System til registrering og forebyggelse af indtrængen

System til forebyggelse af indtrængen(IDS/IPS, Intrusion detection system / Intrusion prevention system) er designet til at detektere, logge og forhindre angreb fra ubudne gæster på serveren, integrerede tjenester (mail, hjemmeside osv.) og det lokale netværk beskyttet af internetgatewayen.

Trafikblokeringsregler omfatter aktivitetsblokering Trojanske programmer, spyware, botnets, p2p-klienter og torrent-trackere, vira, netværk TOR(bruges til at omgå filtreringsregler), anonymisatorer og meget mere.

Du kan konfigurere tjenesten på fanen Regler - Forebyggelse af indtrængen:

Ved at markere eller fjerne markeringen af ​​" Aktiver IDS/IPS"Du kan aktivere/deaktivere tjenesten til forebyggelse af indtrængen i overensstemmelse hermed.

I feltet " Liste over lokale undernet" tilføje lokale netværk, der betjenes af UTM. Disse er typisk netværk lokale grænseflader UTM, og der kan også være netværk af fjerntliggende segmenter dirigeret til dem lokalt netværk din virksomhed. Angiv aldrig netværk, der tilhører eksterne netværksgrænseflader UTM og eksterne netværk. Netværkene, der er anført her, deltager i reglerne for Intrusion Prevention Service som lokale netværk, der karakteriserer trafik til/fra lokale netværk. Lokal intersegmenttrafik er ikke udelukket fra systemtjek.

Mulighed " Gem logposter" giver dig mulighed for at vælge lagringstiden for systemlogfiler: 1, 2 eller 3 måneder.

Når du bruger et system til forebyggelse af indtrængen, anbefales det ikke at bruge interne DNS-servere til netværkscomputere, fordi systemet analyserer DNS-forespørgsler, der passerer gennem det, og identificerer inficerede enheder baseret på dem. I tilfælde af brug internt domæne AD, anbefales det at angive en DNS-server på computere Ideco UTM som den eneste DNS-server, og i DNS-serverindstillingerne på UTM angives Forward-zonen for det lokale domæne.

Magasin

I loggen kan du se de sidste 100 linjer med advarselslogfiler til forebyggelse af indtrængen.

Fuld systemlogfiler er placeret på serveren i mappen: /var/log/suricata

drop.log - information om afviste pakker.

fast.log - advarselslogs.

suricata.log - logfiler for servicedrift.

Advarselsloggene angiver den gruppe (klassificering), som den udløste regel tilhører, regel-id'et og yderligere oplysninger.

Regler

På fanen Regler tilgængelig for visning og aktivering/deaktivering af en gruppe af regler for indtrængningsforebyggelse.

Når du aktiverer/deaktiverer en regelgruppe, anvendes indstillingerne øjeblikkeligt, uden at det er nødvendigt at genstarte tjenesten.

Undtagelser

Det er muligt at deaktivere visse regler til forebyggelse af indtrængen i tilfælde af falske positiver eller af andre årsager.

På fanen "Undtagelser" kan du tilføje et regel-id (dets nummer, se eksempel på loganalyse nedenfor).

Opmærksomhed! Over tid, når databaser opdateres, kan regel-id'er ændre sig.

Eksempel på log analyse

Eksempel 1

04/04/2017-19:31:14.341627 [**] ET P2P BitTorrent DHT ping anmodning [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Forklaring af felter:

04/04/2017-19:31:14.341627 - dato og tidspunkt for arrangementet.

Systemhandling, Drop - pakken er blokeret, enhver anden information i dette felt betyder Alert, informerer.

[ 1:2008581:3 ] - ID for reglen i gruppen (ID er indeholdt mellem ":"-tegnene). Hvis reglen skal føjes til undtagelser, skal du tilføje nummer 2008581 der.

