Технологии обнаружения вторжений

Подсистема  реагирования осуществляет реагирование на обнаруженные вторжений и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже.

Подсистема  управления компонентами предназначена для управления различными компонентами системы обнаружения вторжений. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения вторжений (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированном вторжении). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например SNMP.

Системы обнаружения  вторжений строятся на основе двух архитектур: «автономный агент» и  «агент-менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура «агент-менеджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, расположенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления. Для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, использование такой архитектуры имеет принципиальное значение.

Общая схема  функционирования dIDS приведена на рисунке:

Такая система  позволяет усилить защищенность корпоративной подсети благодаря  централизации информации об вторжении  от различных IDS. Распределенная система  обнаружения вторжений dIDS состоит  из следующих подсистем: консоли управления, анализирующих серверов, агентов сети, серверов сбора информации об вторжении. Центральный анализирующий сервер обычно состоит из БД и Web-сервера, что позволяет сохранять информацию об вторжениях и манипулировать данными с помощью удобного Web-интерфейса. Агент сети — один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой — сообщать об вторжении на центральный анализирующий сервер. Сервер сбора информации об вторжении — часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируются данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:

• IP-адресу атакующего;

• порту получателя;

• номеру агента;

• дате, времени;

• протоколу;

• типу вторжения  и т. д. 

Методы  реагирования

Вторжение не только должно быть обнаружено, но и  необходимо правильно и своевременно среагировать на него. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:

• уведомление;

• сохранение;

• активное реагирование.

Применение  той или иной реакции зависит  от многих факторов.

Уведомление. Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об вторжении на консоль системы обнаружения вторжений. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.

К категории  «уведомление» относится также  посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.

Сохранение. К категории «сохранение» относятся два варианта реагирования:

• регистрация  события в БД;

• воспроизведение  вторжения в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» вторжения и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное  реагирование. К этой категории относятся следующие варианты реагирования:

• блокировка работы атакующего;

• завершение сессии с атакующим узлом;

• управлением  сетевым оборудованием и средствами защиты.

IDS могут предложить  такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС.