Халдлага илрүүлэх систем. Үйл ажиллагааны зарчим

Symbian-ийн хувьд 30.04.2021
Symbian-ийн хувьд
Үндсэндээ эдгээр программууд нь сүлжээн дэх бүх өгөгдлийн урсгалыг харж, хор хөнөөл учруулж болзошгүй сүлжээний траффикийг тодорхойлж, гарч ирэх үед танд анхааруулдаг өөрчилсөн анализаторууд юм. Тэдний үйл ажиллагааны үндсэн арга нь дамжуулж буй траффикийг шалгаж, гарын үсэг гэж нэрлэгддэг хортой үйлдлийн мэдэгдэж буй мэдээллийн сантай харьцуулах явдал юм. Гарын үсэг ашиглах нь вирусны эсрэг программууд хэрхэн ажилладагтай маш төстэй юм. TCP/IP түвшний ихэнх төрлийн халдлагууд нь онцлог шинж чанартай байдаг. Халдлага илрүүлэх систем нь IP хаяг, портын дугаар, мэдээллийн агуулгаболон дурын тооны шалгуур. Системийн түвшинд халдлагыг илрүүлэх өөр нэг арга байдаг бөгөөд энэ нь гол файлуудын бүрэн бүтэн байдлыг хянахаас бүрддэг. Нэмж дурдахад халдлагыг илрүүлэх, галт ханын үзэл баримтлалыг хослуулсан эсвэл энгийн илрүүлэлтээс гадна нэмэлт алхмуудыг хийх шинэ техникүүдийг боловсруулж байна ("Халдалтыг илрүүлэх системүүдийн дараагийн үе" хэсгийг үзнэ үү). Гэсэн хэдий ч энэ лекц нь сүлжээ, систем дэх халдлагыг илрүүлэх хамгийн түгээмэл хоёр арга болох сүлжээний халдлагыг илрүүлэх болон бүрэн бүтэн байдлын хяналтфайлууд.

Сүлжээний халдлагыг илрүүлэх систем нь дамжин өнгөрөх халдлагаас хамгаалж чадна галт ханадотоод LAN руу. Галт ханыг буруу тохируулж, сүлжээнд хүсээгүй урсгал оруулах боломжтой. Зөв ажиллаж байсан ч галт хана нь ихэвчлэн аюултай байж болох зарим програмын урсгалыг зөвшөөрдөг. Портууд нь ихэвчлэн галт хананаас цахим шуудан эсвэл бусад нийтийн серверт зориулагдсан траффик бүхий дотоод серверүүд рүү дамждаг. Сүлжээний халдлагыг илрүүлэх систем нь энэ траффикийг хянаж, аюултай пакетуудыг тэмдэглэж чаддаг. Зөв тохируулагдсан сүлжээний халдлагыг илрүүлэх систем нь галт ханын дүрмийг хөндлөнгөөс шалгаж, нэмэлт хамгаалалт өгөх боломжтой програмын серверүүд.

Сүлжээний халдлагыг илрүүлэх систем нь гадны халдлагаас хамгаалахад тустай боловч тэдгээрийн гол давуу талуудын нэг нь дотоод халдлагыг илрүүлэх чадвар юм. сэжигтэй үйл ажиллагаахэрэглэгчид. Галт ханаолон гадны халдлагаас хамгаалах болно, гэхдээ халдагч дотоод сүлжээнд байгаа үед, галт ханатусалж чадах нь юу л бол. Энэ нь зөвхөн түүгээр дамжин өнгөрөх урсгалыг хардаг бөгөөд ихэвчлэн дотоод сүлжээн дэх үйл ажиллагаанд харалган байдаг. Сүлжээний халдлагыг илрүүлэх системийг авч үзье галт ханааюулгүй хаалганы түгжээ, сүлжээний хамгаалалтын дохиоллын систем зэрэг нэмэлт хамгаалалтын төхөөрөмжүүд. Тэдний нэг нь таны гаднах хилийг хамгаалдаг, нөгөө нь таны дотоод хэсгийг хамгаалдаг (Зураг 7.1).


Цагаан будаа. 7.1.

Дотоод сүлжээний урсгалыг сайтар хянах сайн шалтгаан бий. Компьютерийн гэмт хэргийн 70 гаруй хувь нь дотоод эх сурвалжаас үүдэлтэй болохыг Холбооны мөрдөх товчооны статистик харуулж байна. Хэдийгээр бид хамтран ажиллагсад маань бидэнд хор хөнөөл учруулахгүй гэж итгэх хандлагатай байдаг ч заримдаа энэ нь тийм биш юм. Дотор халдагчид- үргэлж шөнийн хакерууд байдаггүй. Эдгээр нь гомдсон системийн администраторууд эсвэл хайхрамжгүй ажилтнууд байж болно. Файлыг татаж авах эсвэл имэйл зурваст хавсаргасан файлыг нээх энгийн үйлдэл нь таны системд трояны морийг нэвтрүүлж, галт хананд бүх төрлийн алдаа гаргах нүхийг үлдээж чадна. Сүлжээний халдлагыг илрүүлэх системийн тусламжтайгаар та ийм үйл ажиллагаа болон бусад компьютерийн сонирхлыг зогсоож чадна. Сайн тохируулсан сүлжээний халдлагыг илрүүлэх систем нь таны сүлжээнд цахим "дохиоллын систем" болж чадна.

Халдлага илрүүлэх шинэ үеийн систем

Хэвийн бус үйл ажиллагааг илрүүлэхэд суурилсан халдлагыг илрүүлэх систем

Зөвхөн тодорхой хорлонтой үйл ажиллагааг илрүүлэх статик гарын үсгийг ашиглахын оронд дараагийн үеийн системүүд сүлжээн дэх янз бүрийн төрлийн үйл ажиллагааны хэвийн түвшинг хянадаг. Хэрэв FTP урсгал гэнэт нэмэгдвэл систем энэ талаар танд анхааруулах болно. Эдгээр төрлийн системүүдийн асуудал нь тэд хуурамч эерэг үр дагаварт маш их өртөмтгий байдаг - өөрөөр хэлбэл сүлжээнд хэвийн, хүчинтэй үйл ажиллагаа явагдаж байх үед дохиолол өгдөг. Тиймээс, FTP траффикийн жишээн дээр, ялангуяа том файлыг татаж авах нь түгшүүр төрүүлдэг.

Мөн хэвийн бус үйл ажиллагааг илрүүлэхэд суурилсан халдлагыг илрүүлэх систем нь сүлжээний үнэн зөв загварыг бий болгоход цаг хугацаа шаарддаг гэдгийг анхаарах хэрэгтэй. Эхлээд систем нь маш олон дохиолол үүсгэдэг тул энэ нь бага ашиг тустай байдаг. Нэмж дурдахад ийм халдлагыг илрүүлэх систем нь сүлжээг сайн мэддэг тул хууртдаг. Хэрэв хакерууд хангалттай нууцлагдмал бөгөөд сүлжээнд идэвхтэй ашиглагддаг протоколуудыг ашигладаг бол эдгээр төрлийн системийн анхаарлыг татахгүй. Нөгөөтэйгүүр, ийм системийн чухал давуу тал нь гарын үсгийн багцыг байнга шинэчлэх шаардлагагүй байдаг. Энэхүү технологи нь төлөвшил, хангалттай оюун ухаанд хүрмэгц халдлага илрүүлэх нийтлэг арга болох магадлалтай.

Халдлагаас урьдчилан сэргийлэх системүүд

Сүлжээний халдлагаас урьдчилан сэргийлэх систем гэж нэрлэгддэг шинэ төрлийн сүлжээний халдлагыг илрүүлэх системийг корпорацийн аюулгүй байдлын бүх асуудлыг шийдэх шийдэл гэж зарласан. Үндсэн санаа нь дохиолол үүсэх үед тусгай галт ханын дүрмийг шууд бичих гэх мэт хариу арга хэмжээ авах явдал юм. чиглүүлэгчид, сэжигтэй IP хаяг, хүсэлт, тэр ч байтугай зөрчилтэй системийн эсрэг довтолгооны үйл ажиллагааг хаах.

Хэдийгээр энэхүү шинэ технологи нь байнга хувьсан өөрчлөгдөж, сайжирч байгаа ч хүний ​​түвшинд дүн шинжилгээ хийх, шийдвэр гаргахаас хол зайтай хэвээр байна. 100% машин, программ хангамжаас хамааралтай ямар ч системийг зориулалтын хүн луйварддаг нь үнэн хэвээр байна (хэдийгээр зарим амжилтгүй шатрын их мастерууд санал нийлэхгүй байж болно). Нээлттэй эх сурвалжийн халдлагаас урьдчилан сэргийлэх системийн жишээ бол Jed Hale-ийн Inline Snort бөгөөд энэ лекцээр хэлэлцсэн Snort сүлжээний халдлагыг илрүүлэх системийн үнэгүй модуль юм.

