1. Strona główna
  2. Wiadomości

Ukryte ataki i fałszywe alarmy nowe wyzwania dla narzędzi IDS

  • Józef Muszyński,

Każdy alarm generowany przez Entercept Agent ma przypisany poziom ważności: wysoki, średni, niski lub informacyjny. Poziom ten określa akcję, jaką ma podjąć agent po podniesieniu alarmu. Obsługiwane są trzy akcje bezpośrednie:

  • ignorowanie zdarzenia
  • zapis do logu i kontynuacja pracy
  • prewencja: zapis do logu i zatrzymanie akcji.

    Agent może być ustawiony do działania w jednym z trzech trybów:

  • Ostrzegawczy (warning mode) - rejestracja podejrzanej działalności, bez jej blokowania.
  • Ochronny (protection mode) - zdarzenia o statusie "zignoruj" lub "tylko zarejestruj" są przepuszczane, natomiast o statusie "zapobiegaj" będą zatrzymane i zarejestrowane bezpośrednio przez agenta.
  • Tryb "skarbca" (vault mode) - nowość w wydaniu 2.5. Blokuje dostęp do kluczowych plików i ustawień krytycznych dla systemu operacyjnego, chroni je przed zmianami - nawet przed użytkownikiem z uprawnieniami administratora.

    ISS RealSecure 7.0

    RealSecure 7.0 - sygnatury definiowane przez użytkownika

    Firma Internet Security Systems była jedną z pierwszych, które zaczęły dostarczać komercyjne pakiety IDS. Tak więc RealSecure jest często uznawany za punkt odniesienia dla innych pakietów. RealSecure 7.0 jest pakietem integrującym istniejące już produkty z nową technologią sensorów NIDS, pozyskaną w wyniku przejęcia w 2001 r. firmy Network ICE. Nowe mechanizmy zawarte w tym wydaniu to:
  • zintegrowana technologia wykrywania BlackICE i RealSecure;
  • zunifikowanie sygnatur obu linii produktowych;
  • obsługa platformy Linux;
  • obsługa silnego szyfrowania RSA (1536 bitów) dla komunikacji na wszystkich platformach;
  • obsługa składni reguł Snort (Trons);
  • powiadamianie o zgubionych pakietach.

    RealSecure 7.0 składa się z czterech podstawowych komponentów:

  • RealSecure Network Sensor
  • RealSecure OS Sensor
  • RealSecure Sever Sensor
  • RealSecure Workgroup Manager.

    RealSecure Network Sensor pracuje na dedykowanych hostach, monitorując określony segment sieci, analizując przepływ ruchu i blokując włamania. Po wykryciu wtargnięcia może reagować na kilka sposobów:

  • zarejestrowanie daty, czasu, źródła i celu zaistniałego zdarzenia;
  • zarejestrowanie treści zdarzenia;
  • powiadomienie administratora sieci;
  • rekonfiguracja zapory ogniowej;
  • automatyczne zakończenie zdarzenia.

    Network Sensor 7.0 rozpoznaje ponad sześćdziesiąt protokołów poziomu aplikacji, takich jak HTTP, FTP, SMTP, SNMP, RCP, NetBIOS, jak również wiele protokołów komunikacyjnych stosowanych przez trojany. Z powodu niejednoznaczności standardów (różnice w interpretacji zapisów w dokumentach RFC) analiza protokołów nie opiera się na sprawdzaniu zgodności z tekstem RFC. Sensor skupia się na analizowaniu protokołów w układzie kontekstowym i stosowaniu odpowiednich wzorców porównawczych. Sensor wykonuje także pełną defragmentację pakietów IP, a także odtworzenie sesji TCP i HTTP. Przesłuchuje zarówno dane transmitowane, jak i odbierane, co pozwala mu przechwytywać odpowiedzi serwera na szereg ataków, takich jak incydenty związane z HTTP, FTP, RCP i DNS.

    Network Sensor zawiera bazę ponad1200 sygnatur, powstałą w wyniku połączenia bibliotek sygnatur BlackICE i RealSecure. Poza własnym motorem analizy protokołów sensor ma możliwość importowania większości opublikowanych reguł Snort - za pośrednictwem modułu Trons, który jest podsystemem prawie całkowicie niezależnym od PAM (Protocol Analysis Module z RealSecure), co czyni cały system "podwójnym IDS".