Іздеп-табу және шабуылдың алдын алу жүйелері

Қазіргі кездегі IPS жүйелері бірнеше бағытта  дамуда. Кейбір өндірушілер өздерінде  бар IDS жүйелерін әрі қарай жақсарту мақсатымен оларды шабуылдардың алдын  алудың анағұрлым тиімді тетіктерімен жабдықтаған. IDS жүйелерін қорғалатын және қорғалмайтын ресурстар арасына  орнатқан (олардың арасындағы барлық ағын IDS арқылы өтеді). Сөйтіп, inline-IDS жүйесі осылай пайда болған (кейінірек ол жүйе IPS деп аталған). Бұл жолды  таңдағандардың қатарына ISS, Cisco, NFR және Sourcefire компаниялары жатады.

Бірақ IPS технологиясы IDS жүйесін жаңартумен ғана шектелмейді. Деректер ағынын терең  талдайтын тетіктермен жабдықталған, қазіргі кездегі желіаралық экрандар IPS қатарына жатқызуға болады. Өздерінің  желіаралық экрандарын жаңа мүмкіндіктермен  жасақтау жолын Check Point, Cisco, Fortinet және iPolicy Networks компаниялары таңдаған.

Үшінші  бағыт – антивирустар жасау. Қазіргі  антивирустардың сипаттамасында олардың  антивирус бағдарламасы жайлы ма, әлде IPS жайлы айтылып отырғанын  түсіну қиын.

«Таза» IPS жүйесін  жасау – төртінші бағыт. Бұл жолды OneSecure, IntruShield, Network ICE және Tipping Point. компаниялары таңдап алған. Қазір бұл компаниялар McAfee, NetScreen, ISS, т.б. сияқты өте ірі  компаниялардың құрамына кірген.

 

4500 сериялы Cisco IPS Sensor шабуылдарды алдын-алу  жүйелері

 

4500 сериялы Cisco IPS жүйесі ұсынады:

- мекеменің бағдарламалық қамтамасы үшін, Oracle және SAP корпоративті класстар қолданбалары үшін, веб-серверлер және дерекқор үшін деректерді өңдеу орталықтарының ерекшеліктерін ескере отырып қорғауды ұйымдастыру;

- апаттық  жөндеулерді жедел қосу қажеттілігін  жоя отырып және ИТ-бөлімнің  шығынын азайта отырып, операциялық  жүйелер мен қолданбалардың осал  жерлерін пайдаланатын қауіптерден  маңызды серверлерді тоқтаусыз  қорғау;

- басқару мен жазудың ыңғайлылығы: деректерді өңдеу орталығының ерекшеліктерін ескеретін сигнатура шаблондарын қолданатын орнату шеберінің көмегімен жазу; IPS өнімдерінің барлығына таралатын Cisco IPS Manager Express немесе Cisco Security Manager көмегімен эффективті басқару.

Үлгі	Cisco IPS 4510	Cisco IPS 4520
Тексеру қосылып тұрғандағы орташа өткізу қабілеті	3 Гбит/с	5 Гбит/с
Тексеру қосылып тұрғандағы максималды өткізу қабілеті	5 Гбит/с	10 Гбит/с
Байласулардың максималды саны	3 800 000	8 400 000
Орта кідіріс уақыты	150 мкс аз	150 мкс аз
Ауқымды корреляция	Иә	Иә
Қауіптерге қарсы тұру	Иә	Иә
Құрама сигнатураларды талдау	Иә	Иә
Сигнатуралардың бапталатын рейтингі	Иә	Иә

2-кесте. Cisco IPS Sensor жүйесінің қысқаша сипаттамалары

 

3. Cisco компаниясының PrivateInternetExchange (PIX) 515Е желіаралық экраны

 

Cisco компаниясының PrivateInternetExchange (PIX) желіаралық экраны корпоративті желілірдің қаупсіздігінің жаңа деңгейімен және қолданудың қарапайымдылығымен ерекшеленеді. PIX толық қауіпсіздікті қамтамасыз ете отырып,  сіздің ішкі желіңізді сыртқы әлемнен толығымен жасыра алады. Орталық процессордің жұмысын қиындататын, әрбір желілік пакетті жеке өңдейтін кәдімгі «делдал»-серверлерге қарағанда, PIX арнайы нақты уақыт операциялық жүйелерін қолдану арқасында, жоғары өнімділікті қамтамасыз етеді.