IDS/IPS системүүд нь сүлжээг зөвшөөрөлгүй нэвтрэхээс хамгаалах зориулалттай өвөрмөц хэрэгсэл юм. Эдгээр нь халдлагыг хурдан илрүүлж, үр дүнтэй урьдчилан сэргийлэх боломжтой техник хангамж эсвэл компьютерийн хэрэгсэл юм. IDS/IPS-ийн гол зорилгод хүрэхийн тулд авсан арга хэмжээнүүдэд хакердах болон хортой программ хангамжийн оролдлогын талаар аюулгүй байдлын мэргэжилтнүүдэд мэдэгдэх, халдагчидтай холболтыг таслах, корпорацийн өгөгдөлд хандах хандалтыг хаахын тулд галт ханыг дахин тохируулах зэрэг орно.

Сүлжээний халдлагыг илрүүлэх системийг юунд ашигладаг вэ?

Мэдээллийн нөөцийг эзэмшдэг аж ахуйн нэгжүүдэд тулгардаг гол бэрхшээлүүдийн нэг бол кибер халдлага юм. Бүр алдартай вирусны эсрэг программууд болон галт хана нь зөвхөн сүлжээнд нэвтрэх тодорхой цэгүүдийг хамгаалахад үр дүнтэй хэрэгсэл юм. Гэсэн хэдий ч халдагчид хамгийн дэвшилтэт хамгаалалтын системд ч гэсэн тойрч гарах зам, эмзэг үйлчилгээг олох боломжтой. Ийм аюул тулгараад байгаа тул гадны болон Оросын UTM шийдлүүд халдлагад өртөх, хортой програм (өт, троян, компьютерийн вирус) тархах боломжийг арилгахыг хүсч буй байгууллагуудын дунд улам бүр түгээмэл болж байгаа нь гайхах зүйл биш юм. Олон компаниуд мэдээллийг бүрэн хамгаалах зорилгоор баталгаажуулсан галт хана эсвэл бусад хэрэгслийг худалдаж авахаар шийддэг.

Халдлага илрүүлэх системийн онцлог

Өнөөдөр байгаа халдлагыг илрүүлэх, урьдчилан сэргийлэх бүх системүүд нь мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн тэдгээрийг шийдвэрлэхэд ашигладаг хэд хэдэн нийтлэг шинж чанар, чиг үүрэг, даалгавруудаар нэгддэг. Ийм хэрэгслүүд нь тодорхой нөөцийн үйл ажиллагаанд тасралтгүй дүн шинжилгээ хийж, хэвийн бус үйл явдлын шинж тэмдгийг илрүүлдэг.

Корпорацийн сүлжээний аюулгүй байдлын зохион байгуулалт нь хэд хэдэн технологид хамрагдах боломжтой бөгөөд тэдгээр нь илрүүлсэн ослын төрөл, ийм үйл явдлыг илрүүлэхэд ашигладаг аргуудаас ялгаатай байдаг. Юу болж байгааг тогтмол хянах, дүн шинжилгээ хийх функцээс гадна бүх IDS системүүд дараахь үүргийг гүйцэтгэдэг.

  • мэдээлэл цуглуулах, бүртгэх;
  • гарсан өөрчлөлтүүдийн талаар сүлжээний администраторуудад мэдэгдэх (анхаарал);
  • бүртгэлийг нэгтгэн тайлан гаргах.

IPS технологи нь эргээд дээр дурдсаныг нөхөж байгаа тул аюул заналхийлэл, түүний эх үүсвэрийг тодорхойлохоос гадна тэдгээрийг хаах чадвартай. Энэ нь мөн ийм шийдлийн өргөтгөсөн функцын тухай өгүүлдэг. Энэ нь дараахь үйлдлүүдийг гүйцэтгэх чадвартай.

  • хорлонтой сешнүүдийг зогсоох, чухал нөөцөд хандахаас сэргийлэх;
  • "хамгаалагдсан" орчны тохиргоог өөрчлөх;
  • халдлагын хэрэгсэл дээр үйлдэл хийх (жишээлбэл, халдвар авсан файлуудыг устгах).

UTM галт хана болон аливаа халдлагыг илрүүлэх, урьдчилан сэргийлэх орчин үеийн системүүд нь IDS болон IPS системийн технологийн оновчтой хослол гэдгийг тэмдэглэх нь зүйтэй.

Хорлонтой халдлагыг хэрхэн илрүүлдэг

IPS технологиуд нь гарын үсэг дээр суурилсан аргуудыг ашигладаг - холбогдох тохиолдлуудтай холбоотой хэв маяг. Гарын үсэг нь холболт, ирж буй имэйл, үйлдлийн системийн бүртгэл гэх мэт байж болно. Энэ илрүүлэх арга нь мэдэгдэж буй аюул заналхийллийг даван туулахад маш үр дүнтэй боловч гарын үсэггүй халдлагатай тэмцэхэд маш сул байдаг.

HIPS гэж нэрлэгддэг өөр нэг хөндлөнгийн илрүүлэлтийн арга нь болж буй үйл явдлын үйл ажиллагааны түвшинг "сургалтын үе" гэж нэрлэгдэх явцад олж авсан хэвийн үйл ажиллагааны түвшинтэй статистикийн хувьд харьцуулах явдал юм. Халдлага илрүүлэх хэрэгсэл нь гарын үсгийн шүүлтүүрийг нөхөж, түүнийг тойрч гарах хакерын халдлагыг хааж чадна.

IDS болон IPS халдлагаас урьдчилан сэргийлэх системийн үйл ажиллагаа, үйл ажиллагааны зарчмуудыг нэгтгэн дүгнэвэл эдгээр нь хоёр үндсэн асуудлыг шийддэг гэж хэлж болно.

  • мэдээллийн сүлжээний бүрэлдэхүүн хэсгүүдийн шинжилгээ;
  • энэ шинжилгээний үр дүнд хангалттай хариу өгөх.

Суриката халдлага илрүүлэгч

IPS халдлагаас урьдчилан сэргийлэх шийдлүүдийн нэг нь олон төрлийн хортой аюулыг цаг тухайд нь илрүүлэх зорилготой халдлага илрүүлэгч юм. Интернетийн хяналтын серверт тэдгээрийг Suricata системийн хэлбэрээр хэрэгжүүлдэг - сүлжээг урьдчилан сэргийлэх, түүнчлэн ирж буй дохионы мэдээллийг цуглуулах, хадгалахад зориулагдсан дэвшилтэт, олон үйлдэлт, маш бүтээмжтэй хэрэгсэл. Халдлага илрүүлэгчийн ажиллагаа нь гарын үсгийн шинжилгээ, эвристик дээр суурилдаг бөгөөд түүний тав тухтай байдал нь эх кодод нээлттэй хандалттай байдагтай холбоотой юм. Энэ арга нь бие даасан асуудлыг шийдвэрлэхийн тулд системийн үйл ажиллагааны параметрүүдийг тохируулах боломжийг олгодог.

Suricata-ийн засварлах боломжтой параметрүүд нь замын хөдөлгөөний шинжилгээнд хамаарах дүрмүүд, администраторуудад анхааруулга үзүүлэхийг хязгаарладаг шүүлтүүрүүд, өөр өөр серверүүдийн хаягийн хүрээ, идэвхтэй портууд болон сүлжээнүүд орно.

Тиймээс IPS шийдэл болох Suricata нь нэлээд уян хатан хэрэгсэл бөгөөд үйл ажиллагаа нь халдлагын шинж чанараас хамааран өөрчлөгдөж байдаг тул үүнийг аль болох үр дүнтэй болгодог.

ICS нь сэжигтэй үйл ажиллагааны талаарх мэдээллийг бүртгэж, хадгалдаг, ботнет, DOS халдлага, түүнчлэн TOR, анонимизатор, P2P болон torrent клиентүүдийг блоклодог.

Модульд нэвтрэх үед түүний статус, "Идэвхгүй болгох" товчлуур (эсвэл модуль идэвхгүй бол "Идэвхжүүлэх") болон бүртгэл дэх хамгийн сүүлийн үеийн мессежүүд харагдана.

Тохиргоо

Тохиргооны таб дээрээс та халдлага илрүүлэгчийн параметрүүдийг засах боломжтой. Энд та дотоод болон гадаад сүлжээ, төрөл бүрийн серверүүдийн хаягийн хүрээ, ашигласан портуудыг зааж өгч болно. Эдгээр бүх хувьсагчдад өгөгдмөл утгууд өгөгдсөн бөгөөд үүний тусламжтайгаар халдлага илрүүлэгч зөв ажиллаж эхэлдэг. Анхдагч байдлаар, гадаад интерфейс дээрх урсгалыг шинжилдэг.

Дүрэм

Довтолгоо илрүүлэгч нь замын хөдөлгөөнд дүн шинжилгээ хийх дүрмүүдтэй холбогдож болно. Энэ таб дээр та дүрмийн дагуу тодорхой файлын байгаа байдал, агуулгыг харах, мөн түүний үйлдлийг идэвхжүүлэх эсвэл идэвхгүй болгох боломжтой (баруун талд байгаа тэмдэглэгээг ашиглан). Баруун дээд буланд файлын нэр эсвэл дүрмийн тоогоор хайлт байна.

Шүүлтүүр

Довтолгооны илрүүлэгчийн анхааруулгын гаралтын хязгаарлалтыг тохируулахын тулд та "Шүүлтүүр" таб руу очих хэрэгтэй. Энд та дараах хязгаарлалтуудыг нэмж болно.

