Результаты тестирования IDS/IPS

    2016 год
    2017 год
    2018 год

Средство IDS/IPS - программное или аппаратно-программное средство, предназначенное для обнаружения и предотвращения сетевого несанкционированного вторжения или атак, нарушения безопасности.
В функции средств IDS/IPS входят:

  • анализ сетевого трафика (входящего и/или исходящего) и обнаружение сетевых вторжений и атак, а также вредоносных программ;
  • предотвращение сетевых вторжений, атак и защита от вредоносных программ в сетевом трафике;
  • обнаружение уязвимостей, как дополнительная функция для выявления атак на них.
Средства IDS/IPS классифицируются:

  1. По способу реагирования (режиму функционирования):
    • режим обнаружения вторжений (IDS) – пассивные, обнаруживают и фиксируют факты сетевых вторжений, атак и вредоносных программ, выдают предупреждения при выявлении и/или записывают данные в журнал;
    • режим предотвращения вторжений (IPS) – активные, помимо функции обнаружения, также противодействуют сетевым вторжений, атакам и вредоносным программам. Основные способы противодействия: блокировка соединений, завершение сессий с атакующим узлом и фильтрация сетевого трафика от вредоносных программ.
  2. По области применения:
    • сетевые (network-based IDS, NIDS) - отслеживают вторжения и атаки, проверяя сетевой трафик, и ведут наблюдение за несколькими хостами;
    • узловые (персональные) (host-based IDS, HIDS) - устанавливаются на узлах (рабочих станциях, серверах), отслеживают вторжения и атаки, направленные на конкретный узел, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния узла и прочих источников;
    • по определенным протоколам (рrotocol-based IDS, PIDS) – отслеживают вторжения и атаки, проверяя сетевой трафик по определенным сетевым протоколам;
    • на уровне приложения (application protocol-based IDS, APIDS) – отслеживают вторжения и атаки на конкретные приложения (например, на web-приложения);
    • на уровне операционных систем (operation system IDS, OSIDS) – отслеживают вторжения и атаки на конкретные операционные системы;
    • на уровне системы управления базами данных (data baces managment system (DBMS) –based IDS, DBMSIDS) - отслеживают вторжения и атаки на конкретные СУБД.
По способу выявления вторжения и атаки:

  • обнаружение аномального поведения (anomaly-based) – анализ проводится для обнаружения аномалий в работе сети или статистически значимых отличий трафика от типичного в данной сети. Данный способ ориентирован на выявление новых типов атак. Недостатком такого подхода является сложность в настройке и большое количество ложных тревог в случае некорректно заданных правил;
  • обнаружение по сигнатуре (signature-based) - при анализе трафика сравниваются пакеты с базой данных сигнатур (известных атрибутов атак). Такой подход позволяет выявить известные сетевые угрозы. Основной проблемой такого подхода является устаревание баз сигнатур - между появлениями новых типов атак и обновлением баз сигнатур может пройти достаточное количество времени, в течение которого будет невозможно обнаружить такую угрозу.

Цель проведения тестовых испытаний – оценка способности и эффективности защиты средств IDS/IPS от различных сетевых атак и угроз.
Для проведения тестирования использовался тестовый стенд. Он включал в себя три персональных компьютера, объединенных в локальную сеть. Функции компьютеров распределялись следующим образом
  1. Компьютер №1. Атакуемый.
  2. Компьютер №2. Для установки средства IDS/IPS.
  3. Компьютер №3. Атакующий.
Средства IDS/IPS тестировались на следующие угрозы:

  • сканирование портов;
  • различные виды сетевых атак;
  • атаки на уязвимости.
Для тестовых испытаний использовались следующие средства тестирования:

  1. Nmap – программа, сетевой сканер, предназначен для сканирования UDP и TCP портов в сети. Данная программа устанавливалась на атакующем компьютере и использовалась для сканирования портов, как один из видов сетевых угроз (атак).
  2. Pytbull – программа для тестирования систем обнаружения/предотвращения вторжений. Данная программа устанавливалась на атакующем компьютере и использовалась для имитации различных сетевых атак: Dos-атаки, плохой трафик, шеллкоды и др.
  3. Metasploit – программа, включающая в себя набор экспойтов (компьютерные программы и команды, использующие уязвимости в программном обеспечении). Данная программа устанавливалась на атакующем компьютере для имитации атак на различные уязвимости атакуемого компьютера.