Обнаружение вторжений


Обнаружение вторжений – это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки.

Система обнаружения вторжений IDS (Intrusion Detection System) предназначена для разграничения авторизованного входа и несанкционированного проникновения. Систему IDS можно сравнить с охранником, следящим за всем, что происходит, и выявляющим несанкционированные действия.


Типы систем обнаружения вторжений IDS

Узловая или хостовая система обнаружения вторжений (Host-based intrusion detection system, HIDS). Располагается на отдельном узле и отслеживает признаки атак на данный узел.

Сетевая система обнаружения вторжений (network intrusion detection system, NIDS). Находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.

Razmeshenie IDS v setevoi srede
Рис. 1. Примеры размещения IDS в сетевой среде


Узловые IDS

Узловые IDS (HIDS), представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером. Датчики отслеживают различные типы событий и предпринимают определенные действия на сервере либо передают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.
Процесс датчика на сервере может занимать от 5 до 15 % общего процессорного времени. Поэтому придется приобретать более производительную систему, чтобы присутствие датчика отрицательно не сказалась на производительности используемой системе.

Пять основных типов датчиков HIDS.

  • анализаторы журналов.
  • датчики признаков.
  • анализаторы системных вызовов.
  • анализаторы поведения приложений.
  • контролеры целостности файлов.


Анализаторы журналов
Анализатор журнала – это то, что отражает само название датчика. Процесс выполняется на сервере и отслеживает соответствующие файлы журналов в системе. При соответствии записи в журнале и критерия в процессе датчика HIDS, предпринимается установленное действие. Администратор системы, при желании, может определить другие записи журнала, представляющие определенный интерес.
Анализаторы журналов не предотвращают атаку на систему, а реагируют на событие уже после того, как оно произошло.
Его можно использовать для отслеживания активности и перемещения записи об активности персонала в область, недосягаемую для администратора или пользователя.


Датчики признаков
Это наборы определенных признаков событий безопасности, сопоставляемых с входящим трафиком или записями журнала. Возможность анализа входящего трафика, является отличием данных датчиков от анализаторов журналов.
Датчик признаков HIDS является полезным при отслеживании авторизованных пользователей внутри информационных систем.


Анализаторы системных вызовов
Данные анализаторы осуществляют анализ вызовов между приложениями и операционной системой для идентификации событий, связанных с безопасностью. Датчики HIDS данного типа размещают программную спайку между операционной системой и приложениями. При выполнении приложением действий, его вызов операционной системы анализируется и сопоставляется с базой данных признаков, которые являются примерами различных типов поведения, представляющие собой, атакующие действия, или объектом интереса для администратора IDS.
Анализаторы системных вызовов отличаются от выше перечисленных датчиков, что они могут предотвращать действия.
Обеспечение неправильной конфигурации датчиков этого типа, или их некорректная настройка влечет за собой ошибки в приложениях либо отказы в их работе.


Анализаторы поведения приложений
Применяются в виде программной спайки между приложениями и операционной системой, и проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствия вызова признакам атак.
При конфигурировании таких датчиков необходимо создавать список действий, разрешенных для выполнения каждым приложением. Поставщики датчиков данного типа предоставляют шаблоны для наиболее широко используемых приложений.


Контролеры целостности файлов
Отслеживают изменения в файлах посредством использования криптографической контрольной суммы или цифровой подписи файла (Шифрование). При изменении хотя бы малой части исходного файла (это могут быть атрибуты файла, такие как время и дата создания), конечная цифровая подпись файла будет изменена. Цель данного алгоритма – максимальное снижение возможности для внесения изменений в файл с сохранением прежней подписи.
Обработке данного алгоритма, для создания начальной подписи, подвергается при изначальной конфигурации датчика каждый файл. Полученное число является дополнением к подписи и при необходимости сопоставляется с оригиналом. Несоответствие показывает, что в файл были внесены изменения.
Контролер целостности файлов не осуществляет идентификацию атаки, а детализирует результаты проведенной атаки.