PIX желіаралық  экранының жоғары өнімділігінің  негізі –хакерлерден қолданушылардың  мекендерін жасыратын адаптивті  қауіпсіздікке негізделген қорғау  сұлбасы болып табылады.  Берік,  байланысқа бағытталған адаптивті  қауіпсіздік алгоритмі алушы  мен жіберушінің мекендеріне,  ТСР пакеттердің нөмірлеу ретіне, порттар мен ТСР қосалқы жалаушалар  нөміріне негізделіп байланыстар  үшін қауіпсіздікті қамтамасыз  етеді. Бұл ақпарат кестеде  сақталады, және барлық келуші  пакеттер осы кестедегі жазбалармен  салыстырылады. PIX арқылы қатынас  құру тек сәйкес байланыс идентификацияны  сәтті өткенде ғана рұқсат  етіледі. Бұл әдіс ішкі желіні  рұқсатсыз қол жеткізуден толығымен  қорғай отырып ішкі қолданушылар  және тіркелген сыртқы қолданушылар  үшін мөлдір қатынас құруды  қамтамасыз етеді. 

Сонымен қатар, PIX басқа желіаралық «делдал» экрандармен салыстырғанда «аралық  делдал» технологиясы арқасында  жоғары өнімділік деңгейімен ерекшеленеді. Кәдімгі «делдал»-серверлер сияқты РІХ те байланыстың орнауын қолданбалы деңгейде бақылайды. Қолданушы қауіпсіздікті қамтамасыз ету саясатына сәйкес сәтті идентификациядан өтсе, PIX сессия деңгейінде абоненттер арасындағы деректер ағынын бақылауды қамтамасыз етеді. Мұндай технология PIX желіаралық экранында жұмыстың жылдам өтуіне мүмкіндік береді.

Жоғары өнімділікке  қоса, енгізілген нақты уақыт режиміндегі  ОЖ қауіпсіздік деңгейін жоғарылатады. бастапқы коды ашық UNIX ОЖ қарағанда, Cisco PIX  қауіпсіздікті қамтамасыз етуге  әзірленген арнайы жүйе.

Сенімділікті  жоғарылату үшін Cisco PIX шапшаң резервтеуді  қамтамасыз ететін арнайы опциялармен  бірге орнатылуы мүмкін, оның арқасында  сіздің желіңізге зиян келтіруі мүмкін болатын ақауларын алдын ала  аласыз. Егер екі Cisco PIX желіаралық экраны параллельді режимде жұмыс істеп, оның біреуі істен шықса, ондай жағдайда екінші PIX қауіпсіздікті қамтамасыз етудің барлық функцияларын мөлдір режимде  орындай береді.

 

3.1 Cisco PIX 515E негізгі сипаттамалары:

Өткізу қабілеті:

• Шифрланбаған деректер - 188 Мбит/с
• 3DES IPsec VPN 168-биттік шифрлау - 63 Мбит/с
• DES IPSec VPN 56-биттік шифрлау - 120 Мбит/c
• 2000 VPN-туннелдерді бір уақытта қолдау

 

3.2 Техникалық сипаттамалары

• Процессор - 433 МГц Intel Celeron
• 32 MB немесе 64MB SDRAM
• 16 MB Flash memory
• 128 KB Cache (Level 2, 433 МГц)
• Жүйелік шина - 32 бит 33 МГц PCI

 

3.3 Интерфейстері

 

• 10/100 Fast Ethernet (RJ-45) екі желілік порт, максималды түрде 6-ға дейін 10/100 интерфейстерін қолдайды
• Консоль порты - RS-232 (RJ-45) 9600 бод
• Failover порты - RS-232 (DB-15) 115 кбит/с.