  • мессежийн тоогоор шүүх,
  • мессежийг гарах давтамжаар нь шүүх,
  • холимог төрлийн шүүлтүүр,
  • тодорхой төрлийн мессежийг хориглох;

Тохируулахдаа янз бүрийн шүүлтүүр дэх "Дүрмийн дугаар" талбар өөр байх ёстой гэдгийг санах хэрэгтэй.

Байгууллагын төрөл

Байгууллагын төрлийг сонгох Боловсролын байгууллага Төсвийн байгууллага Арилжааны байгууллага

Хувийн төрийн бус байгууллага, төгсөлтийн дараах мэргэжлийн боловсролын байгууллагуудад үнэ ХҮРЭЭЛЭХГҮЙ

ICS хувилбарууд

ICS шаардлагагүй Стандарт ICS FSTEC

FSTEC-ийн зардлыг тооцоолохын тулд борлуулалтын хэлтэстэй холбоо барина уу

Хүргэлтийн төрөл

ICS ICS + SkyDNS ICS + Kaspersky Web Filtering

Лицензийн төрөл

Шинэ лиценз Лицензийг шинэчлэх

Дээд зэрэглэлийн шинэчилсэн лицензийн лицензийн өргөтгөл

IDS ашиглах зарчим

Халдлага илрүүлэх, урьдчилан сэргийлэх(IDP) нь халдлагаас хамгаалах зорилготой NetDefendOS дэд систем юм. Систем нь дамжин өнгөрөх сүлжээний урсгалыг хардаг галт хана, мөн замын хөдөлгөөний тохирох хэв маягийг хайдаг. Ийм урсгалыг илрүүлэх нь халдлагын оролдлогыг илтгэнэ. Ийм урсгалыг илрүүлсний дараа IDP халдлага болон түүний эх үүсвэрийг хоёуланг нь саармагжуулах арга хэмжээ авдаг.

Халдлагыг илрүүлэх, урьдчилан сэргийлэхийн тулд та дараах мэдээллийг өгөх ёстой.

  1. Ямар хөдөлгөөнд дүн шинжилгээ хийх ёстой.
  2. Шинжилсэн замын хөдөлгөөнд юу хайх вэ.
  3. Халдлага илэрсэн үед ямар арга хэмжээ авах вэ.

Энэ мэдээллийг дотор заасан болно IDP дүрэм.

Засвар үйлчилгээ ба дэвшилтэт IDP

D-Link нь хоёр төрлийн IDP өгдөг:

  1. Засвар үйлчилгээ IDP

    Засвар үйлчилгээ IDP нь IDP системийн гол цөм бөгөөд NetDefendDFL-210, 800, 1600, 2500 стандартад багтсан болно.

    Maintenance IDP нь халдлагаас хамгаалах үндсэн хамгаалалтыг хангадаг хялбаршуулсан IDP бөгөөд илүү өргөн хүрээтэй Нарийвчилсан IDP болгон өргөжүүлэх боломжтой.

    IDP нь DFL-260, 860, 1660, 2560, 2560G дээр стандарт биш; Эдгээр галт ханын загварууд нь Advanced IDP захиалга шаарддаг.

  2. Дэвшилтэт IDP

    Advanced IDP нь илүү өргөн хүрээний гарын үсэг бүхий мэдээллийн сан, техник хангамжийн өндөр шаардлага бүхий сайжруулсан IDP систем юм. 12 сарын захиалга нь стандарт бөгөөд IDP гарын үсгийн мэдээллийн санг автоматаар шинэчлэх боломжийг олгодог.

    Энэхүү IDP сонголт нь Maintenance IDP-тэй стандартаар ирдэггүй бүх D-Link NetDefend загварууд дээр боломжтой.

    Засвар үйлчилгээ IDP нь Advanced IDP-ийн хязгаарлагдмал дэд хэсэг гэж үзэж болно. Advanced IDP-ийн үйл ажиллагааг харцгаая.

    Advanced IDP-ийг NetDefendOS-ийн үндсэн лицензийн нэмэлт бүрэлдэхүүн хэсэг болгон худалдаж авсан. Захиалга гэдэг нь IDP гарын үсгийн мэдээллийн санг NetDefendOS-д татаж авах боломжтой бөгөөд шинэ аюул гарч ирэх үед мэдээллийн сан тогтмол шинэчлэгдэж байна гэсэн үг.

    Гарын үсгийн мэдээллийн сангийн шинэчлэлтүүдийг NetDefendOS тохируулсан хугацааны интервалаар автоматаар татаж авдаг. Энэ нь D-Link сүлжээний серверт HTTP холболтыг ашиглан хийгддэг бөгөөд энэ нь гарын үсгийн мэдээллийн сангийн хамгийн сүүлийн үеийн шинэчлэлтүүдийг өгдөг. Хэрэв сервер дээр гарын үсгийн мэдээллийн сангийн шинэ хувилбар байгаа бол хуучин хувилбарыг нь сольж ачаалах болно.

    Халдлага илрүүлэх, урьдчилан сэргийлэх (IDP), халдлагаас урьдчилан сэргийлэх систем (IDP), халдлагаас урьдчилан сэргийлэх систем (IDS) гэсэн нэр томъёог хооронд нь сольж хэрэглэдэг. Тэд бүгд IDP функцэд хамаардаг.

Пакет боловсруулах дараалал

IDP ашиглах үед пакет боловсруулах дараалал дараах байдалтай байна.

  1. Пакет галт хананд ирдэг. Хэрэв пакет шинэ холболтын нэг хэсэг бол эхний алхам бол тохирох IP шүүлтүүрийн дүрмийг хайх явдал юм. Хэрэв пакет нь одоо байгаа холболтын нэг хэсэг бол IDP модуль руу шууд очно. Хэрэв пакет нь одоо байгаа холболтын нэг хэсэг биш эсвэл IP дүрмээр хасагдсан бол пакетыг цаашид боловсруулахгүй.

    2. Пакетийн эх сурвалж болон очих хаягийг IDP дүрмийн багцтай харьцуулна. Тохиромжтой дүрэм олдвол пакетыг боловсруулахаар IDP систем рүү илгээдэг бөгөөд энэ нь багцын агуулга болон загваруудын аль нэгний хооронд тохирохыг хайдаг. Хэрэв тохирох зүйл олдохгүй бол пакетийг IDP системээр дамжуулдаг. NAT болон бүртгэл гэх мэт IP шүүлтүүрийн дүрмийн цаашдын үйлдлүүдийг тодорхойлж болно.

Загварын тохирох хайлт

Гарын үсэг

Халдлагыг зөв тодорхойлохын тулд IDP систем нь янз бүрийн төрлийн халдлагуудтай холбоотой хэв маягийг ашигладаг. Эдгээр урьдчилан тодорхойлсон хэв маягийг гарын үсэг гэж нэрлэдэг бөгөөд локал мэдээллийн санд хадгалагдаж, IDP систем нь урсгалыг шинжлэхэд ашигладаг. Гарын үсэг бүр өвөрмөц дугаартай байдаг.

FTP серверт хандахаас бүрдсэн энгийн халдлагын жишээг авч үзье. Зөвшөөрөлгүй хэрэглэгч FTP RETR passwd командыг ашиглан FTP серверээс passwd нууц үгийн файлыг авахыг оролдож болно. ASCII текстийн RETR болон passwd мөрүүдийг агуулсан гарын үсэг нь болзошгүй халдлага байгааг илтгэх таарч байгааг илрүүлэх болно. Энэ жишээнд загварыг ASCII текст гэж заасан боловч хайлт нь тийм байна загвар тааруулаххоёртын өгөгдөлд адилхан ажилладаг.

Үл мэдэгдэх аюул заналыг таних

Шинэ халдлага хийж байгаа халдагчид ихэвчлэн хуучин кодыг өөрчилдөг. Энэ нь шинэ халдлага нь хуучин халдлагуудын өргөтгөл, ерөнхий байдлаар маш хурдан гарч ирдэг гэсэн үг юм. Үүнийг эсэргүүцэхийн тулд D-Link IDP нь бүрэлдэхүүн хэсгүүдийг дахин ашиглах боломжийг харгалзан модулийг сканнердах аргыг ашигладаг. загвар тааруулахтусгай код биш ерөнхий блокууд. Энэ нь халдлагын кодыг өөрчилснөөр үүсгэгдсэн мэдэгдэж байгаа болон шинэ, саяхан боловсруулсан, үл мэдэгдэх аюулаас хамгаалдаг.

