Systèmes modernes Les systèmes de sécurité de l'information se composent de nombreux composants qui fournissent des mesures de protection complètes à toutes les étapes du traitement et du stockage de l'information. L'un des éléments les plus importants des systèmes de sécurité est le système de prévention des intrusions (IPS).

Les systèmes IPS sont conçus pour détecter et bloquer les attaques sur le réseau et effectuer une analyse complète du trafic passant par des points contrôlés du réseau. Si un trafic malveillant est détecté, le flux est bloqué, ce qui empêche la poursuite du développement attaques. Pour rechercher des attaques, les systèmes utilisent une variété d'algorithmes et de bases de données de signatures pouvant contenir plusieurs milliers de définitions d'attaques, ce qui permet de bloquer la plupart des types d'attaques connus et leurs combinaisons.

Pour augmenter l'efficacité d'un système IPS, vous devez sélectionner des points de contrôle du trafic où les attaques seront bloquées, ce qui empêchera le trafic indésirable de se propager à d'autres parties du réseau. En règle générale, dans chaque organisation, les points de contrôle sont sélectionnés en fonction des objectifs commerciaux et de nombreux autres facteurs.

Actuellement, les équipementiers mettent en œuvre deux méthodes de placement : la méthode de connexion d'un équipement à une coupure réseau et la méthode de redirection des flux d'informations. Les deux ont leurs propres avantages et inconvénients qui doivent être pris en compte lors de la conception d'un système de protection.

Méthode de connexion de rupture de réseau fournit un contrôle total de tout le trafic passant par le point contrôlé, ce qui ne permet pas de "passer inaperçu". Cependant, cela crée un point de défaillance unique et la redondance doit être maintenue pour l'éliminer. Un autre inconvénient de cette méthode est qu'une telle connexion introduit des retards dans tout le trafic transitant par le dispositif, ce qui nécessite des dispositifs capables de fonctionner à la vitesse de la liaison de données.

Méthode de redirection consiste à installer un capteur (ou plusieurs capteurs) pour rechercher le trafic suspect dans le flux de données. Le flux vérifié est envoyé au capteur à partir des ports miroir du commutateur ou est dupliqué par d'autres moyens disponibles. Si un trafic suspect est détecté, l'itinéraire est modifié et le flux de trafic est redirigé vers l'appareil qui effectue vérification complète, qui décide finalement de bloquer ou d'autoriser le trafic. Dans le cas d'une décision de laisser le trafic revenir à l'itinéraire d'origine. Lorsqu'un capteur ou un dispositif IPS tombe en panne, la communication réseau n'est pas interrompue ; de plus, aucun retard n'est introduit dans le trafic "normal". Cependant, avec cette méthode, les attaques mises en œuvre par un seul paquet réseau peuvent réussir même si ce paquet est détecté. Un autre inconvénient est les exigences strictes en matière de équipement réseau avec lequel interagir.

Les dispositifs IPS sont placés aux emplacements appropriés selon le modèle sélectionné. En règle générale, ces points sont situés à la périphérie des réseaux ou représentent des points d'accès périphériques aux réseaux des fournisseurs. DANS Dernièrement en raison de l'amélioration des systèmes IPS et de l'augmentation des menaces internes, il existe une tendance à placer les appareils à l'intérieur des réseaux - pour un contrôle plus complet du trafic entre les services, les serveurs et les sous-réseaux de l'entreprise. En conséquence, les exigences en matière de fiabilité et d'exactitude du fonctionnement, ainsi que de performances des appareils, ont sensiblement augmenté.

Dans le même temps, les problèmes traditionnels d'élimination d'un point de défaillance unique sont toujours résolus de manière traditionnelle - en dupliquant les équipements et les composants, ce qui correspond en principe aux tendances générales de développement des équipements pour les tâches critiques. Examinons plus en détail les problèmes de fiabilité de fonctionnement et de performances de l'appareil.

Commençons par les performances. Ce problème est traditionnellement résolu de deux manières : soit en augmentant la puissance du processeur et le traitement parallèle, soit en créant des microcircuits spécialisés qui effectuent les opérations requises dans le matériel. La deuxième méthode est assez coûteuse en raison de l'utilisation de procédures de vérification de paquets complexes et "ramifiées", ce qui, à son tour, complique considérablement les microcircuits et augmente leur coût. Les fabricants de systèmes IPS utilisent diverses combinaisons de ces méthodes, ainsi que des méthodes traditionnelles de regroupement de dispositifs avec équilibrage de charge, ce qui vous permet de créer des dispositifs avec les paramètres de performance requis.

Et maintenant, parlons du problème le plus difficile qui afflige les appareils IPS - le problème des faux positifs. Le même problème est pertinent pour les systèmes de détection d'intrusion (IDS), mais contrairement aux IPS, ils ne nécessitent pas de soin particulier dans leur travail, car ces systèmes ne sont responsables que de la détection et de l'information. Avec les systèmes IPS, tout est beaucoup plus compliqué - avec un faux positif (comme avec une menace réelle), le trafic est bloqué, ce qui peut causer des dommages importants à l'organisation.

Pratiquement tous les fabricants de systèmes IPS ont des algorithmes "propriétaires" qui minimisent le nombre de faux positifs grâce à des tests rigoureux du matériel et des mises à jour, ce qui garantit une performances fiables réseaux.

Entre autres choses, différents fabricants ont des algorithmes qui diffèrent par leur spécialisation et ont efficacité différente lors de la détection et du blocage de différents types d'attaques, ce qui complique la création de solutions de protection.

Si la tâche d'intégration d'IPS et d'autres systèmes de sécurité dans la création de systèmes de sécurité complexes est encore difficile à résoudre, les tâches de gestion centralisée des systèmes IPS d'un seul fabricant sont résolues par des outils fournis par les fabricants, ce qui réduit également les coûts de gestion du système. car applique de manière centralisée les politiques de sécurité.

Ainsi, les systèmes IPS agissent comme un élément efficace des systèmes sécurité intégrée, mais leur mise en œuvre et leur support est une tâche très difficile qui nécessite des spécialistes hautement qualifiés, ce qui exclut pratiquement création indépendante solution efficace basés sur eux.

Système de prévention des intrusions(English Intrusion Prevention System, IPS) - un réseau logiciel ou matériel et un système de sécurité informatique qui détecte les intrusions ou les failles de sécurité et s'en protège automatiquement.

Les systèmes IPS peuvent être considérés comme une extension des systèmes de détection d'intrusion (IDS) car la tâche de suivi des attaques reste la même. Cependant, ils diffèrent en ce que l'IPS doit surveiller l'activité en temps réel et agir rapidement pour prévenir les attaques.

YouTube encyclopédique

1 / 5

Principes de base de l'IPS

Analyse de la sécurité de l'infrastructure réseau

Système et solutions de détection d'attaques Outpost

Contrôle des applications avec les services FirePOWER

Cisco NGFW, si moderne et si différent des autres UTI de nouvelle génération

Les sous-titres

Classification

IPS réseau (Prévention des intrusions basée sur le réseau, NIPS) : surveiller le trafic sur un réseau informatique et bloquer les flux de données suspects.

