Статья на тему Исследование внедрения метода системы обнаружения вторжений (IDS) системы предотвращения вторжений (IPS) в компании

Содержание:

Введение:

Заключение:

Фрагмент текста работы:

Система предотвращения вторжений / обнаружения вторжений (IPS / IDS) для
сетей Wi-Fi Аннотация. Сама природа беспроводных сетей создала новые
уязвимости, которых в классических проводных сетях не существует. Это приводит
к эволюционному требованию внедрения нового сложного механизма безопасности в
форме систем обнаружения и предотвращения вторжений. В этой статье
рассматриваются вопросы безопасности беспроводных сетей в малых и домашних
офисах. Целью нашей работы является разработка и оценка беспроводных IDPS с
использованием метода пакетной инъекции. Наблюдалось снижение трафика злоумышленника
на 95% по сравнению с трафиком злоумышленника без развертывания предлагаемой
системы IDPS.

Ключевые слова. Деаутентификация, обнаружение вторжений,
предотвращение вторжений, внедрение пакетов, Wi-Fi Опасность нарушения безопасности беспроводной сети распространяется
как на небольшие офисные, так и домашние сети. Авторы [1] делают вывод о том,
что в настоящее время почти у каждого человека есть дома беспроводной
маршрутизатор, и в большинстве случаев этот человек не является ИТ-специалистом
или опытным сетевым администратором. Учитывая это, вероятность того, что
маршрутизатор будет неправильно настроен, довольно высока. Современные
маршрутизаторы Wi-Fi можно настроить со стандартными механизмами
аутентификации.

Многие авторы демонстрируют, что наиболее часто
используемые механизмы — это WEP или WPA, однако даже они имеют определенные
недостатки. Такие недостатки могут быть использованы решительным
злоумышленником в своих злонамеренных планах, которые могут поставить под
угрозу безопасность сети и обеспечить доступ к конфиденциальной информации.
Даже неквалифицированный человек может найти в Интернете утилиты с открытым
исходным кодом — для взлома паролей Wi-Fi, шифрования WEP или WPA и
последующего получения доступа к сети. Демонстрация взлома WEP / WPA была
представлена [3].

В связи с вышеизложенным, даже в случае небольших
домашних беспроводных сетей целесообразно развертывать системы предотвращения
вторжений, за исключением обычных механизмов аутентификации и безопасности.
Обнаружение сетевых вторжений описано в [4] как процесс мониторинга сети на
предмет действий, которые могут поставить под угрозу безопасность области,
которая находится под наблюдением, и анализа событий, которые могут указывать
на возможные инциденты. В том же источнике также представлена система
обнаружения вторжений в сеть (NIDS), используемая в качестве инструмента,
обеспечивающего функцию обнаружения вторжений путем отслеживания сетевого
трафика в режиме реального времени.

Такое событие затем регистрируется и / или администратор
системы автоматически уведомляется. Помимо обнаружения, система обнаружения и
предотвращения вторжений (IDPS) также выполняет автоматические ответы на
обнаруженное вредоносное поведение. Это полезно в тех случаях, когда атака на
сеть проводится очень быстро. Таким образом, IDPS имеет возможность
предпринимать немедленные действия на основе набора правил, настроенных
администратором сети. Эти правила могут быть основаны на сопоставлении
IP-адресов, сопоставлении портов TCP или обнаружении аномалий трафика. Тогда
ответ, выполненный IDPS, может отбросить подозрительный трафик и дополнительно
заблокировать трафик на основе IP-адреса или порта [5].

Основная цель этой статьи — разработать и проверить
(оценить) систему, которая будет использовать пассивный мониторинг
беспроводного сетевого трафика в небольшой домашней сети. В случае атаки
система обнаружения должна активно реагировать на конкретное событие, внедряя
пакеты в беспроводную среду и прерывая обнаруженную атаку.

Системы обнаружения и предотвращения вторжений в основном
используются для выявления возможных угроз, регистрации информации о них,
попытки их остановить и сообщения информации администраторам безопасности.
Многие системы способны реагировать на обнаруженную угрозу и пытаться
предотвратить ее успех. IDPS может остановить атаку, изменить среду
безопасности, перенастроив межсетевой экран, или изменить характер атаки [5].

