Персональные инструменты
Вы здесь: Главная Продукты и услуги ids

ids

REDSecure IDS

Аннотация

Система обнаружения атак «REDSecure IDS» предназначена для защиты компьютерных сетей и отдельных узлов сетей от внешних и внутренних компьютерных атак. Данный документ содержит краткое описание основных модулей системы «REDSecure IDS».

1. Краткое описание СОА «REDSecure IDS»

Система обнаружения атак предназначена для обнаружения компьютерных атак на распределенные информационные системы (РИС) состоит из нескольких модулей, взаимодействующих в рамках локальной вычислительной сети (ЛВС), либо группы ЛВС.

СОА «REDSecure» состоит из следующих модулей:

  • Сетевой сенсор под управлением ОС Linux;
  • Узловой сенсор для ОС Windows 2000/XP;
  • Узловой сенсор для ОС Linux;
  • Графическая консоль управления;

В состав одной инсталляции СОА могут входить:

  • до 10 сетевых сенсоров;
  • до 100 (и более) узловых сенсоров;
  • до 3 станций управления.

Объединение модулей в единую систему выполняется по иерархическому принципу: каждый сетевой сенсор является центром сбора информации и управления для отдельного сегмента узловых сенсоров, в свою очередь сетевые сенсоры соединены со станцией управления. Станция управления выполняет функции центрального узла, куда стекается вся информация от сенсоров и откуда производится управление системой.

2. Описание функций основных модулей СОА «REDSecure»

2.1. Сетевой сенсор

Сетевой сенсор СОА предназначен для анализа сетевого трафика в каналах с пропускной способностью до 100Мбит/с. В сетевом сенсоре реализован метод обнаружения компьютерных атак на основе анализа поведения сетевых приложений и пользователей сети. Также сетевой сенсор позволяет обнаруживать вредоносный исполняемый код для архитектуры IA32 с высокой точностью, что позволяет выявлять широкий класс атак, неизвестных для сигнатурных IDS.

Сенсор может быть использован как для защиты выделенного сегмента сетиС, так и отдельных узлов и приложений в сети. В сети может быть установлено от 1 до 10 сетевых сенсоров, при этом управление сенсорами производится как локально, так и централизованно с консоли управления.

В настоящее время база описаний атак и аномалий для сетевого сенсора содержит около 5000 сценариев и постоянно пополняется. Кроме того, в состав дистрибутива входит инструментальное средство для разработки сценариев СОА «REDSecure IDS».
На выходе сетевой сенсор формирует сообщения об атаках в стандартном формате IDMEF (Intrusion Detection Message Exchange Format) и пересылает их консоли управления для визуализации и формирования отчетов.

Для обеспечения работы СОА «REDSecure IDS» в состав ПО сетевого сенсора входит СУБД PostgreSQL. В развёрнутой инсталляции СОА базы данных входящих в неё сетевых сенсоров объединяются в единую иерархическую СУБД, которая представляет собой распределенное хранилище описаний нормального и аномального поведения объектов РИС. Данное хранилище также используется сетевыми и узловыми сенсорами для регистрации всех сообщений об атаках и хранения системных журналов.

В состав ПО сетевого сенсора также входит компонент подсистемы реагирования СОА - менеджер реагирования. Данный менеджер получает сообщения об атаках от сетевых и узловых сенсоров и реагирует на атаки в соответствии с заранее заданной политикой реагирования. Реагирование может включать в себя запись сообщения в журнал, настройку некоторого внешнего средства защиты информации и т.п.
В настоящее время поддерживается управление межсетевыми экранами с помощью агентов реагирования. Агенты реагирования реализованы для следующих операционных систем и межсетевых экранов:

  • межсетевой экран IPTables для ОС Linux;
  • агент реагирования для ОС Windows 2000/XP с функциями межсетевого экрана.
Сетевой сенсор СОА «REDSecure IDS» функционирует на выделенной ПЭВМ под управлением ОС Linux различных версий с ядром версии 2.4.х и 2.6.х, но не ниже 2.4.18. В настоящее время поставляются дистрибутивы для систем Debian GNU/Linux, Mandrake Linux, Red Hat Linux.

2.2. Узловой сенсор

Узловой сенсор предназначен для анализа системных журналов ОС и наблюдения за действиями пользователя контролируемой рабочей станции или сервера. Узловой сенсор использует метод обнаружения атак на основе анализа поведения объектов сети, аналогично сетевому сенсору, и позволяет отслеживать такие события как действия пользователей и процессов на узлах, запуск определенных программ, попытки взаимодействия с определенными внешними узлами по сети и т.д.
На выход узловой сенсор выдаёт сообщения об обнаруженных аномалиях или злоупотреблениях в формате IDMEF. Сообщения пересылаются сетевому сенсору, который работает в том же сегменте РИС, и далее на консоль управления.
Узловой сенсор устанавливается на компьютеры (рабочие станции и сервера) контролируемой РИС, работающие под управлением ОС семейства Linux, Windows 2000/XP.

2.3. Графическая консоль управления

Консоль управления СОА «REDSecure IDS» представляет собой программный модуль, который собирает информацию об атаках, обнаруженных сетевыми и узловыми сенсорами, и отображает эту информацию в удобном для человека виде. Консоль управления работает на выделенной ПЭВМ под управлением ОС Linux.
Функциями консоли управления являются:

  • отображение физической и логической структуры СОА и защищаемой РИС;
  • управление и конфигурация компонентов СОА;
  • визуализация сообщений об обнаружении атак.

В состав графической консоли управления также входит текстовая консоль, которая позволяет выполнять настройку модулей СОА в режиме командной строки. Текстовая консоль может быть подключена к любому компоненту системы. В течении сеанса связи все команды текстовой консоли направляются этому компоненту.

Информация о событиях, происходящих в системе обнаружения атак, о зарегистрированных аномалиях в исследуемой компьютерной сети и о событиях самой консоли управления сохраняются в журнале.

При приходе сообщений о наиболее критичных событиях, администратору СОА отсылается сообщение по электронной почте. Список критичных событий и адреса электронной почты администратора являются настраиваемыми параметрами консоли управления.

Кроме того, консоль управления позволяет обнаруживать комплексные атаки на основе итогового анализа сообщений от сетевых и узловых сенсоров.

Инфраструктура открытых ключей

Все модули СОА «REDSecure IDS» взаимодействуют через защищенный канал с использованием сертифицированных ФСБ по классу КС1 СКЗИ.

Для организации защищенного канала между модулями СОА в каждой инсталляции необходимо развернуть PKI - с каждым модулем системы связывается сертификат формата X.509, который иерархически подписан сертификатами вышестоящих модулей. Каждый компонент в инсталляции должен иметь доступный на чтение и корректный сертификат, подписанный системным сертификатом (сертификатом инсталляции).

Корневой сертификат поставляется внешними по отношению к СОА «REDSecure IDS» средствами – например, существующим в организации авторизующим центром. Для каждой инсталляции системы генерируется системный ключ и системный сертификат и подписывается корневым ключом. С его помощью (или с помощью дочерних от него сертификатов) подписываются все сертификаты, используемые в системе.

Действия с Документом
« Февраль 2012 »
Февраль
ПнВтСрЧтПтСбВс
12345
6789101112
13141516171819
20212223242526
272829
Вход


Забыли пароль?
Вход