Системы обнаружения вторжений IDS

Дата публикации: 24-12-2018       1378

Системы обнаружения вторжений IDS

Множество компаний и организаций, в особенности те, которые работают с данными, признанными государственной тайной, вынуждены использовать различные системы, защищающие компьютерную сеть и сам компьютер от нежелательного взлома и утечки информации. В настоящий момент многими компаниям на ряду с антивирусным программным обеспечением используются системы обнаружения вторжений.

Система обнаружения вторжений (англ. intrusion detection systems) — различные приспособления, обнаруживающие незаконное вхождение в систему или в сеть. На просторах сети можно встретить сокращение системы обнаружения вторжений IDS.

Они помогают компьютерной сети поставить преграду перед злоумышленниками. Такие программы собирают информацию с интернет ресурсов и проводят ее анализ. Рассмотрим подробнее как работают системы обнаружения вторжений IDS.

Содержание:

  1. Зачем нужны системы обнаружения и предотвращения вторжений
  2. Состав сетевой системы обнаружения вторжений
  3. Какие проблемы позволяет решить система обнаружения атак и вторжений
  4. Положительные стороны внедрения системы обнаружения вторжений
  5. Cистема обнаружения вторжения IPS
  6. Классификация систем обнаружения вторжений
  7. Требования к системам обнаружения вторжений ФСТЭК

 

Зачем нужны системы обнаружения и предотвращения вторжений

Периодически все компьютерные сети и программные системы подвергаются атакам. Работы антивирусов зачастую недостаточно. Они не могут гарантировать полноценную защиту системы.

Среди подросткового поколения очень много молодых хакеров, которые хотят доказать себе или показать другим свои способности и ищут различные лазейки в информационных системах и сетях.

В помощь молодым «специалистам» на просторах интернета имеется множество специальных программ, которые могут нанести вред. Многие компании для происков необходимой информации обращаются за услугами к профессионалам. А затем используют ее против своих конкурентов. Поэтому системы обнаружения вторжения в сеть довольно актуальны и пользуются спросом.

 

Состав сетевой системы обнаружения вторжений

К главным частям IDS можно отнести:

  • считывающая подсистема, накапливающая информацию с сети,
  • анализирующая часть системы, определяющая нападения или вредоносные действия,
  • база данных, в которой хранится вся информация о собранных данных, атаках, анализе и т. д.,
  • система управления, с помощью которой пользователь может задать критерии работы всей системы, просматривать сеть, разграничивать доступ для просмотра нападений, отчетов анализа.

 

Какие проблемы позволяет решить система обнаружения атак и вторжений

К проблемам, решаемым системой обнаружения атак и вторжений, можно отнести:

  1. анализ информацию об источнике,
  2. блокировку или разрешение доступа в зависимости от итога анализа.

Перечислим функции, которые выполняет IDS, чтобы решить эти задачи:

  • просмотр активности пользователей,
  • мониторинг работы системы, нахождение ее узких мест,
  • просмотр важных файлов на целостность информации и данных,
  • сбор статистики и анализ сети, опираясь на информацию, собранную с предыдущих атак,
  • просмотр работу операционной системы.

система обнаружения вторжений фстэк

 

Положительные стороны внедрения системы обнаружения вторжений

При использовании такой системы на предприятии она всегда скажет вам о том, в какой момент началось нападение или неправомерный вход. Вы имеете возможность отследить поведение и поступки стороннего посетителя. Программа вам покажет все, что сделал этот человек с момента захождения в систему до нанесения вреда.

Система оповестит вас в том случае, если данные были удалены или изменены. Так вы можете улучшить целостность своей системы. При любой сбое сети вы будете знать, что и где произошло.

Системы обнаружения вторжений просматривают интернет ресурсы и определяют когда и откуда был выполнен вход в систему. Но некоторые действия они к сожалению не могут определить.

Например, если у вас проблема с сетевыми протоколами, если процесс входа в систему самих сотрудников компании несложный, то такие системы не способны увидеть злоумышленников. Стоит отметить, что не со всеми проблемами вхождения система может справиться. Например, с атаками пакетного уровня, они не справляются.

 

Cистема обнаружения вторжения IPS

Система IPS — это такая же система обнаружения вторжения как и IDS, только имеет расширенные функции. IPS выполняет больше функций и соответственно обеспечивает большую защиту.

Система обнаружения вторжений IPS IDS не только мониторит систему, находит вторжение и сообщает пользователю о нем, но и защищает саму сеть и систему от вторжения. Большим преимуществом таки программ является то, что они работают онлайн и имеют способность сразу заблокировать вторжение.

 

Классификация систем обнаружения вторжений

Существует несколько видов систем обнаружения вторжения. Рассмотрим виды систем IDS по способу мониторинга и по методам выявления атак. По способу мониторинга выделяют системы NIDS и HIDS.

NIDS

Под системами вида NIDS понимаются системы обнаружения вторжений уровня сети, которые мониторят всю информационную сеть. Если правильно расположить систему, то можно просматривать и анализировать работу довольно большой сети.

