В настоящее время защита, обеспечиваемая межсетевым экраном и антивирусом, уже не эффективна против сетевых атак и червей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.
Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от традиционного межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак.
Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.
IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.
Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:
- Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) — так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
- Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
- Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
- Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.
DoS/DDoS
Многие организации за время работы со своими ресурсами сталкивались с DDOS – атаками на них. Это приводило либо к потере данных, либо к другим неприятностям с сайтом или другими ресурсами. Такого рода деяние представляет угрозу и наносит огромный вред
DDOS – «Distributed Denial Of Service Attack», что означает — «Распределенная атака с целью отказа оборудования». Из этих слов становится понятным, какая цель преследуется – это обрушение системы и зачастую дальнейшее завладение ею. Первые упоминания о DDOS – атаках уходят в 1996 год. Но в то время угроза была не до оценена и не получила широкой огласки. Спустя время в 1999 году ситуация в корне изменилась, поводом послужила атака на таких гигантов, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других. Сервера этих корпораций были полностью выведены из строя, что ощутимо ударило по карману владельцев вышеперечисленных структур. Но и этого оказалось недостаточно для того, чтобы заняться такой проблемой вплотную. В 2000 году атака повторилась, при этом сетевые администраторы оказались бессильны в предотвращении ее, они лишь с горечью наблюдали, как рушатся их сервера. Только после этого об угрозе заговорили всерьез.
Перед началом проведения атаки существует подготовительный этап, то есть когда злоумышленник подготавливает ресурсы для начала масштабных действий. На этом этапе необходимо установить как можно больше программ «зомби» на компьютеры других пользователей. Это очень трудоемкий процесс, для его реализации требуется либо проникновение в не защищенные сети, либо распространение и внедрение вредоносного кода – троянов, которые впоследствии и зомбируют компьютеры для дальнейшего посыла ложных запросов. В этой ситуации пользователь персонального компьютера может даже и не подозревать, что его машина участвует в атаке на какой-либо сервер.
После подготовительного этапа выстраивается специальная архитектура, обычно это трехуровневая иерархическая структура, которая называется – «Кластером DDOS». Из чего состоит кластер DDOS?
- Управляющая консоль, их может быть несколько, проще говоря это тот компьютер, с которого подается команда для начала атаки.
- Главные компьютеры. Это те компьютеры, которые получают команду о начале атаки с управляющей консоли и передают ее компьютерам-зомби. Таких компьютеров может быть несколько сотен, все зависит от масштабности самой атаки. Помимо этого, если используется несколько управляющих консолей, то количество главных компьютеров увеличивается кратно.
- Агенты – это те компьютеры, которые были зомбированы, они же и обрушают атакуемый узел своими запросами, как говорилось выше управляют ими главные компьютеры.