Системы предотвращения вторжений (IPS-системы). Защита компьютера от несанкционированного доступа

Цель данной статьи - не просто рассказать о возможностях IPS, но акцентировать внимание на уникальных функциональных возможностях системы, позволяющих решить ряд сложных проблем, с которыми сталкиваются предприятия в процессе конструкторско-технологической подготовки производства и которые отличают IPS от других PLM-систем, представленных на российском рынке.

Интеграция с системами автоматизированного проектирования

Еще с девяностых годов прошлого века компания ИНТЕРМЕХ начала ориентироваться на создание мультикад­решений, не зацикливаясь на интеграции с какой­то одной системой проектирования. Сегодня можно с уверенностью сказать, что из всех отечественных PLM­систем IPS обладает самым большим количеством интеграторов с механическими и электрическими системами автоматизированного проектирования: AutoCAD, BricsCAD, КОМПАС­График, КОМПАС 3D, Inventor, NX, Creo, SolidWorks, Solid Edge, CATIA, Altium Designer, Mentor Graphics, E3.series. Особо отметим, что это уже готовые работающие решения, а не обещания наладить интеграцию в процессе внедрения на предприятии.

В комплект поставки IPS входит универсальный модуль интеграции систем трехмерного проектирования с PLM­системами. Модуль встраивается в интерфейс CAD­системы и предоставляет конструктору доступ к функциям PLM непосредственно из системы проектирования. Модуль обеспечивает автоматическое считывание состава изделий из моделей сборочных единиц, генерацию по моделям конструкторских спецификаций, а также ассоциативную связь между свойствами моделей и атрибутами документов и изделий в PLM­системе. Также этот модуль позволяет организовать коллективную работу конструкторов над моделированием сложных сборок, предоставляя набор функций для синхронизации изменений, которые сделаны различными конструкторами в моделях, входящих в состав головной сборки (рис. 1).

Собственный редактор документов и бланков на основе формата XML

Разработчики IPS не стали надеяться на сторонние офисные пакеты или средства генерации отчетов, а создали собственный редактор структурированных текстовых документов, который использует для хранения данных формат XML. Такое решение позволило унифицировать создание, хранение и обработку любой текстовой конструкторско­технологической документации и реализовать в IPS целый ряд уникальных редакторов, аналогов которым нет ни в одной другой PLM­системе. Например, в комплект поставки IPS входит редактор состава изделий в виде конструкторской спецификации, включая групповые спецификации форм А, Б и В. При этом редактирование спецификации может производиться как в обычной табличной форме, так и в том же виде, в котором она будет выведена на печать. Конструктору также доступно множество функций по оформлению спецификации: автоматическая и ручная сортировка, пропуск строк и простановка позиций, оформление допустимых замен и подборных элементов, вставка примечаний, частей, спецсимволов и формул, связь с системами НСИ и многое другое (рис. 2).

Еще раз подчеркнем, что в IPS редактор спецификаций является именно редактором состава сборочных единиц, а не редактором документов, сформированных на основе состава изделий. Изменения в составе изделия, сделанные в других модулях системы, сразу отражаются в редакторе спецификаций IPS, и наоборот - любые изменения, сделанные в спецификации, сразу отражаются в рабочей копии состава изделий. Таким образом, состав изделия формируется параллельно из нескольких источников: трехмерной модели или двумерного сборочного чертежа, электрической схемы, редактора спецификаций и т.п. При этом каждая связь запоминает свой источник, поэтому обновление состава, например по модели, никогда не удалит позиции, добавленные в состав изделия вручную.

Редактор извещений об изменениях в IPS - тоже не просто редактор документов (рис. 3). Помимо собственно функций оформления извещений (вставка графики, формул, автоматическое заполнение различных граф, сортировка изменений и т.п.), редактор помогает управлять жизненным циклом изменяемых документов и объектов. Например, автоматически выпускает версии включаемых в извещение документов и перемещает их на нужный шаг жизненного цикла (ЖЦ) в момент актуализации извещения. Также извещения используются для автоматизации подбора версий объектов при поиске их состава и применяемости. Есть в системе и множество сервисных функций, помогающих организовать процесс проведения изменений: погасить ПИ, принять предложения по ПР, выпустить ДИ или ДПИ, создать комплект извещений и пр.

Следует также отметить, что проводить изменения документации в IPS можно и в упрощенной форме - через журнал изменений по ГОСТ 2.503­2013, редактор которого также есть в комплекте поставки системы.

Конфигуратор изделий

В ЕСКД существует такое понятие, как исполнение изделия. По одному групповому конструкторскому документу можно выпустить несколько различных исполнений изделия, не выпуская отдельный комплект документов на каждое исполнение. Это решение хорошо работает до тех пор, пока количество исполнений небольшое. Однако сейчас рынок диктует свои условия. Проектируемые изделия должны удовлетворять требованиям как можно большего количества заказчиков, а значит не обойтись без возможности настройки изделия под требования конкретного покупателя. В таких случаях на помощь конструкторам и маркетологам приходит «Конфигуратор изделий» в IPS. Данный модуль позволяет вести состав сложных изделий, обладающих множеством опций и функциональных зависимостей, не прибегая к созданию исполнений для каждого варианта изделия.