Сетевые IDS
NIDS (Network Intrusion Detection System) – это программный процесс, работающий на специально выделенной системе, и отвечающий за переключение сетевой карты в системе в неразборчивый режим работы, при котором сетевой адаптер пропускает весь сетевой трафик в программное обеспечение NIDS. Анализирует трафик, используя набор правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. После чего генерируется соответствующее событие.
На данный момент в большинство систем NIDS встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. При отсутствии каких-то признаков атаки в системе обнаружения вторжений, система NIDS не замечает эту атаку. Данные системы позволяют указывать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслеживания трафика, не соответствующего признакам атак.

Преимущества использования NIDS:

  • NIDS можно полностью скрыть в сети таким образом, что злоумышленник не будет знать о том, что за ним ведется наблюдение;
  • одна система NIDS может использоваться для мониторинга трафика с большим числом потенциальных систем-целей;
  • NIDS может осуществлять перехват содержимого всех пакетов, направляющихся на систему-цель;


Недостатки:

  • система NIDS может только выдавать сигнал тревоги, если трафик соответствует предустановленным правилам или признакам;
  • NIDS может упустить нужный интересуемый трафик из-за использования широкой полосы пропускания или альтернативных маршрутов;
  • система NIDS не может определить, была ли атака успешной;
  • система NIDS не может просматривать зашифрованный трафик;
  • в коммутируемых сетях (в отличие от сетей с общими носителями) требуются специальные конфигурации, без которых NIDS будет проверять не весь трафик.


Установка IDS

При создании политики IDS необходимо выполнить следующие шаги:

  1. Определить цели создания IDS.
  2. Выбрать объекты мониторинга.
  3. Выбрать ответные действия.
  4. Установить пороги.
  5. Применить политику.


Определение целей применения IDS
Потенциально целями применения IDS являются следующие.

  • обнаружение атак;
  • предотвращение атак;
  • обнаружение нарушений политики;
  • принуждение к использованию политик;
  • принуждение к следованию политикам соединений;
  • сбор доказательств.


Конкретные цели применения любой IDS зависят от организации, и ни в коем случае не ограничивается этим списком. IDS позволяет организации обнаруживать начало проведения атаки и осуществлять сбор доказательств или предотвращение дополнительного повреждения посредством устранения аварийных ситуаций. Она также может идентифицировать действия, нарушающие политику, и реальный уровень использования сетевых ресурсов.


Распознавание атак – одна из главных целей использования IDS. Система IDS запрограммирована на поиск определенных типов событий, которые служат признаками атак.


Мониторинг политики
Это менее заметный аспект деятельности по обнаружению атак. Целью системы IDS, настроенной на отслеживание политики, является отслеживание выполнения или невыполнения политики организации. NIDS можно настроить на отслеживание всего веб-трафика вне сети. Данная конфигурация будет позволять отслеживать любое несоответствие политикам использования интернета.
Система NIDS также проверяет соответствие конфигурациям маршрутизатора или межсетевого экрана. В этом случае NIDS настраивается на отслеживание трафика, который не должен проходить через маршрутизатор или межсетевой экран.


Принуждение к использованию политики
При отслеживании политики IDS настраивается на выполнение действий при нарушении политики, Т.е. при попытке соединения с недоступным веб-сайтом не только зафиксирует нарушение, но и предпримет меры по предотвращению этого действия.


Обработка инцидента
Система IDS может оказаться полезной после обнаружения инцидента для сбора доказательств. NIDS можно настроить на отслеживание определенных соединений и ведение полноценного журнала по учету трафика, а HIDS для фиксирования всех записей журнала для определенной учетной записи системы.