• IPS pour les réseaux sans fil (Systèmes de prévention des intrusions sans fil, WIPS) : vérifie l'activité dans réseaux sans fil. En particulier, il détecte les points mal configurés accès sans fil au réseau, attaques man-in-the-middle, usurpation d'adresse mac.
• Analyseur de comportement réseau (Analyse du comportement du réseau, NBA): analyses trafic réseau, identifie les flux atypiques tels que les attaques DoS et DDoS.
• IPS pour ordinateurs individuels (Prévention des intrusions basée sur l'hôte, HIPS): programmes résidents qui détectent les activités suspectes sur l'ordinateur.

Historique du développement

L'histoire du développement des IPS modernes comprend l'histoire du développement de plusieurs solutions indépendantes, des méthodes de protection proactives qui ont été développées à différents moments pour différents types de menaces. Les méthodes de protection proactives offertes par le marché aujourd'hui comprennent les éléments suivants :

1. Process Behavior Analyzer pour analyser le comportement des processus en cours d'exécution dans le système et détecter les activités suspectes, c'est-à-dire les logiciels malveillants inconnus.
2. Éliminer la possibilité d'infection sur l'ordinateur, bloquer les ports déjà utilisés par les virus connus et ceux qui peuvent être utilisés par leurs nouvelles modifications.
3. Prévention du débordement de tampon dans les programmes et services les plus courants, qui est le plus souvent utilisé par les attaquants pour mener une attaque.
4. Minimiser les dommages causés par l'infection, empêcher sa reproduction ultérieure, restreindre l'accès aux fichiers et répertoires ; détection et blocage de la source d'infection dans le réseau.

Analyse des paquets réseau

Habituellement, le ver Morris, qui a infecté les ordinateurs Unix en réseau en novembre 1988, est cité comme la première menace pour contrer les intrusions.

Selon une autre théorie, les actions d'un groupe de pirates informatiques en collaboration avec les services secrets de l'URSS et de la RDA sont devenues l'incitation à la création d'une nouvelle fortification. Entre 1986 et 1989, le groupe, dont le leader idéologique était Markus Hess, a transmis à ses agences nationales de renseignement des informations obtenues par intrusion dans des ordinateurs. Tout a commencé avec un compte inconnu de seulement 75 cents au National Laboratory. E. Lawrence à Berkeley. Une analyse de ses origines a finalement conduit à Hess, qui travaillait comme programmeur pour une petite entreprise ouest-allemande et appartenait également au groupe extrémiste Chaos Computer Club, basé à Hambourg. L'invasion qu'il a organisée a commencé par un appel de chez lui via un simple modem, lui fournissant une connexion avec le réseau européen Datex-P, puis pénétrant dans l'ordinateur de la bibliothèque de l'Université de Brême, où le pirate a reçu les privilèges nécessaires et déjà avec se dirigea vers le Laboratoire national. E. Lawrence à Berkeley. Le premier journal a été enregistré le 27 juillet 1987, et sur 400 ordinateurs disponibles, il a pu accéder à environ 30, puis faire discrètement de l'obstruction systématique dans Réseau fermé Milnet, utilisant notamment un fichier piège appelé Strategic Defence Initiative Network Project (il s'intéressait à tout ce qui concernait l'Initiative de défense stratégique du président Reagan). Une réponse immédiate à l'émergence de menaces réseau externes a été la création de pare-feux, premiers systèmes de détection et de filtrage des menaces.

Analyse des programmes et des fichiers

Analyseurs heuristiques

Bloqueur de comportement

Avec l'avènement de nouveaux types de menaces, on s'est souvenu des bloqueurs comportementaux.

La première génération de bloqueurs comportementaux est apparue au milieu des années 90. Le principe de leur travail - lorsqu'une action potentiellement dangereuse était détectée, il était demandé à l'utilisateur d'autoriser ou de refuser l'action. Théoriquement, le bloqueur est capable d'empêcher la propagation de tout virus - connu et inconnu. Le principal inconvénient des premiers bloqueurs comportementaux était un nombre excessif de requêtes adressées à l'utilisateur. La raison en est l'incapacité d'un bloqueur comportemental à juger de la nocivité d'une action. Cependant, dans les programmes écrits en VBA, il est possible de distinguer les actions malveillantes des actions bénéfiques avec une probabilité très élevée.

La deuxième génération de bloqueurs comportementaux est différente en ce sens qu'ils analysent non pas des actions individuelles, mais une séquence d'actions et, sur cette base, tirent une conclusion sur la nocivité d'un logiciel particulier.

Test à partir de l'analyse actuelle

En 2003, Current Analysis, dirigé par Mike Fratto, a invité les fournisseurs suivants à tester les produits HIP - Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( partie d'IBM) et WatchGuard. En conséquence, seuls les produits suivants ont été testés dans le RealWorld Lab de l'Université de Syracuse : PitBull LX et PitBull Protector d'Argus, eTrust Access Control de CA, Web Server Edition d'Entercept, Harris' STAT Neutralizer, Okena's StormWatch et StormFront, Okena's ServerLock et AppLock/Web Surveilleur.

Les exigences suivantes ont été formulées pour les participants :

1. Le produit doit vous permettre de gérer de manière centralisée une politique de sécurité de l'hôte qui limite l'accès aux applications uniquement à ceux ressources système, qui sont requis par eux (applications) pour fonctionner.
2. Le produit doit pouvoir créer une politique d'accès pour n'importe quelle application serveur.
3. Le produit doit contrôler l'accès au système de fichiers, aux ports réseau, aux ports d'E/S et aux autres moyens de communication du système d'exploitation avec les ressources externes. En outre, une couche de protection supplémentaire devrait permettre de bloquer les débordements de tampon de pile et de tas.
4. Le produit doit établir la dépendance de l'accès aux ressources sur le nom de l'utilisateur (application) ou son appartenance à un groupe particulier.

Après un mois et demi de tests, le produit StormWatch d'Okena (acquis plus tard par Cisco Systems, le produit a été nommé Cisco Security Agent) a gagné.

La poursuite du développement

En 2003, un rapport Gartner est publié, qui prouve l'inefficacité de la génération IDS de l'époque et prédit leur inévitable équipement en IPS. Après cela, les développeurs IDS ont commencé à combiner souvent leurs produits avec IPS.

Méthodes de réponse aux attaques

Après le début de l'attaque

Des procédés sont mis en œuvre après la détection d'une attaque d'informations. Cela signifie que même en cas d'exécution réussie, le système protégé peut être endommagé.

Blocage de connexion

Si une connexion TCP est utilisée pour l'attaque, elle est fermée en envoyant à chacun ou à l'un des participants un paquet TCP avec l'indicateur RST défini. Par conséquent, l'attaquant ne peut pas poursuivre l'attaque en utilisant cette connexion réseau. Cette méthode, le plus souvent mis en œuvre à l'aide de capteurs réseau existants.