 

3.4 Жоғары өнімділік

 

Cisco PIX желіаралық  экраны бір мезгілде 256-дан аса  байланысты қолдайды, соған сәйкес өнімділікті төмендетпей жүздеген және мыңдаған қолданушылардың жұмысын қамтамасыз етеді. Толықтай жүктелген PIX желіаралық экраны 170Мб/сек жіберу жылдамдығын қамтамасыз ете алады. Мұндай жіберу жылдамдығы UNIX ОЖ және MicrosoftWindows NT ОЖ негізделген кез-келген желіаралық экрандардан асып түседі.

Қолдану қарапайымдылығы қолданудың төменгі  құнын қамтамасыз етеді. Арнайы дайындығы  жоқ қолданушылар PIX-ті 5 минуттан аз уақыт ішінде баптай алады. Баптауды жеңілдету үшін PIX желіаралық экраны жиынтығына қолдануда ыңғайлы SecurityManager графикалық қабықшасы кіреді.

Онымен  қатар, Cisco компаниясы Cisco PIX PrivateLinkencryptioncard шифрлау адаптерін ұсынады. Бұл адаптердің көмегімен PIX шифрланған ІР пакеттерді Интернет сияқты ІР желілер арқылы жеткізе алады. PIX PrivateLink адаптері IETF хаттамалары мен IPSec стандарты технологияларды қолданып байланыстарды қорғайды.

 

3.5 ІР мекендердің жетіспеушілігі мәселелерінің шешімі

 

Cisco PIX  желіаралық экраны ІР мекендердің жетіспеушілігі мәселесімен соқтықпай ІР желілерді ауыстыру мен кеңейту мүмкіндіктерін ұсынады. NetworkAddressTranslation (NAT) желілік мекендерді трансляциялау технологиясы жеке желілер үшін бар мекендермен қатар мекендердің резервтік кеңістігін қолдануды мүмкін етеді. Сонымен қатар PIX трансляцияланатын және трансляцияланбайтын мекендерді бірлесіп қолдану үшін арнайы бапталуы мүмкін, бұл жеке ІР желілердің мекендік кеңісітігімен қатар тіркелген ІР мекендерді қолдануға рұқсат береді.

 

3.6 Негізгі мүмкіндіктері

 

-байланыстарға  бағытталған қауіпсіздік жүйесі  жүйеге кірмеген қолданушыларға  ішкі желінің қорларына қатынас  құрудан қорғайды;

-аралық «делдал»  технологиясы TerminalAccessControllerAccessControlSystem (TACACS)+ немесе RemoteAccessDial-InUserService (RADIUS) хаттамаларына негізделе отырып келуші және жіберілетін байланыстарға рұқсат береді;

-кеңейтілген  қорғаныс саясаты үшін арналған  алтыға дейін желілік интерфейс;

- әкімшінің SecurityManager графикалық интерфейсі 100-ге дейін РІХ желіаралық экрандарды бірыңғай консольдан отырып баптауға арналған;

-мекенжайлардың  динамикалық және статикалық  трансляциясы;

-желілік  басқарудың қарапайым хаттамасын  қолдау(SimpleNetworkManagementProtocol - SNMP);

-жүйелік  оқиғаларды тіркеу журналы(syslog);

- WorldWideWeb (WWW), FileTransferProtocol (FTP), Telnet, Archie, Gopher сияқты барлық негізгі желілік сервистерді қолдау;

- Progressive Networks RealAudio &ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnetVDOLive, Microsoft NetShow жәнеVXtreme Web Theater сынды мультимедиа қосымшаларды қолдау;

- қауіпсіз  ендірілген нақты уақыт режиміндегі  жүйе;

-жұмыс станцияларының  және маршрутизаторлардың бағдарламалық  қамтамасын жаңартудың қажеттілігі  жоқ;

-ішкі желінің  тіркелмеген қолданушыларының Интернет  желісіне толық қатынас құру  мүмкіндігі;

- Cisco IOS^TM  ОЖ негізделген маршрутизаторлармен үйлесімділік;

- H.323 хаттамаларын қолданатын видеоконференцияларды қолдау;

- бағдарламалық  және аппараттық қамтамалар жиынтығы;

-орталықтандырылған  әкімшілендіру құралдары;

-электронды  пошта немесе пейджер арқылы  хабарландыру;

- Ethernet, Fast Ethernet, Token Ring және FDDI интерфейстерін қолдау;

- IPSec стандартты технологиясын қолданып жеке виртуалды (VirtualPrivateNetwork) желілерді қолдау;

-жоғары өнімділік. 