Гарын үсгийн тайлбар

Гарын үсэг бүр тайлбар бичвэрийн тайлбартай байна. Гарын үсгийн текстийн тайлбарыг уншсанаар энэ гарын үсэг нь ямар төрлийн халдлага, вирус илрүүлэхэд туслахыг ойлгох болно. Гарын үсгийн мэдээллийн сангийн өөрчлөлтийн шинж чанараас шалтгаалан текстийн тайлбарыг D-Link баримт бичигт агуулаагүй боловч D-Link вэбсайтаас авах боломжтой: http://security.dlink. com.tw

IDP гарын үсгийн төрлүүд

IDP нь аюул заналыг тодорхойлоход өөр өөр түвшний итгэлийг өгдөг гурван төрлийн гарын үсэгтэй байдаг:

  • Халдлагаас хамгаалах гарын үсэг (IPS)– Энэ төрлийн гарын үсэг нь өндөр нарийвчлалтай бөгөөд ихэнх тохиолдолд ийм загвартай таарч байгаа хөдөлгөөн нь халдлага гэсэн үг юм. Эдгээр аюулын хувьд Хамгаалах үйлдлийг зааж өгөхийг зөвлөж байна. Эдгээр гарын үсэг нь админ халдлага болон аюулгүй байдлын сканнеруудыг илрүүлэх боломжтой.
  • Халдлага илрүүлэх гарын үсэг (IDS)– Энэ гарын үсгийн төрөл нь IPS-ээс бага нарийвчлалтай бөгөөд худал эерэг үр дүнд хүргэж болзошгүй тул Хамгаалах үйлдлийг зааж өгөхөөс өмнө Аудит үйлдлийг ашиглахыг зөвлөж байна.
  • Бодлогын гарын үсэг– Энэ төрлийн гарын үсэг нь янз бүрийн төрлийн програмын урсгалыг илрүүлдэг. Эдгээр гарын үсгийг аппликешн хуваалцах болон шуурхай зурвас илгээхэд зориулагдсан зарим програмыг хаахад ашиглаж болно.

Үйлчилгээнээс татгалзах халдлагаас урьдчилан сэргийлэх

DoS халдлагын механизмууд

DoS халдлагыг янз бүрийн аргаар хийж болох боловч бүгдийг нь гурван үндсэн төрөлд хувааж болно.

  • Зурвасын өргөн, дискний зай, CPU-ийн цаг гэх мэт тооцоолох нөөцийг шавхах.
  • Чиглүүлэлтийн мэдээлэл гэх мэт тохиргооны мэдээллийг өөрчлөх.
  • Сүлжээний физик бүрэлдэхүүн хэсгүүдийн гэмтэл.

Хамгийн түгээмэл хэрэглэгддэг аргуудын нэг бол тооцоолох нөөцийг шавхах явдал юм. Олон тооны хүсэлт, ихэвчлэн буруу форматлагдсан, чухал програмуудыг ажиллуулахад ашигладаг нөөцийн зарцуулалт зэргээс шалтгаалан сүлжээний хэвийн үйл ажиллагаа явуулах боломжгүй байдал. Unix болон Windows үйлдлийн системүүдийн эмзэг байдлыг мөн системийг зориудаар устгахад ашиглаж болно.

Хамгийн түгээмэл хэрэглэгддэг DoS халдлагуудын заримыг энд харуулав.

  • Ping of Death / Jolt дайралт
  • Fragment Overlay: Teardrop / Bonk / Boink / Nestea
  • Газрын болон ЛаТиеррагийн халдлага
  • WinNuke халдлага
  • Буффын довтолгоо: Smurf, Papasmurf, Fraggle
  • TCP SYN Үер
  • Jolt2

Ping of Death болон Jolt дайралт

"Үхлийн Ping" нь протоколын стекийн 3 ба 4-р давхаргад хийгддэг хамгийн эртний халдлагуудын нэг юм. Энэ халдлага хийх хамгийн энгийн аргуудын нэг бол Windows 95 үйлдлийн систем дээр ping -l 65510 1.2.3.4-ийг ажиллуулах бөгөөд 1.2.3.4 нь хохирогч компьютерийн IP хаяг юм. "Jolt" нь ping команд нь стандарт хэмжээнээс хэтэрсэн пакет үүсгэх боломжгүй үйлдлийн системд пакет үүсгэх тусгайлан бичсэн програм юм.

Довтолгооны гол утга нь нийт пакетийн хэмжээ 65535 байтаас хэтэрсэн бөгөөд энэ нь 16 битийн бүхэл тоогоор илэрхийлэгдэх хамгийн дээд утга юм. Хэрэв хэмжээ нь том бол халих болно.

Хамгаалалт нь багцын нийт хэмжээг 65535 байтаас хэтрүүлэхэд хүргэдэг хуваагдахаас сэргийлнэ. Нэмж дурдахад та IP пакетийн уртын хязгаарлалтыг тохируулах боломжтой.

Ping of Death болон Jolt довтолгоонууд нь "LogOversizedPackets" дүрмийг харуулсан хаягдсан пакет хэлбэрээр бүртгэгддэг. Энэ тохиолдолд илгээгчийн IP хаягийг хуурамчаар үйлдэх боломжтой гэдгийг санах нь зүйтэй.

Фрагментийн давхцлын халдлага: Teardrop, Bonk, Boink болон Nestea

Нулимс нь давхцаж буй хэлтэрхийнүүдтэй холбоотой халдлага юм. Олон протоколын стек хэрэгжүүлэлтүүд нь давхардсан фрагментуудыг хүлээн авдаг пакетуудыг сайн зохицуулдаггүй. Энэ тохиолдолд нөөц шавхагдах, бүтэлгүйтэх боломжтой.

NetDefendOS нь фрагментийн давхцлын халдлагаас хамгаалдаг. Давхардсан хэсгүүдийг системээр нэвтрүүлэхийг хориглоно.

Нулимс болон үүнтэй төстэй халдлагуудыг NetDefendOS-ийн бүртгэлд "IllegalFrags" дүрмээр буулгасан пакет хэлбэрээр бүртгэдэг. Энэ тохиолдолд илгээгчийн IP хаягийг хуурамчаар үйлдэх боломжтой гэдгийг санах нь зүйтэй.

Газрын болон ЛаТиеррагийн халдлага

Land болон LaTierra халдлагууд нь хохирогчийн компьютерт пакет илгээхээс бүрддэг бөгөөд энэ нь түүнд хариу үйлдэл үзүүлэхэд хүргэдэг бөгөөд энэ нь эргээд өөрт нь өөр хариулт үүсгэдэг гэх мэт. Энэ нь компьютерийг бүрэн зогсоох эсвэл түүний дэд системүүдийн аль нэгийг сүйрүүлэхэд хүргэнэ

Халдлага нь Эх сурвалж, Хүрэх газар талбарт хохирогч компьютерийн IP хаягийг ашиглахаас бүрдэнэ.

NetDefendOS нь бүх пакетуудад IP хууран мэхлэх хамгаалалтыг ашиглан газрын халдлагаас хамгаалдаг. Анхдагч тохиргоог ашиглах үед бүх ирж буй пакетуудыг чиглүүлэлтийн хүснэгтийн агуулгатай харьцуулдаг; Хэрэв пакет эх IP хаяг руу хүрэх боломжгүй интерфэйс дээр ирвэл пакетыг устгах болно.

Land болон LaTierra халдлагууд нь NetDefendOS-ийн бүртгэлд өгөгдмөл AutoAccess дүрмийг зааж, эсвэл бусад хандалтын дүрмийг тодорхойлсон бол пакетыг унагахад хүргэсэн хандалтын дүрмийг зааж өгсөн пакетууд хэлбэрээр бүртгэгддэг. Энэ тохиолдолд илгээгчийн IP хаяг нь хүлээн авагчийн IP хаягтай таарч байгаа тул сонирхолгүй болно.

WinNuke халдлага

WinNuke халдлагын зарчим нь "хамтаас гадуур" өгөгдлийг боловсруулах боломжгүй (URG бит тохируулсан TCP пакетууд) TCP үйлчилгээнд холбогдох явдал юм. Энэ нь ихэвчлэн үйлчилгээг давтаж, CPU-ийн бүх нөөцийг зарцуулдаг.

Эдгээр үйлчилгээний нэг нь WINDOWS машин дээрх TCP/IP дээр NetBIOS байсан бөгөөд энэ нь сүлжээний халдлагад нэр өгсөн юм.

NetDefendOS хамгаалалтыг хоёр аргаар хангадаг:

  • Ирж буй траффикийн бодлогыг ихэвчлэн маш нарийн боловсруулдаг тул амжилттай халдлагын тоо бага байдаг. Нээлттэй төрийн үйлчилгээг л гаднаас нь авах боломжтой. Зөвхөн тэд халдлагын хохирогч болж чадна.
  • Бүх TCP пакетуудаас URG битийг устгана уу.

Вэб интерфэйс

Нарийвчилсан тохиргоо -> TCP -> TCPUrg

Ихэвчлэн WinNuke халдлагууд нь хаягдсан пакетууд хэлбэрээр бүртгэгддэг бөгөөд энэ нь холболт хийх оролдлогыг үгүйсгэсэн дүрмийг харуулж байна. Зөвшөөрөгдсөн холболтуудын хувьд "TCP" эсвэл "DROP" ангиллын оруулга гарч ирнэ (TCP URG тохиргооноос хамаарч), "TCP URG" дүрмийн нэртэй. Хамгаалалтаас гадуурх пакетуудыг илгээх үед холболт бүрэн хийгдсэн байх ёстой тул эх IP хаягийг хуурамчаар үйлдэх ёсгүй.