La méthode présente deux inconvénients principaux :

1. Ne prend pas en charge les protocoles non TCP qui ne nécessitent pas de connexion préétablie (tels que UDP et ICMP).
2. La méthode ne peut être utilisée qu'après que l'attaquant a déjà obtenu une connexion non autorisée.

Blocage des enregistrements d'utilisateurs

Si plusieurs comptes d'utilisateurs ont été compromis à la suite d'une attaque ou se sont avérés être leurs sources, ils sont alors bloqués par les capteurs hôtes du système. Pour bloquer les capteurs doivent être exécutés sous un compte avec des droits d'administrateur.

En outre, le blocage peut se produire pendant une période spécifiée, qui est déterminée par les paramètres du système de prévention des intrusions.

Blocage de l'hôte du réseau informatique

Pour les pare-feux qui ne prennent pas en charge les protocoles OPSEC, un module adaptateur peut être utilisé pour interagir avec le système de prévention des intrusions :

• qui recevra des commandes pour modifier la configuration ME.
• qui éditera la configuration ME pour modifier ses paramètres.
Suppression de source active

La méthode peut théoriquement être utilisée si d'autres méthodes sont inutiles. IPS détecte et bloque les paquets de l'intrus et attaque son nœud, à condition que son adresse soit déterminée de manière unique et qu'à la suite de telles actions, d'autres nœuds légitimes ne soient pas lésés.

Cette méthode est implémentée dans plusieurs logiciels non commerciaux :

• NetBuster empêche un cheval de Troie d'infiltrer votre ordinateur. Il peut également être utilisé comme un moyen de "fool-the-one-trying-to-NetBus-you" ("tromper quelqu'un qui essaie de vous pénétrer sur un cheval de Troie"). Dans ce cas, il recherche malware et détermine l'ordinateur qui l'a lancé, puis renvoie ce programme au destinataire.
• Tambu UDP Scrambler fonctionne avec les ports UDP. Le produit n'agit pas seulement comme un port UDP factice, il peut être utilisé pour paralyser l'équipement des pirates avec un petit programme d'inondation UDP.

Puisqu'il est impossible de garantir le respect de toutes les conditions, l'application à grande échelle de la méthode dans la pratique n'est pas encore possible.

Au début de l'attaque

Les procédés mettent en œuvre des mesures qui empêchent les attaques détectées avant qu'elles n'atteignent la cible.

Avec capteurs réseau

Des capteurs réseau sont installés dans l'interstice du canal de communication afin d'analyser tous les paquets qui passent. Pour ce faire, ils sont équipés de deux adaptateurs réseau fonctionnant en « mode mixte », pour la réception et pour la transmission, écrivant tous les paquets passants en mémoire tampon, d'où ils sont lus par le module de détection d'attaque IPS. Si une attaque est détectée, ces packages peuvent être supprimés.

L'analyse de paquets est basée sur des méthodes de signature ou comportementales.

Actuellement, la protection offerte par le pare-feu et l'antivirus n'est plus efficace contre les attaques réseau et les logiciels malveillants. Les solutions de classe IDS / IPS viennent au premier plan, qui peuvent détecter et bloquer les menaces connues et encore inconnues.

INFO

• A propos de Mod_Security et GreenSQL-FW, lisez l'article "The Last Frontier", ][_12_2010.
• Comment apprendre à iptables à "regarder" à l'intérieur du paquet, lisez l'article "Fire Shield", ][_12_2010.

Technologies IDS/IPS

Pour faire un choix entre IDS ou IPS, vous devez comprendre leurs principes de fonctionnement et leur objectif. Ainsi, la tâche de l'IDS (Intrusion Detection System) est de détecter et d'enregistrer les attaques, ainsi que de notifier le déclenchement d'une certaine règle. Selon le type, IDS peut détecter différents types d'attaques réseau, détecter les tentatives d'accès non autorisé ou d'élévation de privilèges, l'apparition de logiciels malveillants, suivre la découverte d'un nouveau le porter. e. Contrairement pare-feu, qui contrôle uniquement les paramètres de session (IP, numéro de port et état de la connexion), IDS "regarde" à l'intérieur du paquet (jusqu'au septième niveau OSI), analysant les données transmises. Il existe plusieurs types de systèmes de détection d'intrusion. Les APIDS (Application protocol-based IDS), qui surveillent une liste limitée de protocoles d'application pour des attaques spécifiques, sont très populaires. Les représentants typiques de cette classe sont PHPIDS , qui parse les requêtes aux applications PHP, Mod_Security, qui protège le serveur web (Apache), et GreenSQL-FW, qui bloque les commandes SQL dangereuses (voir l'article "Last Frontier" dans][_12_2010).

Les réseaux NIDS (Network Intrusion Detection System) sont plus polyvalents, grâce à la technologie DPI (Deep Packet Inspection). Ils ne contrôlent pas une application spécifique, mais tout le trafic passant, à partir de la couche liaison.

Pour certains filtres de paquets, la possibilité de "regarder à l'intérieur" et de bloquer le danger est également implémentée. Les exemples incluent les projets OpenDPI et Fwsnort. Ce dernier est un programme pour convertir la base de données de signatures Snort en règles de blocage équivalentes pour iptables. Mais initialement, le pare-feu est affûté pour d'autres tâches, et la technologie DPI est «overhead» pour le moteur, de sorte que les fonctions de traitement de données supplémentaires se limitent au blocage ou au marquage de protocoles strictement définis. L'IDS alerte uniquement toute activité suspecte. Pour bloquer l'hôte attaquant, l'administrateur reconfigure lui-même le pare-feu en consultant les statistiques. Naturellement, aucune réponse en temps réel n'est hors de question ici. C'est pourquoi les IPS (Intrusion Prevention System, système de prévention des attaques) sont plus intéressants aujourd'hui. Ils sont basés sur IDS et peuvent indépendamment reconstruire le filtre de paquets ou terminer la session en envoyant un TCP RST. Selon le principe de fonctionnement, l'IPS peut être installé « en pause » ou utiliser la mise en miroir du trafic (SPAN) reçu de plusieurs capteurs. Par exemple, l'explosion est mise en scène par Hogwash Light BR, qui travaille sur l'auteur Niveau OSI. Un tel système peut ne pas avoir d'adresse IP, ce qui signifie qu'il reste invisible pour un intrus.

Dans la vie ordinaire, la porte est non seulement verrouillée, mais également protégée en laissant un garde à proximité, car ce n'est que dans ce cas que l'on peut être sûr de la sécurité. BIT en tant que tels gardes de sécurité sont des IPS hôtes (voir "The New Defensive Frontier" in][_08_2009), qui protègent le système local contre les virus, les rootkits et le piratage. Ils sont souvent confondus avec les antivirus qui disposent d'un module de protection proactive. Mais HIPS, en règle générale, n'utilise pas de signatures, ce qui signifie qu'ils ne nécessitent pas de mises à jour constantes de la base de données. Ils contrôlent beaucoup plus paramètres système: processus, intégrité des fichiers système et du registre, entrées dans les journaux et bien plus encore.