Конструктор, проектируя сборочный узел, может настроить набор опций, управляющих составом данного узла. При этом можно настроить правила совместимости значений различных опций, условия их применения, допустимость значений в данной сборке и т.п. Работники маркетинга могут создавать варианты комплектаций изделия, устанавливая значения для основных опций, которые чаще всего востребованы заказчиками в данном изделии. При оформлении заказа покупатель выбирает вариант комплектации изделия, доопределяет не заданные в комплектации значения опций и система формирует точный состав и комплект документации на конкретное изделие, отвечающее требованиям заказчика.

Распределенная работа крупных холдингов и филиалов предприятий

Наличием веб­интерфейса у информационных систем сейчас никого уже не удивишь. Большинство отечественных PLM обзавелись собственными средствами доступа в базу данных из веб­браузеров. Есть такой интерфейс и у IPS. Но что делать, если Интернет на рабочем месте по соображениям безопасности недоступен? Либо внешние каналы связи работают медленно и нестабильно? Как обеспечить быструю и стабильную работу сотен пользователей независимо от внешних факторов и каналов связи между предприятиями?

В составе IPS есть уникальное решение - служба IPS WebPortal. Суть данного решения в том, что каждое предприятие или филиал работает в собственной локальной сети со своей базой данных, а IPS WebPortal обеспечивает информационный обмен между этими локальными базами (узлами информационной сети) по внешним каналам связи через центральную базу данных портала, причем сама передача данных может производиться в offline­режиме (рис. 4). Такой способ работы значительно снижает требования к стабильности и пропускной способности внешних каналов связи, а также повышает безопасность данных, так как информационные узлы получают доступ только к опубликованной для них на портале информации, а не ко всем базам данных удаленных предприятий.

Функционал IPS WebPortal позволяет организовать распределенный документооборот, управление распределенными проектами, обмен информационными объектами в пакетном режиме, а также автоматическую репликацию изменений между различными базами данных. Программный интерфейс IPS WebPortal оформлен в виде стандартизованных веб­сервисов. Такой подход значительно упрощает подключение к порталу других информационных систем, позволяя использовать его в качестве средства обмена данными между различными информационными системами предприятий.

Передача документации заказчику

Еще одна проблема, решение которой хотелось бы рассмотреть подробнее, - это передача утвержденной документации на предприятия, на которых либо нет PLM­системы, либо PLM не поддерживает механизм электронных подписей. Выгрузить комплект электронных документов можно из любой PLM. Но как убедиться в том, что эти документы утверждены и подписаны всеми заинтересованными лицами? И как проверить, не изменялись ли переданные файлы с момента их подписания?

Для этой цели в IPS предусмотрена функция автоматического формирования информационно­удостоверяющих листов по ГОСТ 2.051­2013. При передаче твердых копий эти листы можно распечатать и, при необходимости, заверить «мокрой» подписью. При передаче электронной документации файлы удостоверяющих листов автоматически извлекаются на диск совместно с файлами документов. Листы содержат контрольные суммы подписанных файлов, что позволяет удостовериться в неизменности подписанных данных (рис. 5).

Если подписание документов в IPS производилось квалифицированными электронными подписями, то система имеет возможность выгрузки файлов подписей на диск в формате PKCS. Эти подписи могут быть проверены получателем документации с помощью любых средств проверки, понимающих стандарт PKCS. Можно также воспользоваться специальной программой проверки ЭП, которая поставляется вместе с IPS и может быть передана сторонним организациям вместе с комплектом подписанной документации.

Защита файлов документов на рабочих станциях

Все PLM­системы хранят файлы документов на защищенных серверах и предоставляют к ним доступ только в соответствии со своими правилами безопасности. Однако для редактирования документа во внешнем редакторе файл документа извлекается на диск рабочей станции либо на сетевой ресурс, открытый для доступа рабочим станциям. Таким образом, информация выводится из­под контроля PLM­системы, создавая угрозу безопасности данных. Для решения данной проблемы в состав IPS входит служба защиты файлов на рабочих станциях. Эта служба защищает рабочий каталог пользователя на уровне файловой системы NTFS, предоставляя доступ к нему только определенному пользователю и только после его авторизации в IPS. Как только пользователь выгружает клиент IPS любым доступным ему способом, доступ к каталогу пользователя автоматически блокируется.

Расширенные средства поиска информации

Помимо выборок, классификаторов и рабочего стола, которые в том или ином виде встречаются во всех отечественных PLM, разработчики IPS предложили целый ряд технических решений, значительно ускоряющих поиск информации в системе. Например, в окне Недавние объекты автоматически ведется список объектов, с которыми пользователь работал последнее время - своего рода рабочий стол, который не нужно пополнять и чистить вручную. А с помощью контекстных выборок можно искать информацию, используя свойства выбранного в системе объекта. Условия таких выборок могут содержать не константы, а ссылки на атрибуты объекта, относительно которого идет поиск информации. Например, можно быстро найти все детали, сделанные из такого же материала, не указывая в условиях поиска сам материал.

Следующий интересный механизм - общий индекс для быстрого поиска информационных объектов с учетом словоформ и коррекцией ошибок ввода. В индекс попадает информация из всех атрибутов, указанных администратором для индексации, включая содержимое файлов документов. При этом поиск информации для конечного пользователя значительно упрощается - ему не нужно создавать или находить выборки, достаточно просто ввести искомую строку в поле над списком объектов. Рядом располагается список часто используемых фильтров, с помощью которых можно еще более сузить область поиска объектов, добавив дополнительные условия фильтрации. Общий список фильтров настраивается администраторами системы, а пользователь может создавать свои персональные фильтры по аналогии с персональными выборками (рис. 6).

