Іздеп-табу және шабуылдың алдын алу жүйелері

МАЗМҰНЫ

Кіріспе

1. Желіаралық экрандар..........................................................................3
2. Іздеп-табу және шабуылдың алдын алу жүйелері........................... 5
1. Шабуылдарды айырып-табу жүйесі (IDS)............................5
2. Желілік шабуылдардың алдын алу жүйелері (IPS)...............6
3. Cisco компаниясының PrivateInternetExchange (PIX) 515Ежеліаралық

экраны.......................................................................................................7

3.1 Cisco PIX 515E негізгі  сипаттамалары................................11

3.2 Техникалық  сипаттамалары.............................................11

3.3 Интерфейстері....................................................................11

3.4 Жоғары  өнімділік...............................................................11

3.5 ІР  мекендердің жетіспеушілігі мәселелерінің  шешімі.......12

3.6 Негізгі  мүмкіндіктері...........................................................12

3.7 Cisco PIX желіаралық экранын орнату..............................13

Қорытынды

Пайдаланылған әдебиеттер тізімі

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

КІРІСПЕ

Желіаралық  экран (firewall, брандмауэр) – трафикті өзі арқылы өткізетін, немесе күнбұрын анықталған ережелерге негізделе отырып оны оқшаулайды.

Желіаралық  экрандарды әртүрлі белгілері бойынша  топтарға бөлуге болады.Орналасуы бойынша:

• Дербес брандмауэр (personal firewall) – желідегі әрбір жұмыс станциясына орнатылатын және сол немесе басқа қосымшаны орнатуға тырысатын жалғасуды бақылайтын бағдарлама.
• Бөлінген желіаралық экран (distributed firewall) әдетте ішкі желі мен Интернеттің арасында «ажырауға» орнатылады және ол арқылы өтетін бүкіл трафикті тексереді. Жеткілікті үлкен желі бар болған кезде бірнеше желіаралық экрандарды орнатумағынасына ие: әрбір бөлім немесе жұмыс топтары үшін – компанияның ішкі желісі шабуылдарынан қорғау құралы есебінде.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Желіаралық экрандар

 

Желілік сервистерге қолжеткізу саясаты мекемедегі ақпараттық ресурстарды қорғауға байланысты сол мекеменің жалпы саясатының нақтыламасы болуы керек. Желілік сервистерге қолжеткізудің қабылданған саясатына сәйкес (пайдаланушылар шектеулі түрде қатынас құра алатын) Internet сервистерінің тізімі анықталады. Сондай-ақ, Internet желісінің тыйым салынған сервистеріне пайдаланушылардың басқа жолмен қол жеткізбеуі үшін, қатынас құру әдістеріне шектеулер қойылады.

Желіаралық  экран сервистерге қолжеткізудің  бірқатар саясаттарын жүзеге асыра  алады. Әдетте желілік сервистерге  қолжеткізу саясаты келесі қағидаттардың  біріне негізделген:

• Интернеттен ішкі желіге кіруге тыйым салу және ішкі желіден Интернетке шығуға рұқсат беру;
• тек жекелеген авторландырылған жүйелердің (мәселен, ақпараттық және пошталық серверлердің) ғана жұмысын қамтамасыз ете отырып, Интернеттен ішкі желіге шектелген түрде қатынас құруға мүмкіндік беру.

Ішкі  желі ресурстарына қатынас құру ережесі  желіаралық экрандарды жүзеге асыру саясатына сәйкес анықталады. Ішкі ресурстарға қатынас құру ережесі мына қағидаттардың біреуінің негізінде қалыптастырылады:

а) анық (айқын) түрде рұқсат етілмегендердің  бәріне тыйым салу;

б) анық (айқын) түрде тыйым салынбағандардың бәріне рұқсат ету.

Желіаралық  экрандарға қойылатын функционалдық  талаптар: желілік деңгейде сүзгілеу, қолданбалық деңгейде сүзгілеу, сүзгілеу және әкімшілік ету ережелерін баптау, желілік аутентификациялау құралдарын енгізу, тіркеу журналдарын ендіру және есепке алу.