Замын хөдөлгөөнийг нэмэгдүүлдэг довтолгоонууд: Smurf, Papasmurf, Fraggle

Энэ төрлийн халдлагууд нь буруу тохируулагдсан сүлжээг ашиглан хөдөлгөөний урсгалыг нэмэгдүүлж, зорилтот систем рүү чиглүүлдэг. Зорилго нь хохирогчийн зурвасын өргөнийг эрчимтэй ашиглах явдал юм. Өндөр зурвасын өргөнтэй халдагч хохирогчийн бүх зурвасын өргөнийг бүрэн ачаалахын тулд олшруулах эффектийг ашиглах боломжгүй байж болно. Эдгээр халдлагууд нь хохирогчоос бага зурвасын өргөнтэй халдагчдад хохирогчийн зурвасын өргөнийг эзлэхийн тулд өсгөгч ашиглах боломжийг олгодог.

  • "Smurf" болон "Papasmurf" нь хохирогчийн IP хаягийг эх IP хаяг болгон ашиглан цацах хаяг руу ICMP echo пакетуудыг илгээдэг. Үүний дараа бүх компьютер хохирогч руу хариу илгээдэг.
  • "Fraggle" нь "Smurf" дээр суурилдаг боловч UDP echo пакетуудыг ашиглаж 7-р порт руу илгээдэг. Ерөнхийдөө "Fraggle" халдлага нь цөөн тооны хостууд дээр цуурай үйлчилгээ идэвхжсэн тул илүү сул өсгөлттэй байдаг.

Smurf халдлагууд нь NetDefendOS-ийн бүртгэлд олон тооны ICMP Echo Reply унасан пакетууд хэлбэрээр бүртгэгддэг. Сүлжээний ийм түгжрэл үүсгэхийн тулд хуурамч IP хаяг ашиглаж болно. Fraggle халдлага нь NetDefendOS-ийн бүртгэлд мөн олон тооны хаягдсан пакет хэлбэрээр гарч ирдэг. Сүлжээг хэт ачаалахад хуурамч IP хаяг ашигладаг.

Өгөгдмөл тохиргоог ашиглах үед өргөн нэвтрүүлгийн хаяг руу илгээсэн пакетуудыг устгадаг.

Вэб интерфэйс

Нарийвчилсан тохиргоо -> IP -> Directed Broadcasts

Дотогшоо бодлого нь ямар ч хамгаалалтгүй сүлжээ нь ийм олшруулах халдлагын эх үүсвэр байж болохыг мэдэж байх ёстой.

Хохирогчийн компьютерийн талд хамгаалалт

Smurf болон үүнтэй төстэй халдлага нь холболт шаардсан халдлага юм. Ерөнхийдөө галт ханань сүлжээний гацаа бөгөөд энэ төрлийн халдлагаас хангалттай хамгаалалтыг хангаж чадахгүй. Пакетууд галт хананд хүрэх үед гэмтэл нь аль хэдийн хийгдсэн байна.

Гэсэн хэдий ч NetDefendOS нь дотоод серверүүдийн үйлчилгээг дотооддоо ашиглах боломжтой болгох эсвэл халдлагын бай биш өөр холболтоор дамжуулан ачааллыг бууруулж чадна.

  • Smurf болон Papasmurf үерийн дайралтын төрлүүд нь хохирогчийн талд байгаа ICMP Echo Responses шиг харагдаж байна. Хэрэв FwdFast дүрмийг ашиглаагүй бол пакетуудыг нэвтрүүлэх дүрэм байгаа эсэхээс үл хамааран ийм пакетууд шинэ холболт үүсгэхийг зөвшөөрөхгүй.
  • Fraggle пакетууд халдагчийн онилсон дурын UDP порт руу орж болно. Дүрмийн багц дахь хязгаарлалтыг нэмэгдүүлэх нь энэ нөхцөлд тусалж чадна.

Хөдөлгөөний хэлбэрийг тодорхойлох нь хамгаалагдсан серверүүд рүү үерийн халдлагаас урьдчилан сэргийлэхэд тусалдаг.

TCP SYN үерийн халдлага

TCP SYN Flood халдлагын зарчим нь SYN тугийг тохируулсан олон тооны TCP пакетуудыг тодорхой порт руу илгээж, SYN ACK тугуудыг тохируулан илгээсэн пакетуудыг үл тоомсорлодог. Энэ нь хохирогч серверт протоколын стекийн нөөцийг шавхах боломжийг олгож, хагас нээлттэй холболтын хугацаа дуусах хүртэл шинэ холболт үүсгэх боломжгүй болгодог.

IP шүүлтүүрийн дүрэмд заасан харгалзах үйлчилгээнд SYN Flood Protection сонголтыг суулгасан тохиолдолд NetDefendOS нь TCP SYN үерийн халдлагаас хамгаална. Заримдаа сонголтыг SYN Relay гэж тэмдэглэж болно.

Үерийн дайралтаас хамгаалах нь анхдагчаар http -in, https-in, smtp -in, ssh-in зэрэг үйлчилгээнүүдэд идэвхждэг.

SYN Үерийн халдлагаас хамгаалах механизм

SYN Flood халдлагаас хамгаалах нь үйлчлүүлэгчтэй холбоо тогтоох үед гурван удаа гар барих үед тохиолддог. NetDefendOS систем нь хамгийн оновчтой ажиллагааг гүйцэтгэдэг тул нөөц хомсдолд ордоггүй нөөцийн менежментболон бусад үйлдлийн системд тохиолддог ямар ч хязгаарлалт байхгүй. Үйлдлийн системүүд нь үйлчлүүлэгч хүлээн зөвшөөрөөгүй 5-аас доошгүй хагас нээлттэй холболттой холбоотой асуудалтай байж болох ч NetDefendOS нь нөөц дуусахаас өмнө төлөвийн хүснэгтийг бүхэлд нь бөглөж болно. Төлөвийн хүснэгт дүүрсэн үед хүлээн зөвшөөрөгдөөгүй хуучин холболтуудыг устгаж, шинэ холболтод зай гаргах болно.

SYN үерийн илрүүлэлт

TCP SYN үерийн халдлага нь NetDefendOS-ийн бүртгэлд олон тооны шинэ холболтууд (эсвэл халдлага хаалттай порт руу чиглэсэн бол хаягдсан пакетууд) хэлбэрээр бүртгэгддэг. Энэ тохиолдолд илгээгчийн IP хаягийг хуурамчаар үйлдэх боломжтой гэдгийг санах нь зүйтэй.

ALG нь үерийн дайралтаас автоматаар хамгаалдаг

ALG-д заасан үйлчилгээнд SYN Flood хамгаалалтыг идэвхжүүлэх шаардлагагүй гэдгийг тэмдэглэх нь зүйтэй. ALG нь SYN үерийн халдлагаас автоматаар хамгаалдаг.

Jolt2 дайралт

Jolt2 халдлагын зарчим нь хохирогчийн компьютерт ижил хэсгүүдийн тасралтгүй урсгалыг илгээх явдал юм. Секундэд хэдэн зуун пакетын урсгал нь урсгал бүрэн зогсох хүртэл эмзэг компьютеруудыг ажиллахаа болино.

NetDefendOS нь энэхүү халдлагаас бүрэн хамгаалалтыг хангадаг. Хүлээн авсан эхний фрагментийг өмнөх фрагментүүд ирэх хүртэл дараалалд оруулснаар бүх фрагментийг хүссэн дарааллаар нь дамжуулах боломжтой. Хэрэв халдлага тохиолдвол зорилтот програм руу фрагмент дамжуулахгүй. Дараагийн фрагментүүд нь эхний хүлээн авсан фрагменттэй ижил тул хасагдах болно.

Хэрэв халдагчийн сонгосон фрагментийн офсет утга нь NetDefendOS-ийн Нарийвчилсан тохиргоо -> Уртны хязгаарын тохиргоонд заасан хязгаараас их байвал пакетууд шууд хасагдах болно. Jolt2 халдлагыг бүртгэлд бүртгэж болно. Хэрэв халдагчид халдлага хийхэд хэт том фрагментийн офсет утгыг сонговол энэ нь LogOversizedPackets дүрмийн лавлагаатай хаягдсан пакетууд гэж бүртгэгдэнэ. Хэрэв фрагментийн офсет утга хангалттай бага бол бүртгэл хийхгүй. Илгээгчийн IP хаягийг хуурамчаар үйлдэх боломжтой.

Тархсан DoS (DDoS) халдлага

Хамгийн боловсронгуй DoS халдлага бол Distributed Denial of Service халдлага юм. Хакерууд Интернэт даяар зуу, мянган компьютер ашиглаж, суулгадаг програм хангамж DDoS халдлага хийх, хохирогчийн сайтууд дээр зохицуулалттай халдлага хийх эдгээр бүх компьютерийг хянах. Ерөнхийдөө эдгээр халдлага нь зурвасын өргөн, чиглүүлэгчийн боловсруулах хүч эсвэл протоколын стек боловсруулах нөөцийг зарцуулдаг тул хохирогчтой сүлжээний холболтыг бий болгох боломжгүй болдог.

Хэдийгээр сүүлийн үед DDoS халдлага хувийн болон нийтийн сүлжээнээс гарч байгаа ч хакерууд ихэвчлэн илүүд үздэг корпорацийн сүлжээнүүднээлттэй, тархсан шинж чанартай учраас. DDoS халдлагыг эхлүүлэхэд ашигладаг хэрэгслүүдэд Trin00, TribeFlood Network (TFN), TFN2K болон Stacheldraht орно.

