CC BY
305
УДК 004.056
АНАЛИЗ СОВРЕМЕННЫХ СЕРТИФИЦИРОВАННЫХ СРЕДСТВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ В ИНФОРМАЦИОННЫХ СЕТЯХ
© К.И. Мазиков
Ключевые слова: сертифицированные средства обнаружения вторжений; информационные сети; средства защиты информации.
Рассмотрены современные сертифицированные средства обнаружения вторжений в информационных сетях. Приведены определение, предназначение, архитектура средств обнаружения вторжений и требования, предъявляемые к ним, а также примеры сертифицированных средств обнаружения вторжений.
Традиционный подход к обеспечению безопасности сетевых взаимодействий заключается в использовании криптографических средств защиты трафика и межсетевых экранов, позволяющих ограничить множество возможных взаимодействий до некоторого минимума. В то же время существует угроза использования злоумышленником даже тех минимальных возможностей по доступу, которые предоставляют межсетевые экраны, а криптографические средства не обеспечат защиты от внутренних, санкционированных пользователей реализующих атаки на уязвимости программного обеспечения. Одним из способов решения проблемы является использование систем обнаружения вторжений.
Средство обнаружения вторжений (СОВ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет [1].
Системы обнаружения вторжений являются дополнительным механизмом защиты, позволяющим построить эффективную систему защиты от сетевых атак как со стороны внешних, так и со стороны внутренних злоумышленников.
Средства обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которые могут нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.
Обычно архитектура СОВ включает: сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы; подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров; хранилище, обеспечивающее накопление первичных событий и результатов анализа; консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты [2].
Для того чтобы защищенность информационной сети была высокой, к СОВ предъявляют следующие требования: 1) средства обнаружения вторжений долж-
ны обнаруживать атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника; 2) средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика с помощью VPN и т. п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой; 3) масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в информационной сети [2].
Примером средства обнаружения вторжений является устройство обнаружения и предотвращения вторжений Cisco IPS 4255 Appliance Sensor. Оно имеет сертификат соответствия ФСТЭК России № 2287, срок действия которого до 1 марта 2014 г. [3].
Устройство является сенсором, предназначенным для точной идентификации и блокирования вредоносного контента, включая червей, сетевые вирусы, шпионское и рекламное программное обеспечение, а также различные троянские программы до того, как они смогут нанести ущерб деятельности организации или отдельным пользователям.
Может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных (ИСПДн) до 2 класса включительно.
Особенности Cisco IPS 4255 Appliance Sensor: может функционировать в двух режимах - обнаружения и предотвращения атак; использует широкий спектр алгоритмов обнаружения вторжений: сигнатурный анализ, выявление аномалий, эвристические алгоритмы и т. д.; обладает высокой производительностью (500 Мбит/с); поддержка технологии VLAN и транкового протокола 802.1q позволяет сенсору поддерживать до 255 виртуальных локальных сетей на одном интерфейсе; автоматический выбор способа реагирования в зависимости от степени угрозы [4].
Другим средством обнаружения вторжений является программно-аппаратный комплекс IBM Proventia Network Intrusion Prevention System. Он имеет сертификат соответствия ФСТЭК России № 2426. Срок его действия до 5 ноября 2014 г. [3].
IBM Proventia Network Intrusion Prevention System предназначен для блокирования сетевых атак и аудита работы сети, а также увеличения пропускной способности за счет удаления «паразитного» и непродуктивного трафика. Благодаря запатентованной технологии анализа протоколов данное решение IBM обеспечивает проактивную защиту - своевременную защиту корпоративной сети от широкого спектра угроз. Проактивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы IBM X-Force.
Может использоваться в автоматизированных системах до 1Г класса и в ИСПДндо 2 класса включительно.
Основные возможности IBM Proventia Network Intrusion Prevention System:
- разбирает 218 различных протоколов, включая протоколы уровня приложений и форматы данных;
- более 3000 алгоритмов используется при анализе трафика для защиты от уязвимостей;
- технология VirtualPatch - защита компьютеров пока не установлены обновления;
- режим пассивного мониторинга и два режима установки на канал;
- поддержка нескольких зон безопасности одним устройством, включая зоны VLAN;
- наличие встроенных и внешних bypass модулей для непрерывной передачи данных через устройство в случае системной ошибки или отключения энергоснабжения;
- множество способов реагирования на события включая логирование пакетов атаки;
- контроль утечек информации в данных и в офисных документах, передаваемых по пиринговым сетям, службам мгновенных сообщений, веб-почте и другим протоколам.
