4. Системы предотвращения вторжений

Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение IDS, так как задача отслеживания атак остается одинаковой. Однако они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору [17-18].

Основная идея состоит в том, чтобы при генерации тревожных сигналов предпринимать ответные действия, такие как написание на лету индивидуальных правил для межсетевых экранов и маршрутизаторов, блокирующих активность подозрительных IP-адресов, запрос или даже контратака систем-нарушителей.

• Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

• IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.

• Поведенческий анализ сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.

• Система предотвращения вторжений для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере [19-22].

5. Определение новых методов компрометации системы

Идеология пассивных IDS более подходит к существующим проектам типа систем-ловушек (honeypot) либо сетей на их основе (honeynet), задача которых — как можно более правдоподобно эмулировать уязвимую систему и сервисы, при этом сохраняя полную историю происходящего, не выдавая себя и не создавая дополнительной преграды для нарушителя.

Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков [23].

Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Любое внешнее взаимодействие с этим ресурсом рассматривается как неправомерная активность. Honeypot собирает небольшое количество информации, после анализа которой, строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности, разрабатывают стратегии отражения атак злоумышленников.

Honeypot может быть установлен внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то возможно перенаправление всего входящего трафика на honeypot. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра [24-26].