Враги не дремлют или еще раз про IDS

17 декабря 2012, 11:30

На многих серверах и сетевом оборудовании, уже сегодня есть так называемые IDS. Но что, если злоумышленник подключился напрямую из этой локальной сети?

  • Александр Скороходов
    Александр Скороходов Cisco Systems, консультант по технологиям ЦОД
    Для серверных IDS местоположение злоумышленника не имеет значения, поскольку обнаружение и предотвращение атаки происходит на её «мишени» — на защищаемом сервере.

    Для сетевых IDS границы зоны, в обращениях из которой обнаруживаются атаки, определяются местоположением IDS в топологии сети.

    В частности, в распространённом сценарии, когда сетевые IDS находятся на «входе» в ЦОД из корпоративной сети, атаки из локальной сети будут обнаружены, а атаки изнутри инфраструктуры ЦОД — нет.

    В случае, если мы считаем такую угрозу вероятной, наиболее эффективным окажется использование серверной IDS — возможно, в сочетании с сетевой.
  • Иен Симпсон
    Иен Симпсон IBM, директор Научно-технического центра
    Лучший способ справляться с любой трудной ситуацией — это стараться не попадать в нее. Поэтому серверы, содержащие защищаемые данные, должны быть установлены в отдельной сети, где подключение пользователей не предусмотрено или даже невозможно физически.

    Например, сервер и сетевое оборудование можно запереть в шкаф с сигнализацией, а шкаф установить в отдельной охраняемой комнате или под наблюдением.

    Разделять локальную сеть на несколько сетей сегодня могут даже самые простые сетевые средства. Все соединения с серверами, изолированными таким способом, уже не будут происходить «напрямую из этой локальной сети». Это дает возможность применить дополнительные защитные меры, например — NAT и файрволл, который в случае обнаружения признаков начинающегося взлома прекращал бы соединение с подозреваемым хостом нарушителя.

    Кроме того, сегмент локальной сети, где работают только серверы, может быть эффективнее защищен средствами IDS, чем сегмент, общий для всех пользователей и систем. В изолированном сегменте можно разрешить работу только тех IP- и MAC-адресов, которые принадлежат серверам, и тогда IDS сможет поднять тревогу, увидев в сети пакеты с незарегистрированными адресами.

    Но даже в условиях, когда злоумышленник оказался подключен напрямую, IDS способны обнаружить признаки использования инструментов взлома.

    Если база данных IPS, описывающая такие признаки, регулярно автоматически пополняется силами централизованной глобальной службы (как, например, это делается для IPS Proventia, производимых IBM), то шансы на то, что нарушитель успешно применит неизвестное средство вторжения и останется незамеченным, сокращаются до нуля.

    Атака может быть распознана также по признакам необычного вида запроса к системе, или иных отклонений от зарегистрированного профиля нормальной активности.

    Анализ в реальном времени сведений от нескольких IDS, разных по принципу работы и по месту применения, позволяет окончательно определить, насколько обосновано системы IDS подняли тревогу.

    IBM выпускает не только IDS всех основных видов, но и средства анализа собираемых ими сведений. Мы рекомендуем применять их вместе, они хорошо приспособлены для этого.
  • Пётр Сторожев
    Пётр Сторожев Ниагара Компьютерз, руководитель исследовательского отдела
    На мой взгляд, проблема в том, как непосредственно реализована IDS.

    Если IDS — это отдельно взятый сервер, который слушает и анализирует пакеты, идущие к нему от порта коммутатора, настроенного как portmirroring и, при этом, весь трафик в локальной сети идет через этот коммутатор, то вредные пакеты от злоумышленника будут однозначно пойманы. Другой вопрос распознает ли IDS, что они действительно вредные.

    Другой способ защиты — это установка IDS-агента непосредственно на сервер, который нужно защищать. Этот способ также защитит сервер от злоумышленника в локальной сети.