В IPS также есть специальный инструмент для поиска объектов по связям - схемы поиска объектов. Схема поиска - это именованный набор настроек и условий, согласно которым система ищет состав или применяемость объекта на один или множество уровней вложенности. С системой поставляется множество готовых схем поиска: для сбора полного комплекта документов на изделие или заказ, для поиска применяемости в головных изделиях, для поиска различной технологической информации и т.д. Администраторы могут расширять список схем, причем для каждой роли можно настроить собственный набор схем поиска в зависимости от обязанностей, которые выполняют пользователи, заходя в систему в данной роли.

Еще одна интересная тема - поиск электронного документа по его твердой копии. Такой вопрос может возникнуть даже в том случае, если на предприятии хорошо поставлена работа службы ОТД и все устаревшие копии документов отзываются своевременно. Зачастую вообще невозможно точно узнать, с какой именно версии документа создавалась данная твердая копия, если она еще не была поставлена на учет в ОТД и не получила соответствующий инвентарный номер. В таком случае может помочь технология штрихкодирования документов, реализованная в IPS. Суть технологии в том, что при распечатке документа в определенной области штампа выводится штрих­код, в котором закодирован идентификатор данной версии документа в PLM­системе. При наличии сканера штрих­кодов процесс поиска такого документа в базе данных занимает пару секунд.

Управление требованиями

Функционал управления требованиями давно стал обязательным в зарубежных PLM­системах, однако отечественные производители не спешат с его реализацией, ссылаясь на отсутствие спроса со стороны пользователей. Тем не менее руководство предприятий понимает, что максимально точное выполнение технического задания минимизирует количество проблем, возникающих в процессе приемки изделия заказчиком. И управление требованиями в данном контексте - это часть общей системы контроля качества продукции на предприятии. Ведь ошибки, допущенные на самой ранней стадии проектирования, являются самыми дорогостоящими. Какой вообще смысл делать продукт, который не отвечает требованиям заказчика и нормативным документам?

Учитывая всё вышесказанное, компания ИНТЕРМЕХ включила в комплект поставки IPS модуль управления требованиями. Данный модуль позволяет создать дерево требований, которым должно соответствовать проектируемое изделие, на основе технического задания, разработанного в MS Word (рис. 7). Администратор системы задает критерии, которым должны соответствовать объекты технических требований для перевода на шаг ЖЦ Выполнено (например, наличие подписей ответственных лиц). Система отслеживает выполнение всех пунктов технического задания и не дает перевести его на шаг Выполнено до тех пор, пока все требования не будут удовлетворены. Также имеется возможность на основе дерева требований сформировать проект IMProject для организации и планирования работ по исполнению технического задания.

Вместо эпилога

К сожалению, объем одной статьи не позволяет провести подробный анализ всех особенностей системы. Поэтому кратко перечислим, какой еще функционал отличает IPS от других отечественных PLM­систем:

• подсистема поиска 3D­моделей по геометрическому подобию;
• встроенный механизм форумов для организации обсуждения любого проекта, извещения или информационного объекта непосредственно в системе;
• встроенная экспертная система для расчета значений атрибутов, проверки условий и генерации документов, ведомостей и отчетов произвольной сложности;
• визуализатор связей для наглядного представления взаимосвязей между информационными объектами в виде ориентированного графа;
• расширенные средства аннотирования документов, включая подсистему создания графических замечаний для документов произвольных форматов;
• архивы для упорядоченного хранения документов и контроля прав доступа к ним;
• механизм итераций, позволяющий в любой момент сохранить состояние (атрибуты, файлы и связи) выбранных объектов с возможностью возврата объектов в данное состояние;
• встроенный органайзер для удобного доступа к задачам, письмам и различным оповещениям непосредственно на календаре;
• системный планировщик для автоматического выполнения различных процедур, скриптов и задач по расписанию;
• встроенные средства масштабирования защищенного хранилища файлов документов, а также средства миграции редко используемых данных на медленные носители информации;
• поддержка СУБД ЛИНТЕР, включая ЛИНТЕР БАСТИОН, сертифицированный ФСТЭК России и Министерством обороны РФ;
• автоматическое переподключение клиентов к серверу при потере и восстановлении связи;
• средства автоматического развертывания и обновления клиентов на рабочих станциях.

Таким образом, IPS обладает рядом преимуществ, которые делают систему максимально удобной для использования на отечественных предприятиях и позволяют значительно сэкономить время и снизить затраты в процессе конструкторско­технологической подготовки производства.

Обнаружения вторжений - это программные или аппаратные средства обнаружения атак и вредоносных действий. Они помогают сетям и компьютерным системам давать им надлежащий отпор. Для достижения этой цели IDS производит сбор информации с многочисленных системных или сетевых источников. Затем система IDS анализирует ее на предмет наличия атак. В данной статье будет предпринята попытка ответить на вопрос: "IDS - что это такое и для чего она нужна?"

Для чего нужны системы обнаружения вторжения (IDS)

Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров и антивирусов для отражения всех этих атак оказывается явно недостаточно, поскольку они лишь способны защитить «парадный вход» компьютерных систем и сетей. Разные подростки, возомнившие себя хакерами, беспрерывно рыщут по интернету в поисках щелей в системах безопасности.

