Система предотвращения вторжений (англ. Intrusion Prevention System, IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Классификация
- Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
- IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.
- Анализатор поведения сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
- IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.
История разработок
История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:
Анализ сетевых пакетов
Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса, поразивший подключенные к сети Unix-компьютеры ноября 1988 года.
По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986 по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet, используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало всё, что было связано с Стратегической оборонной инициативой президента Рейгана). Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов, как первых систем обнаружения и фильтрации угроз.
Анализ программ и файлов
Эвристические анализаторы
Поведенческий блокиратор
С появлением новых видов угроз вспомнили о поведенческих блокираторах.
Первое поколение поведенческих блокираторов появилось ещё в середине 1990-х годов. Принцип их работы — при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого — как известного, так и неизвестного — вируса. Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого — неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA, можно с очень большой вероятностью отличить вредоносные действия от полезных.
Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.
Тестирование от Current Analysis
В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков — компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.
Для участников были сформулированы требования:
После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems, продукт получил название Cisco Security Agent).
Дальнейшее развитие
В 2003 году был опубликован отчёт компании Gartner, в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.
Методы реагирования на атаки
После начала атаки
Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного предотвращения атаки, защищаемой системе может быть нанесён ущерб.
Блокирование соединения
Если для атаки используется TCP-соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.
Метод характеризуется двумя основными недостатками:
Блокирование записей пользователей
Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.
Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.
Блокирование хоста компьютерной сети
Если с одного из хостов была зафиксирована атака, то может быть произведена его блокировка хостовыми датчиками или блокирование сетевых интерфейсов либо на нём, либо на маршрутизаторе или коммутаторе, при помощи которых хост подключён к сети. Разблокирование может происходить спустя заданный промежуток времени или при помощи активации администратора безопасности. Блокировка не отменяется из-за перезапуска или отключения от сети хоста. Так же для нейтрализации атаки можно блокировать цель, хост компьютерной сети.
Блокирование атаки с помощью межсетевого экрана
IPS формирует и отсылает новые конфигурации в МЭ, по которым экран будет фильтровать трафик от нарушителя. Такая реконфигурация может происходить в автоматическом режиме с помощью стандартов OPSEC (например SAMP, CPMI).
Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:
- на который будут поступать команды об изменении конфигурации МЭ.
- который будет редактировать конфигурации МЭ для модификации его параметров.
Изменение конфигурации коммуникационного оборудования
Для протокола SNMP, IPS анализирует и изменяет параметры из базы данных MIB (такие как таблиц маршрутизации, настройки портов) с помощью агента устройства, чтобы блокировать атаку. Также могут использованы протоколы TFTP, Telnet и др.
Активное подавление источника атаки
Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.
Такой метод реализован в нескольких некоммерческих ПО:
- NetBuster предотвращает проникновение в компьютер «Троянского коня». Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
- Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.
Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.
В начале атаки
Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.
С помощью сетевых датчиков
Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.
Анализ пакетов проводится на основе сигнатурного или поведенческого методов.
С помощью хостовых датчиков
- Удаленные атаки, реализуемые отправкой от злоумышленника серией пакетов. Защита реализуется с помощью сетевой компоненты IPS по аналогии с сетевыми датчиками, но в отличие от последних сетевая компонента перехватывает и анализирует пакеты на различных уровнях взаимодействия, что даёт предотвращать атаки по криптозащищённым IPsec- и SSL/TLS соединениям.
- Локальные атаки при несанкционированном запуске злоумышленником программ или других действиях, нарушающих информационную безопасность. Перехватывая системные вызовы всех приложений и анализируя их, датчики блокируют те вызовы, которые представляют опасность.