Afin d'avoir un contrôle total sur la situation, il est nécessaire de contrôler et de corréler les événements à la fois au niveau du réseau et au niveau de l'hôte. À cette fin, des IDS hybrides ont été créés qui collectent des données provenant de différentes sources ( systèmes similaires souvent appelé SIM - Security Information Management). Parmi les projets OpenSource, le Prelude Hybrid IDS est intéressant, collectant les données de presque tous les IDS / IPS OpenSource et comprenant le format de journal de diverses applications (le support de ce système a été suspendu il y a plusieurs années, mais les packages collectés peuvent toujours être trouvés dans le Référentiels Linux et *BSD).

Même les pros peuvent s'embrouiller dans la variété des solutions proposées. Aujourd'hui nous ferons connaissance représentants éminents Systèmes IDS/IPS.

Contrôle unifié des menaces

L'Internet moderne véhicule un grand nombre de menaces, de sorte que les systèmes hautement spécialisés ne sont plus pertinents. Il est nécessaire d'utiliser une solution multifonctionnelle complète qui inclut tous les composants de protection : pare-feu, IDS/IPS, antivirus, serveur proxy, filtre de contenu et filtre antispam. Ces appareils sont appelés UTM (Unified Threat Management, Unified Threat Management). Des exemples d'UTM incluent Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances ou des distributions Linux spécialisées telles que Untangle Gateway, IPCop Firewall, pfSense (lire leur revue dans l'article Network Regulators, ] [_01_2010).

Suricate

La version bêta de cet IDS/IPS a été rendue publique en janvier 2010 après trois ans de développement. L'un des principaux objectifs du projet est de créer et de tester des technologies de détection d'intrusion entièrement nouvelles. Derrière Suricata se trouve l'OISF, qui a le soutien de partenaires sérieux, dont les gars du département américain de la sécurité intérieure. Le numéro de version 1.1, publié en novembre 2011, est pertinent aujourd'hui. Le code du projet est distribué sous licence GPLv2, mais les partenaires financiers ont accès à une version non GPL du moteur qu'ils peuvent utiliser dans leurs produits. Pour obtenir un maximum de résultats, la communauté est impliquée dans les travaux, ce qui permet d'atteindre un taux de développement très élevé. Par exemple, par rapport à la précédente version 1.0, la quantité de code dans la 1.1 a augmenté de 70 %. Certains IDS modernes avec une longue histoire, y compris Snort, n'utilisent pas les systèmes multiprocesseurs / multicœurs de manière très efficace, ce qui entraîne des problèmes lors du traitement de grandes quantités de données. Suricata fonctionne nativement en mode multi-thread. Les benchmarks montrent qu'il surpasse Snort six fois en vitesse (sur un système avec 24 CPU et 128 Go de RAM). Lorsqu'il est construit avec l'option '--enable-cuda', l'accélération matérielle côté GPU est activée. Initialement, IPv6 est supporté (dans Snort il est activé avec la clé ‘-enable-ipv6’), des interfaces standards sont utilisées pour intercepter le trafic : LibPcap, NFQueue, IPFRing, IPFW. En général, la disposition modulaire vous permet de connecter rapidement le bon élément pour capturer, décoder, analyser ou traiter les paquets. Le blocage est effectué à l'aide du filtre de paquets standard du système d'exploitation (sous Linux, pour activer le mode IPS, vous devez installer les bibliothèques netlink-queue et libnfnetlink). Le moteur détecte et analyse automatiquement les protocoles (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP et SCTP), il n'est donc pas nécessaire de se lier à un numéro de port dans les règles (comme le fait Snort), vous juste besoin de définir une action pour protocole souhaité. Ivan Ristic, l'auteur de Mod_security, a créé une bibliothèque HTP personnalisée que Suricata utilise pour analyser le trafic HTTP. Les développeurs s'efforcent principalement d'obtenir une précision de détection et d'augmenter la vitesse de vérification des règles.

La sortie des résultats est unifiée, vous pouvez donc utiliser des utilitaires standard pour les analyser. En fait, tous les back-ends, interfaces et analyseurs écrits pour Snort (Barnyard, Snortsnarf, Sguil, etc.) fonctionnent sans modifications avec Suricata. C'est aussi un gros plus. L'échange HTTP est enregistré en détail dans un fichier format standard Apache.

Le mécanisme de détection dans Suricata est basé sur des règles. Ici, les développeurs n'ont encore rien inventé, mais ont permis de connecter des ensembles de règles créés pour d'autres projets : Sourcefire VRT (peut être mis à jour via Oinkmaster) et Emerging Threats Pro. Dans les premières versions, le support n'était que partiel et le moteur ne reconnaissait pas et ne chargeait pas certaines règles, mais maintenant ce problème est résolu. Implémentation de son propre format de règles, rappelant extérieurement celui de Snort. Une règle comporte trois composants : une action (réussite, suppression, rejet ou alerte), un en-tête (IP/port source et destination) et une description (ce qu'il faut rechercher). Des variables (mécanisme flowint) sont utilisées dans les paramètres, permettant par exemple de créer des compteurs. Dans le même temps, les informations du flux peuvent être stockées pour une utilisation ultérieure. Cette approche, utilisée pour suivre les tentatives de deviner le mot de passe, est plus efficace que la méthode utilisée dans Snort, qui fonctionne sur une valeur seuil. Il est prévu de créer un mécanisme d'IP Reputation (comme SensorBase Cisco, voir l'article "Touch Cisco" dans][_07_2011).

En résumé, Suricata est un moteur plus rapide que Snort, entièrement compatible avec les back-ends et capable de vérifier de grands flux réseau. Le seul inconvénient du projet est la mauvaise documentation, bien qu'un administrateur expérimenté n'ait besoin de rien pour comprendre les paramètres. Des packages d'installation sont déjà apparus dans les référentiels des distributions, et des instructions claires pour l'auto-assemblage à partir de la source sont disponibles sur le site du projet. Il existe également une distribution Smooth-sec prête à l'emploi basée sur Suricata.

Samain

Publié sous une licence OpenSource, Samhain est un IDS hôte qui protège ordinateur séparé. Il utilise plusieurs méthodes d'analyse pour couvrir entièrement tous les événements se produisant dans le système :

• création au premier démarrage de la base de données des signatures des fichiers importants et sa comparaison dans le futur avec le système « live » ;
• surveillance et analyse des enregistrements dans les revues;
• contrôle des entrées/sorties du système ;
• surveiller les connexions aux ports réseau ouverts ;
• contrôle des fichiers par set SUID des processus cachés.