Благодаря всемирной паутине в их распоряжении очень много совершенно бесплатного вредоносного софта - всяких слеммеров, слепперов и тому подобных вредных программ. Услугами же профессиональных взломщиков пользуются конкурирующие компании для нейтрализации друг друга. Так что системы, которые обнаруживают вторжение (intrusion detection systems), - насущная необходимость. Неудивительно, что с каждым днем они все более широко используются.

Элементы IDS

К элементам IDS относятся:

• детекторная подсистема, цель которой - накопление событий сети или компьютерной системы;
• подсистема анализа, которая обнаруживает кибер-атаки и сомнительную активность;
• хранилище для накопления информации про события, а также результаты анализа кибер-атак и несанкционированных действий;
• консоль управления, при помощи которой можно задавать параметры IDS, следить за состоянием сети (или компьютерной системы), иметь доступ к информации про обнаруженные подсистемой анализа атаки и неправомерные действия.

Кстати, многие могут спросить: "Как переводится IDS?" Перевод с английского звучит как "система, которая застает на горячем незваных гостей".

Основные задачи, которые решают системы обнаружения вторжений

Система обнаружения вторжений имеет две основные задачи: анализ и адекватная реакция, основанная на результатах этого анализа. Для выполнения этих задач система IDS осуществляет следующие действия:

• мониторит и анализирует активность пользователей;
• занимается аудитом конфигурации системы и ее слабых мест;
• проверяет целостность важнейших системных файлов, а также файлов данных;
• проводит статистический анализ состояний системы, основанный на сравнении с теми состояниями, которые имели место во время уже известных атак;
• осуществляет аудит операционной системы.

Что может обеспечить система обнаружения вторжений и что ей не под силу

С ее помощью можно добиться следующего:

• улучшить параметры целостности ;
• проследить активность пользователя от момента его вхождения в систему и до момента нанесения ей вреда или произведения каких-либо несанкционированных действий;
• распознать и оповестить про изменение или удаление данных;
• автоматизировать задачи мониторинга интернета с целью поиска самых последних атак;
• выявить ошибки в конфигурации системы;
• обнаружить начало атаки и оповестить об этом.

Система IDS это сделать не может:

• восполнить недостатки в сетевых протоколах;
• сыграть компенсаторную роль в случае наличия слабых механизмов идентификации и аутентификации в сетях или компьютерных системах, которые она мониторит;
• также следует заметить, что IDS не всегда справляется с проблемами, связанными с атаками на пакетном уровне (packet-level).

IPS (intrusion prevention system) - продолжение IDS

IPS расшифровывается как "предотвращение вторжения в систему". Это расширенные, более функциональные разновидности IDS. IPS IDS системы реактивны (в отличие от обычной). Это означает, что они могут не только выявлять, записывать и оповещать об атаке, но также и выполнять защитные функции. Эти функции включают сброс соединений и блокировку поступающих пакетов трафика. Еще одной отличительной чертой IPS является то, что они работают в режиме онлайн и могут автоматически заблокировать атаки.

Подвиды IDS по способу мониторинга

NIDS (то есть IDS, которые мониторят всю сеть (network)) занимаются анализом трафика всей подсети и управляются централизованно. Правильным расположением нескольких NIDS можно добиться мониторинга довольно большой по размеру сети.

Они работают в неразборчивом режиме (то есть проверяют все поступающие пакеты, а не делают это выборочно), сравнивая трафик подсети с известными атаками со своей библиотеки. Когда атака идентифицирована или же обнаружена несанкционированная активность, администратору посылается сигнал тревоги. Однако следует упомянуть, что в большой сети с большим трафиком NIDS иногда не справляются с проверкой всех информационных пакетов. Поэтому существует вероятность того, что во время «часа пик» они не смогут распознать атаку.

NIDS (network-based IDS) - это те системы, которые легко встраивать в новые топологии сети, поскольку особого влияния на их функционирование они не оказывают, являясь пассивными. Они лишь фиксируют, записывают и оповещают, в отличие от реактивного типа систем IPS, о которых речь шла выше. Однако нужно также сказать о network-based IDS, что это системы, которые не могут производить анализ информации, подвергнутой шифрованию. Это существенный недостаток, поскольку из-за все более широкого внедрения виртуальных частных сетей (VPN) шифрованная информация все чаще используется киберпреступниками для атак.

Также NIDS не могут определить, что случилось в результате атаки, нанесла она вред или нет. Все, что им под силу, - это зафиксировать ее начало. Поэтому администратор вынужден самостоятельно перепроверять каждый случай атаки, чтобы удостовериться в том, что атакующие добились своего. Еще одной существенной проблемой является то, что NIDS с трудом фиксирует атаки при помощи фрагментированных пакетов. Они особенно опасны, поскольку могут нарушить нормальную работу NIDS. Что это может означать для всей сети или компьютерной системы, объяснять не нужно.

HIDS (host intrusion detection system)

HIDS (IDS, мониторящие хост (host)) обслуживают лишь конкретный компьютер. Это, естественно, обеспечивает намного более высокую эффективность. HIDS анализируют два типа информации: системные логи и результаты аудита операционной системы. Они делают снимок системных файлов и сравнивают его с более ранним снимком. Если критично важные для системы файлы были изменены или удалены, то тогда администратору посылается сигнал тревоги.

Существенным преимуществом HIDS является способность выполнять свою работу в ситуации, когда сетевой трафик поддается шифровке. Такое возможно благодаря тому, что находящиеся на хосте (host-based) источники информации можно создавать перед тем, как данные поддаются шифрованию, или после их расшифровки на хосте назначения.

