IDS под микроскопом

Докучаев Дмитрий aka Forb

Хакер, номер #073, стр. 073-048-1

(forb@real.xakep.ru)

Анализ систем обнаружения атак

Любой сисадмин мечтает защитить свой сервер от нападений. Некоторые доверяют файрволу, другие уповают на аппаратную защиту, а остальные ищут спасение в системах IDS. На сегодняшний день использование IDS является одним из популярных методов защиты против хакеров. Но, увы, зная особенности той или иной программы, можно легко ее обмануть. Желаешь узнать как? Тогда читай дальше!

Какие бывают IDS

IDS (Intrusion Detect System) – не что иное, как софт для обнаружения хакерских атак. Из определения можно предположить, что такая программа каким-то образом отлавливает все попытки незаконного проникновения в систему. Причем софтина наделена особым интеллектом. Именно это и отличает IDS от обычного файрвола, который, к слову, тоже умеет вести логи по определенным подключениям.

В силу своей конструкции IDS может быть сетевой, локальной или смешанной. Сетевая IDS позволяет отлавливать попытки сетевых махинаций (сканирование портов, подключения к машине, DoS-атаки, кривые DNS-запросы и т.п.). Причем сетевая IDS в состоянии обеспечивать безопасность не только одного сервера, но и целой подсети. В отличие от нее, локальная IDS следит за безопасностью только одной машины. Для нее нет понятия «сеть», она лишь мониторит локальные файлы. То есть, скажем, если злобный хакер вдруг установит руткит, то локальная IDS его тут же засечет и отправит администратору сообщение.

Наконец, смешанная IDS следит за безопасностью одного сервера с поддержкой сетевых функций (например, контролирует постоянное число открытых портов, активных сетевых сервисов и т.п.).

По возможностям IDS разделяются на активные и пассивные. Активные системы могут противодействовать атакам сразу же после их обнаружения. К примеру, Петя Кипятильников решил просканировать порты на сервере Васи Табуреткина. Продвинутый Василий установил IDS на доверенном сервере и ушел пить пиво. Стоило только негодяйскому Петру произвести попытку сканирования, как умная программа сразу занесла его айпишник в черный лист файрвола и все дальнейшие попытки скана не принесли результата. Это и есть наглядный пример активной IDS. Если бы Вася поставил пассивную систему обнаружения атак, то Петька смог бы без особых проблем закончить сканирование и даже порутать сервер. А горе-админ Васек получил бы только отчет по e-mail или запись в логах о факте сканирования портов :).

Можно классифицировать IDS и по другим признакам, например по операционной системе. В этой статье я буду рассматривать системы обнаружения, установленные на Linux. В силу частичной кроссплатформенности некоторые из них могут без труда портироваться на FreeBSD и другие *nix-like системы, но все полевые испытания я проводил в своей любимой оси AltLinux 2.2.

Начнем наше знакомство с сетевых IDS. В список обозреваемых программ я сразу записал Snort и PortSentry. Эти IDS прошли ряд суровых испытаний на моем тестовом стенде. Пришло время поделиться результатами этого тестирования.

Snort – хрюкающая защита

Дословно Snort переводится как «хрюк». Недаром на логотипе производителя изображена свинья :). Несмотря на убогое лого, система обнаружения выполнена без сучка и задоринки.