Le programme peut être lancé mode furtif(module du noyau activé) lorsque les processus du noyau ne peuvent pas être détectés en mémoire. Samhain prend également en charge la surveillance de plusieurs nœuds exécutant différents systèmes d'exploitation en enregistrant tous les événements sur un point d'eau. Dans le même temps, les agents installés sur les nœuds distants envoient toutes les informations collectées (TCP, AES, signature) au serveur (yule) via un canal crypté, qui les stocke dans la base de données (MySQL, PostgreSQL, Oracle). De plus, le serveur est chargé de vérifier l'état des systèmes clients et de distribuer les mises à jour des fichiers de configuration. Mise en place de plusieurs options d'alertes et d'envoi des informations collectées : e-mail (le mail est signé pour éviter la falsification), syslog, fichier log (signé), Nagios, console, etc. La gestion peut être faite par plusieurs administrateurs avec des rôles clairement définis.

Le package est disponible dans les référentiels de presque toutes les distributions Linux, le site Web du projet contient une description de la façon d'installer Samhain sous Windows.

Système de prévention des intrusions StoneGate

Cette solution a été développée par une société finlandaise qui crée des produits de classe entreprise dans le domaine de sécurité Internet. Il implémente toutes les fonctions requises : IPS, protection contre les attaques DDoS et 0day, filtrage web, support du trafic crypté, etc. Grâce à StoneGate IPS, vous pouvez bloquer les virus, les spywares, certaines applications (P2P, IM, etc.). Pour le filtrage Web, une base de données de sites constamment mise à jour est utilisée, divisée en plusieurs catégories. Une attention particulière est portée à la protection contre le contournement des systèmes de sécurité AET (Advanced Evasion Techniques). La technologie Transparent Access Control vous permet de diviser un réseau d'entreprise en plusieurs segments virtuels sans modifier la topologie réelle et de définir des politiques de sécurité individuelles pour chacun d'eux. Les politiques d'inspection du trafic sont configurées à l'aide de modèles contenant des règles types. Ces politiques sont créées hors ligne. L'administrateur vérifie les politiques qui ont été créées et les télécharge sur les hôtes IPS distants. Les événements similaires dans StoneGate IPS sont traités selon le principe utilisé dans les systèmes SIM/SIEM, ce qui facilite grandement l'analyse. Plusieurs appareils peuvent être facilement regroupés et intégrés à d'autres solutions StoneSoft - StoneGate Firewall/VPN et StoneGate SSL VPN. La gestion est assurée à partir d'une console de gestion unique (StoneGate Management Center), qui se compose de trois composants : Management Server, Log Server et Management Client. La console permet non seulement de configurer le fonctionnement de l'IPS et de créer de nouvelles règles et politiques, mais également de surveiller et d'afficher les journaux. Il est écrit en Java, donc des versions Windows et Linux sont disponibles.

StoneGate IPS est disponible à la fois en tant que package matériel et en tant qu'image VMware. Ce dernier est conçu pour être installé sur votre propre matériel ou dans une infrastructure virtuelle. Soit dit en passant, contrairement aux créateurs de nombreuses solutions similaires, la société de développement vous permet de télécharger une version test de l'image.

Système de prévention des intrusions sur le réseau IBM Security

Le système de prévention des attaques développé par IBM utilise une technologie d'analyse de protocole brevetée qui offre une protection proactive, y compris contre les menaces 0day. Comme tous les produits de la série IBM Security, il est basé sur le module d'analyse de protocole - PAM (Protocol Analysis Module), qui combine la méthode traditionnelle de détection d'attaque par signature (Proventia OpenSignature) et un analyseur comportemental. Dans le même temps, PAM distingue 218 protocoles de couche application (attaques via VoIP, RPC, Informatique HTTP. e.) Formats de données tels que DOC, XLS, PDF, ANI, JPG pour prédire où le code malveillant pourrait être injecté. Plus de 3000 algorithmes sont utilisés pour analyser le trafic, dont 200 « attrapent » les DoS. Les fonctionnalités de pare-feu autorisent l'accès à certains ports et IP uniquement, éliminant ainsi le besoin d'impliquer appareil supplémentaire. La technologie Virtual Patch bloque les virus pendant la phase de propagation et protège les ordinateurs jusqu'à l'installation d'une mise à jour qui corrige une vulnérabilité critique. Si nécessaire, l'administrateur lui-même peut créer et utiliser la signature. Le module de contrôle des applications vous permet de gérer les contrôles P2P, IM, ActiveX, les outils VPN, etc. et, si nécessaire, de les bloquer. Module DLP implémenté qui surveille les tentatives de transmission information confidentielle et le mouvement des données au sein d'un réseau protégé, ce qui vous permet d'évaluer les risques et de bloquer les fuites. Par défaut, huit types de données sont reconnus (numéros de carte de crédit, numéros de téléphone...), l'administrateur définit lui-même le reste des informations spécifiques à l'organisation à l'aide expressions régulières. Actuellement, la plupart des vulnérabilités se trouvent dans les applications Web. Le produit IBM comprend donc un module spécial de sécurité des applications Web qui protège les systèmes contre les types d'attaques courants : injection SQL, injection LDAP, XSS, piratage JSON, inclusions de fichiers PHP, CSRF, etc. .d.

Plusieurs options sont disponibles lorsqu'une attaque est détectée - bloquer l'hôte, envoyer une alerte, écrire le trafic d'attaque (dans un fichier compatible tcpdump), mettre l'hôte en quarantaine, effectuer une action configurable par l'utilisateur et quelques autres. Les politiques sont écrites pour chaque port, adresse IP ou zone VLAN. Le mode haute disponibilité garantit que si l'un des multiples dispositifs IPS du réseau tombe en panne, le trafic passera par l'autre et les connexions établies se poursuivront. Tous les sous-systèmes à l'intérieur du morceau de fer - RAID, alimentation, ventilateur de refroidissement - sont dupliqués. La configuration de la console Web est la plus simple possible (les formations ne durent qu'une journée). Si vous disposez de plusieurs dispositifs, vous achetez généralement IBM Security SiteProtector, qui fournit une gestion centralisée, une analyse des journaux et des rapports.

Plate-forme de sécurité réseau McAfee 7

IntruShield IPS, fabriqué par McAfee, de mon tempsétait l'une des solutions IPS populaires. McAfee Network Security Platform 7 (NSP) en est désormais basé. En plus de toutes les fonctions du NIPS classique, le nouveau produit a reçu des outils d'analyse des paquets transmis par le réseau interne de l'entreprise, ce qui permet de détecter le trafic malveillant initié par les ordinateurs infectés. McAfee utilise la technologie Global Threat Intelligence, qui collecte des informations à partir de centaines de milliers de capteurs installés dans le monde et évalue la réputation de tous les fichiers uniques, adresses IP et URL et protocoles. Grâce à cela, NSP peut détecter le trafic de botnet, détecter les menaces 0day et les attaques DDoS, et une attaque à large couverture peut réduire le risque de faux positif.

