Система предотвращения вторжений (англ.Intrusion Prevention System, IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Поведение Системы обнаружения вторжения (слева), поведение Системы предотвращения вторжения (справа).Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.
Анализатор поведения сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.
История разработок
История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:
Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
Недопущение переполнения буфера у наиболее распространённых программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и каталогам; обнаружение и блокировка источника инфекции в сети.
Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса, поразивший подключенные к сети Unix-компьютеры ноября 1988 года.
По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986 по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли.[1] Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли.[1] Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet, используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало всё, что было связано с Стратегической оборонной инициативой президента Рейгана)[1]. Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов, как первых систем обнаружения и фильтрации угроз.
С появлением новых видов угроз вспомнили о поведенческих блокираторах.
Первое поколение поведенческих блокираторов появилось ещё в середине 1990-х годов. Принцип их работы — при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого — как известного, так и неизвестного — вируса. Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого — неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA, можно с очень большой вероятностью отличить вредоносные действия от полезных.
Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного программного обеспечения.
Тестирование от Current Analysis
В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков — компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.
Для участников были сформулированы требования:
Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи.
Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.
После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems, продукт получил название Cisco Security Agent).[2]
Дальнейшее развитие
В 2003 году был опубликован отчёт компании Gartner, в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.
Методы реагирования на атаки
После начала атаки
Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного предотвращения атаки, защищаемой системе может быть нанесён ущерб.
Блокирование соединения
Если для атаки используется TCP-соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.
Метод характеризуется двумя основными недостатками:
Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.
Блокирование записей пользователей
Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.
Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.
Блокирование хоста компьютерной сети
Если с одного из хостов была зафиксирована атака, то может быть произведена его блокировка хостовыми датчиками или блокирование сетевых интерфейсов либо на нём, либо на маршрутизаторе или коммутаторе, при помощи которых хост подключён к сети. Разблокирование может происходить спустя заданный промежуток времени или при помощи активации администратора безопасности. Блокировка не отменяется из-за перезапуска или отключения от сети хоста. Так же для нейтрализации атаки можно блокировать цель, хост компьютерной сети.
Блокирование атаки с помощью межсетевого экрана
IPS формирует и отсылает новые конфигурации в МЭ, по которым экран будет фильтровать трафик от нарушителя. Такая реконфигурация может происходить в автоматическом режиме с помощью стандартов OPSEC (например SAMP, CPMI).[3][4]
Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:
на который будут поступать команды об изменении конфигурации МЭ.
который будет редактировать конфигурации МЭ для модификации его параметров.
Изменение конфигурации коммуникационного оборудования
Для протокола SNMP, IPS анализирует и изменяет параметры из базы данных MIB (такие как таблиц маршрутизации, настройки портов) с помощью агента устройства, чтобы блокировать атаку. Также могут использованы протоколы TFTP, Telnet и др.
Активное подавление источника атаки
Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.
Такой метод реализован в нескольких некоммерческих ПО:
NetBuster предотвращает проникновение в компьютер «Троянского коня». Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.
Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.
В начале атаки
Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.
С помощью сетевых датчиков
Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.[5]
Анализ пакетов проводится на основе сигнатурного или поведенческого методов.
С помощью хостовых датчиков
Удаленные атаки, реализуемые отправкой от злоумышленника серией пакетов. Защита реализуется с помощью сетевой компоненты IPS по аналогии с сетевыми датчиками, но в отличие от последних сетевая компонента перехватывает и анализирует пакеты на различных уровнях взаимодействия, что даёт предотвращать атаки по криптозащищённым IPsec- и SSL/TLS соединениям.
Локальные атаки при несанкционированном запуске злоумышленником программ или других действиях, нарушающих информационную безопасность. Перехватывая системные вызовы всех приложений и анализируя их, датчики блокируют те вызовы, которые представляют опасность.[5]
DoS — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой. Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют по карману «цели».
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
ESET NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года. Название изначально расшифровывалось как «Nemocnica na Okraji Disku».
Проактивные технологии — совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты — блокирование легитимных программ.
Agnitum — российская компания-производитель программного обеспечения в области безопасности персонального компьютера. Наиболее известный продукт Agnitum — персональный файрвол Outpost Firewall Pro. Основана в феврале 1999. С декабря 2015 года объявила о продаже всех активов и технологий компании Яндекс
Comodo Firewall — бесплатный персональный файервол компании Comodo для Microsoft Windows XP, Vista, Windows 7, Windows 8 и Windows 10. Comodo Firewall входит в состав Comodo Internet Security.
Сетевая система обнаружения вторжений — система обнаружения вторжений, которая отслеживает такие виды вредоносной деятельности, как DoS атаки, сканирование портов или даже попытки проникновения в сеть.
Snort — свободная сетевая система предотвращения вторжений (IPS) и обнаружения вторжений (IDS) с открытым исходным кодом, способная выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP-сетях.
HIPS — проактивная технология защиты, построенная на анализе поведения.
Honeypot — ресурс, представляющий собой приманку для злоумышленников.
Удалённая сетевая атака — информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи.
Аббревиатура IPS может означать:
Image Packaging System — кроссплатформенная система управления пакетами, используемая в операционной системе OpenSolaris.
In-plane switching — технология изготовления жидкокристаллических дисплеев, также известная как super-fine TFT.
IPS — единица измерения быстродействия процессоров.
Индуцированные плюрипотентные стволовые клетки — стволовые клетки, полученные из клеток различных тканей с помощью их перепрограммирования методами генетической инженерии.
Иранские нефтяные стандарты — система стандартов нефтяной промышленности Ирана.
Система внутреннего позиционирования — система, используемая для определения местоположения внутри помещений.
Система предотвращения вторжений — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
UDP-флуд — сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP. Заключается в отправке множества UDP-пакетов на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть.
Постоянная серьезная угроза — термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак.
Unified threat management — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. UTM — модификация обыкновенного файервола, продукт «все включено» , объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус.
SQL Slammer — сетевой червь, вызвавший отказ в обслуживании некоторых хостов в Интернете и сильное снижение общего интернет-трафика, начиная с 05:30 UTC 25 января 2003. Он распространился быстро, заразив за 10 минут 75 тыс. компьютеров. Несмотря на свое название, червь не использовал язык SQL; он использовал переполнение буфера в продуктах Microsoft SQL Server и Desktop Engine, для которых исправление было выпущено шестью месяцами ранее.
Мониторинг активности базы данных (DAM), это технология безопасности базы данных для мониторинга и анализа активности, которая работает независимо от системы управления базами данных (СУБД) и не зависит от какой-либо формы внутреннего (СУБД-резидентного) аудита или собственных журналов, таких как трассировка или Журналы транзакций. DAM обычно выполняется непрерывно и в режиме реального времени.
Idle scan — это сверхскрытный метод сканирования TCP-порта, при применении которого пакеты сканирования отражаются от внешнего хоста. За счёт этой особенности метод используется злоумышленниками для незаметного определения открытых портов целевого компьютера.
Черные дыры (blackholes) — это места в сети, где входящий или исходящий трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.
Tiny Banker, Tinba — троянская программа, известная с 2012 года. Эта вредоносная программа нацелена на сайты финансовых учреждений США, предназначена для кражи конфиденциальных данных пользователей, таких как данные для входа в учетную запись и банковские коды. Представляет собой модифицированный троян ZeuS.
Эта страница основана на статье Википедии. Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия. Изображения, видео и звуки доступны по их собственным лицензиям.
