Қорғалуға тиісті есептеу техникалық құралдарының объектісінің сипаттамасы

    4 Шабуылды айырып-табу  және алдын алу  жүйелері

    Қазіргі уақытта шабуылдарды айырып-табудың коммерциялық жүйелері (Instrusion Detection Systems, IDS) шабуылдарды айырып-тану және оларға тойтарыс беру үшін желілік немесе жүйелік келісті қолданады. Бұл жүйеде шабуылдардың сигнатуралары (қастық немесе күдікті іс-әрекеттерді көрсететін өзіндік ерекше қалыптары) ізделеді. Егер осындай қалыптар желілік ағында ізделетін болса, онда  IDS желілік деңгейде жұмыс істегені.  Егер шабуылдардың сигнатуралары операциялық жүйенің немесе қолданбаның тіркеу журналдарында ізделсе, онда бұл жүйелік деңгей болғаны. Өзінің жұмысында осы екі технологияны да пайдаланатын IDS жүйесі ең тиімді жүйе болып табылады. Соңғы кезде операциялық жүйемен тығыз ықпалдасқан IDS жүйелері кең таралып келеді.

    IDS артықшылықтары:

• Жүйеде  оқиғаның мониторингі және талдауы, пайдаланушылардың өзін ұстауы (поведения);
• Олардың қауіпсіздігіне байланысты жүйелік пішінүйлесім күйін тестілеу;
• Жүйенің базалық қауіпсіздік күйін тексеру және сосын осы базаның күйін кез келген өзгеріске бақылау жүргізеді ;
• Белгілі шабуылдарға сәйкес жүйелік оқиғаның шаблондарын таныту;
• Қалыпты іс-әрекеттен статистиканың айырмашылығы, іс-әрекеттің шаблондарын таныту;
• Аудиттің тетігін басқару және ОЖ-нің логтарын құру;
• Шабуылды ұстау кезінде кейбір берілген түрмен жетекшілікті хабардар етіледі.;
• Талдау инструменттерінің терминінде қауіпсіздік саясаты келтірілген;
• Қауіпсіздік аймағында сарапшы еместерге, мамандармен қамтамасыз ету (ақпараттық қауіпіздік мониторинг функциясын орындауға мүмкіндік береді).

    IDS кемшіліктері:

• Өндірістің  үлкен және таралған желілерінде олар нашар масштабталады;
• Олар, үрей жайындағы хабарлармен және басқарудың ыңғайсыз интерфейстерімен, басқаруда қиын болуы мүмкін;
• Түрлі коммерциялық IDS (егер олар түрлі өндірушілермен құрылса) бір-бірімен сирек өрараәрекеттеседі;
• IDS-ті  тиімді функциялауға жалған позитивтіліктің деп аталатын, үрей жайындағы қате  хабардар етіледі. Оларға әкімшінің көп уақыты және қорлардың көп бөлігі кетеді;
• Олар мекемеде қауіпсіздік саясатының, стратегиясының немесе сәулетінің болмауынан тәркілей алмайды;
• Олар желілік хаттаманың  әлсіз жерлерін тәркілей алмайды;
• Олар қауіпсіздік тетіктерінің басқа түрлерінің орнын баса алмайды (идентификация и аутентификация, шифрлау, single sign on, firewall немесе қатынас құруды басқару сияқтылар);
• Олар жүйені қауіпсіздіктің барлық қауіптерінен толығымен қорғайтын жалғыз тетік ретінде пайдалана алмайды.

    4.1 IDS үшін қосымшалар: Honey Pot и Padded Cell жүйелері

    Қазіргі уақытта  дәстүрлі IDS үшін жаңа қосымшалар өндірілуде. Олар:

    Honey Pot потенциалды шабуылдаушыны өзіне тарту үшін және оны осал жүйелерден өзінен әрі алу үшін өңделген, жүйелік-қақпан болып табылады. Honey Pot :

• Шабуылдаушыны қатынас құрудан сыншы жүйеге аластату;
• Шабуылдаушының іс-әрекеті  жайында ақпарат жинау;
• Жүйеде шабуылдаушының ізі қалатындай ету үшін құрылады.

    Мұндай  жүйелер жалған ақпаратпен толтырылады, бірақ ақпарат бағалы болатындай етіп құрылады. Заңды пайдаланушылар осы жүйеге қатынас құра алмау  қажет. Сондықтан, Honey Pot –ге кез келген кіру күдікті болып табылады. Honey Pot шабуылдаушының іс-әрекеті жайында ақпаратты жинайды және қандай қатынастар өткенін анықтайтын, оқиғаның логтары және осалдылықтың мониторлары құрайды.

