Система обнаружения попыток несанкционированного доступа (Intrusion Detection System, IDS) — незаменимый инструмент для любого администратора, который относится к проблеме безопасности серьезно. Антивирусные программы выявляют известных «червей», «троянских коней» и вирусы; брандмауэры предотвращают атаки на порты, а система IDS анализирует сетевые пакеты и позволяет увидеть истинную картину происходящего. Например, с помощью IDS можно выяснить, что представляет собой трафик через порт 80 — запрос Web или пересылку файла Instant Messaging (IM). Брандмауэры и программы поиска вирусов не помогут остановить атаку с переполнением буфера или распознать новый способ нападения с вводом данных SQL (SQL injection), но IDS распознает подобные угрозы и реагирует на них. Хорошая система IDS может блокировать пакет, прежде чем он причинит вред, или своевременно изменить настройку системы безопасности.
Существует два основных типа IDS: сетевые (Network IDS, NIDS) и хост-системы (Host IDS, HIDS). Некоторые продукты выпускаются в обоих вариантах. В данном обзоре рассматриваются программы типов NIDS и HIDS.
NIDS
В продаже имеются автономные устройства NIDS, но большинство NIDS — программные продукты, устанавливаемые на специализированных рабочих станциях с сетевым адаптером. При передаче данных через сетевой сегмент NIDS анализирует пакет с использованием сигнатурного метода, подобно антивирусным программам. Программная проверка сетевого трафика может снизить скорость передачи данных и привести к ложным тревогам, поэтому в эффективной NIDS имеется несколько уровней инспекционных фильтров (препроцессоров). На каждом очередном уровне критерии проверки уточняются, и лишь наиболее подозрительные пакеты сравниваются с базой данных сигнатур.
Особую проблему для NIDS представляют коммутируемые сети, так как коммутатор не позволяет сетевому узлу увидеть трафик, предназначенный для другого узла. Чтобы направить трафик в NIDS для проверки, следует разместить в удаленном сегменте отводы для мониторинга или использовать специальный коммутатор, чтобы копировать весь трафик в контролируемый порт.
HIDS
HIDS устанавливается на серверах или рабочих станциях для анализа сетевого трафика, направляемого на хост-машину. Как и NIDS, HIDS может анализировать пакеты в сетевом сегменте, но HIDS успешнее контролирует изменения в локальных системах (в частности, системного реестра и важнейших DLL). Как правило, NIDS совместим с самыми разнообразными сетевыми топологиями, а HIDS ориентирован на конкретную операционную систему и контролирует определенные типы серверов (например, Web, электронной почты или файлов). Некоторые поставщики брандмауэров и систем-приманок типа honeypot выдают свои продукты за системы HIDS, и покупателям следует проявлять осторожность, чтобы не приобрести продукт с ограниченными функциями.
NIDS или HIDS?
IDS какого типа отдать предпочтение? Большинство специалистов по безопасности рекомендуют применять системы обоих типов. С помощью NIDS можно контролировать сеть в целом или важнейшие сегменты, например пул серверов, используя HIDS для мониторинга важнейших серверов приложений.
В течение нескольких дней или недель после развертывания система IDS может зарегистрировать сотни и тысячи событий. Персонал должен пройти обучение и разбираться в информации, собранной системой. Ложные предупреждения — самая большая проблема IDS. Из-за их избытка администраторы иногда игнорируют журналы IDS. Поскольку IDS генерирует огромный объем информации, некоторые компании поручают мониторинг сторонним исполнителям. Решение в этом случае зависит от квалификации персонала компании и наличия у сотрудников времени для изучения журналов.
Установить и использовать любой пакет NIDS или HIDS несложно. Потребителям продукта должны предоставляться исчерпывающие технические консультации и поддержка для их операционной платформы. Возможности системы должны соответствовать пропускной способности сетевых каналов и производительности хост-машины. В ней должно быть реализовано несколько способов протоколирования, рассылки предупреждений и подготовки отчетов о трафике. Очень важно часто обновлять сигнатуры и программы, а также своевременно идентифицировать угрозы и исследовать конкретные опасности. При выборе продукта следует учесть и такие характеристики, как централизованные консоли для управления несколькими IDS и интеграция продукта с брандмауэром или антивирусной программой. Лучшие IDS не только обнаруживают, но и предотвращают нападения.
Конечно, у систем IDS есть свои недостатки. Но без правильно настроенной, контролируемой IDS невозможно обеспечить приемлемый уровень безопасности современной сетевой среды.
Роджер А. Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (издательство O'Reilly & Associates). С ним можно связаться по адресу: roger@rogeragrimes.com.