Халдлагаас урьдчилан сэргийлэх систем
Халдлага гэж юу вэ?
[засварлах | кодоор засварлах]Аливаа системд хөнөөлтэй үйл ажиллагаа явуулж байгаа болон, хөнөөлучруулах нөхцлийг бүрдүүлж буй үйлдлийг халдлага гэнэ. Халдлагыг ерөнхийд нь дараах хоёр төрөлд ангилж болно.
- •Автомат халдлага. Энэ төрлийн халдлагыг virus болон worm зэрэг хөнөөлтэй програмууд хийж гүйцэтгэдэг.
- •Хүнээр удирдуулсан халдлага. Энэ төрлийн халдлагыг тодорхой арга барилыг судалсан хүн тухайн хугацаанд халдалтыг удирдах замаар хийж гүйцэтгэнэ.
Автомат халдлага. (Viruses, Worms болон SQL Slammer)
[засварлах | кодоор засварлах]Worm болон virus-үүд нь системд сөрөг нөлөөлөл үзүүлдэг идэвхитэйүйл ажиллагаа явуулдаг хөнөөлтэй програмууд бөгөөд халдага илрүүлэхсистемийг ашиглан тодорхой түвшинд хүртэл тэдгээр хөнөөлтэй програмуудыгилрүүлэх боломжтой.Virus нь аль нэг програмын кодонд хавсрагдаж зөөгдөж, ачаалагдахзамаар хөнөөлтэй үйл ажиллагаа явуулдаг бол worm нь өөрөө бие даансүлжээгээр тарж хөнөөлтэй үйл ажиллагаа явуулдаг. Нийтлэг шинж чанар ньөөрийгөө хувилж системд сөрөг нөлөөтэй үйлдлүүдийг хийдэг. Virus болонWorm-уудын дэвшилтэт хувилбар нь polymorphic буюу илрүүлэх програмаасзайлс хийхийн тулд шинж чанараа өөрчлөх чадвартай болсон.Worm-ийн жишээ гэвэл 2003 оны нэгдүгээр сарын 25-нд илэрсэн SQLSlammer worm юм. Уг worm нь Microsoft Structured Query Language (SQL)серверийн сул талыг ашиглан хөнөөлтэй үйл ажиллагаа явуулдаг. SQLсерверийн 1434 портоор 376 байтын User Datagram Protocol (UDP) портоколашиглан дамжуулсан пакет нь buffer overflow халдлага хийдэг.Worm нь ойролцоогоор 10 минутанд дэлхийгээр тархах боломжтой. Машолон серверүүд worm-ийн халдлагад унаж байсан. Тухайлбал дэлхийн 13 rootDomain Name Server-ийн 5 нь worm-ийн халдлагад унаж байсан.
Хүнээр удирдуулсан халдлага
[засварлах | кодоор засварлах]Халдлагыг хүн шууд удирдаж хийж гүйцэтгэх нь тухайн нөхцөлд таарсаноновчтой халдлага болох магадлалтай байдаг. Ийм төрлийн халдлагын жишээбол Wingate POP3 buffer overflow халдлага юм. Уг халдлага нь POP3 daemon-нийWingate-ийн сул талыг ашиглан buffer overflow халдлага хийж хэрэглэгчийнкомандыг илгээж ажиллуулах оролдогыг хийдэг.5
Scanning vs Compromise
[засварлах | кодоор засварлах]Маш олон дотоод сүлжээ болон хязгаарлалтгүй интернэт сүлжээнднээлттэй портуудыг шалгах эсвэл эмзэг байдлын тандалтыг хийх замаарболомжит халдлагыг тодорхойлж байдаг. Scanning процесс нь системд шуудхалдалт хийдэггүй. Гэхдээ халдлага хийх төрлөө сонгоход хэрэглэгддэг. Өөрөөрхэлбэл ихэвчлэн аль нэг систем рүү халдлага хийхээс өмнө тухайн халдлагахийх системийг шинжилж, судалж боломжит халдлагаа тодорхойлдог. Иймд угшалгах процесийг илрүүлснээр халдлага болохоос өмнө урьдчилан сэргийлэхболомж бүрдэнэ гэсэн үг.Ерөнхийдөө ийм төрлийн шалгах үйлдлийг хийдэг маш олон төрлийнхэрэгслүүд байдаг. Тухайлбал google хайх систем, порт шалгагч nmap, эмзэгбайдлыг тандагч nessus зэрэг маш олон төрлийн хэрэгслүүд байдаг. Тэдгээрийголж авахад хялбар, өргөн тархсан байдаг.Харин compromise бол аливаа системд шууд нөлөөлж үйл ажиллагаанд ньсаад болох, тухайн системийг унагаах үйл ажиллагаа юм. Ихэвчлэн scanning процессын үр дүнг ашиглан хийгддэг.