Выбор объекта мониторинга
Выбор зависит от целей, поставленных перед системой IDS, и от среды, в которой IDS будет функционировать. Если цель IDS – обнаружение атак, и ее расположение в интернете за пределами межсетевого экрана, то IDS потребуется отслеживать весь трафик, поступающий на межсетевой экран, для обнаружения входящих атак. Но лучше разместить в пределах зоны, защищаемой межсетевым экраном, для определения атак, успешно преодолевших межсетевой экран.
Выбор объекта мониторинга определяет расположение датчиков. Датчики могут быть расположены вне межсетевого экрана, внутри сети, на системах с секретной информацией или на системах, используемых специально для сбора и обработки, данных журнала. При размещении датчика IDS необходимо помнить, что датчик должен иметь возможность просмотра интересуемых событий, будь то сетевой трафик или записи журнала.

Vibor obiekta monitoringa
Рис. 2. Пример выбора объекта мониторинга


Если в сети используются коммутаторы вместо концентраторов, датчик NIDS не будет правильно работать, если он просто подключен к порту коммутатора. Коммутатор будет отправлять только трафик, направленный на датчик, к тому порту, к которому подключен датчик. Применение порта, отслеживающего коммутатор, или применение сетевого разветвителя – единственные варианты использования датчиков NIDS в коммутируемой сети.

Konfiguraciya datchika setevoi IDS v kom_seti
Рис. 3. Конфигурации датчика сетевой IDS для коммутируемой сети


При использовании порта может возникнуть конфликт с персоналом по обслуживанию сети из-за того, что этот порт может использоваться для разрешения проблем, возникающих в сети. Магистраль коммутатора передает данные со скоростью в несколько мегабит в секунду, и датчик NIDS использует соединение 100BaseT (скорость 100 мегабит в секунду). Такое соединение не позволяет осуществлять передачу данных NIDS, поэтому в данной конфигурации не представляется возможным прерывание соединений.

Разветвители – это пассивные проводные соединения между двумя устройствами (например, между маршрутизатором и коммутатором). Разветвитель подключается к концентратору, к которому также подсоединен датчик NIDS, что позволяет датчику отслеживать трафик.
Разветвитель не позволяет датчику NIDS осуществлять передачу данных, поэтому в данной конфигурации прерывание соединений также недопустимо.


Выбор ответных действий
Выбор ответных действий зависит от целей, для которых используется система IDS. При возникновении события можно выбрать пассивную обработку (ответное действие, не препятствующее действиям атакующего) или активную обработку (ответное действие, препятствующее действиям злоумышленника).


Пассивная обработка событий
Пассивная обработка – это наиболее распространенный тип действий, предпринимаемых при обнаружении вторжения. Пассивные ответные действия обеспечивают меньшую вероятность повреждения легитимного трафика, являясь, в то же время, наиболее простыми для автоматического применения. Они осуществляют сбор большего числа информации или передают уведомления лицам, имеющим право на принятие более жестких мер.
IDS настраивается на игнорирование атак через несуществующие службы или службы, относительно которых межсетевой экран является неуязвимым.
С помощью информации, получаемой в результате сканирования уязвимостей, можно определить, какие события можно безопасно игнорировать.
Ведение журналов. Занесение события в журнал является пассивным ответным действием, в рамках которого больше не осуществляется никаких операций. Посредством сбора основных данных (IP-адреса, дата и время, тип события, идентификаторы процесса, идентификаторы пользователя и т.д.) IDS идентифицирует событие как что-то, требующее дальнейшего внимания.

Ведение дополнительных журналов. Пассивная обработка событий является более эффективной, если осуществляется сбор большего количества данных о фиксируемом в нормальном режиме событии.
Использование выделенного сервера журналов помогает осуществлять сбор детализованной информации, которая затем используется для изолирования источника трафика, а также в качестве потенциальных доказательств, если происшедшее событие вызовет судебное разбирательство.
Уведомления позволяют IDS информировать лиц о происшедшем событии с помощью мерцающих окон и звуковых сигналов и заканчивая почтовыми и пейджинговыми сообщениями. В зависимости от обстоятельств тот или иной тип предпочтительней другого.


