घुसखोरी शोध प्रणाली. ऑपरेटिंग तत्त्वे

Symbian साठी 30.04.2021
Symbian साठी
मूलत:, हे प्रोग्राम सुधारित विश्लेषक आहेत जे नेटवर्कवरील सर्व डेटा प्रवाह पाहतात, संभाव्य हानिकारक नेटवर्क रहदारी ओळखण्याचा प्रयत्न करतात आणि जेव्हा ते दिसतात तेव्हा तुम्हाला चेतावणी देतात. त्यांची मुख्य कार्यपद्धती म्हणजे उत्तीर्ण रहदारीचे परीक्षण करणे आणि दुर्भावनापूर्ण क्रियाकलापांच्या ज्ञात नमुन्यांच्या डेटाबेसशी तुलना करणे, ज्याला स्वाक्षरी म्हणतात. स्वाक्षरीचा वापर अँटीव्हायरस प्रोग्राम कसे कार्य करतात यासारखेच आहे. TCP/IP स्तरावरील बहुतेक प्रकारच्या हल्ल्यांमध्ये वैशिष्ट्यपूर्ण वैशिष्ट्ये असतात. घुसखोरी तपासणारी यंत्रणा आयपी पत्ते, पोर्ट क्रमांक, यावर आधारित हल्ले शोधू शकते. माहिती सामग्रीआणि निकषांची अनियंत्रित संख्या. सिस्टम स्तरावर घुसखोरी शोधण्याचा आणखी एक मार्ग आहे, ज्यामध्ये मुख्य फायलींच्या अखंडतेचे परीक्षण करणे समाविष्ट आहे. याव्यतिरिक्त, नवीन तंत्रे विकसित केली जात आहेत जी घुसखोरी शोधणे आणि फायरवॉल संकल्पना एकत्र करतात किंवा साध्या शोधाच्या पलीकडे अतिरिक्त पावले उचलतात (साइडबार "द नेक्स्ट जनरेशन ऑफ इंट्रुजन डिटेक्शन सिस्टम" पहा). तथापि, हे व्याख्यान नेटवर्क आणि सिस्टमवरील घुसखोरी शोधण्याच्या दोन सर्वात लोकप्रिय पद्धतींवर लक्ष केंद्रित करते: नेटवर्क घुसखोरी शोधणे आणि अखंडता नियंत्रणफाइल्स

नेटवर्क घुसखोरी शोधण्याची यंत्रणा त्यामधून जाणाऱ्या हल्ल्यांपासून संरक्षण करू शकते फायरवॉलअंतर्गत LAN ला. फायरवॉल चुकीचे कॉन्फिगर केले जाऊ शकतात, ज्यामुळे नेटवर्कमध्ये अवांछित रहदारी येऊ शकते. योग्यरितीने काम करत असताना देखील, फायरवॉल सहसा काही ऍप्लिकेशन ट्रॅफिकला परवानगी देतात जे धोकादायक असू शकतात. पोर्ट्स बऱ्याचदा फायरवॉलवरून ईमेल किंवा इतर सार्वजनिक सर्व्हरसाठी नियत रहदारीसह अंतर्गत सर्व्हरवर पाठवले जातात. नेटवर्क घुसखोरी शोधण्याची प्रणाली या रहदारीचे निरीक्षण करू शकते आणि संभाव्य धोकादायक पॅकेट्स फ्लॅग करू शकते. योग्यरित्या कॉन्फिगर केलेली नेटवर्क घुसखोरी शोध प्रणाली फायरवॉल नियमांची क्रॉस-चेक करू शकते आणि अतिरिक्त संरक्षण प्रदान करू शकते अनुप्रयोग सर्व्हर.

नेटवर्क घुसखोरी शोध प्रणाली बाह्य हल्ल्यांपासून संरक्षण करण्यासाठी उपयुक्त आहेत, परंतु त्यांचा मुख्य फायदा म्हणजे अंतर्गत हल्ले शोधण्याची क्षमता आणि संशयास्पद क्रियाकलापवापरकर्ते. फायरवॉलअनेक बाह्य हल्ल्यांपासून संरक्षण करेल, परंतु जेव्हा आक्रमणकर्ता स्थानिक नेटवर्कवर असतो, फायरवॉलमदत करण्यास सक्षम असण्याची शक्यता नाही. ते फक्त त्यातून जाणारी रहदारी पाहते आणि सामान्यतः स्थानिक नेटवर्कवरील क्रियाकलापांसाठी अंध असते. नेटवर्क घुसखोरी शोध प्रणाली विचारात घ्या आणि फायरवॉलपूरक सुरक्षा उपकरणे जसे की सुरक्षित दरवाजा लॉक आणि नेटवर्क सुरक्षा अलार्म प्रणाली. त्यापैकी एक तुमच्या बाह्य सीमेचे रक्षण करतो, दुसरा तुमच्या आतील भागाचे रक्षण करतो (चित्र 7.1).


तांदूळ.

७.१. अंतर्गत नेटवर्क रहदारीचे बारकाईने निरीक्षण करण्याचे चांगले कारण आहे. FBI आकडेवारी दर्शविते की 70 टक्क्यांहून अधिक संगणक गुन्ह्यांचा उगम आतील स्रोतातून होतो. आमचे सहकारी आमचे काही नुकसान करणार नाहीत यावर आमचा कल असतो, परंतु कधीकधी असे होत नाही.आतील हल्लेखोर

- नेहमी रात्री हॅकर्स नाही. हे नाराज प्रणाली प्रशासक किंवा निष्काळजी कर्मचारी असू शकतात. फाइल डाउनलोड करणे किंवा ईमेल संदेशाशी संलग्न फाइल उघडणे ही साधी कृती तुमच्या सिस्टीममध्ये ट्रोजन हॉर्स आणू शकते, ज्यामुळे तुमच्या फायरवॉलमध्ये सर्व प्रकारच्या गैरप्रकारांसाठी छिद्र पडू शकते. नेटवर्क घुसखोरी शोध प्रणालीच्या मदतीने, आपण अशा क्रियाकलाप तसेच इतर संभाव्य संगणक कारस्थान थांबवू शकता. चांगली कॉन्फिगर केलेली नेटवर्क घुसखोरी शोध प्रणाली तुमच्या नेटवर्कसाठी इलेक्ट्रॉनिक "अलार्म सिस्टम" म्हणून काम करू शकते.

घुसखोरी शोध प्रणालीची नवीन पिढी

विसंगत क्रियाकलाप शोधण्यावर आधारित घुसखोरी शोध प्रणाली

हे देखील लक्षात घेतले पाहिजे की विसंगत क्रियाकलाप शोधण्यावर आधारित घुसखोरी शोध प्रणालीला नेटवर्कचे अचूक मॉडेल तयार करण्यासाठी वेळ लागतो. सुरुवातीला, सिस्टम इतके अलार्म व्युत्पन्न करते की त्याचा फारसा उपयोग होत नाही. याव्यतिरिक्त, अशा घुसखोरी शोध प्रणाली नेटवर्क चांगल्या प्रकारे जाणून घेऊन फसवू शकतात. जर हॅकर्स पुरेसे गुप्त असतील आणि नेटवर्कवर सक्रियपणे वापरले जाणारे प्रोटोकॉल वापरत असतील तर ते या प्रकारच्या सिस्टमचे लक्ष वेधून घेणार नाहीत. दुसरीकडे, अशा प्रणालींचा एक महत्त्वाचा फायदा म्हणजे स्वाक्षरींचा संच सतत अद्यतनित करण्याची आवश्यकता नसणे. एकदा हे तंत्रज्ञान परिपक्वता आणि पुरेशी बुद्धिमत्ता गाठल्यानंतर, ती कदाचित एक सामान्य घुसखोरी शोध पद्धत होईल.

घुसखोरी प्रतिबंधक प्रणाली

एक नवीन प्रकारची नेटवर्क घुसखोरी शोध प्रणाली, ज्याला घुसखोरी प्रतिबंध प्रणाली म्हणतात, सर्व कॉर्पोरेट सुरक्षा समस्यांचे निराकरण म्हणून घोषित केले जाते. जेव्हा अलार्म व्युत्पन्न केला जातो तेव्हा प्रतिसाद क्रिया करणे ही मूळ कल्पना आहे, जसे की फ्लायवर कस्टम फायरवॉल नियम लिहिणे आणि राउटर, संशयास्पद IP पत्ते, विनंत्या किंवा अगदी आक्षेपार्ह सिस्टीमच्या प्रतिआक्रमणांच्या क्रियाकलापांना अवरोधित करणे.

जरी हे नवीन तंत्रज्ञान सतत विकसित होत आहे आणि सुधारत आहे, तरीही ते मानवी स्तरावरील विश्लेषण आणि निर्णय घेण्यापासून खूप लांब आहे. वस्तुस्थिती अशी आहे की 100% मशीन आणि सॉफ्टवेअरवर अवलंबून असलेली कोणतीही प्रणाली समर्पित व्यक्तीकडून नेहमीच फसवणूक केली जाऊ शकते (जरी काही अयशस्वी बुद्धिबळ ग्रँडमास्टर असहमत असतील). ओपन सोर्स घुसखोरी प्रतिबंधक प्रणालीचे उदाहरण म्हणजे जेड हेलचे इनलाइन स्नॉर्ट, स्नॉर्ट नेटवर्क घुसखोरी शोध प्रणालीसाठी एक विनामूल्य मॉड्यूल या व्याख्यानात चर्चा केली आहे.

आयडीएस/आयपीएस प्रणाली ही अनन्यसाधारण साधने आहेत जी नेटवर्कला अनधिकृत प्रवेशापासून संरक्षित करण्यासाठी डिझाइन केलेली आहेत. ते हार्डवेअर किंवा संगणक साधने आहेत जी घुसखोरी त्वरीत शोधू शकतात आणि प्रभावीपणे रोखू शकतात. मुख्य IDS/IPS उद्दिष्टे साध्य करण्यासाठी घेतलेल्या उपायांमध्ये सुरक्षा व्यावसायिकांना हॅकिंग आणि मालवेअरच्या प्रयत्नांबद्दल माहिती देणे, आक्रमणकर्त्यांशी कनेक्शन समाप्त करणे आणि कॉर्पोरेट डेटामध्ये प्रवेश अवरोधित करण्यासाठी फायरवॉल पुन्हा कॉन्फिगर करणे समाविष्ट आहे.