К недостаткам данной системы можно отнести возможность ее блокирования или даже запрещения при помощи определенных типов DoS-атак. Проблема здесь в том, что сенсоры и некоторые средства анализа HIDS находятся на хосте, который подвергается атаке, то есть их тоже атакуют. Тот факт, что HIDS пользуются ресурсами хостов, работу которых они мониторят, тоже сложно назвать плюсом, поскольку это, естественно, уменьшает их производительность.

Подвиды IDS по методам выявления атак

Метод аномалий, метод анализа сигнатур и метод политик - такие подвиды по методам выявления атак имеет система IDS.

Метод анализа сигнатур

В этом случае пакеты данных проверяются на наличие сигнатур атаки. Сигнатура атаки - это соответствие события одному из образцов, описывающих известную атаку. Этот метод достаточно эффективен, поскольку при его использовании сообщения о ложных атаках достаточно редки.

Метод аномалий

При его помощи обнаруживаются неправомерные действия в сети и на хостах. На основании истории нормальной работы хоста и сети создаются специальные профили с данными про это. Потом в игру вступают специальные детекторы, которые анализируют события. При помощи различных алгоритмов они производят анализ этих событий, сравнивая их с «нормой» в профилях. Отсутствие надобности накапливать огромное количество сигнатур атак - несомненный плюс этого метода. Однако немалое количество ложных сигналов про атаки при нетипичных, но вполне законных событиях в сети - это несомненный его минус.

Метод политик

Еще одним методом выявления атак является метод политик. Суть его - в создании правил сетевой безопасности, в которых, к примеру, может указываться принцип взаимодействия сетей между собой и используемые при этом протоколы. Этот метод перспективен, однако сложность заключается в достаточно непростом процессе создания базы политик.

ID Systems обеспечит надежной защитой ваши сети и компьютерные системы

Группа компаний ID Systems на сегодняшний день является одним из лидеров рынка в области создания систем безопасности для компьютерных сетей. Она обеспечит вас надежной защитой от кибер-злодеев. С системами защиты ID Systems вы сможете не переживать за важные для вас данные. Благодаря этому вы сможете больше наслаждаться жизнью, поскольку у вас на душе будет меньше тревог.

ID Systems - отзывы сотрудников

Прекрасный коллектив, а главное, конечно, - это правильное отношение руководства компании к своим сотрудникам. У всех (даже неоперившихся новичков) есть возможность профессионального роста. Правда, для этого, естественно, нужно проявить себя, и тогда все получится.

В коллективе здоровая атмосфера. Новичков всегда всему обучат и все покажут. Никакой нездоровой конкуренции не ощущается. Сотрудники, которые работают в компании уже многие годы, с радостью делятся всеми техническими тонкостями. Они доброжелательно, даже без тени снисходительности отвечают на самые глупые вопросы неопытных работников. В общем, от работы в ID Systems одни приятные эмоции.

Отношение руководства приятно радует. Также радует то, что здесь, очевидно, умеют работать с кадрами, потому что коллектив действительно высокопрофессиональный подобрался. Мнение сотрудников практически однозначно: они чувствуют себя на работе как дома.

IDS/IPS системы - это уникальные инструменты, созданные для защиты сетей от неавторизованного доступа. Они представляют собой аппаратные или компьютерные средства, которые способны оперативно обнаруживать и эффективно предотвращать вторжения. Среди мер, которые принимаются для достижения ключевых целей IDS/IPS, можно выделить информирование специалистов по информационной безопасности о фактах попыток хакерских атак и внедрения вредоносных программ, обрыв соединения со злоумышленниками и перенастройку сетевого экрана для блокирования доступа к корпоративным данным.

Для чего применяют системы обнаружения вторжения в сеть

Кибер-атаки - одна из основных проблем, с которыми сталкиваются субъекты, владеющие информационными ресурсами. Даже известные антивирусные программы и брандмауэры - это средства, которые эффективны лишь для защиты очевидных мест доступа к сетям. Однако злоумышленники способны находить пути обхода и уязвимые сервисы даже в самых совершенных системах безопасности. При такой опасности неудивительно, что зарубежные и российские UTM-решения получают все более широкую популярность среди организаций, желающих исключить возможность вторжения и распространения вредоносного ПО (червей, троянов и компьютерных вирусов). Многие компании принимают решение купить сертифицированный межсетевой экран или другой инструмент для комплексной защиты информации.

Особенности систем обнаружения вторжений

Все существующие сегодня системы обнаружения и предотвращения вторжений объединены несколькими общими свойствами, функциями и задачами, которые с их помощью решают специалисты по информационной безопасности. Такие инструменты по факту осуществляют беспрерывный анализ эксплуатации определенных ресурсов и выявляют любые признаки нетипичных событий.

Организация безопасности корпоративных сетей может подчиняться нескольким технологиям, которые отличаются типами выявляемых инцидентов и методами, применяемыми для обнаружения таких событий. Помимо функций постоянного мониторинга и анализа происходящего, все IDS системы выполняют следующие функции:

• сбор и запись информации;
• оповещения администраторам администраторов сетей о произошедших изменениях (alert);
• создание отчетов для суммирования логов.