Практик ажлын тодорхойлолт

Гарын үсгийн ерөнхий жагсаалт

Вэб интерфэйс дээр бүх гарын үсгийг IDP / IPS -> IDP гарын үсэг хэсэгт жагсаасан болно.

IDP дүрэм

IDP дүрэм нь ямар төрлийн хөдөлгөөнд дүн шинжилгээ хийх ёстойг тодорхойлдог. IDP дүрмүүд нь IP шүүлтүүрийн дүрэм гэх мэт бусад дүрмүүдтэй адил бүтээгдсэн. IDP дүрэм нь эх сурвалж/очих газрын хаяг/интерфэйс, аль протоколыг сканнердахыг тодорхойлдог үйлчилгээний хослолыг тодорхойлдог. Шүүлтүүрийн дүрмээс гол ялгаа нь IDP дүрэм нь халдлага илэрсэн үед авах арга хэмжээг зааж өгдөгт оршино.

Вэб интерфэйс:

IDP/IPS -> IDP дүрэм -> Нэмэх -> IDP дүрэм

IDP-ийн үйл ажиллагаа

Хэрэв халдлага илэрсэн бол IDP дүрэмд заасан үйлдлийг гүйцэтгэнэ. Гурван үйлдлийн аль нэгийг зааж өгч болно:

  1. Үл тоох – Хэрэв халдлага илэрсэн бол ямар ч арга хэмжээ авахгүй, холболтыг нээлттэй орхи.
  2. Аудит – Холболтыг нээлттэй орхих боловч үйл явдлыг бүртгэнэ.
  3. Хамгаалах – Холболтыг дахин тохируулж, үйл явдлыг бүртгэнэ. Холболтын эх үүсвэрийг хар жагсаалтад оруулах нэмэлт сонголтыг ашиглах боломжтой.

HTTP хэвийн болгох

IDP нь HTTP хэвийн болгох, өөрөөр хэлбэл. HTTP хүсэлт дэх URI-н зөв эсэхийг шалгадаг. IDP дүрмээр та хүчингүй URI илэрсэн үед хийх ёстой үйлдлийг зааж өгч болно.

IDP дараах хүчингүй URI-г илрүүлж магадгүй:

Буруу UTF8 кодчилол

URI доторх хүчингүй UTF8 тэмдэгтүүдийг хайдаг.

Буруу арван зургаатын код

Зөв арван зургаатын дараалал нь хувийн тэмдэгтэй, дараа нь нэг байт код болох хоёр арван арван арван утгыг агуулсан дараалал юм. Буруу арван арвантэгдүгээр дараалал нь хувийн тэмдэг агуулсан дараалал бөгөөд араас нь байт кодыг төлөөлдөг арван арвантын утга агуулаагүй дараалал юм.

Давхар кодчилол

Бусад арван арван зургаатын зугтах дарааллыг ашиглан кодлогдсон дурын арван арван дарааллыг хайдаг. Жишээ нь %2526 дараалал байж болох бөгөөд %25-ыг HTTP сервер % гэж тайлбарлаж болох бөгөөд үүний үр дүнд %26 дарааллыг & гэж тайлбарлах болно.

Тэмдэгтийн дайралтаас урьдчилан сэргийлэх эсвэл IDP механизмыг тойрч гарах

IDP дүрмийн хувьд та Insertion/Evasion халдлагаас хамгаалах сонголтыг тохируулж болно. Энэ нь IDP механизмыг тойрч гарахад чиглэсэн халдлагаас хамгаалах хамгаалалт юм. Эдгээр халдлагууд нь TCP/IP протоколд пакетыг хэсэгчлэн хувааж, тус тусад нь пакетууд санамсаргүй дарааллаар ирэх боломжийг ашигладаг. Тэмдэгтийн тарилгын халдлага болон IDP механизмыг тойрч гарах нь ихэвчлэн пакетийн хуваагдлыг ашигладаг бөгөөд пакет угсралтын явцад тохиолддог.

Оруулах халдлага

Оруулах халдлага нь өгөгдлийн урсгалыг өөрчлөхөөс бүрддэг бөгөөд ингэснээр IDP системээр дамжуулан пакетуудын дарааллыг зөвшөөрдөг боловч дараалал нь зорилтот програм руу чиглэсэн халдлага юм. Энэ халдлагыг хоёр өөр мэдээллийн урсгал үүсгэх замаар хэрэгжүүлж болно.

Жишээлбэл, өгөгдлийн урсгал нь p1, p2, p3, p4 гэсэн 4 багц фрагментээс бүрдэнэ гэж үзье. Халдагчид эхлээд p1 ба p4 пакетуудын фрагментуудыг зорилтот програм руу илгээж болно. Тэдгээрийг IDP систем болон програмын аль алинд нь p2 ба p3 хэсгүүд ирэх хүртэл барьж, дараа нь дахин угсрах ажлыг гүйцэтгэнэ. Халдагчийн даалгавар бол p2' ба p3' хоёр фрагментийг IDP систем рүү, өөр хоёр фрагмент p2 ба p3 програм руу илгээх явдал юм. Үр дүн нь IDP систем болон програмаас хүлээн авсан өөр өөр мэдээллийн урсгал юм.

Довтолгоог тойрч гарах

Тойрох халдлага нь оруулах халдлагатай ижил эцсийн үр дүнтэй бөгөөд хоёр өөр өгөгдлийн урсгалыг үүсгэдэг: нэгийг нь IDP систем, нөгөөг нь зорилтот программ хардаг боловч энэ тохиолдолд үр дүн нь эсрэгээр буюу илгээх замаар хүрдэг. IDP системээс татгалзах боловч зорилтот програмаар хүлээн зөвшөөрөгдсөн багцын хэсгүүд.

Үүнтэй төстэй халдлагуудыг илрүүлэх

Хэрэв Insertion/Evasion Protect халдлагаас сонголт идэвхжсэн бол, мөн

Халдлага илрүүлэх

1. Хурдан халдлага илрүүлэх нь халдагчийг хор хөнөөл учруулахаас нь өмнө таньж, хөөх боломжийг олгодог.

2. Халдлагыг илрүүлэх үр дүнтэй систем нь халдлагаас урьдчилан сэргийлэхэд саад болдог.

3. 3 Халдлага илрүүлэх нь хамгаалалтын найдвартай байдлыг сайжруулахад ашиглаж болох халдлагын аргуудын талаарх мэдээллийг цуглуулдаг.

Халдлагыг илрүүлэх аргууд

· Статистикийн хазайлтыг илрүүлэх (босго илрүүлэх, профиль илрүүлэх).

· Дүрэмд суурилсан илрүүлэх (хэвийн шинж чанараас хазайлтыг илрүүлэх, халдлагыг тодорхойлох - сэжигтэй зан үйлийг хайх).

Халдлага илрүүлэх систем (IDS) нь сүлжээ эсвэл систем дэх үйл ажиллагааг зөвшөөрөлгүй ба/эсвэл хортой үйл ажиллагаанд дүн шинжилгээ хийдэг процесс эсвэл төхөөрөмжүүд юм. Зарим IDS системүүд нь мэдлэгт суурилсан бөгөөд нийтлэг халдлагын мэдээллийн санг ашиглан халдлагын талаар администраторуудад сэрэмжлүүлдэг. Зан төлөвт суурилсан IDS системүүд нь эсрэгээрээ нөөцийн ашиглалтыг хянах замаар халдагчийн үйл ажиллагааны шинж тэмдэг болдог гажуудлыг илрүүлдэг. Зарим IDS нь далд ажиллаж, идэвхгүй байдлаар дүн шинжилгээ хийж, бүх сэжигтэй пакетуудыг гаднаас бүртгэдэг тусдаа үйлчилгээ юм. Бусад хүчирхэг халдлага илрүүлэх хэрэгслүүд нь стандарт системийн хэрэгслүүд, өөрчлөгдсөн тохиргоо, администраторын мэдрэмж, туршлага бүхий нарийвчилсан бүртгэлээс бүрддэг.

Халдлагыг илрүүлэх гол хэрэгсэл бол аудитын мэдээллийн бүртгэл юм.

Аудит(аудит) - үйлдлийн системд аюулгүй байдалтай холбоотой болон хамгаалагдсан системийн нөөцөд хандахтай холбоотой үйл явдлуудыг системийн бүртгэлд бүртгэх.

· Амжилттай болон амжилтгүй болсон үйлдлүүдийг бүртгэх:

· Системд бүртгүүлэх;

· Дансны удирдлага;

· Лавлах үйлчилгээнд нэвтрэх;

· Байгууламжид нэвтрэх;

· Давуу эрх ашиглах;

· Бодлогын өөрчлөлт;

· Процессын гүйцэтгэл болон системийн үйл явдлууд.

Орон нутгийн (бүлэг) аудитын бодлогод аудитыг идэвхжүүлсэн.

Хамгаалалтын бүртгэл нь хамгаалалтын системтэй холбоотой оруулгуудыг агуулна.