1-сурет.  Желіаралық экранның қосылу сұлбасы

 

Желіаралық  экрандар тұжырымдамасының маңызды  элементтерінің бірі –аутентификациялау (пайдаланушының түпнұсқалылығын тексеру). Яғни пайдаланушы тек өзінің дәл сол адам екендігін дәлелдегеннен кейін ғана қызметтің белгілі бір түрін пайдалануға құқық ала алады. Мұндай жағдайда, сервис осы пайдаланушы үшін рұқсат етілген болып саналады. Нақты пайдаланушыға қандай қызмет түрлері рұқсат етілгендігін анықтау үдерісі авторизациялау деп аталады.

Сонымен, желіаралық экран: жіберілетін ақпаратты  деректер тасымалдау құралдары мен  орталарына (жерсеріктік арналарына, оптикалық байланыс арналарына, т.б.) тәуелсіз қорғайды; өзгертуді талап  етпей, кез келген қолданбаларды  қорғайды; мекеменің өсуіне және қауіпсіздік  саясаты талаптарының жетілдірілуіне қарай, оларды алдағы уақытта кеңейту  және күрделілендіру мүмкіндіктерін ескеретін, қорғаныштың масштабталатын жүйесін  жүзеге асыруға мүмкіндік береді; жекеленген желілік ақпараттық жүйелер  мен қолданбаларды (оларда қолданылатын желі топологиясына тәуелсіз) қорғайды; мекеменің ақпараттық жүйесін сыртқы орта шабуылдарынан қорғайды; тек  сыртқы ашық байласуларда ғана емес, сондай-ақ корпорацияның ішкі желілерінде  де ақпаратты жолай ұстап қалудан  және оны өзгертуден қорғайды; ақпараттық қауіпсіздіктің корпоративтік саясатының дамуына, технологиялардың жаңаруына, желінің кеңейуіне қарай жеңіл  қайта пішінүйлесімдіруге болады.

2-сурет.  Желіаралық экранның қосылу сұлбасы  (Cisco ASA)

Желіаралық экрандардың жіктелімі. Қазіргі уақытта желіаралық экрандардың бірыңғай және көпшілік мойындаған жіктелімі жоқ. Барлық шығарылып жатқан желіаралық экрандарды келесі негізгі белгілері бойынша жіктеуге болады:

а) орындалуы бойынша: аппараттық-бағдарламалық және бағдарламалық;

б) жалғау (қосу) сұлбасы бойынша: желіні ортақ қорғау сұлбасы, қорғалынатын жабық және қорғалынбайтын ашық сегменттері бар желі сұлбасы, желінің жабық және ашық сегменттерін бөлек-бөлек қорғайтын сұлбасы;

в) ашық жүйелер әрекеттестігі (АЖЭ, OSI) үлгісінің деңгейлерінде жұмыс  істеуі бойынша мынадай сыныптарға бөлуге болады:

• сүзгілейтін  бағдарғылауыштар (дестелік сүзгілер, packet filter немесе экрандайтын бағдарғылауыш);

• сеанстық деңгейдің ретқақпалары (circuit-level gateway немесе экрандайтын көлік);

• қолданбалық  деңгейдің ретқақпалары (application-level gateway немесе экрандайтын ретқақпа, қолданбалық  ретқақпа);

• қалып-күйін қадағалай отырып дестелерді тексеретін SPI-брандмауэрлары (SPI - Stateful Packet Inspection).

Бұларды желіаралық экрандардың базалық  сыңарлары деп қарауға болады. Нақты айтқанда, тек кейбір желіаралық экрандар ғана осы аталған сыңарлардың  біреуінен тұрады.

Желіаралық  экрандардың мынадай жағымды  жақтарын атап өтуге болады:

• желіаралық экрандар корпоративтік қауіпсіздік саясатын жүзеге асыруда өте ыңғайлы;
• желіаралық экрандар белгілі бір қызметтерге қатынас құруды шектей алады;
• желіаралық экрандар арнайыландырылған құрал болып табылады. Сондықтан, қорғаныш дәрежесі мен функционалдық мүмкіндіктер арасындағы ымыраны іздеудің қажеттігі болмайды;
• желіаралық экрандар тиісті оқиғалар жайында пайдаланушыларды хабарлай алады.