Технология IPS в свою очередь дополняет выше описанную, так как способна не только определить угрозу и ее источник, но и осуществить их блокировку. Это говорит и о расширенном функционале подобного решения. Оно способно осуществлять следующие действия:

• обрывать вредоносные сессии и предотвращать доступ к важнейшим ресурсам;
• менять конфигурацию «подзащитной» среды;
• производить действия над инструментами атаки (например, удалять зараженные файлы).

Стоит отметить, что UTM межсетевой экран и любые современные системы обнаружения и предотвращения вторжений представляют собой оптимальную комбинацию технологий IDS иИ IPS.

Как происходит обнаружение вредоносных атак

Технологии IPS используют методы, основанные на сигнатурах - шаблонах, с которыми связывают соответствующие инциденты. В качестве сигнатур могут выступать соединения, входящие электронные письма, логи операционной системы и т.п. Такой способ детекции крайне эффективен при работе с известными угрозами, но очень слаб при атаках, не имеющих сигнатур.

Еще один метод обнаружения несанкционированного доступа, называемый HIPS, заключается в статистическом сравнении уровня активности происходящих событий с нормальным, значения которого были получены во время так называемого «обучающего периода». Данный способ может дополнять сигнатурную фильтрацию и блокировать хакерские атаки, которые смогли ее обойти.

Резюмируя функции и принципы работы IDS и IPS систем предотвращения вторжений, можно сказать, что они решают две крупные задачи:

• анализ компонентов информационных сетей;
• адекватное реагирование на результаты данного анализа.

Детекторы атак Suricata

Одним из решений IPS предотвращения вторжений являются детекторы атак, которые предназначены для своевременного выявления множества вредоносных угроз. В Интернет Контроль Сервере они реализованы в виде системы Suricata - продвинутого, многозадочного многозадачного и очень производительного инструмента, разработанного для превентивной защиты сетей, а также сбора и хранения информации о любых поступающих сигналах. Работа детектора атак основана на анализе сигнатур и эвристике, а удобство его обусловлено наличием открытого доступа к исходному коду. Такой подход позволяет настраивать параметры работы системы для решения индивидуальных задач.

К редактируемым параметрам Suricata относятся правила, которым будет подчиняться анализ трафика, фильтры, ограничивающие вывод предупреждения администраторам, диапазоны адресов разных серверов, активные порты и сети.

Таким образом, Suricata как IPS-решение - это довольно гибкий инструмент, функционирование которого подлежит изменениям в зависимости от характера атаки, что делает его максимально эффективным.

В ИКС фиксируется и хранится информация о подозрительной активности, блокируются ботнеты, DOS-атаки, а также TOR, анонимайзеры, P2P и торрент-клиенты.

При входе в модуль отображается его состояние, кнопка «Выключить» (или «Включить», если модуль выключен) и последние сообщения в журнале.

Настройки

Во вкладке настроек можно редактировать параметры работы детектора атак. Здесь можно указать внутренние, внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься. По умолчанию, анализируется трафик на внешних интерфейсах.

Правила

Детектору атак можно подключать правила, с помощью которых он будет анализировать трафик. На данной вкладке можно посмотреть наличие и содержимое того или иного файла с правилами, а также включить или выключить его действие (с помощью флажков справа). В правом верхнем углу распологается поиск по названию или по количеству правил в файле.

Фильтры

Для того, чтобы настроить ограничения в выводе предупреждений детектором атак, необходимо перейти на вкладку «Фильтры». Здесь можно добавить следующие ограничения:

• фильтр по количеству сообщений,
• фильтр сообщений по частоте появления,
• фильтр смешанного типа,
• запрет на сообщения определённого типа;

При настройке необходимо помнить, что поле «Id правила» в различных фильтрах должно быть различным.

Современные электронные устройства являются практически универсальными. Так, например, смартфон превосходно справляется не только со звонками (их приемом и совершением), но и возможностью бороздить просторы интернета, слушать музыку, просматривать видеоролики или читать книги. Для этих же задач подойдет планшет. Экран является одной из важнейших частей электроники, особенно если он - сенсорный и служит не только для отображения файлов, но и для управления. Ознакомимся с характеристиками дисплеев и технологиями, по которым они создаются. Уделим особое внимание тому, что такое IPS-экран, что это за технология, в чем ее преимущества.

Как устроен ЖК-экран

Прежде всего разберемся, как устроен которым оснащается современная техника. Во-первых, это активная матрица. Она состоит из микропленочных транзисторов. Благодаря им и формируется изображение. Во-вторых, это слой жидких кристаллов. Они оснащены светофильтрами и создают R-, G-, B-субпиксели. В-третьих, это система подсветки экрана, которая позволяет сделать изображение видимым. Она может быть люминесцентной или светодиодной.

Особенности IPS-технологии

Строго говоря, матрица IPS - разновидность технологии TFT, по которой создаются ЖК-экраны. Под TFT часто понимают мониторы, произведенные способом TN-TFT. Исходя из этого, можно произвести их сравнение. Чтобы ознакомиться с тонкостями выбора электроники, разберемся, что такое технология экрана IPS, что это понятие обозначает. Главное, что отличает эти дисплеи от TN-TFT, - расположение жидкокристаллических пикселей. Во втором случае они располагаются по спирали, находятся под углом в девяносто градусов горизонтально между двумя пластинами. В первом (который нас интересует больше всего) матрица состоит из тонкопленочных транзисторов. Причем кристаллы располагаются вдоль плоскости экрана параллельно друг другу. Без поступления на них напряжения они не поворачиваются. У TFT каждый транзистор управляет одной точкой экрана.