Нягтлан бодох бүртгэл, тандалт гэдэг нь хэн нэгэн системийн файлыг унших, өөрчлөхийг оролдох үед хамгаалалтын систем нь сонгосон объектууд болон тэдгээрийн хэрэглэгчдийг "тагнах" чадварыг хэлнэ. Хэрэв хэн нэгэн хяналтын системээр тодорхойлсон үйлдлүүдийг гүйцэтгэхийг оролдвол аудитын систем нь хэрэглэгчийг таниулах бүртгэлд мессеж бичдэг. Системийн менежер нь бүртгэлийн мэдээллийг агуулсан аюулгүй байдлын тайланг үүсгэж болно. "Хэт аюулгүй" системд аюулгүй байдлын администраторуудын машин дээр суурилуулсан аудио болон видео дохиолол орно.

Аюулгүй байдлын ямар ч систем 100% хамгаалалтыг баталгаажуулдаггүй тул зөрчилтэй тэмцэх хамгийн сүүлийн эгнээ бол аудитын систем юм.

Үнэхээр халдлага үйлдсэн этгээд халдлага үйлдэж чадсаны дараа хохирогч аудитын албанд хандахаас өөр аргагүй болсон. Хэрэв аудитын үйлчилгээг тохируулахдаа хянах шаардлагатай үйл явдлуудыг зөв зааж өгсөн бол бүртгэлийн оруулгуудын нарийвчилсан дүн шинжилгээ хийх нь маш их хэрэгтэй мэдээллийг өгөх болно. Энэ мэдээлэл нь халдлага үйлдэгчийг олох, эсвэл аюулгүй байдлын сул талуудыг арилгах замаар ижил төстэй халдлага дахин гарахаас урьдчилан сэргийлэх боломжтой болгодог.

Халдлага илрүүлэх, урьдчилан сэргийлэх дэд системҮүнд:

Хүснэгт 1. Халдлага илрүүлэх, урьдчилан сэргийлэх дэд системүүд

Халдлагыг илрүүлэх гэдэг нь мэдээллийн системд болж буй үйл явдлыг хянаж, халдлага хийх оролдлогыг илтгэх шинж тэмдгүүдэд дүн шинжилгээ хийх үйл явц юм: нууцлал, бүрэн бүтэн байдал, мэдээллийн хүртээмж, мэдээллийн аюулгүй байдлын бодлогыг зөрчсөн. Халдвараас урьдчилан сэргийлэх нь тодорхойлогдсон халдлагыг хаах үйл явц юм.

Халдлага илрүүлэх, урьдчилан сэргийлэх дэд системийн хэрэгслүүд нь эдгээр үйл явцыг автоматжуулдаг бөгөөд халдлагаас үүдэлтэй хохирол, алдагдлаас урьдчилан сэргийлэхийн тулд ямар ч түвшний байгууллагад шаардлагатай байдаг.

Хяналтын аргаас хамааран дэд системийн хэрэгслийг дараахь байдлаар хуваана.

  • сүлжээний түвшний халдлагаас урьдчилан сэргийлэх хэрэгслүүд (сүлжээнд суурилсан IDS/IPS), сүлжээний сегментүүдийн сүлжээний урсгалыг хянадаг.
  • Мэдээллийн аюулгүй байдлын үйл явдлыг илрүүлж, хамгаалагдсан хост дотор залруулах үйлдлийг гүйцэтгэдэг системийн түвшний халдлагаас урьдчилан сэргийлэх хэрэгслүүд (хост дээр суурилсан IDS/IPS).

Үйл явдалд дүн шинжилгээ хийх хэд хэдэн арга байдаг:

  • Урьдчилан тодорхойлсон довтолгоог тодорхойлсон загвартай үйл явдал эсвэл үйл явдлын багцыг шалгадаг урвуулан ашиглах илрүүлэлт. Мэдэгдэж буй халдлагын загварыг гарын үсэг гэж нэрлэдэг.
  • хэвийн бус (хэвийн бус) үйл явдлыг тодорхойлох гажиг илрүүлэх. Энэ арга нь халдлага хийх оролдлого хийх үед үүссэн үйл явдлууд нь хэрэглэгчийн ердийн үйл ажиллагаа эсвэл сүлжээний зангилааны харилцан үйлчлэлийн үйл явдлуудаас ялгаатай тул тодорхойлох боломжтой гэж үздэг. Мэдрэгч нь үйл явдлын мэдээллийг цуглуулж, хэвийн үйл ажиллагааны хэв маягийг бий болгож, хэвийн нөхцлөөс хазайлтыг илрүүлэхийн тулд янз бүрийн хэмжигдэхүүнийг ашигладаг.

Дэд систем нь гажиг илрүүлэх аргыг ашиглан захын сүлжээний урсгалыг шинжилдэг DDoS халдлагаас хамгаалдаг.

Халдлагаас урьдчилан сэргийлэх шийдэл нь мэдрэгч, нэг буюу хэд хэдэн удирдлагын сервер, операторын консол, администраторуудаас бүрдэнэ. Заримдаа мэдээллийн аюулгүй байдлын үйл явдлууд болон тэдгээрийн параметрүүдийн талаарх мэдээллийг хадгалахын тулд гадаад мэдээллийн санг хуваарилдаг.

Хяналтын сервер нь мэдрэгчээс мэдээлэл хүлээн авч удирддаг. Ер нь серверүүд үйл явдлын нэгтгэл болон хамаарлыг гүйцэтгэдэг. Чухал үйл явдлуудыг илүү гүнзгий боловсруулахын тулд системийн түвшний халдлагаас урьдчилан сэргийлэх хэрэгслийг хяналт, ослын удирдлагын дэд системтэй нэгтгэдэг.

Консолууд нь операторууд болон дэд системийн администраторуудад зориулсан интерфейсээр хангадаг. Энэ нь ихэвчлэн ажлын станц дээр суулгасан програм хангамжийн хэрэгсэл юм.

Төвлөрсөн удирдлагыг зохион байгуулах, гарын үсгийн шинэчлэлтийг удирдах, тохиргоог удирдахын тулд байгууллагын аюулгүй байдлын удирдлагын дэд системтэй нэгтгэхийг ашигладаг.

Зөвхөн янз бүрийн төрлийн дэд системийн хэрэгслийг нэгдсэн байдлаар ашиглах нь халдлагыг илрүүлэх, урьдчилан сэргийлэх цогц бөгөөд үнэн зөвийг олж авах боломжийг олгодог гэдгийг анхаарах хэрэгтэй.

Системийн түвшний халдлагаас урьдчилан сэргийлэх

Системийн түвшний халдлагаас урьдчилан сэргийлэх дэд систем (хост дээр суурилсан IDS/IPS) нь системийн түвшний халдлагыг шууд хааж, хариуцагчдад анхааруулдаг. Системийн түвшний халдлагыг илрүүлэх агентууд (мэдрэгч) нь бие даасан үйлдлийн систем дээр гарч буй үйл ажиллагааг тусгасан мэдээллийг цуглуулдаг.

Энэ дэд системийн давуу тал нь зангилааны мэдээллийн объектуудад хандах хандалтыг хянах, тэдгээрийн бүрэн бүтэн байдлыг шалгах, тодорхой хэрэглэгчийн хэвийн бус үйл ажиллагааг бүртгэх чадвар юм.

Сул талууд нь нарийн төвөгтэй гажиг үйл явдлуудыг илрүүлэх боломжгүй, хамгаалагдсан системийн нэмэлт нөөцийг ашиглах, бүх хамгаалагдсан зангилаанууд дээр суурилуулах шаардлагатай байдаг. Үүнээс гадна үйлдлийн системийн сул талууд нь мэдрэгчийн бүрэн бүтэн байдал, үйл ажиллагааг алдагдуулж болзошгүй юм.

Шийдэл:

Cisco Security Agent

Шалгах цэгийн төгсгөлийн аюулгүй байдал
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia серверийн халдлагаас урьдчилан сэргийлэх систем
Kaspersky Total Security


Сүлжээний давхаргын халдлагаас урьдчилан сэргийлэх

Сүлжээний түвшний халдлагаас урьдчилан сэргийлэх дэд систем (сүлжээнд суурилсан IPS эсвэл NIPS) нь сүлжээний халдлагыг шууд хааж, хариуцагчдад сэрэмжлүүлэх боломжийг олгодог. Сүлжээний түвшний хэрэгслүүдийг ашиглахын давуу тал нь хэд хэдэн зангилаа эсвэл сүлжээний сегментийг нэг хэрэгслээр хамгаалах чадвар юм.

Програм хангамж эсвэл техник хангамж-програм хангамжийн мэдрэгчийг холболт тасарсан эсвэл тодорхой зангилаа эсвэл сүлжээний сегментүүдийн сүлжээний траффикийг идэвхгүй байдлаар харж, сүлжээ, тээвэрлэлт, хэрэглээний харилцан үйлчлэлийн протоколд дүн шинжилгээ хийх үед суулгадаг.

Баригдсан урсгалыг халдлагын тодорхой загвар (гарын үсэг) эсвэл аюулгүй байдлын бодлогын дүрмийг зөрчсөнтэй харьцуулдаг. Хэрэв сүлжээний багцаас гарын үсэг олдвол эсрэг арга хэмжээ авна.

Эсрэг арга хэмжээний хувьд дараахь зүйлийг хийж болно.

  • сонгосон сүлжээний пакетуудыг хаах;
  • халдлагаас илүү үр дүнтэй урьдчилан сэргийлэхийн тулд мэдээллийн аюулгүй байдлын бусад дэд системүүдийн (жишээлбэл, галт хана) тохиргоог өөрчлөх;
  • сонгосон багцуудыг дараа нь дүн шинжилгээ хийх зорилгоор хадгалах;
  • үйл явдлыг бүртгэх, хариуцлагатай хүмүүст мэдэгдэх.