Активная обработка событий
Позволяет наиболее быстро предпринять возможные меры для снижения уровня вредоносного действия события.
Прерывание соединений, сеансов или процессов.
Определение того, какой объект подлежит уничтожению, выполняется посредством изучения события. Если осуществление нелегального доступа к файлам – лучше закрыть сеанс данного пользователя, использование сетевого соединения – закрыть соединение.


Автоматический и автоматизированный ответ
Это набор предустановленных операций, которые выполняются при возникновении определенных событий и могут управляться людьми или компьютерами. Такие ответные действия, как правило, осуществляются в рамках штатной процедуры, определяющей конкретные триггеры, инициирующие набор действий.
Автоматизированные – ответ на инцидент полностью контролируется компьютером без участия человека. Так как ответные действия не требуют участия пользователя, они будут выполняться в случае обнаружения соответствия установленному набору правил.

Примеры ответных действий, определяемые политикой
Политика Пассивные ответные действия Активные ответные действия
Обнаружение атак Ведение журналов Ведение дополнительных журналов Уведомление Нет ответного активного действия
Предотвращение атак Ведение журналов Уведомление Закрытие соединения. Завершение процесса. Возможна перенастройка маршрутизатора или межсетевого экрана
Обнаружение нарушений политики Ведение журналов Уведомление Нет ответного активного действия
Принудительное использование политик Ведение журналов Уведомление Закрытие соединения. Возможно перенастройка прокси
Принудительное использование политик соединения Ведение журналов Уведомление Закрытие соединения. Возможно перенастройка маршрутизатора или межсетевого экрана
Сбор доказательств Ведение журналов Ведение дополнительных журналов Уведомление Обманные действия.Возможно закрытие соединения


Определение порогов

Пороговые значения обеспечивают защиту от ложных срабатываний, что повышает эффективность политики IDS. Пороговые значения могут использоваться для фильтрации случайных событий с целью их отделения от тех событий, которые в действительности представляют собой угрозу безопасности.
Аналогично, пороговые значения, обнаруживающие атаки, должны быть настроены на игнорирование зондирования низкого уровня или отдельных событий, связанных со сбором информации.

Выбор пороговых значений для системы IDS напрямую зависит от типов событий и потенциальных нарушений политики. Параметры настройки пороговых значений:

  • опыт пользователя. При недостаточном опыте пользователя и множестве ошибок, может выдаваться много ложных сигналов тревоги;
  • скоростные характеристики сети. В сетях с низкими скоростями передачи данных могут выдаваться ложные сигналы о событиях, которые требуют получения определенных пакетов в течение определенного промежутка времени;
  • ожидаемые сетевые соединения. Если система IDS настроена на выдачу сигнала тревоги для определенных сетевых соединений, и эти соединения часто имеют место, то будет происходить слишком много ложных срабатываний;
  • нагрузка на сотрудника по администрированию или безопасности может потребовать установку более высоких пороговых значений для снижения числа ложных срабатываний;
  • чувствительность датчика может потребовать установки более высоких пороговых значений, чтобы уменьшить число ложных срабатываний;
  • эффективность программы безопасности. Вследствие наличия в информационной среде других средств защиты IDS может пропускать некоторые атаки;
  • имеющиеся уязвимости. Нет причины для выдачи сигнала тревоги в случае атак на отсутствующие в сети уязвимости;
  • уровень секретности систем и информации. Чем выше уровень секретности информации, используемой в организации, тем ниже должны быть пороговые значения для выдачи сигналов тревоги;
  • последствия ложных срабатываний может потребовать установку более высоких пороговых значений для выдачи сигналов тревоги;
  • последствия несрабатывания требуют установки более низких пороговых значений.


