Білько Є.Д., Пархоменко І.І.

Національній університет біоресурсів та природокористування України

Intrusion Detection Systems (IDS)

 

IDS є програмними або апаратними системами, які автоматизують процес перегляду подій, що виникають у комп'ютерній системі чи мережі, аналізують їх з точки зору безпеки. Так як кількість мережевих атак зростає, IDS стають необхідним доповненням інфраструктури безпеки. Виявлення проникнення є процесом моніторингу подій, що відбуваються в комп'ютерній системі або мережі, та аналіз їх. Проникнення визначаються як спроби компрометації конфіденційності, цілісності, доступності або обходу механізмів безпеки комп'ютера або мережі. Проникнення можуть здійснюватися як атакуючими, які отримують доступ до систем з Інтернету, так і авторизованими користувачами систем, що намагаються отримати додаткові привілеї, яких у них немає. IDS є програмними або апаратними пристроями, які автоматизують процес моніторингу та аналізу подій, що відбуваються в мережі або системі, з метою виявлення проникнень.

IDS складаються з трьох функціональних компонентів: інформаційних джерел, аналізу та відповіді. Система отримує інформацію про подію з одного або більше джерел інформації, виконує визначається конфігурацією аналіз даних події і потім створює спеціальні відповіді - від найпростіших звітів до активного втручання при визначенні проникнень.

IDS стають необхідним доповненням інфраструктури безпеки в кожній організації. Технології виявлення проникнень не роблять систему абсолютно безпечною. Проте практична користь від IDS існує, і не маленька. Використання IDS допомагає досягти кількох цілей:

Можливість мати реакцію на атаку дозволяє змусити атакуючого нести відповідальність за власну діяльність. Це визначається наступним чином: "Я можу прореагувати на атаку, яка вироблена на мою систему, тому що я знаю, хто це зробив чи де його знайти". Це важко реалізувати в мережах TCP / IP, де протоколи дозволяють атакуючим підробити ідентифікацію адрес джерела або інші ідентифікатори джерела. Також дуже важко здійснити підзвітність в будь-якій системі, яка має слабкі механізми ідентифікації і аутентифікації.

Можливість блокування означає можливість розпізнати деяку активність або подію як атаку і потім виконати дію з блокування джерела. Дана мета визначається наступним чином: "Я не дбаю про те, хто атакує мою систему, тому що я можу розпізнати, що атака має місце, і блокувати її". Зауважимо, що вимоги реакції на атаку повністю відрізняються від можливості блокування.

Атакуючі, використовуючи вільно доступні технології, можуть отримати неавторизований доступ до систем, якщо знайдені в системах уразливості не виправлені, а самі системи приєднані до публічних мереж.

Оголошення про появу нових вразливостей є загальнодоступними, наприклад, через публічні сервіси, такі як ICAT (http://icat.nist.gov) або CERT (http://www.cert.org), які створені для того, щоб ці вразливості не можна було використовувати для здійснення атак. Проте існує багато ситуацій, в яких використання цих вразливостей все-таки можливо:

У багатьох успадкованих системах не можуть бути виконані всі необхідні оновлення та модифікації.

Навіть у системах, в яких оновлення можуть бути виконані, адміністратори іноді не мають достатньо часу або ресурсів для відстеження та інсталлірованія всіх необхідних оновлень. Це є спільною проблемою, особливо в середовищах, що включають велику кількість хостів або широкий спектр апаратури і ПЗ.

Користувачам можуть вимагатися функціональності мережевих сервісів і протоколів, які мають відомі уразливості.

Як користувачі, так і адміністратори роблять помилки при конфігуруванні і використанні систем.

При конфігуруванні системних механізмів управління доступом для реалізації конкретної політики завжди можуть існувати певні невідповідності. Такі невідповідності дозволяють законним користувачам виконувати дії, які можуть завдати шкоди або які перевищують їх повноваження.

В ідеальному випадку виробники ПЗ повинні мінімізувати уразливості у своїх продуктах, і адміністратори повинні швидко і правильно коректувати всі знайдені вразливості. Однак у реальному житті це відбувається рідко, до того ж нові помилки та уразливості виявляються щодня.

Тому виявлення проникнення може бути відмінним виходом з існуючого положення, при якому забезпечується додатковий рівень захисту системи. IDS може визначити, коли атакуючий здійснив проникнення в систему, використовуючи нескорректірованную або некорректіруемую помилку. Більш того, IDS може служити важливою ланкою в захисті системи, вказуючи адміністратору, що система була атакована, щоб той міг ліквідувати завдані збитки. Це набагато зручніше і дієвіше простого ігнорування погроз мережевої безпеки, яке дозволяє атакуючому мати тривалий доступ до системи і зберігається в ній.

 

Література

1.    IDS/IPS — Системы обнаружения и предотвращения вторжений <http://netconfig.ru/server/ids-ips/>.

2.    Intrusion  Detection Systems (IDS)      <http://citforum.ru/security/internet/firewalls_ids/>.

3.    Система обнаружения вторжений <http://ru.wikipedia.org/wiki/Система_обнаружения_вторжений>.