    Padded Cell басқа келісті пайдаланады. Шабуылдаушыны жалған деректермен өзіне тарту үшін Padded Cell дәстүрлі IDS –пен бірге функциаланады.  IDS шабуылдаушыны анықтағанда, ол оны арнайы Padded Cell хостқа қайта бағыттайды. Шабуылдаушы Padded Cell –ке түскеннен кейін, олар зиян келтірмейтін эмулденген аймақтың ішіне орналасады. Honey Pot сияқты, берілген эмулденген аймақ шабуылдаушыны шабуыл өзінің жоспары бойынша жалғастырылып жатқанына көз жеткізуге өңделген ұсынылған қызықты деректермен толтырылады.  Honey Pot сияқты, Padded Cell жақсы жабдықталған болып табылады және шабуылдаушы әрекетінің мониторингі үшін жақсы мүмкіндіктері бар. IDS өңдеушілер 1980 жылдан бастап Padded Cell и Honey Pot  жүйелерін пайдаланады.

    Honey Pot және Padded Cell жүйелерінің  артықшылықтары:

• Шабуылдаушылар бүтін жүйе жағына бағытталған болуы мүмкін (олар зиян келтіре алмайды).
• Әкімшілер шабуылдаушыға қалай жауап беру туралы шешім қабылдау үшін қосымша уақытқа ие.
• Шабуылдаушының әрекеті жеңіл болуы мүмкін және қорғаныш жүйесін жақсарту және қауіптің үлгісін нақтылау үшін пайдалануы мүмкін, алынған нәтижемен кеңінен талданған.
• Honey Pot желіні қарайтын, ішкі бұзушыларды ұстау үшін тиімді болуы мүмкін.

    Honey Pot және Padded Cell жүйелерінің  кемшіліктері:

• Мұндай құрылғыларды пайдалану үшін Заңшығарушы жағдайы жеткіліксіз анықталған.
• Honey Pot және Padded Cell әзірше қауіпсіздіктің жалпыпайдаланатын технологиясы болып табылмайды.
• Тәжірибелі шабуылдаушы, біркезде қақпанға түсіп, агрессивті болуы мүмкін және жүйеге қарсы қастық шабуылды жіберуі мүмкін.
• Әкімшіге мұндай жүйелерді пайдалану үшін үлкен тәжірибе керек.

    Шабуылдардан  қорғану үшін осы күнге дейін екі қорғаныш сыныбы белгілі болатын. Олар, яғни желіаралық экрандар және IDS жүйелері. Желіаралық экрандар арқылы трафикті жібере отырып, оның ішіндегі деректер қарастырылмаған, тек IP-дестесіні бастамасы ғана тексерілетін. Ал IDS жүйелері желіаралық экрандардан өтіп кеткендерді тек талдау жасап отырған және оларға тойтарыс бере алмаған. Өйткені олар арқылы трафик өтпеген. Сондықтан осы екі технологияның арқасында қорғаныш технологиясының жаңа сыныбы пайда болады – Шабуылдың алдын-алу жүйелері деп аталатын. 

4.1 Шабуылдардың алдын-алу  жүйесі (IPS)

  IPS "Intrusion Prevention System" дегеніміз желілік  шабуылдарды болдырмау жүйесі. Өз  аты айтып тұрғандай бұл жүйе  желілік шабуылдарды анықтап,  тауып отыратын жүйе. IPS казірде  екі түрі белгілі олар IPS –  желілік шабуылдарды анықтайды, HIPS - хостка шабуылдарды болдырмайтын жүйе.

  IPS көп жағдайларда хост пен интернет  орнатушы компанияның желісінің  ортасына орналасып, трафиктерді  бақылап отырады. Ал кейбір  түрлері компьютердің озіне орналасады  немесе файлдық серверге орналасып пакеттерді тексеріп отырады, егер ол қауіпті пакеттерді анықтап қалса олары желіде таралуына жол бермей, ұстап қалады.

  IPS ең тиімдісі HIPS болып саналады, онда  шпиондық бағдарламманы анықтай  алады. Және де өзінің антивирустық  бағдарламасы болуы оны коорпаративті желіде қолдануына көптеген тимділіктерді алып келеді.

  HIPS нақты қарайтын болсақ ол Sophos Anti-Virus , Sophos Client Firewall дан тұрады. Ол  осылармен желілік шабуылдарды  анықтап отырады.

HIPS қолданылатын  шаралар жиыны:

Қара  тізімге жазу

Ақ тізімге  жазу

Анализдеп шара қабылдау

  Шабуылдарды  анықтау ушін сигнатуралар қолданылады.  Сигнатураның жұмыс принципі  өз тізіміндегі қауіпті бағдарламмалар  кодттарымен трафиктегі кодттарды  салыстырып шабуылдарды анықтайды.  Ал сигнатураны құрылғыны жасап шығарған фирма жазады, сондықтан сигнатураны тез тезден интернет арқылы жаңартып отыруымыз керек.