Применение системы
Чтобы подвергнуть хорошо организованную сеть большой опасности, в ней достаточно всего лишь установить неправильно сконфигурированную систему IDS. Поэтому, после разработки политики IDS и определения изначальных пороговых значений необходимо установить IDS согласно конечной политике, с минимальным числом каких-либо активных мер. Таким образом, политика может быть проверена на практике без повреждения легитимного трафика или прерывания легального доступа пользователей к компьютерам.


Управление IDS

Правильная настройка и управление IDS требует больших усилий, и эти усилия следует, как можно более эффективно использовать для обнаружения атак (посредством реализации хорошей программы по обеспечению безопасности). Для успешной реализации программы необходимо обеспечить наличие всех нужных ресурсов.


О чем может сообщить система IDS
Система обнаружения вторжений может только выдавать отчеты о тех событиях, на обнаружение которых она настроена. Конфигурация IDS состоит из двух компонентов. Первым из них являются признаки атак, запрограммированные в системе. Второй компонент – дополнительные, определенные администратором, события, также представляющие интерес.

При правильной конфигурации IDS сможет различать четыре типа событий:

  1. События исследования.
  2. Атаки.
  3. Нарушения политики.
  4. Подозрительные или необъяснимые события.


События исследования
Заключаются в сборе данных о системе атакующим перед непосредственным проведением атаки, и различает пять категорий:

  • скрытое сканирование;
  • сканирование портов;
  • сканирование «троянских коней»;
  • сканирование уязвимостей;
  • отслеживание файлов.


Большая часть этих событий происходит в сети, в основном, они исходят из интернета и направлены на системы с внешними адресами.

Скрытое сканирование – это попытки идентификации систем, присутствующих в сети, с целью предотвратить обнаружение системы, с которой будет проводиться атака.

Сканирование портов используется для определения служб, работающих на системах сети. Системы обнаружения вторжений выявляют сканирование портов в случае, когда определенное число портов (соответствующее пороговому значению) на одной системе открывается в течение небольшого промежутка времени.

Сканирование «троянских коней». К сожалению, трафик, направленный на «троянские» программы, как правило, определяется конечным портом пакета, что вызывает большое число ложных срабатываний системы обнаружения вторжений.
Одним из наиболее распространенных типов «троянского» сканирования является сканирование BackOrifice. Программа BackOrifice использует порт 31337, и очень часто злоумышленники осуществляют сканирование диапазона адресов для этого порта.
Сканирование уязвимостей распознается системой IDS при обнаружении большого набора различных признаков атак. Как правило, такое сканирование направлено на несколько систем.
Так или иначе, само по себе сканирование не причиняет системе какого-либо вреда, однако, если атакующий выполнил сканирование, в результате которого выявились системы с уязвимостями к атаке, ему после этого становится известно, какие системы можно атаковать.

Сканирование уязвимостей, как правило, сопровождается большим числом различных событий за очень малый отрезок времени.

Отслеживание файлов или проверка файловых разрешений, как правило, осуществляется внутренним пользователем. С попыткой определить, к каким файлам можно осуществить доступ и что эти файлы могут содержать. Данный тип разведки распознается только датчиком HIDS и только в том случае, если в системе ведется журнал попыток несанкционированного доступа.


Атаки
Администратор системы IDS должен проводить оценку информации, представленной системой IDS, для определения того, является ли событие атакой. Это значит, если в течение короткого промежутка времени наблюдался набор признаков различных атак, то это, скорее всего, сканирование уязвимостей. Если же обнаружен один признак атаки, направленной на одну или несколько систем, то это событие может представлять собой настоящую атаку.


Нарушения политики
Системы IDS поставляется с признаками следующих событий.

  • общий доступ к файлам (Gnutella, Kazaa и т. д.);
  • обмен мгновенными сообщениями;
  • сеансы Telnet;
  • команды «r» (rlogin, rsh, rexec).


