Аннотация

Система обнаружения и предотвращения атак «REDSecure IPS» предназначена для защиты компьютерных сетей и отдельных узлов сетей от внешних и внутренних компьютерных атак. Данный документ содержит краткое описание основных модулей системы «REDSecure IPS».

1. Краткое описание «REDSecure IPS»

Система обнаружения атак предназначена для обнаружения и блокирования компьютерных атак на распределенные информационные системы (РИС) в реальном масштабе времени. В состав системы входит несколько типов модулей, взаимодействующих в рамках локальной вычислительной сети (ЛВС), либо группы ЛВС.

Система «REDSecure IPS» состоит из следующих модулей:

• Сетевой сенсор (network appliance);
  
• Узловой сенсор для ОС Windows 2000/XP (программный агент);
  
• Узловой сенсор для ОС Linux (программный агент);
  
• Станция управления;

В состав одной инсталляции системы могут входить:

• до 10 сетевых сенсоров;
• до 100 (и более) узловых сенсоров;
• до 3 станций управления.

Объединение модулей в единую систему выполняется по иерархическому принципу: каждый сетевой сенсор является центром сбора информации и управления для отдельного сегмента узловых сенсоров, в свою очередь сетевые сенсоры соединены со станцией управления. Станция управления выполняет функции центрального узла, куда стекается вся информация от сенсоров и откуда производится управление системой.

2. Описание функций основных модулей  «REDSecure IPS»

2.1. Сетевой сенсор

Сетевой сенсор предназначен для анализа сетевого трафика в каналах с пропускной способностью до 1Гбит/с. В сетевом сенсоре реализован метод обнаружения компьютерных атак на основе анализа поведения сетевых приложений и пользователей сети. Также сетевой сенсор позволяет обнаруживать вредоносный исполняемый код для архитектуры IA32 с высокой точностью, что позволяет выявлять широкий класс атак, неизвестных для сигнатурных IDS/IPS.

Данный модуль реализован в виде программно-аппаратного комплекса, который может быть установлен как по типовой схеме подключения СОА для пассивного анализа трафика, так и по схеме "в разрыв канала" для выполнения функций предотвращения атак. При использовании последнего варианта подключения сетевой трафик проходит непосредственно через анализатор, который функционирует на уровне ядра встроенной в сенсор операционной системы, и вредоносные пакеты или сетевые сессии блокируются мгновенно, не достигая целевого узла.

Сенсор может быть установлен как в использован как для защиты выделенного сегмента сети, так и отдельных узлов и приложений в сети. В сети может быть установлено от 1 до 10 сетевых сенсоров, при этом управление сенсорами производится как локально, так и централизованно с консоли управления.

В настоящее время база описаний атак и аномалий для сетевого сенсора содержит около 5000 сценариев и постоянно пополняется. Кроме того, в состав дистрибутива входит инструментальное средство для разработки сценариев сетевого сенсора «REDSecure IPS».
На выходе сетевой сенсор формирует сообщения об атаках в стандартном формате IDMEF (Intrusion Detection Message Exchange Format) и пересылает их консоли управления для визуализации и формирования отчетов.

В качестве аппаратной базы для сетевого сенсора REDSecure IPS используются следующие платформы:

• Supermicro 1U
  
• Sun Fire X4100

Все варианты исполнения используют форм-фактор 1U и имеют 4 интерфейса GigabitEthernet.

2.2. Узловой сенсор

Узловой сенсор предназначен для анализа системных журналов ОС и наблюдения за действиями пользователя контролируемой рабочей станции или сервера. Узловой сенсор использует метод обнаружения атак на основе анализа поведения объектов сети, аналогично сетевому сенсору, и позволяет отслеживать такие события как действия пользователей и процессов на узлах, запуск определенных программ, попытки взаимодействия с определенными внешними узлами по сети и т.д.

Узловой сенсор позволяет автоматически реагировать на атаки и нарушения политики безопасности с помощью блокирования сетевого взаимодействия и принудительного завершения процессов на узле.
Узловой сенсор устанавливается на компьютеры (рабочие станции и сервера) контролируемой РИС, работающие под управлением ОС семейства Linux, Windows 2000/XP.

2.3. Станция управления

Станция управления «REDSecure IPS» — это выделенная ПЭВМ, предназначенная для управления модулями системы.

Основным приложением станции управления является графическая консоль управления «REDSecure IPS» — программный модуль, который собирает информацию об атаках, обнаруженных сетевыми и узловыми сенсорами, и отображает эту информацию в удобном для человека виде. Консоль управления работает на выделенной ПЭВМ под управлением ОС Linux.
Функциями консоли управления являются:

• отображение физической и логической структуры IPS и защищаемой РИС;
• управление и конфигурация компонентов IPS;
  
• визуализация сообщений об обнаружении атак.

В состав графической консоли управления также входит текстовая консоль, которая позволяет выполнять настройку модулей IPS в режиме командной строки. Текстовая консоль может быть подключена к любому компоненту системы. В течении сеанса связи все команды текстовой консоли направляются этому компоненту.

Информация о событиях, происходящих в системе обнаружения атак, о зарегистрированных аномалиях в исследуемой компьютерной сети и о событиях самой консоли управления сохраняются в журнале.

При приходе сообщений о наиболее критичных событиях, администратору IPS отсылается сообщение по электронной почте. Список критичных событий и адреса электронной почты администратора являются настраиваемыми параметрами консоли управления.

Кроме того, консоль управления позволяет обнаруживать комплексные атаки на основе итогового анализа сообщений от сетевых и узловых сенсоров.

Инфраструктура открытых ключей

Для организации защищенного канала между модулями системы в каждой инсталляции необходимо развернуть PKI — с каждым модулем системы связывается сертификат формата X.509, который иерархически подписан сертификатами вышестоящих модулей. Каждый компонент в инсталляции должен иметь доступный на чтение и корректный сертификат, подписанный системным сертификатом (сертификатом инсталляции).

Корневой сертификат поставляется внешними по отношению к  «REDSecure IPS» средствами — например, существующим в организации авторизующим центром. Для каждой инсталляции системы генерируется системный ключ и системный сертификат и подписывается корневым ключом. С его помощью (или с помощью дочерних от него сертификатов) подписываются все сертификаты, используемые в системе.