IBM Security Network IPS управляется через вебконсоль. Также имеется возможность централизованного управления через IBM Security Site Protector. Последний продукт, помимо собственно возможности единого управления более чем одним решением, еще и предоставляет расширенные возможности отчетности и анализа логов [5].
Еще одним СОВ является аппаратно-программный комплекс обнаружения компьютерных атак «Аргус», версия 1.5. Он имеет сертификат соответствия ФСТЭК России № 2487 сроком действия до 23 ноября 2014 г. [3].
АПК «Аргус» версии 1.5 обладает широкими возможностями, предназначенными для обнаружения сетевых компьютерных атак на компоненты в автоматизированной информационной системе (АИС), построенной с использованием стека протоколов TCP/IP.
Комплекс позволяет выявлять подозрительные воздействия, которые могут нанести вред наиболее критичным компонентам АИС - операционным системам и приложениям, реализующим сетевые сервисы информационной системы.
АПК «Аргус» может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и в ИСПДн до 1 класса. Комплекс представляет собой замкнутую защищенную аппаратно-программную среду на базе модифицированного ядра OpenBSD 4.7.
Для поиска компьютерных атак АПК «Аргус» версии 1.5 выполняет: сигнатурный анализ сетевого трафика; анализ протоколов; анализ аномалий; анализ по накопленной статистике для протоколов 3-7 уровней эталонной модели взаимодействия открытых систем (ЭМВОС).
АПК «Аргус» версии 1.5 имеет встроенные пользовательские интерфейсы для анализа событий информационной безопасности, подготовки отчетов операторами и администраторами комплекса.
Комплекс дает возможность получения широкого набора статистических данных в виде диаграмм и таблиц, которые доступны для анализа через веб-интерфейс [6].
Таким образом, средства обнаружения вторжений являются одним из важнейших факторов, обеспечивающих защиту информации в сетях. Грамотное их применение в совокупности с постоянным контролем может уберечь информационную систему от многих неприятностей.
ЛИТЕРАТУРА
1. Белоножкин В.И., Остапенко Г.А. Средства защиты информации в компьютерных системах. Воронеж, 2005. 337 с.
2. Хорев П.Б. Программно-аппаратная защита информации: учеб. пособие. М.: ФОРУМ, 2009. 351 с.
3. Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00. URL: http://fstec.ru/normo-tvorcheskaya/sertifikatsiya/153-tekhnicheskaya-zashchita-informa-tsii/dokumenty-po-sertifikatsii/sistema-sertifikatsii/591-gosudarstven-nyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001 -01bi00 (дата обращения: 22.10.2013).
4. Устройство обнаружения и предотвращения вторжений IPS 4255.
URL: http://online-studies.ru/ustrojstvo-obnaruzheniya-i-predotvra-
shheniya-vtorzhenij-ips-4255/ (дата обращения: 22.10.2013).
5. IBM Proventia Network Intrusion Prevention System (IPS). URL: http://www.ibm.com/ru/services/iss/proventia_network_intrusion_prev ention.html (accessed: 22.10.2013).
6. Центр специальной системотехники. АПК «Аргус». URL: http://sec.ucoz.org/publ/ips/argus/2-1-0-5 (дата обращения: 21.10.2013).
Поступила в редакцию 20 ноября 2013 г.
Mazikov K.I. ANALYSIS OF CURRENT CERTIFIED INTRUSION DETECTION IN INFORMATION NETWORKS The article deals with current Certified Intrusion detection systems (IDS) in information networks. The definition, purpose, IDS architecture and requirements to be met by the SOC are considered, and also the examples of certified intrusion detection are given.
Key words: certified intrusion detection; information networks; information security devices.
Мазиков Кирилл Иванович, Тамбовский государственный университет им, Г.Р. Державина, г. Тамбов, Российская Федерация, бакалавр по направлению подготовки «Информационная безопасность» института математики, физики и информатики, e-mail: mazikov.kiriU@yandex.ru
Mazikov Kirill Ivanovich, Tambov State University named after G.R. Derzhavin, Tambov, Russian Federation, Candidate for Bachelor’s Degree of Direction of Preparation of “Information Security” of Mathematics, Physics and Informatics Institute, e-mail: mazikov.kirill@yandex.ru
бб2