नेटवर्क घुसखोरी शोध प्रणाली कशासाठी वापरली जाते?

सायबर हल्ले ही माहिती संसाधनांची मालकी असलेल्या संस्थांना भेडसावणाऱ्या मुख्य समस्यांपैकी एक आहे. अगदी सुप्रसिद्ध अँटीव्हायरस प्रोग्राम आणि फायरवॉल ही अशी साधने आहेत जी नेटवर्कवरील स्पष्ट प्रवेश बिंदूंचे संरक्षण करण्यासाठी प्रभावी आहेत. तथापि, हल्लेखोर अगदी प्रगत सुरक्षा प्रणालींमध्ये देखील बायपास मार्ग आणि असुरक्षित सेवा शोधण्यात सक्षम आहेत. असा धोका लक्षात घेता, हे आश्चर्यकारक नाही की परदेशी आणि रशियन यूटीएम सोल्यूशन्स ज्या संस्थांमध्ये घुसखोरी आणि मालवेअर (वर्म्स, ट्रोजन आणि संगणक व्हायरस) च्या प्रसाराची शक्यता दूर करू इच्छितात त्यांच्यामध्ये अधिक लोकप्रिय होत आहेत. बऱ्याच कंपन्या सर्वसमावेशक माहिती संरक्षणासाठी प्रमाणित फायरवॉल किंवा इतर साधन खरेदी करण्याचा निर्णय घेतात.

घुसखोरी शोध प्रणालीची वैशिष्ट्ये

आज अस्तित्वात असलेल्या सर्व घुसखोरी शोधणे आणि प्रतिबंधक प्रणाली अनेक सामान्य गुणधर्म, कार्ये आणि कार्यांद्वारे एकत्रित आहेत जे माहिती सुरक्षा विशेषज्ञ त्यांचे निराकरण करण्यासाठी वापरतात. अशी साधने खरं तर काही संसाधनांच्या ऑपरेशनचे सतत विश्लेषण करतात आणि असामान्य घटनांची कोणतीही चिन्हे ओळखतात.

कॉर्पोरेट नेटवर्कची सुरक्षा संस्था अनेक तंत्रज्ञानाच्या अधीन असू शकते, जे आढळलेल्या घटनांचे प्रकार आणि अशा घटना शोधण्यासाठी वापरल्या जाणाऱ्या पद्धतींमध्ये भिन्न असतात. काय घडत आहे याचे सतत निरीक्षण आणि विश्लेषण करण्याच्या कार्यांव्यतिरिक्त, सर्व आयडीएस सिस्टम खालील कार्ये करतात:

  • माहिती गोळा करणे आणि रेकॉर्ड करणे;
  • घडलेल्या बदलांबद्दल नेटवर्क प्रशासकांना सूचना (सूचना);
  • नोंदी सारांशित करण्यासाठी अहवाल तयार करणे.

IPS तंत्रज्ञान, याउलट, वर वर्णन केलेल्या तंत्रज्ञानास पूरक आहे, कारण ते केवळ धोका आणि त्याचे स्रोत ओळखण्यास सक्षम नाही तर त्यांना अवरोधित देखील करते. हे अशा समाधानाच्या विस्तारित कार्यक्षमतेबद्दल देखील बोलते. हे खालील क्रिया करण्यास सक्षम आहे:

  • दुर्भावनापूर्ण सत्रे बंद करा आणि गंभीर संसाधनांमध्ये प्रवेश प्रतिबंधित करा;
  • "संरक्षित" वातावरणाचे कॉन्फिगरेशन बदला;
  • आक्रमण साधनांवर क्रिया करा (उदाहरणार्थ, संक्रमित फायली हटवा).

हे लक्षात घेण्यासारखे आहे की UTM फायरवॉल आणि कोणतीही आधुनिक घुसखोरी शोधणे आणि प्रतिबंधक प्रणाली हे आयडीएस आणि आयपीएस सिस्टम तंत्रज्ञानाचे इष्टतम संयोजन आहेत.

दुर्भावनायुक्त हल्ले कसे शोधले जातात

आयपीएस तंत्रज्ञान स्वाक्षरींवर आधारित पद्धती वापरतात - नमुने ज्यांच्याशी संबंधित घटना संबद्ध आहेत. स्वाक्षरी कनेक्शन, येणारे ईमेल, ऑपरेटिंग सिस्टम लॉग इत्यादी असू शकतात. ज्ञात धोक्यांना सामोरे जाताना ही शोध पद्धत अत्यंत प्रभावी आहे, परंतु स्वाक्षरी नसलेल्या हल्ल्यांना सामोरे जाताना ती अत्यंत कमकुवत आहे.

HIPS नावाची आणखी एक छेडछाड शोधण्याच्या पद्धतीमध्ये सांख्यिकीयदृष्ट्या चालू इव्हेंटच्या क्रियाकलाप पातळीची तथाकथित "प्रशिक्षण कालावधी" दरम्यान प्राप्त झालेल्या सामान्य क्रियाकलाप पातळीशी तुलना करणे समाविष्ट आहे. घुसखोरी शोधण्याचे साधन स्वाक्षरी फिल्टरिंगला पूरक ठरू शकते आणि हॅकर हल्ले रोखू शकते जे त्यास बायपास करण्यास सक्षम होते.

आयडीएस आणि आयपीएस घुसखोरी प्रतिबंध प्रणालीची कार्ये आणि ऑपरेटिंग तत्त्वे सारांशित करून, आम्ही असे म्हणू शकतो की ते दोन प्रमुख समस्या सोडवतात:

  • माहिती नेटवर्क घटकांचे विश्लेषण;
  • या विश्लेषणाच्या परिणामांना पुरेसा प्रतिसाद.

Suricata हल्ला डिटेक्टर

IPS घुसखोरी प्रतिबंधक उपायांपैकी एक म्हणजे अटॅक डिटेक्टर, जे विविध प्रकारचे दुर्भावनापूर्ण धोके वेळेवर ओळखण्यासाठी डिझाइन केलेले आहेत. इंटरनेट कंट्रोल सर्व्हरमध्ये ते Suricata प्रणालीच्या रूपात लागू केले जातात - एक प्रगत, मल्टीटास्किंग आणि अतिशय उत्पादक साधन जे नेटवर्कच्या प्रतिबंधात्मक संरक्षणासाठी तसेच कोणत्याही येणाऱ्या सिग्नलबद्दल माहिती गोळा आणि संग्रहित करण्यासाठी डिझाइन केलेले आहे. अटॅक डिटेक्टरचे ऑपरेशन स्वाक्षरी विश्लेषण आणि हेरिस्टिक्सवर आधारित आहे आणि त्याची सोय स्त्रोत कोडवर मुक्त प्रवेशाच्या उपलब्धतेमुळे आहे. हा दृष्टिकोन तुम्हाला वैयक्तिक समस्या सोडवण्यासाठी सिस्टम ऑपरेशन पॅरामीटर्स कॉन्फिगर करण्याची परवानगी देतो.

Suricata च्या संपादन करण्यायोग्य पॅरामीटर्समध्ये ट्रॅफिक विश्लेषणाच्या अधीन असणारे नियम, प्रशासकांना चेतावणी प्रदर्शित करण्यास मर्यादित करणारे फिल्टर, विविध सर्व्हरच्या पत्त्याच्या श्रेणी, सक्रिय पोर्ट आणि नेटवर्क यांचा समावेश आहे.

अशा प्रकारे, आयपीएस सोल्यूशन म्हणून सुरीकाटा हे एक लवचिक साधन आहे, ज्याचे कार्य आक्रमणाच्या स्वरूपावर अवलंबून बदलांच्या अधीन आहे, जे ते शक्य तितके प्रभावी बनवते.

ICS संशयास्पद क्रियाकलाप, ब्लॉक बॉटनेट, DOS हल्ला, तसेच TOR, निनावी, P2P आणि टॉरेंट क्लायंटची माहिती रेकॉर्ड आणि संग्रहित करते.

मॉड्यूल एंटर करताना, त्याची स्थिती, "अक्षम करा" बटण (किंवा मॉड्यूल अक्षम केले असल्यास "सक्षम करा") आणि लॉगमधील नवीनतम संदेश प्रदर्शित केले जातात.

सेटिंग्ज

सेटिंग्ज टॅबमध्ये, तुम्ही अटॅक डिटेक्टरचे पॅरामीटर्स संपादित करू शकता. येथे तुम्ही अंतर्गत आणि बाह्य नेटवर्क, विविध सर्व्हरच्या पत्त्याच्या श्रेणी, तसेच वापरलेले पोर्ट निर्दिष्ट करू शकता. या सर्व व्हेरिएबल्सना डीफॉल्ट मूल्ये नियुक्त केली आहेत, ज्यासह अटॅक डिटेक्टर योग्यरित्या सुरू होऊ शकतो. डीफॉल्टनुसार, बाह्य इंटरफेसवरील रहदारीचे विश्लेषण केले जाते.

नियम

अटॅक डिटेक्टरला नियमांशी जोडले जाऊ शकते ज्याद्वारे तो रहदारीचे विश्लेषण करेल. या टॅबवर, तुम्ही नियमांसह विशिष्ट फाइलची उपस्थिती आणि सामग्री पाहू शकता, तसेच तिची क्रिया सक्षम किंवा अक्षम करू शकता (उजवीकडील चेकबॉक्सेस वापरून). वरच्या उजव्या कोपर्यात फाईलमधील नाव किंवा नियमांच्या संख्येनुसार शोध आहे.

फिल्टर

अटॅक डिटेक्टरद्वारे चेतावणींच्या आउटपुटवर निर्बंध कॉन्फिगर करण्यासाठी, आपल्याला "फिल्टर्स" टॅबवर जाण्याची आवश्यकता आहे. येथे तुम्ही खालील निर्बंध जोडू शकता:

  • संदेशांच्या संख्येनुसार फिल्टर करा,
  • घटनेच्या वारंवारतेनुसार संदेश फिल्टर करा,
  • मिश्र प्रकार फिल्टर,
  • विशिष्ट प्रकारच्या संदेशांवर बंदी;

सेट अप करताना, तुम्ही हे लक्षात ठेवले पाहिजे की वेगवेगळ्या फिल्टरमधील “नियम आयडी” फील्ड भिन्न असावे.