Tous les IDS/IPS ne peuvent pas fonctionner dans un environnement de machine virtuelle, car tous les échanges ont lieu sur des interfaces internes. Mais NSP n'a aucun problème avec cela, il peut analyser le trafic entre les VM, ainsi qu'entre la VM et l'hôte physique. Pour la surveillance des nœuds, un module d'agent de Reflex Systems est utilisé, qui collecte les informations de trafic dans la machine virtuelle et les transfère à l'environnement physique pour analyse.

Le moteur distingue plus de 1100 applications exécutées au niveau de la septième couche OSI. Il examine le trafic à l'aide d'un moteur d'analyse de contenu et fournit des outils de gestion simples.

En plus de NIPS, McAfee lance l'IPS hébergé - Host Intrusion Prevention for Desktop, qui fournit une protection complète des PC à l'aide de méthodes de détection des menaces telles que l'analyse du comportement des signatures, la surveillance de l'état de la connexion à l'aide d'un pare-feu et l'évaluation de la réputation pour bloquer les attaques.

Où déployer IDS/IPS ?

Pour tirer le meilleur parti d'IDS/IPS, les directives suivantes doivent être suivies :

• Le système doit être déployé à l'entrée d'un réseau ou d'un sous-réseau protégé et généralement derrière un pare-feu (cela n'a aucun sens de contrôler le trafic qui sera bloqué) - de cette façon, nous réduirons la charge. Dans certains cas, des capteurs sont installés à l'intérieur du segment.
• Avant d'activer la fonction IPS, vous devez conduire le système pendant un certain temps en mode IDS non bloquant. À l'avenir, vous devrez ajuster périodiquement les règles.
• La plupart des paramètres IPS sont définis pour des réseaux typiques. Dans certains cas, ils peuvent être inefficaces, il est donc nécessaire de préciser l'IP des sous-réseaux internes et les applications (ports) utilisées. Cela aidera le morceau de fer à mieux comprendre à quoi il a affaire.
• Si le système IPS est installé "hors service", il est nécessaire de contrôler ses performances, sinon la panne de l'appareil peut facilement paralyser l'ensemble du réseau.

Conclusion

Nous ne déterminerons pas les gagnants. Le choix dans chaque cas dépend du budget, de la topologie du réseau, des fonctions de protection requises, de la volonté de l'administrateur de jouer avec les paramètres et, bien sûr, des risques. Les solutions commerciales bénéficient d'un support et sont fournies avec des certificats, ce qui permet d'utiliser ces solutions dans des organisations impliquées dans le traitement de données personnelles.Distribué sous licence OpenSource, Snort est bien documenté, dispose d'une base de données suffisamment importante et d'un bon historique pour être sollicité. par les administrateurs utilisateurs. Un snim Suricata compatible peut bien protéger un réseau à fort trafic et, surtout, est absolument gratuit.

DANS monde idéal, uniquement ceux qui ont besoin d'entrer dans votre réseau - collègues, amis, employés de l'entreprise .. En d'autres termes, ceux que vous connaissez et en qui vous avez confiance.

Dans le monde réel, il est souvent nécessaire de donner accès au réseau interne à des clients, des éditeurs de logiciels, etc. Parallèlement, grâce à la mondialisation et au développement généralisé de la pige, l'accès à des personnes que vous ne connaissez pas très bien et ne pas faire confiance devient déjà une nécessité.

Mais dès que vous décidez d'ouvrir l'accès à votre réseau interne 24h/24 et 7j/7, vous devez comprendre que non seulement les "bons" utiliseront cette "porte". Habituellement, en réponse à une telle déclaration, vous pouvez entendre quelque chose comme « eh bien, il ne s'agit pas de nous, nous avons une petite entreprise », « qui a besoin de nous », « que nous n'avons rien à casser ».

Et ce n'est pas tout à fait vrai. Même si vous imaginez une entreprise dans laquelle les ordinateurs n'ont rien d'autre qu'un système d'exploitation fraîchement installé, ce sont des ressources. Des ressources qui peuvent fonctionner. Et pas seulement sur vous.

Par conséquent, même dans ce cas, ces machines peuvent devenir la cible d'attaquants, par exemple pour créer un botnet, miner des bitcoins, cracker des hachages…

Il existe également la possibilité d'utiliser des machines de votre réseau pour envoyer par proxy les requêtes des attaquants. Ainsi, leurs activités illégales vous enchaîneront dans la chaîne des colis et ajouteront au moins un casse-tête à l'entreprise en cas de litige.

Et ici la question se pose : comment distinguer les actions légales des actions illégales ?

En fait, le système de détection d'intrusion devrait répondre à cette question. Avec lui, vous pouvez détecter la plupart des attaques bien connues sur votre réseau et avoir le temps d'arrêter les attaquants avant qu'ils n'atteignent quelque chose d'important.

Habituellement, à ce stade du raisonnement, l'idée surgit que ce qui est décrit ci-dessus peut être exécuté par un pare-feu ordinaire. Et c'est correct, mais pas dans tout.

La différence entre les fonctions de pare-feu et IDS peut ne pas être visible à première vue. Mais un IDS est généralement capable de comprendre le contenu des paquets, les en-têtes et le contenu, les drapeaux et les options, pas seulement les ports et les adresses IP. Autrement dit, IDS comprend le contexte, qui n'est généralement pas en mesure de pare-feu. Sur cette base, nous pouvons dire que l'IDS remplit les fonctions d'un pare-feu, mais de manière plus intelligente. Ce n'est pas typique pour un pare-feu classique lorsque, par exemple, il est nécessaire d'autoriser les connexions au port 22 (ssh), mais de ne bloquer que certains paquets contenant certaines signatures.

Les pare-feu modernes peuvent être étendus avec divers plugins qui peuvent faire des choses similaires liées à l'inspection approfondie des packages. Souvent, ces plug-ins sont proposés par les fournisseurs d'IDS eux-mêmes pour renforcer la connexion Firewall-IDS.

En tant qu'abstraction, vous pouvez considérer l'IDS comme le système d'alarme de votre maison ou de votre bureau. IDS surveillera le périmètre et vous fera savoir quand quelque chose d'imprévu se produit. Mais en même temps, IDS n'empêchera en aucune façon la pénétration.

Et cette fonctionnalité conduit au fait que, dans sa forme pure, l'IDS n'est très probablement pas ce que vous attendez de votre système de sécurité (très probablement, vous ne voudrez pas qu'un tel système protège votre maison ou votre bureau - il n'y a pas de serrures dedans ).

Par conséquent, presque tous les IDS sont désormais une combinaison d'IDS et d'IPS (Intrusion Prevention System - Intrusion Prevention System).

De plus, il est nécessaire de bien comprendre la différence entre IDS et VS (Vulnerability Scanner - Vulnerability Scanner). Et ils diffèrent par le principe d'action. Les scanners de vulnérabilité sont une mesure préventive. Vous pouvez scanner toutes vos ressources. Si le scanner trouve quelque chose, vous pouvez le réparer.