Халдлагаас урьдчилан сэргийлэх систем-Intrusion prevention system
[засварлах | кодоор засварлах]Халдлагаас урьдчилан сэргийлэх систем- Компьютерийн болон сүлжээний аюулгүй байдлыг хангах програчилсан систем бөгөөд халдлагыг илрүүлж түүнээс автоматаар хамгаалдаг систем юм. Халдлагаас урьдчилан сэргийлэх систем(IPS) нь Халдлагыг илрүүлэх систем(IDS)-ын сайжруулсан систем гэж үзэж болно. Халдлагаас урьдчилан сэргийлэх систем нь системийн халдлагыг тухайн цаг үед нь идэвхтэй илрүүлэн халдлагаас хамгаалах үйл ажиллагааг маш хурдан авдаг.
Агуулга
[засварлах | кодоор засварлах]1. Ангилал 2. Боловсруулагдсан түүх
- 2.1 Сүлжээний пакет шинжилгээ
- 2.2 Програм ба файлуудыг шинжлэх
- 2.3 Current analysis дүн шинжилгээ
- 2.4 Цаашдын хөгжил
3. Халдлагыг тодорхойлох аргууд
- 3.1 Халдлага эхэлсний дараа
- 3.2 Холболтыг хаах
- 3.3 Хэрэглэгчийн бүртгэлийг хаах
- 3.4 Компьютерийн сүлжээний хостыг хаах
Ангилал
[засварлах | кодоор засварлах]Сүлжээний халдлагаас урьдчилан сэргийлэх систем – Компьютерийн сүлжээнд байгаа өгөгдлийн урсгалыг байнга хянаж сэжигтэй өгөгдөлүүдийг хаадаг.
- 1. Утасгүй сүлжээний халдлагаас урьдчилан сэргийлэх систем- Утасгүй сүлжээний идэвхтэй байдлыг шалгаж байдаг. Зарим үед сүлжээнд нэвтрэхийг илрүүлдэг.
- 2. Сүлжээний байдлыг шинжлэх: Сүлжээний өгөгдлийн урсгалыг шинжилдэг. DOS ба DDOS-ын халдлагыг аюулгүй болгодог.
- 3. Хувийн компьютерийн халдлагаас урьдчилан сэргийлэх систем- Компьютерт гарч ирсэн сэжигтэй идэвхжилтийг илрүүлдэг үндсэн програм юм.
Боловсруулагдсан түүх
[засварлах | кодоор засварлах]Орчин үеийн халдлагаас урьдчилан сэргийлэх системийн хөгжлийн түүх нь олон төрлийн аюулаас урьдчилан сэргийлэх өөр өөр цаг үед зохиогдсон идэвхтэй хамгаалалтын аргуудаас бүрддэг.
- 1. Зан үйлийн шинжилгээ нь системд болж байгаа сэжигтэй үйл ажиллагааг илрүүлж., үл мэдэгдэх аюултай програмуудыг шинжилдэг.
- 2. Компьютерт вирус халдварлахаас сэргийлдэг систем, аль хэдийн гарч мэдэгдсэн вирусууд болон тэдгээрийн шинэ хувилбараас хамгаалж оролтуудыг хаана.
- 3. Тэдний хамгийн түгээмэл халдлага нь cybercriminals хэрэглэдэг хамгийн түгээмэл хөтөлбөр, үйлчилгээний буфер халилтаас урьдчилан сэргийлэх.
- 4. Вирусаар үүссэн хохирлыг дээд зэргээр багасгах түүний цаашид идэвхжихээс сэргийлж, файлд нэвтрэхийг хязгаарлах сүлжээнд байгаа вирусыг илрүүлэх зэрэг болно.
