Особенности настройки системы обнаружения вторжений

Особенности настройки системы обнаружения вторжений

Система обнаружения вторжений (СОВ, англ. Intrusion Detection System, IDS) – это программное, а в ряде случаев, еще и аппаратное средство, предназначенное для определения несанкционированного доступа в компьютерную систему или же неавторизированного управления ею через сеть. Это дополнительный уровень защиты компьютерных сетей от хакерских атак. Подробно о том, что представляет собой IDS-система, каких видов она бывает, какие инструменты использует в работе, какие формирует отчеты можно почитать здесь.

Сейчас же уделим внимание тому, как настроить систему обнаружения вторжений и подготовить ее к работе. Остановимся на приложениях, которые вам потребуются для этого. Также расскажем, как должно выполнять администрирование IDS-системы и ее последующее обслуживание. А еще подскажем одно из наиболее эффективных и передовых решений в области обеспечения безопасности в интернете.

Подготовительные мероприятия

На этом этапе необходимо произвести ряд мероприятий, которые обеспечат в последующем быструю и простую настройку. Но предстоящие работы будут отличаться в зависимости от того, какую систему защиты от вторжений вы планируете использовать: на основе сети (NIDS) или на основе хоста (HIDS). Рассмотрим более подробно оба варианта.

Размещаем сенсоры для системы обнаружения вторжений NIDS

В случае развертывания сетевой системы обнаружения вторжений, вы заранее должны продумать, в каких местах будут располагаться датчики мониторинга. Это окажет непосредственное влияние на то, какую именно атаку с их помощью вы сможете обнаружить. Следуем таким рекомендациям:

  1. Формируем детальную схему вашей сети. В результате вы должны получить специальную диаграмму, на которой будут нанесены ключевые точки или же наборы систем с повышенной чувствительностью к бизнес-операциям. Так перед вами будет наглядная картина с местами повышенной уязвимости. Именно в них и необходимо будет размещать датчики системы обнаружения.
  2. В том случае, если вы планируете настроить NIDS для отслеживания интернет-сервера на случай несанкционированного доступа, то особую пользу вы сможете получить от так называемого DMZ-сегмента. Речь идет о изолированной, демилитаризованной зоне, которая отделена от интернета и внутренней локальной сети специальными межсетевыми экранами. В этом случае если хакер все же скомпрометирует ваш сервер, то у система с максимальной вероятностью сможет идентифицировать первоначальное проникновение либо же заметить активность, идущую из хоста, на который было совершено посягательство.
  3. Если ваша первоочередная задача состоит в отслеживании вторжений, нацеленных на внутренние серверы, в том числе DNS, почтовые серверы, то лучше всего будет установить сенсор непосредственно внутри брандмауэра, в частности в сегменте, соединяющим брандмауэр и локальную сеть. Логику такого решения понять легко – при таком размещении сенсора брандмауэр будет купировать большую часть атак, нацеленных на ваши внутренние серверы. Изучая время от времени журнал брандмауэра, вы сможете выявить их. А еще можно будет увидеть те атаки, которым удалось пройти. Это и есть так называемая Defense in Depth – глубинная защита.

Выполняем интеграцию с хостом для системы обнаружения вторжений НIDS

Сразу отметим, что внедрение системы обнаружения вторжений в блоки, относящиеся непосредственно к разработке, стоит устанавливать намного раньше, чем в производственные сети. Дело в том, что даже в неактивных системах нередко часть файлов подвергается регулярному обновлению. Как пример – файлы аудита. И здесь система НIDS призвана сгенерировать соответствующие уведомления об этом. А еще, она направит извещение, если пользователь изменит свой пароль. Вот только это может быть как обычный, авторизованный человек, так и злоумышленник.

В своем большинстве все угрозы, которые обнаруживает система IDS, записывается в файл. А что мешает хакеру добраться к нему и внести ряд изменений? Поэтому рекомендуем регулярно проверять эти файлы, особое внимание уделяя тем элементам, которые были изменены или удалены. Наличие таких и станет свидетельством несанкционированного доступа.

Знакомимся с конфигурацией сигналов системы обнаружения вторжений

Вы, как администратор сети, должны знать, что уровни тревоги можно настроить самостоятельно, учитывая специфику предстоящих работ. Часть сигналов можно интегрировать напрямую в центр управления сети: они будут направляться на электронную почту в виде отчета или высвечиваться на экране монитора как уведомления. Но также есть сигналы, способные напрямую работать с брандмауэром, автоматически отключая весь поток данных из скомпрометированной сети. В последнем случае участие системного администратора не требуется.

Но здесь очень важно понимать, что наличие ошибок в самой конфигурации сигналов тревоги может стать причиной частых ложных срабатываний. В результате окажется, что гораздо проще отключить систему обнаружения вторжений, чем все рабочее время тратить на выяснение того, несет ли данное срабатывание непосредственную угрозу или нет. А ведь злоумышленники зачастую именно этого и ждут. Нередко на практике встречаются случаи, когда хакеры забрасывают систему и администратора, в частности кучей ложных сигналов, ожидая, когда же они просто перестанут на них реагировать.

Уязвимости есть и случае работы системы IDS и брандмауэра. Если он будет блокировать весь трафик, то этим смогут воспользоваться хакеры. В их технических возможностях сымитировать атаки от известный сайтов или деловых партнеров. А что будет в результате? Брандмауэр просто заблокирует действительно важный для вас входящий трафик.