Mais, après le moment où vous avez effectué une analyse et avant la prochaine analyse, des changements peuvent se produire dans l'infrastructure, et votre analyse perd tout son sens, car elle ne reflète plus l'état réel des choses. Des éléments tels que les configurations, les paramètres des services individuels, les nouveaux utilisateurs, les autorisations peuvent changer. utilisateurs existants, ajouter de nouvelles ressources et services au réseau.

La différence entre les IDS est qu'ils effectuent la détection en temps réel, avec la configuration actuelle.

Il est important de comprendre qu'IDS, en fait, ne sait rien des vulnérabilités des services sur le réseau. Elle n'en a pas besoin. Il détecte les attaques selon ses propres règles - dès l'apparition de signatures dans le trafic sur le réseau. Ainsi, si l'IDS contient, par exemple, des signatures pour des attaques sur Apache WebServer, et que vous ne l'avez nulle part, l'IDS détectera toujours les packages avec de telles signatures (peut-être que quelqu'un essaie d'envoyer un exploit d'Apache à nginx hors de l'ignorance, ou cela fait une boîte à outils automatisée).

Bien sûr, une telle attaque contre un service inexistant ne mènera à rien, mais avec IDS, vous saurez qu'une telle activité a lieu.

Une bonne solution consiste à combiner des analyses de vulnérabilité périodiques avec IDS/IPS activé.

Méthodes de détection d'intrusion. Solutions logicielles et matérielles.

Aujourd'hui, de nombreux fournisseurs proposent leurs propres solutions IDS/IPS. Et ils vendent tous leurs produits de différentes manières.

Les différentes approches sont dues aux différentes approches de la catégorisation des événements de sécurité, des attaques et des intrusions.

La première chose à considérer est l'échelle : l'IDS/IPS ne fonctionnera-t-il qu'avec le trafic d'un hôte spécifique, ou examinera-t-il le trafic de l'ensemble du réseau.

Deuxièmement, c'est ainsi que le produit est initialement positionné : il peut solutions logicielles, ou peut-être du matériel.

Regardons le soi-disant IDS basé sur l'hôte (HIDS - Host-based Intrusion Detection System)

HIDS n'est qu'un exemple d'implémentation logicielle d'un produit et est installé sur une machine. Ainsi, un système de ce type ne "voit" que les informations disponibles sur une machine donnée et, par conséquent, ne détecte les attaques affectant que cette machine. L'avantage des systèmes de ce type est qu'étant sur la machine, ils voient toute sa structure interne et peuvent contrôler et vérifier beaucoup plus d'objets. Pas seulement le trafic externe.

Ces systèmes surveillent généralement les fichiers journaux, essaient de détecter les anomalies dans les flux d'événements, stockent les sommes de contrôle des fichiers de configuration critiques et comparent périodiquement si quelqu'un a modifié ces fichiers.

Comparons maintenant ces systèmes avec les systèmes basés sur le réseau (NIDS) dont nous avons parlé au tout début.

Essentiellement, NIDS ne nécessite qu'une interface réseau à partir de laquelle NIDS peut recevoir du trafic.

De plus, tout ce que NIDS fait est de comparer le trafic avec des modèles d'attaque prédéfinis (signatures), et dès que quelque chose tombe sous la signature d'attaque, vous recevez une notification concernant une tentative d'intrusion. NIDS est également capable de détecter DoS et certains autres types d'attaques que HIDS ne peut tout simplement pas voir.

Vous pouvez également aborder la comparaison de l'autre côté :

Si vous choisissez IDS/IPS implémenté comme solution logicielle, vous avez le contrôle sur le matériel sur lequel vous l'installez. Et, si vous avez déjà du matériel, vous pouvez économiser de l'argent.

Aussi dans l'implémentation du logiciel il y a options gratuites IDS/IPS. Bien sûr, vous devez comprendre qu'en utilisant des systèmes gratuits, vous n'obtenez pas le même support, la même vitesse de mise à jour et la même résolution de problèmes qu'avec les options payantes. Mais ça un bon choix commencer. En eux, vous pouvez comprendre ce dont vous avez vraiment besoin de ces systèmes, voir ce qui manque, ce qui est inutile, identifier les problèmes et vous saurez quoi demander aux fournisseurs de systèmes payants au tout début.

Si vous choisissez une solution matérielle, vous obtenez une boîte presque prête à l'emploi. Les avantages d'une telle implémentation sont évidents - le matériel est choisi par le vendeur, et il doit garantir que sur ce matériel sa solution fonctionne avec les caractéristiques déclarées (ne ralentit pas, ne se bloque pas). Il y a généralement une sorte de Répartition Linux avec un logiciel déjà installé. De telles distributions sont généralement sévèrement coupées pour assurer un fonctionnement rapide, ne laissant que les packages et utilitaires nécessaires (en même temps, le problème de la taille du kit sur le disque est résolu - plus le disque dur est petit - plus le coût est bas - plus le profit est important !).

Les solutions logicielles sont souvent très gourmandes en ressources informatiques.

En partie à cause du fait que seul IDS / IPS fonctionne dans la "boîte", et sur les serveurs avec logiciel IDS / IPS, il y a généralement toujours beaucoup de choses supplémentaires en cours d'exécution.

Systèmes de détection d'intrusion ou IDS (Intrusion Detection System)apparu il n'y a pas si longtemps, du moins en comparaison avec les antivirus ou les pare-feux. C'est peut-être pour cette raison que le service la sécurité des informations ne jugent pas toujours nécessaire de mettre en œuvre ces solutions, en se concentrant sur d'autres systèmes dans le domaine de la sécurité de l'information. Mais les avantages pratiques de l'IDS existent et ils sont assez significatifs.

Contrairement aux pare-feu, qui fonctionnent sur la base de politiques prédéfinies, les IDS servent à surveiller et à détecter les activités suspectes. Ainsi, IDS peut être considéré comme un ajout important à l'infrastructure de sécurité du réseau. C'est avec l'aide desystèmes de détection d'intrusion, l'administrateur pourra détecteraccès non autorisé (intrusion ou attaque de réseau) à un système informatique ou à un réseau, et prendre des mesures pour empêcher l'attaque.

En général, grâce à IDS, qui est une solution logicielle ou matérielle, l'administrateur pourra non seulement détecter une intrusion ou une attaque réseau, mais aussi prévoir d'éventuelles attaques futures et trouver des vulnérabilités pour empêcher leur intrusion. Après tout, l'attaquant effectue d'abord un certain nombre d'actions, telles que l'analyse du réseau pour détecter les vulnérabilités du système cible. De plus, le service informatique pourra documenter les menaces existantes et localiser la source de l'attaque par rapport au réseau local : attaques externes ou internes.