संस्थेचा प्रकार

संस्थेचा प्रकार निवडा शैक्षणिक संस्था अर्थसंकल्पीय संस्था व्यावसायिक संस्था

खाजगी गैर-राज्य संस्थांना आणि पदव्युत्तर व्यावसायिक शिक्षणाच्या संस्थांना किंमती लागू होत नाहीत

ICS आवृत्त्या

ICS आवश्यक नाही ICS FSTEC मानक

FSTEC ची किंमत मोजण्यासाठी, कृपया विक्री विभागाशी संपर्क साधा

वितरण प्रकार

ICS ICS + SkyDNS ICS + Kaspersky वेब फिल्टरिंग

परवाना प्रकार

नवीन परवाना परवाना अद्यतनित करा

प्रीमियम अपडेट परवाना परवाना विस्तार

आयडीएस वापरण्याची तत्त्वे

घुसखोरी शोधणे आणि प्रतिबंध करणे(IDP) एक NetDefendOS उपप्रणाली आहे जी घुसखोरीच्या प्रयत्नांपासून संरक्षण करण्यासाठी डिझाइन केलेली आहे. सिस्टम नेटवर्क ट्रॅफिकमधून जाणारे पाहते फायरवॉल, आणि रहदारी जुळणारे नमुने शोधते. अशा रहदारीचा शोध घुसखोरीचा प्रयत्न दर्शवतो. एकदा अशी ट्रॅफिक आढळली की, IDP घुसखोरी आणि त्याचा स्रोत दोन्ही तटस्थ करण्यासाठी पावले उचलते.

घुसखोरी शोधण्यासाठी आणि प्रतिबंध करण्यासाठी, आपण खालील माहिती प्रदान करणे आवश्यक आहे:

  1. कोणत्या रहदारीचे विश्लेषण केले पाहिजे.
  2. विश्लेषण केलेल्या रहदारीमध्ये काय पहावे.
  3. घुसखोरी आढळल्यास काय कारवाई करावी.

ही माहिती मध्ये दर्शविली आहे IDP नियम.

देखभाल आणि प्रगत IDP

डी-लिंक दोन प्रकारचे IDP प्रदान करते:

  1. देखभाल IDP

    देखभाल IDP हा IDP प्रणालीचा मुख्य भाग आहे आणि NetDefendDFL-210, 800, 1600 आणि 2500 वर मानक समाविष्ट केले आहे.

    देखभाल IDP हा एक सरलीकृत IDP आहे जो हल्ल्यांपासून मूलभूत संरक्षण प्रदान करतो आणि अधिक व्यापक प्रगत IDP मध्ये विस्तारित केला जाऊ शकतो.

    DFL-260, 860, 1660, 2560, आणि 2560G वर IDP मानक नाही; या फायरवॉल मॉडेल्सना प्रगत IDP सदस्यता आवश्यक आहे.

  2. प्रगत IDP

    प्रगत IDP ही एक वर्धित IDP प्रणाली आहे ज्यामध्ये स्वाक्षरी डेटाबेस आणि उच्च हार्डवेअर आवश्यकता आहेत. 12-महिन्यांचे सदस्यता मानक आहे आणि IDP स्वाक्षरी डेटाबेसला स्वयंचलित अद्यतने प्रदान करते.

    हा IDP पर्याय सर्व D-Link NetDefend मॉडेल्सवर उपलब्ध आहे, ज्यात मेन्टेनन्स IDP सह मानक येत नाहीत.

    देखभाल IDP प्रगत IDP चा मर्यादित उपसंच मानला जाऊ शकतो. Advanced IDP चे कार्य पाहू.

    प्रगत IDP NetDefendOS बेस परवान्यासाठी अतिरिक्त घटक म्हणून खरेदी केले जाते. सबस्क्रिप्शन म्हणजे IDP स्वाक्षरी डेटाबेस NetDefendOS वर डाउनलोड केला जाऊ शकतो आणि नवीन धमक्या येताच डेटाबेस नियमितपणे अपडेट केला जातो.

    स्वाक्षरी डेटाबेस अद्यतने कॉन्फिगर केलेल्या वेळेच्या अंतराने NetDefendOS द्वारे स्वयंचलितपणे डाउनलोड केली जातात. हे डी-लिंक नेटवर्क सर्व्हरशी HTTP कनेक्शन वापरून केले जाते, जे नवीनतम स्वाक्षरी डेटाबेस अद्यतने प्रदान करते. स्वाक्षरी डेटाबेसची नवीन आवृत्ती सर्व्हरवर अस्तित्वात असल्यास, ती जुनी आवृत्ती बदलून लोड केली जाईल.

    घुसखोरी शोध आणि प्रतिबंध (IDP), घुसखोरी प्रतिबंधक प्रणाली (IDP), आणि घुसखोरी शोध प्रणाली (IDS) हे शब्द परस्पर बदलून वापरले जातात. ते सर्व IDP कार्याशी संबंधित आहेत.

पॅकेट प्रक्रिया क्रम

IDP वापरताना पॅकेट प्रक्रिया क्रम खालीलप्रमाणे आहे:

  1. पॅकेट फायरवॉलवर येते. जर पॅकेट नवीन कनेक्शनचा भाग असेल, तर पहिली पायरी म्हणजे संबंधित IP फिल्टर नियम शोधणे. जर पॅकेट विद्यमान कनेक्शनचा भाग असेल, तर ते लगेच IDP मॉड्यूलवर जाते. जर पॅकेट विद्यमान कनेक्शनचा भाग नसेल किंवा IP नियमानुसार टाकून दिले असेल, तर त्या पॅकेटची पुढील प्रक्रिया होत नाही.

    2. पॅकेटचा स्रोत आणि गंतव्य पत्ते यांची IDP नियम सेटशी तुलना केली जाते. योग्य नियम आढळल्यास, पॅकेट IDP प्रणालीकडे प्रक्रियेसाठी पाठवले जाते, जे पॅकेटमधील सामग्री आणि टेम्पलेटपैकी एक यांच्यातील जुळणी शोधते. कोणतीही जुळणी न आढळल्यास, पॅकेट IDP प्रणालीद्वारे पास केले जाते. आयपी फिल्टरिंग नियमांमधील पुढील क्रिया, जसे की NAT आणि लॉगिंग, परिभाषित केल्या जाऊ शकतात.

नमुना जुळणारा शोध

स्वाक्षऱ्या

हल्ले योग्यरित्या ओळखण्यासाठी, IDP प्रणाली वेगवेगळ्या प्रकारच्या हल्ल्यांशी संबंधित नमुने वापरते. हे पूर्वनिर्धारित नमुने, ज्यांना स्वाक्षरी देखील म्हणतात, स्थानिक डेटाबेसमध्ये संग्रहित केले जातात आणि IDP प्रणालीद्वारे रहदारीचे विश्लेषण करण्यासाठी वापरले जातात. प्रत्येक स्वाक्षरीचा एक विशिष्ट क्रमांक असतो.

FTP सर्व्हर ऍक्सेस करण्याच्या सोप्या हल्ल्याचे उदाहरण पाहू या. एक अनधिकृत वापरकर्ता FTP RETR passwd कमांड वापरून FTP सर्व्हरवरून Passwd पासवर्ड फाइल मिळवण्याचा प्रयत्न करू शकतो. ASCII मजकूर स्ट्रिंग्स RETR आणि passwd असलेली स्वाक्षरी संभाव्य हल्ला दर्शविणारी जुळणी शोधेल. या उदाहरणात, नमुना ASCII मजकूर म्हणून निर्दिष्ट केला आहे, परंतु शोध आहे नमुना जुळणेबायनरी डेटासाठी समान कार्य करते.

अज्ञात धमक्या ओळखणे

नवीन हल्ले विकसित करणारे हल्लेखोर अनेकदा जुन्या कोडमध्ये बदल करतात. याचा अर्थ असा की नवीन हल्ले जुन्याचे विस्तार आणि सामान्यीकरण म्हणून फार लवकर दिसू शकतात. याचा मुकाबला करण्यासाठी, D-Link IDP एक दृष्टीकोन वापरते जेथे मॉड्यूल स्कॅन करते, घटकांचा संभाव्य पुनर्वापर लक्षात घेऊन, ओळखणे. नमुना जुळणेसामान्य ब्लॉक, विशिष्ट कोड नाही. हे अटॅक कोडमध्ये बदल करून तयार केलेल्या ज्ञात आणि नवीन, अलीकडे विकसित, अज्ञात धोक्यांपासून संरक्षण प्राप्त करते.

स्वाक्षरी वर्णने

प्रत्येक स्वाक्षरीमध्ये स्पष्टीकरणात्मक मजकूर वर्णन आहे. स्वाक्षरीचे मजकूर वर्णन वाचून, आपण हे समजू शकता की ही स्वाक्षरी कोणत्या प्रकारचा हल्ला किंवा व्हायरस शोधण्यात मदत करेल. स्वाक्षरी डेटाबेसच्या बदलत्या स्वरूपामुळे, मजकूर वर्णने डी-लिंक दस्तऐवजीकरणात समाविष्ट नाहीत, परंतु डी-लिंक वेबसाइटवर उपलब्ध आहेत: http://security.dlink. com.tw

IDP स्वाक्षरीचे प्रकार

IDP मध्ये तीन प्रकारच्या स्वाक्षऱ्या आहेत ज्या धमक्या ओळखण्यासाठी विविध स्तरांचा आत्मविश्वास प्रदान करतात:

  • घुसखोरी संरक्षण स्वाक्षरी (IPS)- या प्रकारची स्वाक्षरी अत्यंत अचूक आहे आणि बहुतेक प्रकरणांमध्ये या पॅटर्नशी जुळणारी रहदारी म्हणजे हल्ला. या धोक्यांसाठी, संरक्षण क्रिया निर्दिष्ट करण्याची शिफारस केली जाते. या स्वाक्षरी प्रशासक हल्ले आणि सुरक्षा स्कॅनर शोधू शकतात.
  • घुसखोरी शोध स्वाक्षरी (आयडीएस)– या स्वाक्षरी प्रकारात IPS पेक्षा कमी अचूकता आहे आणि चुकीचे सकारात्मक परिणाम होऊ शकतात, म्हणून प्रोटेक्ट क्रिया निर्दिष्ट करण्यापूर्वी ऑडिट क्रिया वापरण्याची शिफारस केली जाते.
  • पॉलिसी स्वाक्षरी- या प्रकारची स्वाक्षरी विविध प्रकारचे ॲप्लिकेशन ट्रॅफिक शोधते. ॲप शेअरिंग आणि इन्स्टंट मेसेजिंगसाठी डिझाइन केलेले काही ॲप्स ब्लॉक करण्यासाठी या स्वाक्षऱ्या वापरल्या जाऊ शकतात.