Сүлжээны пакет шинжилгээ
[засварлах | кодоор засварлах]Анхны халдлага 1988 оны 11 сард сүлжээнд холбогдсон UNIX-компьютерт халдсан Моррисын өт юм.Нөгөө талаар 1986-1989 оны үед Зөвлөлт холбоот улс ба Бүгд найрамдах Ардчилсан Герман Улсын тусгай албадын Маркус Хессийн удирдсан бусдын компьюерт нэвтэрч мэдээллийг олж аван өөрийн тусгай албадад дамжуулж байсан хакеруудын бүлгийн үйл ажиллагаа юм. Энэ бүхнийг Берикли дэх Э.Лоуренсийн нэрэмжит лабораторит хийгдсэн 75 центын үл мэдэгдэх төлбөрөөс эхэлсэн. Түүний гарал үүслийг судлах явцад Баруун Германы жижигхэн компанид програмчаар ажиллаж Ганбурге хотод төвтэй chaos computer club экстремистской бүлэглэлд харьяалагддаг Хесси гэдэг хүн дээр аваачжээ. Түүний дайралт нь Datex-P европын сүлжээнд гэрээсээ энгийн нэгэн модемоор холболгдсон дуудлагаар эхэлсэн бөгөөд цаашид тэр нь Бременскийн их сургуулийн номын сангаас шаардлагатай мэдээллийг олж аван Берокли дэх Э.Лоуренсийн нэрэмжит үндэсний лабораторит нэвтэрсэн. Анхны халдлага 1987 оны 2-р сарын 27 ны өдөр нэвтрэх боломжтой 400 компьютераас 30-аад орчимд нь нэвтэрч чадсан билээ.Дараа нь Milnet хаалттай сүлжээнд Strategic Defence Initiative Network Project нэртэй файлаар нэвтэрсэн. (Ерөнхийлөгч Рейгана-ын санаачилсан стратегийн батлан хамгаалах гэгчтэй холбоотой бүх л мэдээллийг сонирхсон байна.)
Програм ба файлуудыг шинжлэх
[засварлах | кодоор засварлах]Шинэ төрлийн аюул гарч ирснээр зан үйлийн тухай эргэн санах болжээ. Энэ нь 90-ээд оны дунд үеээс гарч ирсэн.
Ажиллах зарчим:Аюултай үйлдлийг илрүүлмэгцээ хэрэглэгчид зөвшөөөрөх эсэх тухай асуулт тавьдаг. Онолын хувьд энэ нь илэрхий болон үл мэдэгдэх бүхий л вирусуудын тархалтаас сэргийлж чаддаг.
Үндсэн дутагдал нь:Хэрэглэгчид хэтэрхий олон асуулт тавьдаг байжээ. Шалтгаан нь аль нэг үйлдлийн аюултай эсэхийг тодорхойлох чадвар дутмаг байсан. VBA програмд ашигтай үйлдлийг хор хөнөөлтэй өгөгдлөөс мөш өндөр хувьтай ялган авч чаддаг. Зан үйлийн-ын 2-р үе нь бол зарим нэг үйлдэл бус харин үйлдлийн бүхий л хор уршигийг тодорхойлдог байсан бөгөөд энэ үндсэн дээр тухайн үйлдлийн хортэй эсэх тухай дүгнэлт гаргадаг.
Current analysis дүн шинжилгээ
[засварлах | кодоор засварлах]2003 онд Майке Фратто-ын удирдлаган доор Current analysis компани доорх компаниудын бүтээгдэхүүнд шинжилгээ хийсэн. — компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. СираPitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard. Сиракускогын их сургуулийн Real World лабораторит PitBull LX и PitBull Protector компани Argus, eTrust Access Control компани CA, Web Server Edition компани Entercept, STAT Neutralizer компани Harris, StormWatch и StormFront компани Okena, ServerLock и AppLock/Web компани WatchGuard компаниудын бүтээгдэхүүнийг шалгаруулсан.
Оролцогчдод тавьсан шаардлагууд:
[засварлах | кодоор засварлах]- Бүтээгдэхүүн нь зөвхөн ажиллахад шаардагдах системийн эх үүсвэрүүдийг хангах ёстой бөгөөд аюулгүй байдлийн бодлогын төвлөрсөн удирдлагаар хангах боломжийг олгох ёстой.
- Бүтээгдэхүүн нь ямарч серверүүдийг өөрийн хүссэнээр удирдах боломжийг олгох ёстой.