De la détection d'intrusion à la prévention

À leur tour, les systèmes de prévention IPS (Intrusion Prevention System) sont apparus sur la base de l'IDS, c'est-à-dire que chaque IPS comprend un module IDS. Au niveau de leurs fonctions, ils sont assez similaires, mais il y a une différence, elle consiste dans le fait que le premier système estUne solution "passive" qui surveille les paquets réseau, les ports, compare le trafic avec un certain ensemble de règles et alerte lorsqu'un logiciel malveillant est détecté, tandis qu'IPS le bloque lorsqu'il tente de pénétrer dans le réseau. En cas de risque d'intrusion, la connexion réseau est déconnectée ou la session utilisateur est bloquée et l'accès aux adresses IP, compte, service ou application est interrompu.

De plus, pour parer à la menace d'attaque, les appareils IPS sont capables de reconfigurer le pare-feu ou le routeur. Certaines solutions utilisent également de nouveaux correctifs lorsque l'hôte est plus vulnérable.Cependant, il faut reconnaître que Technologies IDS/IPS ne rendent pas le système absolument sûr.

Caractéristiques architecturales

Il existe quatre technologies principales utilisées dans le déploiement des systèmes IPS. Le premier est l'installation d'appareils dédiés autour du périmètre du réseau de l'entreprise, ainsi qu'à l'intérieur de celui-ci. En règle générale, IPS est intégré à l'infrastructure, car cette option est beaucoup plus rentable qu'une solution autonome. Tout d'abord, parce que le coût d'un appareil intégré est inférieur au coût d'un appareil autonome, et le coût de mise en œuvre est plus faible. Troisièmement, la fiabilité est plus élevée, puisqu'il n'y a pas de maillon supplémentaire dans la chaîne des flux de trafic qui soit sujet à des défaillances.

En règle générale, IPS est intégré au routeur, puis le système accède au trafic analysé. C'est la deuxième technologie utilisée. Cependant, cette option a un inconvénient : l'IPS intégré au routeur ne peut repousser les attaques que sur le périmètre réseau. Par conséquent, afin de protéger les ressources internes, des mécanismes de prévention des attaques sont mis en œuvre dans les commutateurs LAN.

Les systèmes IDS/IPS sont installés le long du périmètre du réseau de l'entreprise

Troisième avant-poste d'IPS lié à une popularité en croissance rapide technologies sans fil. Par conséquent, les systèmes IPS sont désormais activement équipés de points d'accès sans fil. Solutions similaires, en plus de détecter et de prévenir diverses attaques, sont capables de trouver des points d'accès et des clients non autorisés.

Une autre ligne de défense est un poste de travail ou un serveur. Dans ce cas, le système IPS sur le poste de travail ou le serveur est installé en tant que logiciel d'application au-dessus du système d'exploitation et est appelé Host IPS (HIPS). Des solutions similaires sont produites par de nombreux fabricants. Par exemple, vous pouvez marquer les produits , , et autres .

L'utilisation de Host IPS réduit la fréquence d'installation des mises à jour critiques, aide à protéger les données sensibles et répond aux exigences et réglementations réglementaires. Il combine un système de prévention des intrusions (IPS) basé sur les signatures, un pare-feu dynamique et un moteur de blocage d'applications pour protéger tous les terminaux (ordinateurs de bureau, ordinateurs portables et serveurs) contre les menaces connues et inconnues.

Principales erreurs de mise en œuvre

Les systèmes IDS / IPS sont un outil assez complexe qui nécessite certaines compétences lors de la mise en œuvre et une attention constante lors de l'exploitation. Si cela n'est pas fait, les systèmes génèrent souvent un faux signal, identifiant à tort le trafic comme malveillant.

Pour que les systèmes de prévention des intrusions fonctionnent de manière fiable, un réglage de précision est nécessaire. De plus, l'appareil doit être ajusté en permanence à mesure que la configuration du réseau change, ainsi qu'aux nouvelles menaces qui apparaissent sur le réseau.

Les experts citent sept erreurs majeures dans le déploiement et le fonctionnement des systèmes Host IDS/IPS.

Premièrement, il est impossible de bloquer les signatures de niveau de danger moyen et élevé sans analyse préalable des données collectées. Au lieu de cela, il est recommandé de bloquer uniquement les signatures de gravité élevée. Cela fournira une protection contre les vulnérabilités les plus graves avec un petit nombre de faux événements. À leur tour, les signatures d'un niveau de danger moyen fonctionnent selon un algorithme comportemental et nécessitent généralement une pré-configuration obligatoire.

Deuxièmement, vous ne pouvez pas utiliser les mêmes stratégies sur tous les systèmes. Au lieu de cela, vous devez diviser le PC en groupes par applications et privilèges, en commençant par la création profils standards pour les systèmes les plus simples.

Plus loin, système hôte IPS n'accepte pas le principe "réglez-le et oubliez-le". Contrairement à l'antivirus, il nécessite une surveillance régulière et une maintenance régulière du système pour garantir l'exactitude et l'efficacité de la protection.

De plus, vous ne pouvez pas activer l'IPS, le pare-feu et le mode de blocage des applications en même temps. Il est recommandé de commencer par IPS, puis d'ajouter un pare-feu, puis d'activer le mode de blocage des applications si nécessaire.

De plus, ne laissez pas indéfiniment l'IPS, le pare-feu ou le mécanisme de blocage des applications en mode adaptatif. Au lieu de cela, vous devez activer le mode adaptatif pendant de courtes périodes lorsque l'administrateur informatique a la possibilité de surveiller les règles créées.

Et enfin, vous ne pouvez pas bloquer immédiatement tout ce que le système reconnaît comme une intrusion. La première chose à faire est de s'assurer que le trafic observé est bien malveillant. Cela aidera des outils tels que la capture de paquets, l'IPS réseau et autres.

Publications connexes

29 avril 2014 De nombreuses entreprises achètent à leurs frais gadgets mobiles pour les employés qui voyagent fréquemment. Dans ces conditions, le service informatique a un besoin urgent de contrôler les appareils qui ont accès aux données de l'entreprise, mais qui sont en dehors du périmètre du réseau de l'entreprise.
28 février 2014 Comme vous le savez, il y a dix ans, la première virus mobile Cabir. Il a été conçu pour infecter Téléphones Nokia Série 60, l'attaque consistait en l'apparition du mot "Caribe" sur les écrans des téléphones infectés. Les virus modernes pour appareils mobiles beaucoup plus dangereux et diversifié.
28 janvier 2014 Par le principe de leur fonctionnement, les machines virtuelles ressemblent aux machines physiques. Par conséquent, pour les cybercriminels qui attaquent les réseaux d'entreprise pour voler de l'argent ou des informations confidentielles, les nœuds virtuels et physiques sont attrayants.
30 décembre 2013 Les solutions de protection des terminaux sont apparues sur le marché il n'y a pas si longtemps, en fait, après le début du déploiement massif dans les entreprises des réseaux locaux. Le prototype de ces produits était un antivirus classique pour protéger un ordinateur personnel.