Форум АНТИЧАТ - Системы обнаружения атак

Доброго времени суток! В этой статье я хочу рассмотреть системы обнаружения атак на удаленные системы. Многие знают, что такое Ddos, buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts, половина знает как это реализовывается, еще меньшая часть знает как от этого защититься. Так вот эта статья предназначена на узкий круг, т.е администраторов. Программ для мониторинга сети и проходящего трафика очень много и каждый администратор со временем и с опытом уже пользуется своим набором сетевых утилит. Начнем разбор полетов.

Первая в списке это Prelude - Hybrid Intrusion Detection System
Расшифровывается как гибридная система обнаружения атак (Hybrid IDS), работает не только как анализатор транзитного сетевого трафика, но и анализирует работу сервисов, активность пользователей, состояние логов и следит за целостностью наиболее важных файлов на конечном хосте.Система базируется на отдельных компонентах. Вот один из них:
Samhain - назван «open source file integrity and host-based intrusion detection system», т.е. относится к системам, защищающим отдельный хост. Но возможности даже по скромному перечислению просто впечатляют. Главное – это интеграция нескольких составляющих, позволяющая полностью охватить практически все вопросы по защите системы. Состоит система Samhain из трех компонентов:
=> клиента или реализации системы на отдельно стоящем компьютере – samhain;
=> сервера, предназначенного для централизованного сбора логов и управления клиентами – yule;
=> веб-консоли для удаленного управления – beltane.
http://prelude-ids.org Статус Freeware

Psionic Software Portsentry
Работа программы заключается в отправке в сторону сканирующего тебя человека неправильного фрагментированного пакета, ответного сканирования портов, установки на него firewall'а и т.д. Также атакующий получает недостоверную информацию об открытых портах на твоем компьютере.
Основные возможности:

обнаруживает практически все известные виды сканирования Unix-машин: TCP connect(), SYN/half-open, Null, XMAS и т.д.
в реальном времени блокирует хост сканировщика посредством установленного на атакуемом компьютере firewall'а (для Linux 2.2.x - ipchains), команду запуска которого можно задать в файле конфигурации.
записывает в логи посредством syslogd информацию об атаке.
вызывает любую указанную тобой в файле конфигурации программу, в ответ на сканирование или подключение к защищенному portsentry порту, параметрами программы могут являтся IP-адрес атакующего хоста и атакуемый порт.

http://www.psionic.com/ Статус Freeware

Security Suite и Enterasys Sentinel™ Proactive Prevention
Является частью технологии Secure Networks™ , обеспечивают всестороннюю защиту от внешних и внутренних вторжений. Эти продукты способны, в случае вторжения, самостоятельно принять нужное решение и немедленно повысить уровень существующий в данный момент безопасности. Программый продукт:
Dragon предотвращает несанкционированное вторжение и обеспечивает защиту, обнаруживая аномальную активность в сети и динамически реагируя на каждое событие. Модули:
Веб-интерфейс управления - Управление детектором вторжений с любой платформы и через любой браузер
Непрерывное обновление сигнатур - Новые сигнатуры автоматически отправляются клиентам
Управление на системном уровне - Одновременная настройка и обновление сигнатур и конфигурации на всех Network и Host Sensors.
Создание пользовательских сигнатур-озможность создания собственных сигнатур для контроля событий, наиболее важных для каждой конкретной сети
Анализатор событий - Просмотр событий, как в режиме реального времени, так и в режиме журнала
Сводные отчеты - Создание сводных отчетов с классификацией событий по уровню атак и времени обнаружения
Реконструкция сеансов- Возможность просмотра полных данных о сеансе, относящемся к событию, включая все пакеты
http://www.enterasys.ru/ Статус

Firestorm
Высокоскоростная NIDS Firestorm, разработанная Джиани Тедеско и свободно распространяемая, пока представлена в основном в качестве сенсора, работающего под управлением ОС Linux. Особенности системы таковы:

сбор информации идет с помощью библиотек libpcap, позволяющих перехватывать пакеты из сетевого трафика;
система поддерживает правила, написанные для Snort;
легко настраивается путем редактирования файла firestorm.conf;
понимает режим работы stateful inspection (технология инспекции пакетов с учетом состояния протокола);
готовит файлы журналов в формате ASCII или tcpdump;
проводит корреляцию событий;
выдает сигналы об атаке на удаленное устройство - консоль.

http://freshmeat.net Статус Freeware

Snort - packet sniffer/logger and network intrusion detection system
Система анализа и слежения (ведения логов) за проходящими пакетами, распознаются такие атаки как "buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts". Присутствует возможность real-time извещения администратора при обнаружении атаки.
Snort Wireless - адаптированная для обнаружения атак в беспроводных сетях версия snort.
http://www.snort.org Статус freeware