Желіаралық  экран корпоративтік желі қауіпсіздігінің  барлық мәселесін шеше алмайды. Желіаралық экранды пайдалану кезіндегі маңызды шектеулер:

• қалып қойған осал жерлер санының көптігі. Желіаралық экрандар желідегі көзделмеген кірмелерден қорғай алмайды;
• мекеме қызметкерлерінің шабуылынан қорғанудың қанағаттанарлықсыздығы. ЖАЭ экрандар, әдетте, ішкі қауіптерден қорғануды қамтамасыз етпейді;
• қажетті сервистерге қатынас құрудың шектеулігі. Желіаралық экранның айқын кемшіліктерінің бірі – ол пайдаланушылар қолданатын (Telnet, FTP, т.б. сияқты) кейбір сервистерді бұдақтап тастайды;
• қауіпсіздікті қамтамасыз ету жабдықтарын бір жерге шоғырландыру;
• желіаралық экрандар рұқсат етілгеннен қорғай алмайды;
• желіаралық экрандардың тиімділігі олар орындауға міндетті ережелердің тиімділігіндей. Шамадан тыс еркін ережелерді пайдалану желіаралық экранның тиімділігін төмендетеді және желінің өткізу қабілеттігін шектейді;
• желіаралық экрандар әкімшінің қателіктерін жөндей алмайды, нашар жасалған қауіпсіздік саясатын түзей алмайды;
• ЖАЭ олар арқылы өтпейтін шабуылдардың трафигіне қарсы әрекет жасай алмайды.

 

2. Іздеп-табу және шабуылдың алдын алу жүйелері

1. Шабуылдарды айырып-табу жүйесі (IDS)

 

3-сурет. IDS/IPS жүйелерінің желіге қосылу сұлбасы(қаскөй)

 

IDS жүйесінде  рұқсат етілмеген белсенділікті  анықтаудың әр түрлі тәсілдері  қолданылады. ЖАЭ нақты сервиспен  (портпен) қатынасуға рұқсат береді  немесе тыйым салады, бірақ ашық  порт арқылы өтетін ақпарат  ағынын тексермейді. Ал IDS жүйеге  немесе желіге жасалынған шабуылды  айырып-табуға әрекеттенеді және  осы жайында қауіпсіздік әкімшісін  хабардар етуге тырысады.

IDS жүйелерін  жіктеудің әр түрлі тәсілдері  бар. Керісінше жауап қайтару  тәсілі бойынша IDS жүйелері белсенді және бейбелсенді болып екіге бөлінеді. Бейбелсенді IDS шабуыл болғанын белгілеп қояды, деректерді файл журналына жазады және ескертулер (дабыл) береді. Белсенді IDS шабуылға қарсы тұруға әрекеттенеді (мәселен, желіаралық экранды қайта пішінүйлестіреді немесе бағдарғылауышпен қатынасу тізімін генерациялайды).

Шабуылды  айырып-табу тәсілі бойынша signature-based және anomaly-based жүйелеріне бөлінеді. Бірінші түрі ақпаратты алдын ала айқындалған шабуыл сигнатураларының базасымен салыстыруға негізделген. Бірақ жүйенің бұл түрі шабуылдың белгісіз, жаңа түрлерін айырып-таба алмайды. Екінші түрі оқиғалардың жиілігін бақылауға немесе статистикалық ауытқуларды (аномалдарды) іздеп-табуға негізделген. Мұндай жүйе шабуылдың жаңа түрлерін айырып-табуға бағдарланған. Кемшілігі – өне бойы оқытып тұруды қажет етеді.

Ақпарат жинау тәсілі бойынша жіктеу ең көп  таралған жіктеу тәсілі болып табылады. Бұл тәсіл бойынша: network-based, host-based, application-based. Желілік жүйелері (Network Intrusion Detection Systems, NIDS) өздерінде бар ереже жиындары негізінде белгілі шабуылдарды айырып-табу мақсатында ағынды талдайды. Шабуылдарды айырып-табудың желілік жүйелерінің бір түрі – желінің тек бір ғана түйінін бақылау жүйесі (Network Node IPS). Шабуылды іздеу «хостан хосқа дейін» қағидаты бойынша жүзеге асырылады. Мұндай жүйелердің коммутациялау, шифрлау және жоғары жылдамдықты (100 Мбит/с жоғары) хаттамалар қолданылған желілерде жұмыс істеуі біраз қиындықтар туғызады. Бірақ соңғы кезде коммутацияланатын ортада жұмыс істеуге арналған шешімдер пайда болды. Мәселен, SPAN-порттар (Switched Port Analyzer) және NetworkTap (Test Access Port) технологиялары.

