CC BY
12
УДК 004.9
УЯЗВИМОСТИ СОВРЕМЕННЫХ IPS/IDS СИСТЕМ*
1 12 В. С. Аверьянов , И. Н. Карцан '
'Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
Морской гидрофизический институт РАН Российская Федерация, 299011, г. Севастополь, ул. Капитанская, 2 E-mail: averyanov124@mail.ru
Система обнаружения и предотвращения вторжении (IDS/IPS - Intrusion Detection / Prevention System) позволяет реагировать на атаки нарушителей информационной безопасности, использующих известные уязвимости, а также распознавать вредоносную активность внутри сети организации. В данной работе описаны классы защиты и уровни доверия к подобным системам со стороны регуляторов по информационной безопасности. Сформирован краткий перечень основных атак направленных на неавторизованное проникновение в сеть, кражу информации и компрометацию ключей шифрования особо значимых объектов информационной инфраструктуры организации. Применение комплексных решений может обрывать сомнительные соединения и автоматически настраивать межсетевой экран, который осуществит блокировку дальнейших атак, а также проинформируют службу безопасности компании о вторжении в ее личное пространство.
Ключевые слова: атаки, ключи шифрования, несанкционированный доступ, передача данных, IDPS системы.
VULNERABILITY OF MODERN IPS/IDS SYSTEMS
V. S. Averyanov1, I. N. Kartsan1,2
:Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
2Marine Hydrophysical Institute, Russian Academy of Sciences 2, Kapitanskaya Str., Sevastopol, 299011, Russian Federation E-mail: averyanov124@mail.ru
Intrusion Detection / Prevention System (IDS / IPS) allows you to respond to attacks by cybercriminals using known vulnerabilities, as well as detect malicious activity within the organization's network. In this paper, protection classes and confidence levels for similar systems by IS regulators are described. A short list of the main attacks aimed at unauthorized penetration into the network, theft of information and compromise of encryption keys of especially significant objects of the information infrastructure of the organization has been formed. The use of integrated solutions can break off dubious connections and automatically configure a firewall that will block further attacks, as well as inform the company's security service about an invasion of its personal space.
Keywords: attacks, encryption keys, unauthorized access, data transfer, IDPS systems.
* Работа выполнена в рамках государственного задания по теме № 0827-2019-0004.
Введение. Рост числа проблем, связанных с информационной безопасностью (далее -ИБ), привел к тому, что системы обнаружения и/или предотвращения вторжений очень быстро стали ключевым компонентом любой стратегии сетевой защиты организаций. Для сокрытия информации от несанкционированного доступа в условиях обмена пакетами данных [1] и информацией, составляющей любую из видов тайн (судебная, коммерческая, банковская, врачебная, государственная), в том числе персональные данные, согласно норм Российского законодательства, юридическим лицам, обладающим статусом «владельца» подобной информации, либо наделенным функциями «доверительного управления» и организованным в любой из правовых форм, легитимных на территории РФ и за её пределами, необходимо выполнять комплекс организационно-технических и правовых мер по защите данных.
Основная часть. Сертифицированные ФСТЭК и ФСБ РФ системы, позволяют:
1. Согласно нормативным документам ФСТЭК разделить системы на шесть классов защиты по IDPS (Intrusion Detection and Prevention System), которые различаются уровнем информационных систем и обрабатываемой информацией (персональные данные, конфиденциальные сведения, государственная тайна)
2. Согласно методикам ФСБ РФ соотнести виды устройств обнаружения атак, разделить их на четыре класса - от Г до А, при котором каждый последующий класс должен иметь в своем составе все функции предыдущих классов [2].
В настоящее время в теории и на практике существует огромное множество атак на автоматизированные системы управления организаций, при перечислении и описании особенностей каждой из них можно получить некий справочник системного администратора. В общей же концепции, любая из существующих видов атак осуществляет несанкционированный доступ к данным (далее - НСД). Основные способы НСД представлены на рисунке.
Основные способы несанкционированного доступа к системам связи
К особой категории отнесены сведения, составляющие государственную тайну. Организационно-технические и правовые меры подразделяются:
• на единые требования по обращению с носителями информации (изготовление, прием, передача, учет и хранение);
• лицензирование отдельных видов деятельности;
• особый режим деятельности (режим секретности) предприятий, учреждений и организаций;
• специальный порядок доступа и допуска граждан;
• техническая, в том числе криптографическая, защита информации;
• последствия и правовая ответственность лиц, имеющих доступ к сведениям, составляющим государственную тайну [4; 5].