- Бүтээгдэхүүн нь файлын систем, сүлжээний порт, оролт/гаралтын порт болон харилцаа холбооны гадаад нөөц хэрэгслүүдийг явуулж байгаа үйл ажиллагааг хянах чадвартай байх. Үүнээс гадна, буферийн халилт болон дүүргэлтийн түвшинг хянах нэмэлт хамгаалалтыг олгох ёстой.
- Бүтээгдэхүүнийг хагас сар хугацаанд шалгаруулсны эцэст StormWatch компаний бүтээгдэхүүн шалгарчээ. (Сүүлд Cisco systems буюу Cisco Security Agent нэртэй болжээ.)
Цаашдын хөгжил
[засварлах | кодоор засварлах]2003 онд Gartner компаний тайлан гарч тэр үеийн халдлагыг илрүүлэх систем(IDS) үр ашиггүй болохыг баталснаар халдлагаас урьдчилан сэргийлэх систем(IPS)-ээр тоноглох зайлшгүй шаардлагатай болохыг тодорхойлсон. Үүний дараа халдлагыг илрүүлэх систем(IDS)-ийг бүтээгчид нь өөрийнхөө бүтээгдэхүүнийг халдлагаас урьдчилан сэргийлэх систем(IPS)-т нэгтгэн хэрэглэх болжээ.
Халдлагыг тодорхойлох аргууд
[засварлах | кодоор засварлах]Халдлага эхэлсний дараа
[засварлах | кодоор засварлах]Мэдээллийн халдлагыг илрүүлсний дараа хэрэглэгддэг аргууд. Энэ нь хичнээн үр ашигтай хэрэглэгдэж байгаа ч системд ямар нэгэн хор уршиг учирч болно.
Холболтыг хаах
[засварлах | кодоор засварлах]TCP холболтын ашиглан халдлага хийсэн бол түүнийг хаахад TCP пакетийг тус бүрт нь юмуу аль нэгэнд нь илгээх замаар хаана. Үүний үр дүнд халдлага үйлдэгч нь энэ холболтоо ашиглан халдлагаа үргэлжлүүлэх боломжтой болно. Энэ арга нь сүлжээний мэдрэгчийн тусламжтай хийгддэг.
Энэ арга нь үндсэн хоёр дутагдалтай.
[засварлах | кодоор засварлах]1. Энэ нь TCP-ээс бусад протоколын холболтыг урьдчилан тогтоохгүй бол дэмждэггүй. (Жишээ нь: UDP болон ICMP)
2. Халдагчид нь аль хэдийн хууль бус холболтыг хэрэглэсний дараа ашиглаж болно.
Бүртгэлийг хаах
[засварлах | кодоор засварлах]Халдлагын үед хэрэглэгчийн хэд хэдэн данс эвдэгдсэн буюу тэдний мэдээлэл болсон үед тэднийг хаах нь хостын мэдрэгч системээр хийгддэг. Үүнийг хаахын тулд данс эзэмшигчийн эрхтэй хүний нэрээр хийгддэг. Энэ халдлагаас хамгаалах системийн тохируулгаас өгөгдсөн хугацаанд гүйцэтгэнэ.
Компьютерийн сүлжээний хостыг хаах
[засварлах | кодоор засварлах]Хэрвээ хостуудын нэг нь дайралтад өртсөн бол түүнийг хостын мэдрэгчээр хааж болно эсвэл сүлжээний интерфейсээр зөвхөн түүнийг хаана эсвэл тархах чиглэлд нь хаана эсвэл хостын сүлжээнд холбогдсон хуваарилагч дээр хаана. Хаалт тодорхой хугацааны дараа сэргээгдэнэ эсвэл аюулгүй байдлын админ идэвхжүүлж сэргээнэ. Мөн дайралтыг аюулгүй болгохын тулд компьютерийн сүлжээний хостыг хааж болно.
Гадаад холбоос
[засварлах | кодоор засварлах]- В. А. Сердюк. Аж ахуй нэгжийг халдлагаас хамгаалах систем — Москва: Техносфера, 2007. — 360 с. — ISBN 978-5-94836-133-8.
- Л. Черняк. Семантический анализ на службе, «Открытые системы», № 10, 2010
- Mike Fratto. Обзор решений HIP, 2003г
- А. Прохоров. Защита присутствия в Интернете от вирусов, КомпьютерПресс 6’2005
- Deborah Radcliff. Ответный удар, «Сети/network world», № 09, 2000