सेवा नाकारणे प्रतिबंधित करणे

DoS हल्ल्यांची यंत्रणा

DoS हल्ले विविध प्रकारे केले जाऊ शकतात, परंतु ते सर्व तीन मुख्य प्रकारांमध्ये विभागले जाऊ शकतात:

  • बँडविड्थ, डिस्क स्पेस, CPU वेळ यांसारख्या संगणकीय संसाधनांचा थकवा.
  • कॉन्फिगरेशन माहिती बदलणे जसे की राउटिंग माहिती.
  • भौतिक नेटवर्क घटकांचे नुकसान.

सर्वात सामान्यपणे वापरल्या जाणाऱ्या पद्धतींपैकी एक म्हणजे संगणकीय संसाधने संपवणे, म्हणजे. मोठ्या संख्येने विनंत्या, अनेकदा चुकीचे स्वरूपित केलेले आणि गंभीर अनुप्रयोग चालविण्यासाठी वापरल्या जाणाऱ्या संसाधनांचा वापर यामुळे नेटवर्कचे सामान्य कार्य करणे अशक्य आहे. युनिक्स आणि विंडोज ऑपरेटिंग सिस्टिममधील भेद्यतेचा उपयोग प्रणाली जाणूनबुजून नष्ट करण्यासाठी केला जाऊ शकतो.

येथे काही सामान्यतः वापरले जाणारे DoS हल्ले आहेत:

  • पिंग ऑफ डेथ / झटका हल्ला
  • फ्रॅगमेंट आच्छादन: अश्रू / बोंक / बोईंक / नेस्टेआ
  • जमीन आणि LaTierra हल्ले
  • WinNuke हल्ला
  • बफ अटॅक: स्मर्फ, पापस्मर्फ, फ्रॅगल
  • TCP SYN पूर
  • धक्का2

पिंग ऑफ डेथ आणि जॉल्ट हल्ले

"पिंग ऑफ डेथ" हा सर्वात आधीच्या हल्ल्यांपैकी एक आहे जो प्रोटोकॉल स्टॅकच्या 3 आणि 4 स्तरांवर केला जातो. हा हल्ला करण्याचा एक सोपा मार्ग म्हणजे Windows 95 वर ping -l 65510 1.2.3.4 चालवणे, जिथे 1.2.3.4 हा पीडित संगणकाचा IP पत्ता आहे. ऑपरेटिंग सिस्टममध्ये पॅकेट्स तयार करण्यासाठी "Jolt" हा खास लिखित प्रोग्राम आहे ज्यामध्ये पिंग कमांड मानक आकारापेक्षा जास्त पॅकेट तयार करू शकत नाही.

हल्ल्याचा मुद्दा असा आहे की एकूण पॅकेट आकार 65535 बाइट्सपेक्षा जास्त आहे, जे 16-बिट पूर्णांकाने दर्शवले जाऊ शकणारे कमाल मूल्य आहे. जर आकार मोठा असेल तर ओव्हरफ्लो होतो.

संरक्षण हे विखंडन टाळण्यासाठी आहे ज्यामुळे एकूण पॅकेट आकार 65535 बाइट्सपेक्षा जास्त होतो. याव्यतिरिक्त, आपण IP पॅकेटच्या लांबीवर निर्बंध कॉन्फिगर करू शकता.

पिंग ऑफ डेथ आणि जॉल्ट अटॅक "लॉगओव्हरसाईज्ड पॅकेट्स" नियम दर्शविणारे ड्रॉप केलेले पॅकेट म्हणून लॉग केले जातात. हे लक्षात ठेवले पाहिजे की या प्रकरणात प्रेषकाचा आयपी पत्ता बनावट असू शकतो.

फ्रॅगमेंट ओव्हरलॅप हल्ले: अश्रू, बोंक, बोईंक आणि नेस्टीआ

अश्रू एक आक्रमण आहे ज्यामध्ये आच्छादित तुकड्यांचा समावेश होतो. अनेक प्रोटोकॉल स्टॅक अंमलबजावणी अशा पॅकेट्स हाताळत नाहीत जे ओव्हरलॅपिंग तुकड्यांना चांगल्या प्रकारे प्राप्त करतात. या प्रकरणात, संसाधन संपुष्टात येणे आणि अपयश दोन्ही शक्य आहे.

NetDefendOS फ्रॅगमेंट ओव्हरलॅप हल्ल्यांपासून संरक्षण प्रदान करते. ओव्हरलॅपिंग तुकड्यांना सिस्टममधून जाण्याची परवानगी नाही.

टियरड्रॉप आणि तत्सम हल्ले नेटडेफेंडओएस लॉगमध्ये "इलेगलफ्रेग्स" नियमासह सोडलेल्या पॅकेट्सप्रमाणे लॉग केले जातात. हे लक्षात ठेवले पाहिजे की या प्रकरणात प्रेषकाचा आयपी पत्ता बनावट असू शकतो.

जमीन आणि LaTierra हल्ले

लँड आणि लाटिएरा हल्ल्यांमध्ये पीडित संगणकाला एक पॅकेट पाठवणे समाविष्ट आहे ज्यामुळे तो स्वतःला प्रतिसाद देतो, ज्यामुळे स्वतःला दुसरा प्रतिसाद तयार होतो आणि असेच. यामुळे एकतर कॉम्प्युटर पूर्ण थांबेल किंवा त्याच्या कोणत्याही उपप्रणालीचा नाश होईल

हल्ल्यामध्ये पीडित संगणकाचा आयपी पत्ता स्त्रोत आणि गंतव्य फील्डमध्ये वापरणे समाविष्ट आहे.

NetDefendOS सर्व पॅकेटवर IP स्पूफिंग संरक्षण लागू करून लँड हल्ल्यापासून संरक्षण प्रदान करते. डीफॉल्ट सेटिंग्ज वापरताना, सर्व इनकमिंग पॅकेट्सची तुलना राउटिंग टेबलच्या सामग्रीशी केली जाते; जर एखादे पॅकेट एखाद्या इंटरफेसवर आले ज्यावरून स्त्रोत आयपी पत्त्यावर पोहोचणे अशक्य आहे, तर पॅकेट टाकून दिले जाईल.

जमीन आणि LaTierra हल्ले डिफॉल्ट ऑटोॲक्सेस नियम दर्शविणारे ड्रॉप केलेले पॅकेट्स म्हणून NetDefendOS लॉगमध्ये लॉग केले जातात, किंवा, इतर प्रवेश नियम परिभाषित केले असल्यास, पॅकेट वगळण्यात आलेला प्रवेश नियम निर्दिष्ट केला जातो. या प्रकरणात, प्रेषकाचा IP पत्ता स्वारस्य नाही, कारण तो प्राप्तकर्त्याच्या IP पत्त्याशी जुळतो.

WinNuke हल्ला

WinNuke हल्ल्याचे तत्त्व म्हणजे TCP सेवेशी कनेक्ट करणे जे “आउट-ऑफ-बँड” डेटा (URG बिट सेटसह TCP पॅकेट) प्रक्रिया करू शकत नाही, परंतु तरीही ते स्वीकारते. यामुळे सेवा सहसा लूप होते आणि सर्व CPU संसाधने वापरतात.

यापैकी एक सेवा होती NetBIOS ओव्हर TCP/IP वर WINDOWS मशीन, ज्याने या नेटवर्क हल्ल्याला नाव दिले.

NetDefendOS दोन प्रकारे संरक्षण प्रदान करते:

  • इनकमिंग ट्रॅफिकसाठी धोरणे सहसा अत्यंत काळजीपूर्वक विकसित केली जातात, त्यामुळे यशस्वी हल्ल्यांची संख्या कमी असते. केवळ सार्वजनिक सेवा ज्या प्रवेशासाठी खुल्या आहेत त्या बाहेरून प्रवेशयोग्य आहेत. केवळ तेच हल्ल्याचे बळी ठरू शकतात.
  • सर्व TCP पॅकेटमधून URG बिट काढा.

वेब इंटरफेस

प्रगत सेटिंग्ज -> TCP -> TCPUrg

सामान्यतः, WinNuke हल्ले जोडणीचा प्रयत्न नाकारणारा नियम दर्शविणारे पॅकेट्स म्हणून लॉग केले जातात. परवानगी असलेल्या कनेक्शनसाठी, "TCP" किंवा "DROP" श्रेणीची एंट्री दिसते (TCP URG सेटिंगवर अवलंबून), नियम नाव "TCP URG" सह. स्रोत IP पत्ता फसवणूक केला जाऊ शकत नाही, कारण आउट-ऑफ-बँड पॅकेट पाठवल्या जाईपर्यंत कनेक्शन पूर्णपणे स्थापित केले जाणे आवश्यक आहे.

रहदारी वाढवणारे हल्ले: Smurf, Papasmurf, Fraggle

या श्रेणीतील हल्ल्यांमध्ये ट्रॅफिकचा प्रवाह वाढवण्यासाठी आणि लक्ष्य प्रणालीकडे निर्देशित करण्यासाठी चुकीच्या कॉन्फिगर केलेल्या नेटवर्कचा वापर केला जातो. पीडिताच्या बँडविड्थचा सखोल वापर करणे हे ध्येय आहे. उच्च बँडविड्थ असलेला आक्रमणकर्ता पीडिताची संपूर्ण बँडविड्थ पूर्णपणे लोड करण्यासाठी ॲम्प्लीफिकेशन प्रभाव वापरू शकत नाही. हे हल्ले बळीपेक्षा कमी बँडविड्थ असलेल्या हल्लेखोरांना पीडिताच्या बँडविड्थवर कब्जा करण्यासाठी प्रवर्धन वापरण्याची परवानगी देतात.