Подозрительные события
Подозрительным событием называется событие, которое не удалось распознать, т.е не соответствующие полностью ни одной из других категорий. Система IDS, не предоставляет достаточно сведений для четкого определения конкретной ситуации и выяснения того, что произошло – безобидная ошибка или атака. Подозрительные события необходимо исследовать настолько, насколько позволяют это делать имеющиеся ресурсы.

При возникновении подозрительных действий следует выполнить следующие шаги для определения их характера.

  1. Идентифицировать системы.
  2. Записывать в журнал сведения о дополнительном трафике между источником и пунктом назначения.
  3. Записывать в журнал весь трафик, исходящий из источника.
  4. Записывать в журнал содержимое пакетов из источника.


- Идентификация систем
Эта процедура может заключаться в преобразовании IP-адресов в имена узлов. Утилиты, такие как Sam Spade (находятся по адресу http://samspade.org), также помогут в данном случае. Невозможность идентификации источника или пункта назначения подозрительных действий не является достаточным доказательством того, что событие в действительности является атакой. Аналогично, успешная идентификация систем не является достаточным доказательством «безобидности» обнаруженных действий.

- Запись в журнал дополнительного трафика между источником и пунктом назначения
Одно-единственное отдельное событие (например, нарушение протокола IP) может не представлять полную информацию о трафике между двумя системами. Иными словами, необходимо понимать контекст подозрительных действий. Понимание контекста события помогает определять ложные срабатывания.

- Запись в журнал всего трафика из источника
Подразумевая, что данных, фиксируемых посредством записи всего трафика между двумя системами, недостаточно для определения того, является ли активность легитимной, можно начать сбор другого трафика, поступающего с источника. Объем этого трафика может быть ограниченным. Когда источник подозрительной активности находится в некоторой удаленной сети, то будет наблюдаться только трафик, поступающий на ваш узел. При локальном источнике, то возможен сбор всего трафика с данного компьютера, показывая, что же на самом деле происходит.
Чтобы начать сбор всего трафика с источника, настройте детектор IDS на сбор всей информации из подозрительного источника.

До тех пор, пока возможна объективная оценка информации, данный журнал можно использовать для составления подробной картины происходящих взаимодействий, имеющих место между источником и пунктом назначения. Уже на данном этапе должна быть известна следующая информация:

  • имя системы-источника;
  • тип и частота трафика, обмен которым происходит между источником и пунктом назначения;
  • тип и частота трафика, обмен которым происходит между источником и любыми другими системами вашего узла.


Эта информация обеспечивает достаточно подробное представление о природе подозрительного трафика.

- Запись в журнал содержимого пакетов из источника

Данный подход полезен только при работе с текстовыми протоколами, такими как telnet, FTP, SMTP и HTTP (в некоторой степени). Если используются двоичные протоколы или протоколы с шифрованием, данный подход совершенно бесполезен.
Посредством занесения в журнал содержимого пакетов можно составить полную запись сеанса, а также зафиксировать команды, непосредственно отправляемые в пункт назначения. После чего необходимо зафиксировать данные и проанализировать найденную информацию, выявив, является ли сеанс атакой или нет.


Предотвращение вторжений

Новые концепции направлены на изменение природы IDS посредством добавления функций по предотвращению вторжений вместо только лишь обнаружения.


Каким образом можно предотвратить вторжения с помощью системы IDS
Чтобы предотвратить вторжение, необходимо либо остановить осуществляемую атаку перед ее достижением системы-жертвы, либо остановить действие атаки перед выполнением на системе-жертве кода, использующего уязвимость. Механизм предотвращения атаки легче всего рассматривать на узле, использующем HIDS. Например: анализаторы системных вызовов или поведения приложения предотвратит выполнение вызова операционной системой, если вызов приложения похож на атаку. При попытке приложения выполнить неавторизованную операцию, анализатор предотвратит ее выполнение.