Шабуылдарды анықтауы бойынша HIPS тің турлері:

HIPS желілік  деңгейдегісі

HIPS орындалудан  бұрын

HIPS орындалудан  кейін

Sophos Behavioural Genotype Protection дегеніміз не?

Sophos Behavioural Genotype Protection дегеніміз шабуылдарды  анықтаудың жаңа технологиясы. Ол HIPS қолданылатын технологиялардың  бірі. Sophos компаниясының жаңалықтарының  бірі, ол ядро деңгейінде жұмыс  істейді, шпиондық бағдарламмаларды, вирустарды, қауіпті бағдарламмаларды анықтау технологиясы. Оның жұмыс істеу принципі негізінен желіден келген бағдарламмаларды анықтап оны қадағалап, анализдеп отырады. Осы арқылы қауіп түрін анықтайды. Бұл технологияның артықшылығы кодалық деңгейде жұмыс істейді.

                HIPS артықшылықтары төмендегідей:

-Sсophos фирмасы  шығарады, және ядро деңгейінде  жұмыс істеуі

-HIPS қауіпті  бағдарламманы орындалудан бұрын  анықтайды

-Компьютердің  аз ресурстарын қолдануы

-Бағдарламмаларды  виртуалды жүйесінде орындап қауіптілігін анықтауы

-Администраторлардың  хосттарды қауіпті бағдарламмаларға  тексеріп отыруы кажет еместігі

-Өте  нақты анықтауы, эвристикалық технологияны  қолданып анықтауы

-Қате  жұмыс істеуі аз кездеседі

-Дайын  шаблондар арқылы жеңіл бапталуы

-Бір  тұтас ядроны қолдануы

-Барлық  анықтау бағдарламмалары бір  қорпта орналасуы 

      

    Шабуылдардан  қорғану үшін осы күнге дейін  екі қорғаныш сыныбы белгілі болатын. Олар, яғни желіаралық экрандар және IDS жүйелері. Желіаралық экрандар арқылы трафикті жібере отырып, оның ішіндегі деректер қарастырылмаған, тек IP-дестесіні бастамасы ғана тексерілетін. Ал IDS жүйелері желіаралық экрандардан өтіп кеткендерді тек талдау жасап отырған және оларға тойтарыс бере алмаған. Өйткені олар арқылы трафик өтпеген. Сондықтан осы екі технологияның арқасында қорғаныш технологиясының жаңа сыныбы пайда болады – Шабуылдың алдын-алу жүйелері деп аталатын.

     Көптеген зерттеушілердің пікірінше  бүгінгі таңдағы қаскөйлермен тиімді және ыңғайлы күрес үшін IPS (Intrusion Prevention System) жүйесін пайдаланған жөн. IPS бірнеше технологияның жиынтығынан тұрады. Ол ЖАЭ-ның желілік өзараәрекетке белсенді араласуы мен программаның әрекетін   алса, ал IDS-тен болып жатқан оқиғалардың мониторингінің интеллектуалды әдістерін алды. Сонымен IPS шабуылдарды тек анықтап ғана қоймай, олардың алдын алуды ұйымдастырады. 

    12-сурет. Шабуылдың алдын-алу жүйесінің жалғану сұлбалары 

     IPS жүйелері inline (трафик өткізетін  болған) режімінде жұмыс істейді.Соның  арқасында деректерге талдау  жасалып, жағымсыз деректерге дер кезінде тосқауыл қояды. Тосқауыл TCP хаттамасының RESET жалаушасын пайдалана отырып, тасымалданып жатқан деректерді үзеді. 

      2.1 IРS артықшылықтары 

• жіберуші  мен алушының мекенжайы бойынша  дестелерді бұғаттау ережесі орнатылған;
• құрылғы істен шыққан кезде IРS ақпараттар ағынын  өткізеді;
• соңғы аппаратта тексерілмеген ақпараттар ағынын тексереді;
• әр шабуылдың соңында оны тек айқындап қана қоймай, соңынан жүйелік әкімшіге хабарлайды;
• дестені жаңашалау арқылы осалдылықты шеттеу;

 

    2.2 IРS кемшіліктері

• желінің өнімділігін төмендетуі;
• сызықты құрылғының істен шығуы;
• егер құрылғы істен шықса және арна жабық болса желінің жұмысы IРS қалпына келтірілмегеншетоқтатылып тұрады;
• егер құрылғы істен шықса және арна ашық болса желіге зиян келтіретін деректер еніп кетуі мүмкін;
• жалған шақыруларды ұйымдастыруы мүмкін;

  Өндіруші компаниялар 

Шабуылды  айырып-табу жүйелері