Такие системы просматривают все пакеты, поступающие в систему, без выбора. При этом параметры входящих пакетов сравниваются с параметрами предыдущих вторжений и с данными, заложенными в систему. Если система считает вхождение атакой, то она дает знать об этом пользователю.

При использовании таких систем стоит помнить о том, что они работают со всеми входящими запросами и если у вас большая сеть и большой входной поток, то система может просто не справится или пропустить из виду некоторую угрозу.

NIDS относятся к пассивным технологиям, поэтому их просто внедрять в новые топологии сетей. Они не принесут сбой в функционирование сети. В отличие от IDS IPS систем обнаружения и предотвращения вторжений, NIDS только регистрируют атаку, делают о ней запись и оповещают пользователя.

Большим минусом NIDS является, то что они не распознают зашифрованные данные. Это может привести к тому, что злоумышленники используют шифрованные данные для нанесения вреда, а система не сможет их увидеть.

К минусу также можно отнести неспособность системы увидеть саму атаку, то есть конкретно что произошло. Системы такого вида могут только оповестить вас о том, что несанкционированное действие случилось. И в таком случае пользователю, ответственному за работу такой системы, необходимо просмотреть все случаи и найти неполадки.

Еще одним недостатком является то, что система данного вида не распознает атаки фрагментированных пакетов. Такие атаки могут нарушить не только работу сети организации, но и самой системы NIDS. А если она выйдет из сбоя, то у вас можно будет «забрать» все что угодно.

HIDS

Системы данного вида просматривают только определенный компьютер. Они наблюдают за работой системы в целом, просматривая системные файлы и операционную систему. HIDS сканирует файлы, сопоставляя их с более ранней версией. При наблюдении изменений (удаления, изменения информации в системных файлах) система сразу сообщает о проблеме пользователю.

Большим плюсом является устойчивость систем обнаружения вторжений такого вида к шифрованному трафику. Это осуществляется за счет того, что данные, расположенные на компьютере, создаются перед процессом шифрования или после дешифровки.

Недостатком систем является то, что их очень просто можно заблокировать с помощью DoS атак. Это получается за счет того, что HIDS расположена на том же компьютере, который подвергается атаке. То есть атаке подлежит и сама система HIDS, что приводит к ее сбою.

К недостаткам также можно отнести то, что HIDS уменьшает эффективность работы самого компьютера, так как размещена на нем и на ее работу компьютер затрачивает определенные ресурсы.

IDS системы обнаружения вторжений атаки угроз различаются по методам выявления атак.

  1. Системы, анализирующие сигнатуру. Если система использует такой метод, то ее анализ складывается на сравнении пакетов данных с прописанными видами атак. Достаточно эффективный метод, так как случаев ошибок или обнаружения ложных вторжений практически не выдает. Только правдивая информация.
  2. Системы, использующие метод аномалий. Такие системы мониторят как компьютер, так и сеть. При этом изначально записывается нормальное поведение обоих, а затем система при работе сравнивает произошедшие события с нормальными и при отклонении реагирует, выдавая сообщения администратору. Плюсом является то, что не требуется хранить все сигнатуры атак, но минусом является большая вероятность распознавание системой правомерных действий за несанкционированные.
  3. Системы, использующие метод политик. В данном случае в системе прописываются правила безопасности сети, то есть то с какими сетями можно работать, какие протокола являются безопасными для работы и т. д. Довольно надежные системы, но минусом является сложность заполнения базы данных с правилами.

требования к системам обнаружения вторжений фстэк

Требования к системам обнаружения вторжений ФСТЭК

В нашей стране Федеральной службой по техническому и экспортному контролю (ФСТЭК) разработаны метод документы с требованиями к системам обнаружения вторжений.

Согласно информационному письму об утверждении требований к системам обнаружения вторжений, требования относятся к программным и аппаратным средствам, которые должны обеспечить защиту данных и информации, относящейся к гос. тайне и имеющей ограниченный доступ.

Выделяют два вида систем:

  • распознающие атаку на уровне сети,
  • распознающие сторонние вхождения на уровне компьютера (узла).

Разделение идет и на классы защиты. Из всего 6. Класс 1 является наивысшим и содержит требования к работе систем с данными, относящимися к гос. тайне. Класс 6 — самый низкий, к нему относятся системы, работающие с персональными данными.

Разработчикам систем обнаружения вторжений ФСТЭК выдает сертификат соответствия, в котором прописывается то, что разработанное программное обеспечение или средство прошло испытания и соответствует необходимым требованиям.

Если вы решите применить в своей компании системы IDS, выбирайте разработки компаний, у которых имеет сертификат ФСТЭК. Так вы убережете свои данные от атак и несанкционированного доступа и сможете спать спокойно.

Рассказать друзьям:

Cделайте первый шаг

Выберите готовый шаблон сайта из более 2000+ бесплатных и премиум вариантов.

Выбрать шаблон