 

 

5-сурет. Cisco PIX515E желіаралық экранының желіге қосылу сұлбасы

 

 

3.7 Cisco PIX желіаралық экранын орнату

 

PIX желіаралық экранын интернет-маршрутизаторға, модемге, коммутаторға немесе концентраторға қосыңыз, одан кейін компьютерді және басқа желілік құрылғыларды қосыңыз. РІХ «қос және жұмыс істе» теориясына негізделген аппараттық брандмауэр, яғни ол сіз құрығыны орнатып қосқаннан кейін сіздің желіңізді қорғай бастайды.

6-сурет. Cisco PIX515E желіаралық экранын орнату сұлбасы

 

1. интернет-модемге, маршрутизаторға, коммутаторға немесе концентраторға қосылып тұрған компьютер, принтер және басқа да желілік құрылғыларды Ethernet кабелінен айырыңыз;
2. РІХ құрылғысын тегіс жерге орналастырыңыз. РІХ аппараттық құрылғысы орнықты емес, сондықтан құрылғыларды орналастыруға ыңғайлы тегіс жер таңдағаныңыз абзал.
3. Ethernet кабелінің сарғыш бір ұшын РІХ құрылғысының артқы панеліндегі «0» портына жалғаңыз. Екінші ұшын кабельдік немесе DSL-модемге немесе маршрутизатордың бос портына жалғаңыз. Көптеген үйдегі желілерде интернетке қосылу үшін модем немесе маршрутизаторды қолданады, ал одан ауқымды желілер коммутатор немесе концентратор көмегімен қосылады. Мұндай жағдайда, Ethernet кабелінің сары ұшын РІХ-тің «0» портына және жергілікті желінің коммутаторына немесе концентраторға жалғаңыз.
4. компьютердің және желілік құрылғылардың Ethernet кабелін РІХ артқы панеліндегі төрт портқа қосыңыз.
5. қуат көзі кабелін РІХ-тің артқы панеліндегі "Power" ұясына қосыңыз. Қуат көзін розеткаға қосыңыз. Құрылғыны розеткаға қосқанда сіздің желіңізді қорғауды бастайды.

 

 

 

 

 

 

 

ҚОРЫТЫНДЫ

Желіаралық  экран  -  брандмауэр немесе firewall жүйесі деп аталатын арнайыланған желіаралық қорғаныс комплексі. Желіаралық экран  ортақ желіні екіге бөлуге және ортақ  желінің бір облысынан екінші облысының шекарасынан берілгендер  пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға  мүмкіндік береді. Мұндай шекаралар  мекеменің жергілікті желісі және Internet ауқымды желісі арасында жүргізіледі.

Әдетте  желіаралық экран Internet ауқымды желісінен  мекеменің ішкі желісін бұзып  кіруден қорғайды, мекеменің жергілікті желісіне қосылған корпоративті интражелідегі  шабуылдан қорғау үшін де қолданыла  береді. Желіаралық экран технологиясы корпоративті желілерді сыртқы кауіп  қатерден қорғайтын ең алғашқы технологиялардың бірі.

Көптеген  мекемелерде желіаралық экран –  орнату ішкі желіні қорғаудың ең қажетті  шарты болып табылады.

 

 

 

 

 

 

 

 

 

ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ

1. Тұрым А.Ш., Берікұлы Ә. Компьютерлік желілер: желілік шабуылдар және желіаралық экрандар. Оқу  құралы. - Алматы: АЭжБИ, 2007.
2. http://www.rusnauka.com/8_NMIV_2013/Informatica/4_129281.doc.htm
3. http://kk.wikipedia.org/wiki/Желіаралық_экран
4. http://www.cisco.demos.su/other/
5. http://www.sstm.ru/cisco/cisco_ids.htm
6. http://www.cisco.com/web/RU/products/security/ips4500_series_sensors.html
7. http://www.logis.ru/news/special/2002-07-15/1414/