Составляем график интеграций

Если установить все датчики сразу, то вы не сможете вникнуть в то, как работает система обнаружения вторжений. Будет сложно сориентироваться во всех выявленных активностях, понять, на какие стоит реагировать, а какие можно пропустить мимо внимания. Оптимально устанавливать датчики по одному. Буквально пара дней уйдет у вас на то, чтобы изучить особенности работы системы в конкретной точке. Затем можно подключать второй датчик и опять наблюдать за особенностями. И так до тех пор, пока все датчики не будут установлены. Это самый простой способ сориентироваться в нюансах работы IDS.

Как показывает практика, для стабильной и эффективной работы необходимо будет установить сенсоры сразу в двух зонах:

  1. В демилитаризованной DMZ-зоне.
  2. Во внутренней сети.

Каждый из этих вариантов отличается собственным набором действий. И вам, как системному администратору, необходимо разбираться в конфигурациях этих датчиков, понимать, как они работают. Это значительно повысит эффективность вашего труда.

Готовим техническую составляющую

Это уже и есть непосредственное подключение системы обнаружения вторжений из сети. Так, вам необходимо выполнить ряд задач:

  1. Подключение IDS к порту. Выбирается тот разъем, который контролирует весь трафик между интернетом и внутренней сетью. Оптимальное решение – концентратор либо же зеркальный порт коммутатора. В том случае, если вы захотите использовать все же один датчик системы в брандмауэре, то его устанавливают в точке между брандмауэром и внутренней сетью.
  2. Выбираем аппаратную составляющую. Какую же машину здесь использовать? Здесь все зависит от особенностей рабочей среды и тех данных, которые планируется получать. В ряде случаев можно будет обойтись одной машиной, но также есть случаи, когда потребуется несколько независимых устройств. Их задача будет состоять в отправке отчетов на центральный сервер управления. То есть, чем больше ваша локальная сеть, тем больше машин в идеале должны ее обслуживать. Благодаря наличию детальной информации из разных точек, вы сможете сформировать целостную картину для анализа.
  3. Программное обеспечение. Неплохой вариант для базы данных – Oracle либо же Microsoft SQL Server. Также потребуется установка веб-интерфейса к этой базе, посредством которого и будет осуществляться передача данных системному администратору. В качестве вспомогательных инструментом для настройки среды здесь можно использовать компилятор, веб-сервер и язык сценариев РНР.

На данном этапе работы завершены. Теперь уделим внимание тому, как выполнять администрирование и обслуживание системы обнаружения вторжений.

Администрирование и обслуживание системы обнаружения вторжений

Еще раз обратим ваше внимание на то, что большая часть сгенерированных системой предупреждений в реальности все же окажется ложным срабатыванием. Зачастую их провоцирует обычный трафик, но не с совсем классическими эталонными характеристиками. То есть ничего опасного и криминального в нем нет. Чтобы несколько упростить процесс анализа полученной информации можно использовать IDS-датчик. Устанавливается он на участке между брандмауэром и локальной сетью При этом выполняются настройки брандмауэра, в которых прописывается необходимость блокировки трафика, идущего с недоверенного определенного адреса. Так вы сможете убрать существенную часть ложных срабатываний.

Чтобы обслуживание системы обнаружения вторжений было максимально эффективным, администратору, помимо установки IDS-датчика также требуется тщательно изучить возможности продукта как такового и виды предупреждений, которые он будет присылать. Это позволит быстро отбрасывать ложные срабатывания и не пропустить серьезные угрозы. Важно постоянно мониторить угрозы и при появлении новых добавлять в систему правила в соответствии с их сигнатурами. Но надо обязательно проверять реальность таких угроз и принимать действия только тогда, когда в этом действительно есть необходимость.

Обеспечиваем высокую безопасность работы в сети

Да, система обнаружения вторжений – не идеальная. Она не способна устранить все угрозы, не может в полной мере их систематизировать и понимать, какая из выявленных активностей несет серьезную опасность, а какая нет. Но все это она имеет все шансы на то, чтобы стать частью именно вашей системы безопасности при работе в сети. Но есть ли способ повысить уровень защиты от несанкционированного доступа? Если вы ищете простое и удобное в работе решение, рекомендуем обратить внимание на мобильные прокси от сервиса MobileProxy.Space. Среди их особенностей выделим:

  • Высокий уровень анонимности и безопасности работы в интернете. Обеспечивается подменой реальных пользовательских данных на собственные. Более того, IP-адреса можно будет менять или по таймеру, или принудительно. А еще предусмотрена одновременная работа по HTTP(S) и Socks5-протоколам.
  • Возможность эффективного обхождения региональных ограничений. Вы сможете получить доступ к сайту с любой страны благодаря правильному выбору геолокации и оператора сотовых сетей.
  • Более быстрое соединение. Работа мобильных прокси основана на технических возможностях операторов мобильных сетей, в том числе ДНС-серверов. К тому же используется кэширование данных.

Предлагаем пройти по ссылке https://mobileproxy.space/user.html?buyproxy, чтобы более подробно познакомиться с особенностями, функциональными возможностями мобильных прокси от сервиса MobileProxy.Space. Также предлагаем воспользоваться бесплатным 2-часовым тестированием.


Поделитесь статьёй: