- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Этапы развертывания nids
Процесс выбора сетевой системы обнаружения вторжений состоит из трех основных этапов:
определение требований к системе и выбор отвечающей им системы,
задание сетевой конфигурации,
указание набора событий, на которые будет реагировать система.
Процесс ее внедрения может быть разбит на следующие этапы:
составление списка требований;
разработка схемы внедрения;
определение бюджета проекта;
тестирование выбранной системы;
приобретение IDS (в случае выбора коммерческой системы);
разработка документации по процессу развертывания;
физическое размещение, подключение и ввод в эксплуатацию;
финальная отладка и тестирование.
Прежде всего, необходимо определить требования, которые будут предъявляться к системе. Затем следует проанализировать текущую конфигурацию сети и наметить точки установки сенсоров IDS. Кроме того, на этой стадии желательно предусмотреть техническую возможность масштабирования IDS в будущем.
При выработке бюджета принимается решение о покупке коммерческой IDS или установке одной из бесплатных открытых реализаций IDS. В случае приобретения коробочного варианта программного обеспечения получается поддержка и обновление продукта. Остановив выбор на бесплатном ПО, загружается дистрибутив либо в исходных кодах, либо скомпилированный для той или иной ОС и осуществляется установка, настройка и сопровождение системы. Поддержка бесплатного продукта редко оказывается полноценной, хотя компания-разработчик бесплатного продукта может предложить оплатить ее на фиксированный срок.
Надо отметить, что использование бесплатного ПО необязательно сведет расходы к минимуму, точно так же коммерческое ПО не всегда является дорогим. При подсчете стоимости решения следует учитывать и временной фактор, то есть какое время потребуется на развертывание коммерческой и бесплатной IDS при прочих равных условиях. Принятие неверного решения на этой стадии приведет к кратковременной экономии, но росту затрат в будущем. В предложение к руководству о внедрении системы обнаружения вторжений желательно включить фактор возврата инвестиций, имея в виду те средства, которые компания сохранит благодаря правильно настроенной системе обнаружения вторжений, а также вернет в результате судебного процесса над злоумышленником, взломавшим систему, если вина последнего будет доказана благодаря отчетам системы обнаружения вторжений [78-80].
В процессе предварительного тестирования проверяется, соответствуют ли возможности IDS характеристикам, заявленным производителем. На данном этапе придется потратиться на приобретение ограниченной копии системы (в случае выбора коммерческой IDS) и оборудования, на котором устанавливается IDS. При этом производительность последнего может как совпадать с предполагаемой рабочей конфигурацией, так и иметь худшие характеристики. К примеру, для тестирования подойдет любой списанный бухгалтерией, но работоспособный компьютер, между тем как рабочая система впоследствии может быть установлена на компьютер в корпусе промышленного исполнения для монтажа в серверную стойку.
Государственными органами не накладывается каких-либо ограничений на приобретение, распространение и эксплуатацию систем обнаружения вторжений, так что их использование регламентируется только лицензионным соглашением с поставщиком и внутренней документацией организации.
Развертывание IDS следует производить в соответствии с разработанной документацией, где должны быть указаны ответственные лица, регламент эксплуатации IDS и инструкция по вводу IDS в эксплуатацию, включая физическое размещение сенсоров. Назначение ответственных лиц подразумевает возложение обязанностей по администрированию как минимум на двух человек, ни одному из них не предоставляется полный набор привилегий на управление IDS (в соответствии с принципом ролевого администрирования). В тот же документ можно включить регламент доступа в помещение, где установлена система. Желательно на этой же стадии разработать инструкцию по реагированию на нарушения политики безопасности. Вышеописанные документы служат своеобразным «мостом» между административной и технической частью проекта [81].
На стадии финальной отладки устанавливается окончательный набор правил IDS, оптимальные точки подключения сенсоров и прочие моменты, которые невозможно предусмотреть на стадии первичного тестирования. Однако это не означает, что правила устанавливаются раз и навсегда, происходит введение определенной схемы их регулирования в ходе проекта. При формировании набора правил рекомендуется сначала включить все доступные правила, а в дальнейшем отключать те из них, которые не относятся к критическим в данном сегменте.
Выбор правил, регламентирующих мониторинг трафика, — основной момент в настройке NIDS. К примеру, если в защищаемом сегменте расположены только серверы под управлением ОС UNIX, то включение правил, описывающих атаки на серверы под управлением Windows NT, породит избыточную информацию, в результате может случиться, что действительная атака не будет замечена администратором. С другой стороны, чрезмерное ограничение набора действующих правил также непродуктивно, поскольку вероятно отключение необходимых правил по неосторожности.
При выборе сетевой системы обнаружения вторжений следует обращать внимание на наличие графического интерфейса (GUI) для просмотра событий и администрирования (желательно через защищенное соединение), процедуры добавления новых модулей и правил в систему, централизованного управления системой (особенно актуально в случае вынесения отдельных сенсоров системы на удаленные узлы сети), возможность самостоятельного написания правил с указанием таких атрибутов трафика, как заголовки TCP/UDP и содержание пакета. Кроме того, система должна анализировать трафик в режиме реального времени (желательна возможность анализа трафика на всех семи уровнях сетевой модели OSI), оповещать администратора (по электронной почте, на пейджер, посредством SMS и т. п.), быть прозрачной для пользователей и не влиять на выполнение повседневных задач [82-86].
Теоретически в лабораторных условиях можно создать IDS, полностью соответствующую вышеприведенным требованиям, но на практике такая система не реализуема, так как ее создание сопряжено с большими техническими трудностями и финансовыми затратами.