[**] ET CINS Active Threat Intelligence Dårligt omdømme IP-gruppe 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

For en mere detaljeret analyse af logfiler fra IP-computeren 192.168.10.14 skal du køre kommandoen i serverkonsollen:

grep "10.80.1.13:" /var/log/suricata/fast.log

Vi modtager et ret stort antal linjer med blokerede forbindelser til IP-adresser klassificeret efter forskellige farekategorier.

Som et resultat af softwareanalyse blev et adware-program opdaget og fjernet på computeren, som det lokalt installerede antivirus ikke reagerede på.

Tekniske krav

Et system til forebyggelse af indtrængen kræver betydelige computerressourcer. Multi-core (4 eller flere kerner) processorer foretrækkes. Minimum mængde RAM for at bruge systemet: 8 GB.

Efter at have tændt systemet, er det tilrådeligt at kontrollere, at din processor har nok strøm til at kontrollere den trafik, der passerer gennem gatewayen.

I kapitel Overvågning - Systemressourcer. B(gennemsnitlig belastning i 1, 5 og 15 minutter) bør ikke være større end antallet af fysiske kerner i den installerede processor.

på ESG Bureau-virksomhedens hjemmeside og i magasinet CAD and Graphics. I. Fertman – Formand for bestyrelsen for ESG Bureau,
A. Tuchkov – teknisk direktør for ESG Bureau, Ph.D.,
A. Ryndin – Vicekommerciel direktør for ESG Bureau.

Ansatte i ESG Bureau har gentagne gange dækket emnet i deres artikler informationssupport forskellige stadier livscyklus Produkter. Tiden foretager sine egne justeringer, forårsaget af den konstante udvikling af informationsteknologi og behovet for at modernisere implementerede løsninger. På den anden side er der nu en klar tendens til brug af softwareværktøjer, der opfylder kravene i det indenlandske regelsæt og de produktionsprocesser, der er vedtaget i vores land. Det er disse realiteter såvel som den akkumulerede erfaring med automatisering af designvirksomheders aktiviteter, der fik os til at skrive denne artikel.

Den nuværende tilstand af automatisering af designaktiviteter, produktion og informationsunderstøttelse af efterfølgende faser af produktets livscyklus

Bureau ESG har stor erfaring med implementering af systemer elektronisk arkiv, PDM, PLM, tekniske datastyringssystemer i en række forskellige industrier: skibsbygning (JSC Baltic Plant - Rosoboronexport, JSC Sevmash, JSC Central Research Institute of Ship Engineering), maskinteknik (JSC St. Petersburg "Red October"), industri- og civilt byggeri (PF Soyuzproektverf, JSC Giprospetsgaz), atomindustrien (JSC Atomproekt, JSC Roszheldorproekt) og mange andre virksomheder og organisationer, hvis liste ikke er inkluderet i artiklens mål og formål.

Vi lægger vægt på, at implementeringer er udført ud fra brug af div software systemer: TDMS, Search, SmartPlant Fondation, Autodesk Vault og andre, herunder egen udvikling. Brugen af ​​et bestemt softwaremiljø bestemmes af industrien, de aktuelle opgaver og andre faktorer. Det er den omfattende erfaring, som ESG-bureauet har oparbejdet inden for de nævnte områder, der giver os mulighed for at tegne et generelt billede af implementeringen af ​​elektroniske arkivsystemer, PDM- og PLM-dokumentstyringssystemer hos russiske virksomheder.

Moderne design, produktionsaktiviteter, støtte til drift, modernisering og bortskaffelse af produkter kan ikke forestilles uden brug af forskellige slags automatiserede systemer: CAD (CAD), CAM, PDM, teknologiske klargøringssystemer, PLM-systemer. Det generelle billede er illustreret i fig. 1.

Ris. 1. Det store billede af automatisering

Som regel er alle børsnoterede og unoterede automatiseringsværktøjer kun til stede i et vist omfang, oftere på indledende faser Produkters livscyklus - designaktiviteter og produktion. I de efterfølgende stadier af livscyklussen er graden af ​​informationsunderstøttelse af processer nogle gange ekstremt lav. Lad os give nogle få eksempler, der er typiske for de mest automatiserede stadier af livscyklus, der illustrerer det virkelige billede.