  • "Smurf" आणि "Papasmurf" बळीचा IP पत्ता स्त्रोत IP पत्ता म्हणून वापरून ICMP इको पॅकेट ब्रॉडकास्ट पत्त्यावर पाठवतात. यानंतर, सर्व संगणक पीडितेला प्रतिसाद पॅकेट पाठवतात.
  • "Fraggle" "Smurf" वर आधारित आहे, परंतु UDP इको पॅकेट वापरते आणि त्यांना पोर्ट 7 वर पाठवते. सर्वसाधारणपणे, "फ्रेगल" अटॅकमध्ये कमकुवत प्रवर्धन असते, कारण इको सेवा थोड्या होस्टवर सक्षम केली जाते.

NetDefendOS लॉगमध्ये Smurf हल्ल्यांची नोंद मोठ्या प्रमाणात ICMP इको रिप्लाय पॅकेट्स म्हणून केली जाते. अशा नेटवर्कची गर्दी निर्माण करण्यासाठी बनावट IP पत्ता वापरला जाऊ शकतो. NetDefendOS लॉगमध्ये फ्रॅगल हल्ले मोठ्या संख्येने टाकलेल्या पॅकेट्सच्या रूपात देखील दिसतात. नेटवर्क ओव्हरलोड करण्यासाठी बनावट IP पत्ता वापरला जातो.

डीफॉल्ट सेटिंग्ज वापरताना, ब्रॉडकास्ट पत्त्यावर पाठवलेले पॅकेट टाकून दिले जातात.

वेब इंटरफेस

प्रगत सेटिंग्ज -> IP -> डायरेक्टेड ब्रॉडकास्ट

इनबाउंड पॉलिसींनी हे लक्षात ठेवले पाहिजे की कोणतेही असुरक्षित नेटवर्क देखील अशा प्रवर्धक हल्ल्यांचे स्रोत असू शकते.

पीडित संगणकाच्या बाजूला संरक्षण

Smurf आणि तत्सम हल्ले हे कनेक्शन घेणारे हल्ले आहेत. सामान्यतः फायरवॉलनेटवर्कमधील अडथळे आहे आणि या प्रकारच्या हल्ल्यापासून पुरेसे संरक्षण प्रदान करू शकत नाही. पॅकेट फायरवॉलपर्यंत पोहोचेपर्यंत, नुकसान आधीच झाले आहे.

तथापि, NetDefendOS अंतर्गत सर्व्हरवरील भार कमी करू शकते त्यांची सेवा अंतर्गतरीत्या उपलब्ध करून किंवा अटॅकचे लक्ष नसल्या पर्यायी कनेक्शनद्वारे.

  • Smurf आणि Papasmurf फ्लड ॲटॅकचे प्रकार पीडितेच्या बाजूने ICMP इको रिस्पॉन्सेससारखे दिसतात. FwdFast नियम वापरले नसल्यास, अशा पॅकेट्सना नवीन कनेक्शन सुरू करण्याची परवानगी दिली जाणार नाही, पॅकेटमधून जाण्यासाठी नियम अस्तित्वात आहेत की नाही याची पर्वा न करता.
  • हल्लेखोराने लक्ष्य केलेल्या कोणत्याही UDP गंतव्य पोर्टवर फ्रॅगल पॅकेट येऊ शकतात. नियमावलीतील निर्बंध वाढवल्यास या परिस्थितीत मदत होऊ शकते.

ट्रॅफिक आकार देणे देखील संरक्षित सर्व्हरवर काही पुराचे हल्ले टाळण्यास मदत करते.

TCP SYN पूर हल्ला

TCP SYN फ्लड हल्ल्यांचे तत्व म्हणजे SYN ध्वज सेट असलेली TCP पॅकेट मोठ्या संख्येने एका विशिष्ट पोर्टवर पाठवणे आणि SYN ACK ध्वज सेटसह प्रतिसादात पाठवलेल्या पॅकेटकडे दुर्लक्ष करणे. हे पीडित सर्व्हरला प्रोटोकॉल स्टॅक संसाधने संपुष्टात आणण्यास अनुमती देते, जे अर्ध-ओपन कनेक्शन कालबाह्य होईपर्यंत नवीन कनेक्शन स्थापित करण्यात अक्षम आहे.

संबंधित सेवेमध्ये SYN फ्लड प्रोटेक्शन पर्याय स्थापित केला असल्यास नेटडेफेंडओएस TCP SYN फ्लड हल्ल्यांपासून संरक्षण प्रदान करते, जो IP फिल्टरिंग नियमामध्ये निर्दिष्ट केला आहे. काहीवेळा पर्यायाला SYN Relay असे लेबल केले जाऊ शकते.

http -in, https-in, smtp -in आणि ssh-in सारख्या सेवांमध्ये पुराच्या हल्ल्यांपासून संरक्षण डीफॉल्टनुसार सक्षम केले जाते.

SYN पूर हल्ला संरक्षण यंत्रणा

SYN फ्लड हल्ल्यांपासून संरक्षण क्लायंटशी कनेक्शन स्थापित करताना तीन-वेळच्या हँडशेक दरम्यान होते. NetDefendOS मध्ये सामान्यतः संसाधने संपत नाहीत कारण ते सर्वात इष्टतम कामगिरी करते संसाधन व्यवस्थापनआणि इतर ऑपरेटिंग सिस्टममध्ये कोणतेही निर्बंध नाहीत. ऑपरेटिंग सिस्टीममध्ये क्लायंटद्वारे 5 अर्ध्या-ओपन कनेक्शनची कबुली न दिल्याने समस्या असू शकतात, तरीही कोणतीही संसाधने संपण्यापूर्वी NetDefendOS संपूर्ण स्टेट टेबल भरू शकते. जेव्हा राज्य तक्ता भरलेला असतो, तेव्हा नवीन जोडण्यांसाठी जागा तयार करण्यासाठी जुनी न कळलेली जोडणी टाकून दिली जातात.

SYN पूर ओळखणे

TCP SYN फ्लड हल्ले नेटडेफेंडओएस लॉगमध्ये मोठ्या संख्येने नवीन कनेक्शन म्हणून नोंदवले जातात (किंवा बंद पोर्टवर हल्ला निर्देशित केल्यास पॅकेट सोडले जातात). हे लक्षात ठेवले पाहिजे की या प्रकरणात प्रेषकाचा आयपी पत्ता बनावट असू शकतो.

ALG आपोआप पुराच्या हल्ल्यांपासून संरक्षण प्रदान करते

हे लक्षात घेतले पाहिजे की ज्या सेवेसाठी ALG निर्दिष्ट केले आहे त्यासाठी SYN फ्लड संरक्षण सक्षम करण्याची आवश्यकता नाही. ALG स्वयंचलितपणे SYN पूर हल्ल्यांपासून संरक्षण प्रदान करते.

Jolt2 हल्ला

Jolt2 हल्ल्याचे तत्व म्हणजे पीडित संगणकावर एकसारखे तुकड्यांचा सतत प्रवाह पाठवणे. प्रति सेकंद अनेक शंभर पॅकेट्सच्या प्रवाहामुळे प्रवाह पूर्णपणे थांबेपर्यंत असुरक्षित संगणक कार्य करणे थांबवतात.

NetDefendOS या हल्ल्यापासून संपूर्ण संरक्षण प्रदान करते. प्राप्त झालेला पहिला तुकडा मागील तुकड्या येईपर्यंत रांगेत असतो, जेणेकरून सर्व तुकडे इच्छित क्रमाने प्रसारित केले जाऊ शकतात. हल्ला झाल्यास, लक्ष्य अनुप्रयोगावर कोणताही तुकडा प्रसारित केला जाणार नाही. त्यानंतरचे तुकडे टाकून दिले जातील कारण ते मिळालेल्या पहिल्या तुकड्यासारखे आहेत.

आक्रमणकर्त्याचे निवडलेले तुकडा ऑफसेट मूल्य प्रगत सेटिंग्ज -> NetDefendOS मधील लांबी मर्यादा सेटिंग्जमध्ये निर्दिष्ट केलेल्या मर्यादेपेक्षा जास्त असल्यास, पॅकेट त्वरित सोडले जातील. Jolt2 हल्ले लॉगमध्ये रेकॉर्ड केले जाऊ शकतात. आक्रमण करणाऱ्याने आक्रमणासाठी खूप मोठे ऑफसेट मूल्य निवडल्यास, हे LogOversizedPackets नियम दर्शविणारे ड्रॉप केलेले पॅकेट म्हणून लॉग केले जाईल. फ्रॅगमेंट ऑफसेट मूल्य पुरेसे लहान असल्यास, लॉगिंग होणार नाही. प्रेषकाचा IP पत्ता फसवणूक केला जाऊ शकतो.

वितरित DoS (DDoS) हल्ले

सर्वात अत्याधुनिक DoS हल्ला म्हणजे डिस्ट्रिब्युटेड डिनायल ऑफ सर्व्हिस हल्ला. हॅकर्स संपूर्ण इंटरनेटवर शेकडो किंवा हजारो संगणक वापरतात, स्थापित करतात सॉफ्टवेअरडीडीओएस हल्ले करण्यासाठी आणि पीडिताच्या साइटवर समन्वित हल्ले करण्यासाठी हे सर्व संगणक नियंत्रित करण्यासाठी. सामान्यतः, हे हल्ले बँडविड्थ, राउटर प्रोसेसिंग पॉवर किंवा प्रोटोकॉल स्टॅक प्रोसेसिंग संसाधने वापरतात, परिणामी पीडितेशी नेटवर्क कनेक्शन स्थापित केले जाऊ शकत नाही.

जरी अलीकडील DDoS हल्ले खाजगी आणि सार्वजनिक दोन्ही नेटवर्कवरून सुरू केले गेले असले तरी, हॅकर्स अनेकदा प्राधान्य देतात कॉर्पोरेट नेटवर्कत्यांच्या खुल्या आणि वितरीत स्वभावामुळे. DDoS हल्ले सुरू करण्यासाठी वापरल्या जाणाऱ्या साधनांमध्ये Trin00, TribeFlood Network (TFN), TFN2K आणि Stacheldraht यांचा समावेश होतो.

व्यावहारिक कामाचे वर्णन

स्वाक्षरींची सामान्य यादी

वेब इंटरफेसमध्ये, सर्व स्वाक्षरी IDP/IPS -> IDP स्वाक्षरी विभागात सूचीबद्ध आहेत.

