В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Андрей Дугин
старший системный администратор
по направлению IT-безопасность
компании "МТС-Украина"
При работе с инфраструктурой систем обнаружения и предотвращения вторжений перед администратором информационной безопасности, кроме всего прочего, возникают следующие задачи:
Анализ сетевого трафика на наличие аномалий либо нарушений политик безопасности, как правило, производится без потенциального влияния на сетевые сервисы. Как исключение, использование систем предотвращения вторжений может быть в режиме inline IPS (Intrusion Prevention Systems) либо с возможностью внедрения в TCP-сессию и принудительного ее обрыва.
Также возможно использование интеграции систем обнаружения вторжений и активного сетевого оборудования с настройкой возможности блокирования источника аномальной активности. В данной статье рассматривается использование полной копии всех пакетов (SPAN-сессия) для обработки на устройствах IDS. Пакеты направляются на выделенный, “зеркалированный”, или SPAN-порт, к которому подключается сетевой сенсор систем обнаружения вторжений. В зависимости от производителя, версии аппаратной платформы и программного обеспечения коммутатора возможно выборочное копирование входящих/исходящих пакетов определенных физических либо логических интерфейсов на SPAN-порт. Для осуществления эффективного анализа пропускная способность SPAN-порта и, соответственно, агента IDS должна быть не менее расчетной пиковой суммарной нагрузки на анализируемые интерфейсы.
Сетевые сенсоры систем обнаружения вторжений, как правило, не рассчитаны на длительное локальное хранение и обработку событий безопасности, на которые настроены срабатывать. Хранение событий производится на отдельном сервере управления и мониторинга, который записывает полученную с систем обнаружения вторжений информацию в базу данных согласно правилам, установленным администратором. От возможностей системы зависит ее стоимость.
Обязательные компоненты систем управления сетевыми сенсорами с функциями, без которых управление и мониторинг IDS/IPS не будет полноценным, описаны в табл. 1.
В зависимости от поставщика и реализации решения система управления может также содержать в своем составе дополнительные модули (табл. 2).
При анализе загрузки процессоров, объеме и пакетности обрабатываемого сенсорами IDS-трафика, можно решить возникающие в ходе развития и эксплуатации инфраструктуры систем обнаружения вторжений следующие проблемы:
Правильный расчет нагрузки, вызываемой копией трафика на SPAN-порт коммутатора, может помочь выделить интерфейс необходимой пропускной способности и выбрать подходящий сетевой сенсор для каждого сегмента сети. Рекомендуемая пропускная способность не должна быть ниже суммарной пиковой нагрузки на интерфейсы, сетевой трафик с которых будет копироваться, во избежание потери пакетов. Системы управления IDS/IPS должны обладать определенным набором параметров, без которых они не могут полноценно и качественно выполнять возложенные на них функции, а также опционально дополнительными возможностями, облегчающими работу с обнаруженными событиями безопасности. При анализе загрузки систем обнаружения вторжений, существует возможность получения ряда дополнительных сведений, на основании которых можно сделать выводы о рациональности использования ресурсов, соответствия официальных параметров действительным данным, получать информацию об авариях, несогласованных работах либо появлении аномалий в сети и т.п.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2010