Отличие IPS от TN-TFT

Рассмотрим подробнее IPS, что это такое. У мониторов, созданных по данной технологии, есть масса преимуществ. Прежде всего, это великолепная цветопередача. Весь спектр оттенков ярок, реалистичен. Благодаря широкому углу обзора изображение не блекнет, с какой точки на него ни взгляни. У мониторов более высокая, четкая контрастность благодаря тому, что черный цвет передается просто идеально. Можно отметить следующие минусы, которыми обладает тип экрана IPS. Что это, прежде всего, большое потребление энергии, значительный недостаток. К тому же устройства, оснащенные такими экранами, стоят дорого, так как их производство очень затратное. Соответственно, TN-TFT обладают диаметрально противоположными характеристиками. У них меньше угол обзора, при изменении точки взгляда изображение искажается. На солнце ими пользоваться не очень удобно. Картинка темнеет, мешают блики. Однако такие дисплеи имеют быстрый отклик, меньше потребляют энергии и доступны по цене. Поэтому подобные мониторы устанавливают в бюджетных моделях электроники. Таким образом, можно заключить, в каких случаях подойдет IPS-экран, что это великолепная вещь для любителей кино, фото и видео. Однако из-за меньшей отзывчивости их не рекомендуют поклонникам динамичных компьютерных игр.

Разработки ведущих компаний

Сама технология IPS была создана японской компанией Hitachi совместно с NEC. Новым в ней было расположение жидкокристаллических кристаллов: не по спирали (как в TN-TFT), а параллельно друг другу и вдоль экрана. В результате такой монитор передает цвета более яркие и насыщенные. Изображение видно даже на открытом солнце. Угол обзора IPS-матрицы составляет сто семьдесят восемь градусов. Смотреть можно на экран с любой точки: снизу, сверху, справа, слева. Картинка остается четкой. Популярные планшеты с экраном IPS выпускает компания Apple, они создаются на матрице IPS Retina. На один дюйм используется увеличенная плотность пикселей. В результате изображение на дисплее выходит без зернистости, цвета передаются плавно. По словам разработчиков, человеческий глаз не замечает микрочастиц, если пикселей более 300 ppi. Сейчас устройства с IPS-дисплеями становятся более доступными по цене, ими начинают снабжать бюджетные модели электроники. Создаются новые разновидности матриц. Например, MVA/PVA. Они обладают быстрым откликом, широким углом обзора и замечательной цветопередачей.

Устройства с экраном мультитач

В последнее время большую популярность завоевали электронные приборы с сенсорным управлением. Причем это не только смартфоны. Выпускают ноутбуки, планшеты, у которых сенсорный экран IPS, служащий для управления файлами, изображениями. Такие устройства незаменимы для работы с видео, фотографиями. В зависимости от встречаются компактные и полноформатные устройства. мультитач способен распознавать одновременно десять касаний, то есть на таком мониторе можно работать сразу двумя руками. Небольшие мобильные устройства, например смартфоны или планшеты с диагональю в семь дюймов, распознают пять касаний. Этого вполне достаточно, если у вашего смартфона небольшой IPS-экран. Что это очень удобно, оценили многие покупатели компактных устройств.

В идеальном мире, в Вашу сеть заходят только те кто нужно - коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Но как только Вы приходите к решению что хотите открыть доступ к Вашей внутренней сети в режиме 24/7 Вам следует понимать что пользоваться этой «дверью» будут не только «хорошие парни». Обычно в ответ не такое утверждение можно услышать что-то типа «ну это не про нас, у нас маленькая компания», «да кому мы нужны», «что у нас ломать то, нечего».

И это не совсем верно. Даже если представить компанию, в которой на компьютерах нет ничего, кроме свежеустановленной ОС - это ресурсы. Ресурсы которые могут работать. И не только на Вас.

Поэтому даже в этом случае эти машины могут стать целью атакущих, например, для создания ботнета, майнинга биткоинов, крэкинга хэшей…

Еще существует вариант использования машин Вашей сети для проксирования запросов атакущих. Таким образом, их нелегальная деятельность ввяжет Вас в цепочку следования пакетов и как минимум добавит головной боли компании в случае разбирательств.

И тут возникает вопрос: а как отличить легальные действия от нелегальных?

Собственно, на этот вопрос и должна отвечать система обнаружения вторжений. С помощью нее Вы можете детектировать большинство well-known атак на свою сеть, и успеть остановить атакующих до того как они доберутся до чего-либо важного.

Обычно, на этом моменте рассуждений возникает мысль что то, что описано выше может выполнять обычный firewall. И это правильно, но не во всем.

Разница между функциями firewall и IDS на первый взгляд может быть не видна. Но IDS обычно умеет понимать контент пакетов, заголовки и содержание, флаги и опции, а не только порты и IP адреса. То есть IDS понимает контекст чего обычно не умеет firewall. Исходя из того, можно сказать что IDS выполняет функции Firewall, но более интеллектуально. Для обычного Firewall нетипична ситуация когда нужно, например, разрешать соединения на порт 22 (ssh), но блокировать только некоторые пакеты, в которых содержатся определенные сигнатуры.

Современные Firewall могут быть дополнены различными плагинами, которые могут делать похожие вещи, связанные с deep-inspection пакетов. Часто такие плагины предлагают сами вендоры IDS чтобы усилить связку Firewall — IDS.