IDP नियम

कोणत्या प्रकारच्या रहदारीचे विश्लेषण करायचे हे IDP नियम ठरवते. IDP नियम इतर नियमांप्रमाणेच तयार केले जातात, जसे की IP फिल्टरिंग नियम. IDP नियम स्त्रोत/गंतव्य पत्ता/इंटरफेस, सेवा यांचे संयोजन निर्दिष्ट करतो जे कोणते प्रोटोकॉल स्कॅन केले जातील हे निर्धारित करते. फिल्टरिंग नियमांमधील मुख्य फरक हा आहे की जेव्हा घुसखोरी आढळली तेव्हा करावयाची कारवाई IDP नियम निर्दिष्ट करते.

वेब इंटरफेस:

IDP/IPS -> IDP नियम -> जोडा -> IDP नियम

IDP क्रिया

घुसखोरी आढळल्यास, IDP नियमामध्ये निर्दिष्ट केलेली क्रिया केली जाईल. तीनपैकी एक क्रिया निर्दिष्ट केली जाऊ शकते:

  1. दुर्लक्ष करा - घुसखोरी आढळल्यास, कोणतीही कारवाई करू नका आणि कनेक्शन उघडे सोडा.
  2. ऑडिट - कनेक्शन उघडे ठेवा परंतु कार्यक्रम लॉग करा.
  3. संरक्षित करा - कनेक्शन रीसेट करा आणि इव्हेंट लॉग करा. कनेक्शन स्त्रोत ब्लॅकलिस्ट करण्याचा अतिरिक्त पर्याय वापरणे शक्य आहे.

HTTP सामान्यीकरण

IDP HTTP सामान्यीकरण करते, उदा. HTTP विनंत्यांमध्ये URI ची शुद्धता तपासते. एक IDP नियम अवैध URI आढळल्यावर कोणती कारवाई करावी हे निर्दिष्ट करू शकतो.

IDP खालील अवैध URI शोधू शकते:

चुकीचे UTF8 एन्कोडिंग

URI मध्ये कोणतेही अवैध UTF8 वर्ण शोधते.

अवैध हेक्साडेसिमल कोड

योग्य हेक्साडेसिमल अनुक्रम हा एक आहे जेथे टक्के चिन्ह त्यानंतर दोन हेक्साडेसिमल मूल्ये असतात जी एका बाइटसाठी कोड असतात. अवैध हेक्साडेसिमल अनुक्रम हा एक असा क्रम आहे ज्यामध्ये टक्के चिन्ह असते आणि बाइट कोडचे प्रतिनिधित्व करणारे हेक्साडेसिमल मूल्य अनुसरत नाही.

डबल कोडिंग

इतर हेक्साडेसिमल एस्केप सीक्वेन्स वापरून एन्कोड केलेला कोणताही हेक्साडेसिमल क्रम शोधतो. उदाहरण हे अनुक्रम %2526 असेल, तर HTTP सर्व्हरद्वारे %25 चा % म्हणून अर्थ लावला जाऊ शकतो, परिणामी क्रम %26 होतो, ज्याचा अर्थ & म्हणून केला जाईल.

कॅरेक्टर इंजेक्शन हल्ले रोखणे किंवा IDP यंत्रणा बायपास करणे

IDP नियमात, तुम्ही Insertion/Evasion हल्ल्यापासून संरक्षण करा हा पर्याय सेट करू शकता. हे IDP यंत्रणांना बायपास करण्याच्या उद्देशाने हल्ल्यांपासून संरक्षण आहे. हे हल्ले या वस्तुस्थितीचा फायदा घेतात की TCP/IP प्रोटोकॉलमध्ये पॅकेटचे तुकडे केले जाऊ शकतात आणि वैयक्तिक पॅकेट यादृच्छिक क्रमाने येऊ शकतात. कॅरेक्टर इंजेक्शन हल्ले आणि बायपास IDP यंत्रणा सामान्यत: पॅकेट विखंडन वापरतात आणि पॅकेट असेंबली प्रक्रियेदरम्यान होतात.

घालणे हल्ले

समाविष्ट करण्याच्या हल्ल्यांमध्ये डेटा प्रवाहात बदल करणे समाविष्ट असते जेणेकरून पॅकेट्सच्या परिणामी क्रमाला IDP प्रणालीद्वारे परवानगी दिली जाते, परंतु क्रम हा लक्ष्य अनुप्रयोगावरील हल्ला असतो. हा हल्ला दोन भिन्न डेटा प्रवाह तयार करून अंमलात आणला जाऊ शकतो.

उदाहरण म्हणून, असे गृहीत धरा की डेटा प्रवाहात 4 पॅकेट तुकड्यांचा समावेश आहे: p1, p2, p3 आणि p4. आक्रमणकर्ता प्रथम लक्ष्य अनुप्रयोगावर p1 आणि p4 पॅकेटचे तुकडे पाठवू शकतो. पी 2 आणि पी 3 तुकडे येईपर्यंत ते IDP सिस्टीम आणि ऍप्लिकेशन या दोघांद्वारे धारण केले जातील, त्यानंतर पुन्हा असेंब्ली केली जाईल. हल्लेखोराचे कार्य हे दोन तुकडे p2' आणि p3' IDP सिस्टीमला पाठवणे आणि इतर दोन तुकडे p2 आणि p3 ऍप्लिकेशनला पाठवणे आहे. परिणाम म्हणजे IDP प्रणाली आणि अनुप्रयोगाद्वारे प्राप्त होणारे भिन्न डेटा प्रवाह.

बायपास हल्ले

बायपास हल्ल्यांचा शेवटचा परिणाम अंतर्भूत हल्ल्यांसारखाच असतो, दोन भिन्न डेटा प्रवाह देखील तयार करतात: एक IDP प्रणालीद्वारे पाहिले जाते, दुसरे लक्ष्य अनुप्रयोगाद्वारे पाहिले जाते, परंतु या प्रकरणात परिणाम उलट मार्गाने प्राप्त होतो, जो पाठवायचा असतो. पॅकेटचे तुकडे जे IDP प्रणालीद्वारे नाकारले जातील, परंतु लक्ष्य अर्जाद्वारे स्वीकारले जातील.

तत्सम हल्ल्यांचा शोध

Insertion/Evasion Protect हल्ला पर्याय सक्षम असल्यास, आणि

घुसखोरी शोध

1. जलद घुसखोरी ओळखल्याने घुसखोराला हानी पोहोचवण्याआधी ओळखता येते आणि त्याला बाहेर काढता येते.

2. घुसखोरी रोखण्यासाठी प्रभावी घुसखोरी शोध प्रणाली प्रतिबंधक म्हणून काम करते.

3. 3 घुसखोरी शोधणे घुसखोरीच्या पद्धतींबद्दल माहिती गोळा करते ज्याचा उपयोग संरक्षणाची विश्वासार्हता सुधारण्यासाठी केला जाऊ शकतो.

घुसखोरी शोधण्याचे मार्ग

· सांख्यिकीय विचलन शोधणे (थ्रेशोल्ड डिटेक्शन, प्रोफाइल डिटेक्शन).

· नियम-आधारित शोध (सामान्य वैशिष्ट्यांमधील विचलन शोधणे, घुसखोरी ओळखणे - संशयास्पद वर्तन शोधणे).

घुसखोरी शोध प्रणाली (IDS) ही प्रक्रिया किंवा उपकरणे चालवत आहेत जी अनधिकृत आणि/किंवा दुर्भावनापूर्ण क्रियाकलापांसाठी नेटवर्क किंवा सिस्टमवरील क्रियाकलापांचे विश्लेषण करतात. काही आयडीएस प्रणाली ज्ञानावर आधारित असतात आणि सामान्य हल्ल्यांचा डेटाबेस वापरून घुसखोरी करण्यासाठी प्रशासकांना सक्रियपणे सतर्क करतात. वर्तणूक-आधारित IDS प्रणाली, याउलट, संसाधनांच्या वापराचे निरीक्षण करून आक्रमणकर्त्यांच्या क्रियाकलापांचे लक्षण असलेल्या विसंगती शोधतात. काही IDS वेगळ्या सेवा आहेत ज्या पार्श्वभूमीत चालतात आणि सर्व संशयास्पद पॅकेट्स बाहेरून लॉग करून निष्क्रियपणे क्रियाकलापांचे विश्लेषण करतात. इतर शक्तिशाली घुसखोरी शोध साधने मानक सिस्टम टूल्स, सुधारित कॉन्फिगरेशन आणि प्रशासक अंतर्ज्ञान आणि अनुभवासह तपशीलवार लॉगिंग यांच्या संयोजनातून येतात.

घुसखोरी शोधण्याचे मुख्य साधन ऑडिट डेटा रेकॉर्ड आहे.

ऑडिट(ऑडिटिंग) - ऑपरेटिंग सिस्टममध्ये घडणाऱ्या घटनांचे सिस्टम लॉगमध्ये रेकॉर्डिंग जे सुरक्षिततेशी संबंधित आहेत आणि संरक्षित सिस्टम संसाधनांच्या प्रवेशाशी संबंधित आहेत.

· यशस्वी आणि अयशस्वी क्रियांची नोंदणी:

· प्रणालीमध्ये नोंदणी;

· खाते व्यवस्थापन;

· निर्देशिका सेवांमध्ये प्रवेश;

· सुविधेमध्ये प्रवेश;

· विशेषाधिकारांचा वापर;

· धोरण बदल;

· प्रक्रिया अंमलबजावणी आणि सिस्टम इव्हेंट.

स्थानिक (समूह) ऑडिट धोरणामध्ये ऑडिटिंग सक्षम केले आहे.

सुरक्षा लॉगमध्ये सुरक्षा प्रणालीशी संबंधित नोंदी असतात.

अकाउंटिंग आणि पाळत ठेवणे म्हणजे निवडलेल्या वस्तू आणि त्यांच्या वापरकर्त्यांवर "हेर" करण्याची सुरक्षा प्रणालीची क्षमता आणि जेव्हा कोणीतरी सिस्टम फाइल वाचण्याचा किंवा सुधारित करण्याचा प्रयत्न करते तेव्हा अलार्म जारी करते. जर एखाद्याने देखरेखीसाठी सुरक्षा प्रणालीद्वारे ओळखल्या गेलेल्या क्रिया करण्याचा प्रयत्न केला, तर ऑडिट सिस्टम वापरकर्त्याची ओळख करून लॉगवर संदेश लिहिते. सिस्टम मॅनेजर सुरक्षा अहवाल व्युत्पन्न करू शकतो ज्यात लॉग माहिती असते. "अल्ट्रा-सुरक्षित" प्रणालींमध्ये सुरक्षा प्रशासकांच्या मशीनवर स्थापित ऑडिओ आणि व्हिडिओ अलार्म समाविष्ट आहेत.