Host-based жүйесі қаскүнемнің белгілі  бір хостағы іс-әрекетіне мониторинг  жасауға және керісінше жауап  қайтаруға арналған. Хост базасындағы жүйелер (Host Intrusion Detection Systems, Hids) желінің түйіндерінде орналастырылады және файлдық жүйелердің, жүйелік журналдардың, т.б. тұтастығына бақылау жасайды. Үшінші түрі, application-based нақты қолданбадағы мәселелерді іздестіруге негізделген. Сонымен қатар әр түрлі жүйелердың қисындасуы болып табылатын гибридті (аралас) IDS бар.

 

Cisco Secure Intrusion Detection System рұқсатсыз қатынас  құруды анықтау жүйесі

 

Негізгі мүмкіндіктері

- нақты уақыт режимінде рұқсатсыз қатынас құру әрекетін анықтау;

- нақты уақыт  режимінде жағымсыз сессияларды   аяқтау немесе бұғаттау арқылы  рұқсатсыз қол жеткізу әрекеттерінің  алдын алу;

- желіде қауіпті белсенділікті байқағанда Cisco маршрутизаторларына қатынау тізімін динамикалық түрде меншіктеу;

- шабуылдар сигнатураларының кеңкөлемді тізімі желілік дестелердің контексті және мәтіні арқылы шабуылдарды айырып-таба алады;

- Cisco Secure IDS Sensor нақты уақыт режиміндегі ескертулері құрамына жіберуші мен қабылдаушының ІР мекенжайлары, порттар нөмірі және шабуылдар сипаттамасы кіреді;

- Cisco Secure IDS Sensor  құралдары әр түрлі жылдамдық және  Fast Ethernet және  Gigabit Ethernet сынды интерфейс түрлерімен бірнеше желілік сегменттерде қолданылуы мүмкін;

- бір консоль  Cisco Secure IDS Sensor ондаған агенттерін басқара алады;

- Cisco Secure IDS Sensor детекторларының шектелмеген санын басқару үшін Cisco Secure IDS Director  байланған құрылымға бірігіуі мүмкін;

- Cisco Secure IDS Sensor детекторлары бірегей төзімді хаттаманы қолданып, бірден бірнеше консольдерге шабуылдар жайлы ескертулерді жібере алады;

- шабуылдар жайлы ақпарат талдау жасау үшін реляциондық дерекқорға экспортталуы мүмкін;

- IDS Device Manager ендірілген бағдарламалық қамтамасы IDS Sensor құралдарын web-интерфейс арқылы басқаруға мүмкіндік береді;

- IDS Event Viewer ендірілген бағдарламалық қамтамасы Cisco Secure IDS Sensor детекторларынан келетін ескертулерді қарау және соған орай әрекет ету мүмкіндігін береді.

1-кесте.  Рұқсатсыз қатынас құруды айырып-табу жүйелерінің негізгі сипаттамалары

 

2.2 Желілік шабуылдардың алдын алу жүйелері (IPS)

4-сурет. IDS/IPS жүйелерінің желіге қосылу сұлбасы

 

Классикалық IDS шабуылды айырып-тапқан кезде тек  дабыл сигналын генерациялағаннан  басқа ешқандай іс-әрекет жасамаған. IPS (Intrusion Prevention Systems) жүйесінің қажеттігі  соншалықты жоғары болғандықтан көптеген өндірушілер өздерінің классикалық IDS жүйелерін (мысалы, сенсорларға бұғаттау модулдарын жәй қоса салып) шабуылдардың алдын алу жүйесі (IPS) ретінде қарастыра бастайды.

Бірақ бұл  шешімдер нағыз (шын) IPS жүйесінің белгілеріне  ие бола алмады. Біріншіден, IPS inline режімінде (ағынды өзі арқылы жібереді) арна жылдамдығында  жұмыс істейді (яғни, деректер тасымалдау жылдамдығын төмендетпейді). Екіншіден, IPS жүйесі тасымалданатын дестелерді дұрыс тәртіппен жинақтайды және сол дестелерде рұқсат етілмеген белсенділіктің белгілерін іздеп-табу мақсатында оларға талдау жасайды. Үшіншіден, талдау кезінде шабуылдарды айырып-табудың әр түрлі әдістері қолданылады: сигнатуралық және жүріс-тұрыстық, сондай-ақ хаттамалардағы ауытқуларды (аномалдарды) идентификациялау. Төртіншіден, IPS жүйесі қауіп туғызатын ағындарды бұғаттай алады (TCP хаттамасының RESET жалаушасы көмегімен байласуды үзі арқылы емес).