В качестве абстракции, Вы можете представить себе IDS в качестве системы сигнализации Вашего дома или офиса. IDS будет мониторить периметр и даст Вам знать когда произойдет что-то непредусмотренное. Но при этом IDS никак не будет препятствовать проникновению.

И эта особенность приводит к тому что в чистом виде IDS, скорее всего, не то что Вы хотите от Вашей системы безопасности (скорее всего, Вы не захотите такую систему для охраны Вашего дома или офиса - в ней нет никаких замков).

Поэтому сейчас почти любая IDS это комбинация IDS и IPS (Intrusion Prevention System - Система предотвращения вторжений).

Далее, необходимо четко понимать чем отличаются IDS и VS (Vulnerability Scanner - Сканер уязвимостей). А отличаются они по принципу действия. Сканеры уязвомостей - это превентивная мера. Вы можете просканировать все свои ресурсы. Если сканер что-нибудь найдет, можно это исправить.

Но, после того момента как Вы провели сканирование и до следующего сканирования в инфраструктуре могут произойти изменения, и Ваше сканирование теряет смысл, так как больше не отражает реальное положение дел. Измениться могут такие вещи как конфигурации, настройки отдельных сервисов, новые пользователи, права существующих пользователей, добавиться новые ресурсы и сервисы в сети.

Отличие же IDS в том что они проводят детектирование в реальном времени, с текущей конфигурацией.

Важно понимать, что IDS, по факту, не знает ничего об уязвимостях в сервисах в сети. Ей это не нужно. Она детектирует атаки по своим правилам - по факту появления сигнатур в трафике в сети. Таким образом, если IDS будет содержать, например, сигнатуры для атак на Apache WebServer, а у Вас его нигде нету - IDS все равно детектирует пакеты с такими сигнатурами (возможно, кто-то пытается направить эксплоит от апача на nginx по незнанию, либо это делает автоматизированный toolkit).

Конечно же, такая атака на несуществующий сервис ни к чему не приведет, но с IDS Вы будете в курсе что такая активность имеет место.

Хорошим решением является объединение периодических сканирований уязвимостей и включенной IDS/IPS.

Методы детектирования вторжений. Программные и аппаратные решения.

Сегодня много вендоров предлагают свои решения IDS/IPS. И все они реализуют свои продукты по разному.

Разные подходы обусловлены разными подходами к категоризации событий безопасности, атак и вторжений.

Первое, что надо учитывать - это масштаб: будет ли IDS/IPS работать только с трафиков конкретного хоста, или же она будет исследовать трафик целой сети.

Второе, это то как изначально позиционируется продукт: это может программное решение, а может быть аппаратное.

Давайте посмотрим на, так называемые, Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS является, как раз, примером программной реализации продукта и устанавливается на одну машину. Таким образом, система такого типа «видит» только информацию, доступную данной машине и, соответственно, детектирует атаки только затрагивающие эту машину. Преимущество систем такого типа в том, что будучи на машине, они видят всю ее внутреннюю структуру и могут контролировать и проверять намного больше объектов. Не только внешний трафик.

Такие системы обычно следят за лог-файлами, пытаются выявить аномалии в потоках событий, хранят контрольные суммы критичных файлов конфигураций и периодически сравнивают не изменил ли кто-то эти файлы.

А теперь давайте сравним такие системы с network-based системами (NIDS) о которых мы говорили в самом начале.

Для работы NIDS необходим, по сути, только сетевой интерфейс, с которого NIDS сможет получать трафик.

Далее все что делает NIDS - это сравнивает трафик с заранее заданными паттернами (сигнатурами) атак, и как только что-то попадает под сигнатуру атаки, Вы получаете уведомление о попытке вторжения. NIDS также способны детектировать DoS и некоторые другие типы атак, которые HIDS просто не может видеть.

Можно подойти к сравнению и с другой стороны:

Если Вы выбираете IDS/IPS реализованную как программное решение, то получаете контроль над тем на какое «железо» Вы будете ее устанавливать. И, в случае, если «железо» уже есть, Вы можете сэкономить.

Также в программной реализации существуют и бесплатные варианты IDS/IPS. Конечно, надо понимать, что используя бесплатные системы Вы не получаете такого же саппорта, скорости обновлений и решения проблем, как с платными вариантами. Но это хороший вариант для начала. В ними Вы можете понять что Вам действительно нужно от таких систем, увидите чего не хватает, что ненужно, выявите проблемы, и будете знать что спросить у вендоров платных систем в самом начале.

Если же Вы выбираете hardware решение, то получаете коробку, уже практически готовую к использованию. Плюсы от такой реализации очевидны — «железо» выбирает вендор, и он должен гарантировать что на этом железе его решение работает с заявленными характеристиками(не тормозит, не виснет). Обычно внутри находится некая разновидность Linux дистрибутива с уже установленным ПО. Такие дистрибутивы обычно сильно урезаны чтобы обеспечивать быструю скорость работы, оставляются только необходимые пакеты и утилиты (заодно решается проблема размера комплекта на диске - чем меньше тем меньше нужен HDD - тем меньше себестоимость - тем больше прибыль!).

Программные же решения часто очень требовательны к вычислительными ресурсам.

Отчасти из-за того в «коробке» работает только IDS/IPS, а на серверах с программными IDS/IPS обычно запущено всегда очень много дополнительных вещей.