कोणतीही सुरक्षा प्रणाली 100% संरक्षणाची हमी देत ​​नाही, उल्लंघनाविरूद्धच्या लढाईतील शेवटची ओळ ऑडिट प्रणाली आहे.

खरंच, हल्लेखोर यशस्वी हल्ला करण्यात यशस्वी झाल्यानंतर, पीडितेकडे ऑडिट सेवेकडे वळण्याशिवाय पर्याय नाही. जर, ऑडिट सेवा कॉन्फिगर करताना, ज्या इव्हेंटचे परीक्षण करणे आवश्यक आहे ते योग्यरित्या निर्दिष्ट केले गेले असेल, तर लॉग नोंदींचे तपशीलवार विश्लेषण खूप उपयुक्त माहिती प्रदान करू शकते. या माहितीमुळे हल्लेखोर शोधणे शक्य होऊ शकते किंवा किमान सुरक्षा भेद्यता दूर करून असे हल्ले पुन्हा होण्यापासून रोखू शकतात.

घुसखोरी शोध आणि प्रतिबंध उपप्रणालीसमाविष्ट आहे:

तक्ता 1. घुसखोरी शोधणे आणि प्रतिबंधक उपप्रणाली

घुसखोरी शोध ही माहिती प्रणालीमध्ये घडणाऱ्या घटनांचे निरीक्षण करण्याची आणि घुसखोरीच्या प्रयत्नांना सूचित करणाऱ्या चिन्हांसाठी त्यांचे विश्लेषण करण्याची प्रक्रिया आहे: गोपनीयतेचे उल्लंघन, अखंडता, माहिती उपलब्धता किंवा माहिती सुरक्षा धोरणांचे उल्लंघन. घुसखोरी प्रतिबंध ही ओळखलेली घुसखोरी रोखण्याची प्रक्रिया आहे.

घुसखोरी शोधणे आणि प्रतिबंधक उपप्रणाली साधने ही प्रक्रिया स्वयंचलित करतात आणि घुसखोरीमुळे होणारे नुकसान आणि नुकसान टाळण्यासाठी कोणत्याही स्तराच्या संस्थेमध्ये आवश्यक असतात.

निरीक्षण पद्धतीच्या आधारे, उपप्रणाली साधने विभागली आहेत:

  • नेटवर्क-स्तरीय घुसखोरी प्रतिबंध साधने (नेटवर्क-आधारित IDS/IPS), जे नेटवर्क विभागांच्या नेटवर्क रहदारीचे निरीक्षण करतात.
  • सिस्टम-स्तरीय घुसखोरी प्रतिबंधक साधने (होस्ट-आधारित IDS/IPS), जे माहिती सुरक्षा इव्हेंट शोधतात आणि संरक्षित होस्टमध्ये सुधारात्मक क्रिया करतात.

घटनांचे विश्लेषण करण्यासाठी अनेक पद्धती आहेत:

  • दुरुपयोग शोध, ज्यामध्ये ज्ञात हल्ल्याचे वर्णन करणाऱ्या पूर्वनिर्धारित पॅटर्नच्या विरूद्ध इव्हेंट किंवा इव्हेंटचा संच तपासला जातो. ज्ञात हल्ल्याच्या नमुनाला स्वाक्षरी म्हणतात.
  • विसंगती शोध, जे असामान्य (असामान्य) घटना ओळखते. ही पद्धत असे गृहीत धरते की जेव्हा घुसखोरीचा प्रयत्न केला जातो तेव्हा परिणामी इव्हेंट्स सामान्य वापरकर्ता क्रियाकलाप किंवा नेटवर्क नोड परस्परसंवादाच्या घटनांपेक्षा भिन्न असतात आणि म्हणून ते निर्धारित केले जाऊ शकतात. सेन्सर इव्हेंट डेटा संकलित करतात, सामान्य क्रियाकलापांचे नमुने तयार करतात आणि सामान्य स्थितीतील विचलन शोधण्यासाठी विविध मेट्रिक्स वापरतात.

उपप्रणाली DDoS हल्ल्यांपासून संरक्षण प्रदान करते जे विसंगती शोध पद्धत वापरून एज नेटवर्क रहदारीचे विश्लेषण करते.

घुसखोरी प्रतिबंधक उपायामध्ये सेन्सर, एक किंवा अधिक व्यवस्थापन सर्व्हर, ऑपरेटर कन्सोल आणि प्रशासक असतात. कधीकधी माहिती सुरक्षा इव्हेंट्स आणि त्यांच्या पॅरामीटर्सबद्दल माहिती संग्रहित करण्यासाठी बाह्य डेटाबेसचे वाटप केले जाते.

कंट्रोल सर्व्हर सेन्सर्सकडून माहिती प्राप्त करतो आणि त्यांचे व्यवस्थापन करतो. सामान्यतः, सर्व्हर इव्हेंट एकत्रीकरण आणि सहसंबंध करतात. महत्त्वाच्या घटनांच्या सखोल प्रक्रियेसाठी, सिस्टम-स्तरीय घुसखोरी प्रतिबंधक साधने देखरेख आणि घटना व्यवस्थापन उपप्रणालीसह एकत्रित केली जातात.

कन्सोल ऑपरेटर आणि उपप्रणाली प्रशासकांसाठी इंटरफेस प्रदान करतात. सामान्यत: हे वर्कस्टेशनवर स्थापित केलेले सॉफ्टवेअर साधन आहे.

केंद्रीकृत प्रशासन व्यवस्थापित करण्यासाठी, स्वाक्षरी अद्यतने व्यवस्थापित करण्यासाठी आणि कॉन्फिगरेशन व्यवस्थापित करण्यासाठी, संस्थेच्या सुरक्षा व्यवस्थापन उपप्रणालीसह एकत्रीकरण वापरले जाते.

हे लक्षात घेतले पाहिजे की विविध प्रकारच्या उपप्रणाली साधनांचा केवळ एकात्मिक वापरामुळे सर्वसमावेशक आणि अचूक घुसखोरी शोधणे आणि प्रतिबंध करणे शक्य होते.

सिस्टम-स्तरीय घुसखोरी प्रतिबंध

सिस्टम-स्तरीय घुसखोरी प्रतिबंधक उपप्रणाली (होस्ट-आधारित IDS/IPS) सिस्टम-स्तरीय हल्ल्यांना त्वरित अवरोधित करते आणि जबाबदार व्यक्तींना सतर्क करते. सिस्टम-लेव्हल अटॅक डिटेक्शन एजंट (सेन्सर) वैयक्तिक ऑपरेटिंग सिस्टमवर होणारी क्रियाकलाप प्रतिबिंबित करणारी माहिती संकलित करतात.

या उपप्रणालीचे फायदे म्हणजे नोड माहिती वस्तूंवर प्रवेश नियंत्रित करणे, त्यांची अखंडता तपासणे आणि विशिष्ट वापरकर्त्याच्या असामान्य क्रियाकलापांची नोंदणी करणे.

तोट्यांमध्ये जटिल विसंगत घटना शोधण्यात अक्षमता, संरक्षित प्रणालीच्या अतिरिक्त संसाधनांचा वापर आणि सर्व संरक्षित नोड्सवर स्थापनेची आवश्यकता समाविष्ट आहे. याव्यतिरिक्त, ऑपरेटिंग सिस्टमच्या भेद्यता सेन्सर्सच्या अखंडतेशी आणि ऑपरेशनमध्ये तडजोड करू शकतात.

उपाय:

सिस्को सुरक्षा एजंट

पॉइंट एंडपॉइंट सुरक्षा तपासा
सिमेंटेक एंडपॉइंट प्रोटेक्शन
ट्रेंड मायक्रो ऑफिसस्कॅन कॉर्पोरेट संस्करण
IBM Proventia सर्व्हर घुसखोरी प्रतिबंध प्रणाली
कॅस्परस्की एकूण सुरक्षा


नेटवर्क लेयर घुसखोरी प्रतिबंध

नेटवर्क-स्तरीय घुसखोरी प्रतिबंधक उपप्रणाली (नेटवर्क-आधारित IPS किंवा NIPS) नेटवर्क हल्ल्यांना त्वरित अवरोधित करणे आणि जबाबदारांना सावध करणे सुनिश्चित करते. नेटवर्क-स्तरीय साधने वापरण्याचा फायदा म्हणजे एका साधनासह अनेक नोड्स किंवा नेटवर्क विभागांचे संरक्षण करण्याची क्षमता.

सॉफ्टवेअर किंवा हार्डवेअर-सॉफ्टवेअर सेन्सर स्थापित केले जातात जेव्हा कनेक्शन तुटलेले असते किंवा काही नोड्स किंवा नेटवर्क विभागांचे नेटवर्क ट्रॅफिक निष्क्रियपणे पाहतात आणि नेटवर्क, वाहतूक आणि अनुप्रयोग परस्परसंवाद प्रोटोकॉलचे विश्लेषण करतात.

कॅप्चर केलेल्या ट्रॅफिकची तुलना हल्ल्यांच्या विशिष्ट नमुन्यांशी (स्वाक्षरी) किंवा सुरक्षा धोरण नियमांचे उल्लंघन यांच्याशी केली जाते. नेटवर्क पॅकेटमध्ये स्वाक्षरी आढळल्यास, प्रतिकारक उपाय लागू केले जातात.

प्रतिकारक उपाय म्हणून, पुढील गोष्टी केल्या जाऊ शकतात:

  • निवडलेले नेटवर्क पॅकेट अवरोधित करणे;
  • अधिक प्रभावीपणे घुसखोरी रोखण्यासाठी इतर माहिती सुरक्षा उपप्रणाली (उदाहरणार्थ, फायरवॉल) चे कॉन्फिगरेशन बदलणे;
  • नंतरच्या विश्लेषणासाठी निवडलेले पॅकेज जतन करणे;
  • घटनांची नोंदणी आणि जबाबदार व्यक्तींची सूचना.