Известно, что более 80 % угроз, направленных на компрометацию ключей шифрования, совершается внутри предприятий собственными сотрудниками и должностными лицами. В обязанности данной категории граждан входит реализация условий и механизмов по сохранности данных составляющих государственную и коммерческую тайну, а также персональных данных сотрудников организации, полученную по специальным выделенным каналам связи с применением криптографических средств защиты информации от НСД, входящим в состав систем IPS/IDS [3; 4; 6].
Под компрометацией шифров, либо их составных элементов, принимается факт установления, что действующие ключевые документы стали известны третьим лицам, не имеющим доступа к ним, в том числе хищение, копирование, утрата носителей информации, а также исчезновение должностных лиц, допущенных к сведениям, составляющим государственную тайну. В том числе существует достаточно большое количество хакерских атак на информационные системы, например: фишинг - используется для получения пользовательской информации (логин, пароль и т. д.); UDP шторм, заставляющий 2 открытых порта отвечать друг другу, снижая производительность системы до момента, пока не пропадет один из пакетов; сниффинг - позволяет, используя программное обеспечение, прослушивать коммутируемые соединения; смурф - позволяет производить подмену IP-адресов; подмена Мас-адресов; использование уязвимостей и ошибок программного обеспечения; IP-хайджек - позволяет «врезаться» в сеть и выступать посредником при передаче данных между абонентами сети; различные типы инъекций (SQL-инъекция, PHP-инъекция, скрипт-инъекция (она же XSS Cross Site Scripting), XPath-инъекция), отдельный класс атак Man-in-the-Middle (человек посередине) [4; 7].
Применение комплексных решений, имеющих в своем составе системы IPS/IDS, направленных на защиту информационных потоков организации, выявляет различные виды хакерских сетевых атак, а также обнаруживает и обрывает попытки неавторизованного доступа к информации, повышает привилегии пользователей, блокирует появление вредоносного ПО, отслеживает открытие нового порта для соединения. Данный класс систем автоматически настраивает межсетевой экран, который осуществляет блокировку атак со стороны злоумышленника, а также имеет функции по информированию службы безопасности компании о вторжении в ее личное сетевое пространство.
Заключение. Таким образом, в представленной работе показаны критичные аспекты, возникающие при использовании современных криптографических систем шифрования и их возможная компрометация, следствием которой является потеря данных, полученных по закрытым каналам связи. Объектом данного исследования является выбор комплексного решения позволяющего разделять сетевые сегменты, анализировать внутренний и внешний трафик, выявлять и анализировать подозрительную сетевую активность, пресекать попытки проникновения в изолированные сегменты сети, иметь в своем составе средства криптографической защиты информации (далее - СКЗИ). Подобное комплексное решение позволит решать задачи различной степени сложности - от предоставления безопасного доступа в Интернет сотрудникам компании до объединения филиалов предприятия в единую защищенную сеть с системой обнаружения и предотвращения вторжений, а также криптографической защиты особо важных данных.
Библиографические ссылки
1. Бармен С. Разработка правил информационной безопасности. М.: Издательский дом «Вильяме», 2002. С. 208.
2. Собрание законодательства Российской Федерации. - М.: Изд-во «Юридическая Литература» Администрации Президента Российской Федерации, 1995. - № 8. - 609 с.
3. Куняев H.H. Конфиденциальное делопроизводство и защищенный электронный документооборот. -М.: Изд-во «Логос», 2011. С. 449.
4. Гребенников В.В. Криптология и секретная связь. Сделано в СССР.-М.: Издательский дом «Алгоритм», 2017. С. 480.
5. Агеева Е.С., Карцан И.Н. Защищенный протокол для передачи данных в спутниковой связи / Актуальные проблемы авиации и космонавтики. 2015. Т. 1. № 11. С. 68-70.
6. Карцан Р.В., Карцан И.Н. Беспроводной канал передачи информации, и ее защита / Актуальные проблемы авиации и космонавтики. 2015. Т. 1. № 11. С. 494-496.
7. Карцан И.Н., Тяпкин В.Н., Охоткин К.Г., Карцан Р.В., Пахоруков Д.Н. Дифференциальная коррекция погрешностей определения координат при геомагнитных возмущениях / Вестник Сибирского государственного аэрокосмического университета им. академика М.Ф. Решетнева. 2013. № 2 (48). С. 128-133.
© Аверьянов В. С., Карцан И. Н., 2020