Эдгээр хэрэгслүүдийн нэмэлт шинж чанар нь хамгаалагдсан зангилааны талаархи мэдээллийг цуглуулах явдал байж болно. Зангилаа эсвэл сүлжээний сегментийн аюулгүй байдал, чухал байдлын талаархи мэдээллийг олж авахын тулд мэдээллийн аюулгүй байдлын үр нөлөөг хянах дэд системтэй нэгтгэх аргыг ашигладаг.

Cisco Systems бүтээгдэхүүн дээр суурилсан сүлжээний давхаргын халдлагаас урьдчилан сэргийлэх шийдлийн жишээг зурагт үзүүлэв.

Зураг 1. Cisco Systems бүтээгдэхүүн дээр суурилсан сүлжээний түвшний халдлагаас урьдчилан сэргийлэх шийдлийн жишээ

Шийдэл:


DDoS халдлагаас хамгаалах

Үр дагаврын хувьд компьютерийн халдлагын хамгийн чухал ангиллын нэг бол мэдээллийн нөөцийн хүртээмжийг тасалдуулах зорилготой Үйлчилгээний Түгээмэл Үйлчилгээ (DDoS) халдлага юм. Эдгээр халдлагууд нь интернет дэх хостууд дээр байрладаг олон програм хангамжийн бүрэлдэхүүн хэсгүүдийг ашиглан хийгддэг. Эдгээр нь зөвхөн бие даасан зангилаа, үйлчилгээний доголдолд хүргэдэг төдийгүй root DNS серверүүдийн ажиллагааг зогсоож, сүлжээг хэсэгчлэн эсвэл бүрэн унтрахад хүргэдэг.

DDoS халдлагаас хамгаалах гол зорилго нь тэдгээрийг хэрэгжүүлэхээс урьдчилан сэргийлэх, эдгээр халдлагыг үнэн зөв илрүүлж, хурдан хариу арга хэмжээ авах явдал юм. Үүний зэрэгцээ, халдлагын урсгалтай төстэй шинж чанартай хууль ёсны хөдөлгөөнийг үр дүнтэй таних, хууль ёсны хөдөлгөөнийг зорьсон газартаа найдвартай хүргэх нь чухал юм.

DDoS халдлагаас хамгаалах ерөнхий арга нь дараах механизмуудыг агуулна.

  • халдлага илрүүлэх;
  • халдлагын эх үүсвэрийг тодорхойлох;
  • халдлагаас урьдчилан сэргийлэх.


Харилцаа холбооны операторуудад зориулсан шийдэл

Хэрэгжүүлсэн шийдлийн бизнесийн ашиг тус:

  • том, дунд, жижиг аж ахуйн нэгжүүдийг өргөжүүлэх хэтийн төлөвтэй шинэ өндөр түвшний үйлчилгээг санал болгох боломж;
  • үйлчлүүлэгчид хохирол учруулах, хохирохоос урьдчилан сэргийлэхэд оролцдог итгэмжлэгдсэн хүн гэж өөрийгөө тодорхойлох чадвар;
  • сүлжээний дэд бүтцийн хяналт сайжирсан;
  • захиалагчдад халдлагын талаар тайлан өгөх чадвар.

Энэхүү шийдэл нь харилцаа холбооны операторуудад хэрэглэгчдэдээ тархсан DoS халдлагаас хамгаалахын зэрэгцээ өөрсдийн сүлжээг бэхжүүлэх, хамгаалах боломжийг олгодог. Энэхүү шийдлийн үндсэн зорилго нь харилцаа холбооны сувгаас хэвийн бус урсгалыг арилгах, зөвхөн хууль ёсны урсгалыг хүргэх явдал юм.

Үйлчилгээ үзүүлэгч нь өөрийн үйлчлүүлэгчдэд DDoS хамгаалалтыг хоёр аргаар санал болгож болно.

  • тусгай үйлчилгээ- бизнес нь интернетэд холбогдсон компаниудад тохиромжтой: эдгээр нь "онлайн" худалдаа эрхэлдэг компаниуд, санхүүгийн байгууллагууд болон цахим худалдаа эрхэлдэг бусад аж ахуйн нэгжүүд юм. Тусгай үйлчилгээ нь дамжуулагдсан траффикийг цэвэрлэх, DDoS халдлагыг илрүүлэх, үйлчлүүлэгчийн хүсэлтээр замын хөдөлгөөнийг цэвэрлэх процедурыг идэвхжүүлэх нэмэлт боломжийг олгодог;
  • хуваалцсан үйлчилгээ– “онлайн” үйлчилгээндээ DDoS халдлагаас тодорхой түвшний хамгаалалт шаарддаг корпорацийн үйлчлүүлэгчдэд зориулагдсан. Гэсэн хэдий ч энэ асуудал тэдний хувьд хурц биш юм. Энэхүү үйлчилгээ нь бүх үйлчлүүлэгчдэд зориулсан траффикийг хамтдаа арилгах, DDoS халдлагыг илрүүлэх стандарт бодлогыг санал болгодог.


Шийдлийн архитектур

Зураг 2. Харилцаа холбооны операторуудад зориулсан DDoS хамгаалалтын шийдлийн архитектур

Шийдлийн архитектур нь тархсан DoS халдлагыг илрүүлэх, тэдгээрийн эх үүсвэрийг хянах, тархсан DoS халдлагыг багасгахад хялбар арга замыг санал болгодог.

Эхлэхийн тулд DDoS хамгаалах хэрэгслүүд нь сургалтын процессыг давж, чиглүүлэгчээс авах боломжтой мэдээллийн урсгалыг ашиглан сүлжээн дэх замын хөдөлгөөний хэвийн байдлын загварыг бий болгох хэрэгтэй. Сургалтын дараа систем замын хөдөлгөөний хяналтын горимд шилжиж, хэвийн бус нөхцөл байдал илэрсэн тохиолдолд системийн администраторт мэдэгдэл илгээдэг. Хэрэв халдлага батлагдсан бол сүлжээний хамгаалалтын администратор траффик цэвэрлэх төхөөрөмжийг хамгаалалтын горимд шилжүүлнэ. Мөн хэвийн бус хөдөлгөөн илэрсэн үед замын хөдөлгөөнийг цэвэрлэх хэрэгслийг автоматаар идэвхжүүлэх хяналтын төхөөрөмжийг тохируулах боломжтой. Хамгаалалтын горимыг идэвхжүүлсэн үед шүүлтүүрийн хэрэгсэл нь ирж буй урсгалыг өөр рүүгээ чиглүүлэхийн тулд захын чиглүүлэгчийн чиглүүлэлтийн хүснэгтийг өөрчилж, цэвэрлэдэг. Дараа нь цэвэрлэсэн урсгалыг сүлжээнд дахин чиглүүлнэ.


Enterprise Solution

Энэхүү шийдлийг боловсруулахдаа зөвхөн бие даасан аж ахуйн нэгжийн серверүүдийг төдийгүй холбогдох харилцаа холбооны операторуудтай харилцах сувгийг хамгаалах чадвартай аюулгүй байдлын системийг бий болгох нэгдсэн арга барилыг ашигласан. Энэ шийдэл нь тодорхой бүтээгдсэн хамгаалалтын шугам бүхий олон түвшний систем юм. Энэхүү шийдлийн хэрэгжилт нь корпорацийн сүлжээ, чиглүүлэлтийн төхөөрөмж, холбооны суваг, шуудангийн сервер, вэб сервер, DNS серверийн аюулгүй байдлыг нэмэгдүүлэх боломжийг олгодог.

  • Интернетээр дамжуулан бизнес эрхэлдэг компаниуд;
  • Компанийн вэбсайтын бэлэн байдал;
  • бизнесийн үйл явцыг хэрэгжүүлэхэд интернет ашиглах.


Шийдлийн архитектур

Зураг 3. Аж ахуйн нэгжүүдэд зориулсан DDoS хамгаалалтын шийдлийн архитектур

Энэхүү шийдэл нь гадны урсгалыг тасралтгүй хянадаг гажиг илрүүлэх мэдрэгчийг ашигладаг. Энэ систем нь харилцаа холбооны операторын хил дээр байрладаг тул цэвэрлэх үйл явц нь халдлагын урсгал компанийн дотоод сүлжээнд орохоос өмнө эхэлдэг.

Аномали илрүүлэх арга нь траффикийг арилгах 100% магадлалыг хангаж чадахгүй тул сүлжээ болон системийн түвшинд халдлагаас урьдчилан сэргийлэх дэд системүүдтэй нэгтгэх шаардлагатай байна.

Хэрэгжүүлсэн шийдлүүдийн техникийн давуу талууд:

  • DDoS халдлагад шуурхай хариу өгөх;
  • Зөвхөн хүсэлтээр системийг асаах чадвар нь хамгийн их найдвартай байдал, хамгийн бага масштабын зардлыг баталгаажуулдаг.

Шийдэл:

Arbor Peakflow SP

Cisco Guard
Cisco Traffic Anomaly Detector


Бид уншихыг зөвлөж байна