या साधनांचे अतिरिक्त वैशिष्ट्य संरक्षित नोड्सबद्दल माहितीचे संकलन असू शकते. नोड किंवा नेटवर्क विभागाच्या सुरक्षिततेबद्दल आणि गंभीरतेबद्दल माहिती मिळविण्यासाठी, माहिती सुरक्षिततेच्या प्रभावीतेचे परीक्षण करण्यासाठी उपप्रणालीसह एकत्रीकरण वापरले जाते.

सिस्को सिस्टम उत्पादनांवर आधारित नेटवर्क लेयर घुसखोरी प्रतिबंधक उपायाचे उदाहरण आकृतीमध्ये दर्शविले आहे:

आकृती 1. सिस्को सिस्टम उत्पादनांवर आधारित नेटवर्क लेयर घुसखोरी प्रतिबंधक उपायाचे उदाहरण

उपाय:


DDoS हल्ल्यांपासून संरक्षण

सर्वात गंभीर, परिणामांच्या दृष्टीने, संगणक हल्ल्यांचे वर्ग म्हणजे डिस्ट्रिब्युटेड डिनायल ऑफ सर्व्हिस (DDoS) हल्ले आहेत ज्याचा उद्देश माहिती संसाधनांच्या उपलब्धतेमध्ये व्यत्यय आणणे आहे. हे हल्ले इंटरनेटवरील होस्टवर होस्ट केलेले एकाधिक सॉफ्टवेअर घटक वापरून केले जातात. ते केवळ वैयक्तिक नोड्स आणि सेवांच्या अपयशास कारणीभूत ठरू शकत नाहीत तर रूट डीएनएस सर्व्हरचे ऑपरेशन थांबवू शकतात आणि नेटवर्कचे आंशिक किंवा पूर्ण शटडाउन होऊ शकतात.

DDoS हल्ल्यांपासून संरक्षण करण्याचे मुख्य ध्येय म्हणजे त्यांची अंमलबजावणी रोखणे, हे हल्ले अचूकपणे शोधणे आणि त्यांना त्वरित प्रतिसाद देणे. त्याच वेळी, घुसखोरी ट्रॅफिक सारखी वैशिष्ट्ये असलेली कायदेशीर रहदारी प्रभावीपणे ओळखणे आणि त्याच्या इच्छित गंतव्यस्थानापर्यंत कायदेशीर रहदारीचे विश्वसनीय वितरण सुनिश्चित करणे देखील महत्त्वाचे आहे.

DDoS हल्ल्यांपासून संरक्षण करण्यासाठी सामान्य दृष्टीकोनमध्ये खालील यंत्रणा समाविष्ट आहेत:

  • घुसखोरी शोधणे;
  • घुसखोरीचा स्त्रोत निश्चित करणे;
  • घुसखोरी रोखणे.


दूरसंचार ऑपरेटरसाठी उपाय

लागू केलेल्या सोल्यूशनचे व्यावसायिक फायदे:

  • मोठ्या, मध्यम आणि लहान उद्योगांसाठी स्केलिंगच्या संभाव्यतेसह नवीन उच्च-स्तरीय सेवा ऑफर करण्याची संधी;
  • ग्राहकांना होणारे नुकसान आणि नुकसान टाळण्यात गुंतलेली एक विश्वासू व्यक्ती म्हणून स्वत:ला स्थान देण्याची क्षमता;
  • नेटवर्क इन्फ्रास्ट्रक्चर कंट्रोलेबिलिटी सुधारते;
  • हल्ल्यांवरील अहवालांसह सदस्यांना प्रदान करण्याची क्षमता.

हे सोल्यूशन टेलिकॉम ऑपरेटरना त्यांच्या ग्राहकांना वितरित DoS हल्ल्यांपासून संरक्षण प्रदान करण्यास अनुमती देते, त्याच वेळी त्यांचे स्वतःचे नेटवर्क मजबूत आणि संरक्षित करते. संप्रेषण चॅनेलमधून विसंगत रहदारी काढून टाकणे आणि केवळ कायदेशीर वाहतूक वितरीत करणे हे समाधानाचे मूलभूत उद्दिष्ट आहे.

सेवा प्रदाता त्याच्या कॉर्पोरेट क्लायंटना दोन प्रकारे DDoS संरक्षण देऊ शकतो:

  • समर्पित सेवा– ज्या कंपन्यांचा व्यवसाय इंटरनेटशी जोडलेला आहे त्यांच्यासाठी योग्य: या “ऑनलाइन” व्यापारात गुंतलेल्या कंपन्या, वित्तीय संस्था आणि ई-कॉमर्समध्ये गुंतलेल्या इतर उपक्रम आहेत. समर्पित सेवा ट्रान्समिटेड ट्रॅफिक साफ करण्याची क्षमता, तसेच क्लायंटच्या विनंतीनुसार DDoS हल्ले शोधण्यासाठी आणि ट्रॅफिक क्लीनअप प्रक्रिया सक्रिय करण्यासाठी अतिरिक्त क्षमता प्रदान करते;
  • सामायिक सेवा- कॉर्पोरेट क्लायंटसाठी डिझाइन केलेले आहे ज्यांना त्यांच्या "ऑनलाइन" सेवांसाठी DDoS हल्ल्यांविरूद्ध विशिष्ट स्तरावर संरक्षण आवश्यक आहे. तथापि, ही समस्या त्यांच्यासाठी तीव्र नाही. सेवा सर्व क्लायंटसाठी एकत्रितपणे रहदारी साफ करण्याची क्षमता आणि DDoS हल्ले शोधण्यासाठी एक मानक धोरण देते.


समाधान आर्किटेक्चर

आकृती 2. टेलिकॉम ऑपरेटर्ससाठी डीडीओएस संरक्षण समाधानाचे आर्किटेक्चर

सोल्यूशन आर्किटेक्चर वितरित DoS हल्ले शोधण्यासाठी, त्यांच्या स्त्रोताचा मागोवा घेण्यासाठी आणि वितरित DoS हल्ले कमी करण्यासाठी एक सुव्यवस्थित दृष्टीकोन ऑफर करते.

सुरुवातीला, DDoS संरक्षण साधनांना शिकण्याच्या प्रक्रियेतून जाणे आवश्यक आहे आणि राउटरमधून उपलब्ध डेटा प्रवाह वापरून नेटवर्कमधील रहदारीच्या सामान्य वर्तनाचे मॉडेल तयार करणे आवश्यक आहे. शिकण्याच्या प्रक्रियेनंतर, सिस्टम ट्रॅफिक मॉनिटरिंग मोडमध्ये जाते आणि जर एखादी असामान्य परिस्थिती आढळली तर, सिस्टम प्रशासकाला सूचना पाठविली जाते. हल्ल्याची पुष्टी झाल्यास, नेटवर्क सुरक्षा प्रशासक ट्रॅफिक क्लीनिंग डिव्हाइसला संरक्षण मोडवर स्विच करतो. जेव्हा असामान्य रहदारी आढळली तेव्हा ट्रॅफिक क्लीनअप साधने स्वयंचलितपणे सक्रिय करण्यासाठी मॉनिटरिंग डिव्हाइसेस कॉन्फिगर करणे देखील शक्य आहे. संरक्षण मोडमध्ये सक्षम केल्यावर, फिल्टरिंग टूल एज राउटरच्या राउटिंग टेबलमध्ये बदल करून येणाऱ्या ट्रॅफिकला स्वत:कडे पुनर्निर्देशित करते आणि ते साफ करते. साफ केलेली रहदारी नंतर नेटवर्कवर पुनर्निर्देशित केली जाते.


एंटरप्राइझ सोल्यूशन

हे समाधान विकसित करताना, केवळ वैयक्तिक एंटरप्राइझ सर्व्हरच नव्हे तर संबंधित दूरसंचार ऑपरेटरसह संप्रेषण चॅनेल देखील संरक्षित करण्यास सक्षम सुरक्षा प्रणाली तयार करण्यासाठी एकात्मिक दृष्टीकोन वापरला गेला. सोल्यूशन ही एक बहु-स्तरीय प्रणाली आहे ज्यामध्ये संरक्षणाची स्पष्टपणे तयार केलेली ओळ आहे. सोल्यूशनची अंमलबजावणी तुम्हाला कॉर्पोरेट नेटवर्क, रूटिंग डिव्हाइसेस, कम्युनिकेशन चॅनेल, मेल सर्व्हर, वेब सर्व्हर आणि DNS सर्व्हरची सुरक्षा वाढविण्यास अनुमती देते.

  • इंटरनेटद्वारे त्यांचा व्यवसाय करणाऱ्या कंपन्या;
  • कंपनीच्या कॉर्पोरेट वेबसाइटची उपलब्धता;
  • व्यवसाय प्रक्रिया लागू करण्यासाठी इंटरनेट वापरणे.


समाधान आर्किटेक्चर

आकृती 3. उपक्रमांसाठी डीडीओएस संरक्षण समाधानाचे आर्किटेक्चर

हे सोल्यूशन विसंगती शोध सेन्सर वापरते जे सतत बाह्य रहदारीचे निरीक्षण करते. ही प्रणाली दूरसंचार ऑपरेटरच्या सीमेवर स्थित आहे, त्यामुळे कंपनीच्या अंतर्गत नेटवर्कमध्ये अटॅक ट्रॅफिक प्रवेश करण्यापूर्वीच साफसफाईची प्रक्रिया सुरू होते.

विसंगती शोधण्याची पद्धत ट्रॅफिक साफ करण्याची 100% संभाव्यता प्रदान करू शकत नाही, म्हणून नेटवर्क आणि सिस्टम स्तरांवर हल्ला प्रतिबंधक उपप्रणालीसह एकत्रीकरणाची आवश्यकता आहे.

अंमलबजावणी केलेल्या उपायांचे तांत्रिक फायदे:

  • DDoS हल्ल्यांना त्वरित प्रतिसाद;
  • केवळ मागणीनुसार सिस्टम चालू करण्याची क्षमता जास्तीत जास्त विश्वासार्हता आणि किमान स्केलिंग खर्च सुनिश्चित करते.

उपाय:

आर्बर पीकफ्लो एसपी

सिस्को गार्ड
सिस्को ट्रॅफिक विसंगती डिटेक्टर


आम्ही वाचण्याची शिफारस करतो