Реакция на вторжение в мобильной беспроводной сети
зависит от конкретного типа или характера вторжения и используемых протоколов. По
сравнению с технологиями IDS, технологии IDPS не только обнаруживают
подозрительную активность, но и пытаются предотвратить ее успешное выполнение с
помощью автоматических ответов.

Эти ответы обычно приводят к действиям, предпринимаемым
для подавления обнаруженной атаки, или к некоторой динамической перенастройке
окружающего оборудования на основе предварительно настроенных динамических
правил. Автоматические ответы не обязательно перехватывают подозрительный
трафик напрямую, но могут помочь администратору безопасности при обработке
инцидентов [4]. Технологии IDPS различаются по типам событий, которые могут
быть распознаны, и по методам, которые используются для идентификации
инцидентов.

За исключением мониторинга и анализа аномальной
активности, все типы технологий IDPS могут выполнять следующие три функции [5]:
• запись информации, относящейся к обнаруженным событиям — информация о
событиях записывается локально, впоследствии она может быть отправлена в другие
системы, например, серверы журналов, решения по безопасности и управлению
событиями, а также системы управления предприятием, • уведомление
администратора безопасности об обнаруженных критических событиях — IDPS
использует несколько методов для отправки уведомлений администратору, таких как
электронная почта, сообщения в пользовательском интерфейсе IDPS, простая сеть
Ловушки протокола управления (SNMP), сообщения системного журнала и
пользовательские программы или сценарии. Сообщение о событии содержит только
основную информацию. Администратору необходим доступ к IDPS для получения
дополнительной информации, • отчеты — информация о событиях суммируется и предоставит
дополнительную информацию.

Иногда для достижения более точного обнаружения многие
технологии IDPS используют несколько методов обнаружения инцидентов.

В случае протокола TCP его метод установления соединения
может использоваться для прерывания вредоносного трафика, однако протокол
пользовательских дейтаграмм (UDP) не может быть нарушен, как TCP. Поскольку UDP
не поддерживает соединение и не поддерживает флаги для установления и закрытия
соединения, трафик UDP не может быть прерван без использования других
механизмов управления соединением. В этом исследовании может использоваться
протокол управляющих сообщений Интернета (ICMP) — это один из основных
протоколов пакета TCP / IP, который используется сетевыми интерфейсами для
проверки доступности запрошенной службы или хоста. [10]

IDPS позволяет подделывать пакеты, содержащие сообщение
об ошибке ICMP, используя протокол ICMP. Затем это сообщение отправляется
злоумышленнику, заставляя его думать, что жертва недоступна, что приводит к
разрыву связи с жертвой. Теоретически сообщение должно быть получено
интерфейсом злоумышленника, и стек TCP / IP должен оценить, что жертва
недоступна, независимо от другого полученного трафика.

Однако шансы, что сообщение будет рассмотрено так, как
оно было задумано, на самом деле очень низки. Сложные инструменты атаки даже не
используют стек TCP / IP и не имеют собственных правил приема трафика. Это
означает, что этот метод может быть эффективным только в случае любительской
или очень простой атаки с обычного персонального компьютера [6].

Из результатов статистики Snort было показано снижение
трафика злоумышленника на 95% с развернутой предлагаемой системой IDPS — по
сравнению с объемом трафика злоумышленника без развертывания IDPS. Из
результатов мы заключаем, что деаутентификация злоумышленника успешно отделяет
злоумышленника от точки доступа и, таким образом, запрещает атаку. С момента
начала атаки система смогла отреагировать за 0,2 секунды, как следует из
графиков, созданных статистикой Wireshark. Стандартный вывод Aireplay-ng
использовался для расчета статистики деаутентификации. Из этой статистики
предполагается, что деаутентификация злоумышленника во всех случаях была
успешной, тем не менее, процент полученных подтверждений деаутентификации от
злоумышленника составил только 42% по сравнению со 100% подтверждений,
полученных от точки доступа.