Процесс предотвращения атаки при помощи NIDS выглядит так. В NIDS датчик располагается в том месте, из которого он может отслеживать трафик. Перехватив пакет данных атаки в канале связи, датчик начинает его анализировать. Определив характер данного пакета, датчик предпринимает действие, которое, как правило, заключается в закрытии соединения (только если атака проводится через соединение TCP) или в перенастройке межсетевого экрана для блокировки дальнейшего трафика из источника.

Недостаток: чаще всего атака опережает действия датчика по ее предотвращению, т.к. в большинстве случаев пакет достигает цели еще перед закрытием соединения или выполнением действий по перенастройке межсетевого экрана.
Для предотвращения с помощью NIDS успешного проведения атак, архитектуру системы NIDS нужно изменить таким образом, чтобы датчик NIDS был расположен на одном канале связи с трафиком.

Konfiguraciya dlya predotvrasheniya atak datchikom NIDS
Рис. 4. Конфигурация, необходимая для предотвращения атак датчиком NIDS


Проблемы, связанные с обнаружением вторжений
После изменения реактивной природы IDS на превентивную, возникают два серьезных вопроса: потенциальная возможность отказа в обслуживании и недостаточный средний уровень доступности.


Отказ в обслуживании
При предотвращении вторжений «ядром» системы становится блокировка попытки выполнения действия. Когда IDS блокирует атаку, она предотвращает выполнение действия, будь то системный вызов, операция приложения или сетевое соединение. Данное блокирование предотвращает атаку. Если IDS некорректно идентифицирует легитимные действия или трафик, принимая их за атаки, то, скорее всего, отказ в обслуживании будет происходить и в дальнейшем.


Доступность
Доступность сетей и систем является важным свойством многих компьютерных систем. Если датчик IDS установлен так, что через него должен проходить весь сетевой трафик, датчик NIDS должен соответствовать высокому уровню требований к доступности других компонентов сети. То же самое относится и к датчикам HIDS, расположенным на узле.


Развертывание сетевой IDS

Процесс развертывания сетевой IDS, начиная с предварительных этапов, которые необходимо выполнять перед непосредственной процедурой развертывания.

  1. Определить, какие действия вы пытаетесь осуществить посредством развертывания датчика IDS. Это поможет четко обрисовать цели применения IDS.
  2. На основе целей применения IDS определить, какой сетевой трафик требуется отслеживать.
  3. Решить, каким образом будут обрабатываться различные события, выявляемые IDS. Необходимо определить, что будет разумнее – поручить выполнение некоторого действия системе IDS или оператору, который будет выполнять нужную процедуру.
  4. Отсутствие опыта при первой установке пороговых значений. Если в вашем обозрении есть уже функционирующая система IDS, можете посмотреть, какие пороговые значения установлены на этой системе для различных признаков атак.
  5. Составить план развертывания IDS и определить, кого в организации нужно задействовать для выполнения этой задачи.
  6. Для развертывания датчика NIDS, необходимо установить на компьютер Linux, FreeBSD или другую версию операционной системы семейства Unix.
  7. Загрузить последнюю версию программы Snort (бесплатная IDS) с сайта http://www.snort.org.
  8. Следуя инструкциям по установке выполните инсталляцию программы Snort. Можно также установить ряд дополнительных программных пакетов для упрощения процесса управления и конфигурации.
  9. Подключить датчик к сети. Лучше всего сделать это при помощи концентратора. Тем не менее, можно также использовать порт разветвителя на коммутаторе.
  10. Разместив датчик на нужном месте, необходимо просмотреть файлы журналов, чтобы выяснить, какие события в них фиксируются. Также можно использовать программу Aсid для просмотра файлов журнала через веб-интерфейс. Aсid – это веб-интерфейс, используемый для анализа данных программы Snort.
  11. Настройка датчика и оценка результатов его работы потребует некоторых временных затрат.