуер. Такива дистрибуции са обикновено силно почиства, за да се осигури бърза скорост, продължавайте само необходимите пакети и помощни програми (в същото време решава проблема зададете размера на диска - по-малката от по-малко необходимостта HDD - толкова по-ниска производствена цена - толкова повече печалба).

Софтуерни решения често е много взискателни по компютърни ресурси.

Отчасти поради факта в "прозорец" е само IDS / IPS, и на сървърите с софтуерни IDS / IPS обикновено се изпълнява постоянно много допълнителни неща.