Udsagn om "implementering af PDM- eller PLM-teknologier" i praksis viser sig ofte kun at være implementeringen af ​​et elektronisk arkiv- og dokumenthåndteringssystem, CD og TD, TDM, og intet mere. Årsager:

• "et spil med ord" er, når et dyrt PDM-system bruges til at skabe funktionaliteten af ​​en elektronisk arkiv- og dokumentflow-cd og TD (som ofte tolkes som "introduktionen af ​​PDM-teknologi", selvom der ikke er sådan noget, der er kun implementering af et elektronisk arkiv og/eller TDM ved hjælp af software - PDM -systemer);
• substitution af begreber - når i titlen softwareværktøj der er en forkortelse "PDM" eller "PLM", men systemet er ikke sådan med hensyn til den type opgaver, det løser, og igen løser det i bedste fald to problemer, men oftere et af to:
• styring af designeres arbejde på niveau med dokumenter og nogle gange 3D-modeller,
• forvaltning af elektroniske arkiver af cd'er og TD'er.

Lad os give et eksempel: erfaringerne fra ESG Bureau-virksomheden, som omfattede arbejde med at skabe en model af en informationsmodel for et krigsskib, viste, at det vigtigste i den operationelle livscyklus, desværre, ikke er informationen af konstruktøren og bygherren, men driftsdokumentationen, interaktive elektroniske tekniske manualer (IETR). På livscyklusstadiet af driften er logistikstøtte yderst nødvendig, hvilket giver mulighed for genopfyldning af reservedele og tilbehør på kortest mulig tid. Meget ofte løser ikke et enkelt system placeret af producenten som PLM "som standard" driftsproblemer, selvom, lad os ikke benægte, et sådant system godt kan bruges med passende modifikationer, for eksempel til at løse logistikproblemer. Bemærk, at med hensyn til effektivitet og arbejdsintensitet brugt på revision, svarer denne tilgang til at bruge et regnskabs- eller ERP-system til at styre designaktiviteter eller en teksteditor til at udvikle designtegninger.

I et forsøg på at være objektive i vores vurderinger vil vi ikke overdrive yderligere, men vil blot bemærke:

• moderne automatisering af designaktiviteter, produktion og support af efterfølgende faser af produktets livscyklus omfatter ofte kun PDM- og PLM-elementer;
• ofte er implementeringen af ​​PDM og PLM intet andet end skabelsen af ​​et elektronisk arkiv- og dokumentflow af CD og TD;
• Det er for tidligt at tale om den fulde implementering af PLM-teknologi for alle stadier af produktets livscyklus.

Årsager til at skifte til en ny platform

På trods af konklusionerne fra det foregående afsnit af artiklen, bemærker vi, at i en virksomhed, hvor et elektronisk arkiv, designdokumentflow, et automatiseret system til teknologisk klargøring af produktion og PDM/PLM-elementer er implementeret, fungerer uden de implementerede værktøjer er ikke længere muligt. Dette er den vigtigste indikator for implementering. Der var et tilfælde i vores virksomheds arbejde, hvor den elektroniske arkivserver for en maskinbyggervirksomhed blev utilgængelig på grund af fejl, der opstod i kundens LAN uden vores skyld. Tiden fra den første fejl til det første opkald fra virksomheden til vores kontor til tekniske supportspecialister var mindre end et minut. Samtidig havde alle de følelsesmæssige udsagn én ting til fælles - "uden adgang til databasen kan virksomheden ikke fungere." Efter vores mening er dette den mest betydningsfulde praktiske indikator, der overgår alle teoretiske beregninger.

Årsagerne til overgangen til nye teknologier og platforme samt udvidelsen af ​​implementeret funktionalitet kan klassificeres i flere grupper.

Udvikling af teknologier og designværktøjer

En af vigtige faktorer overgang til nye teknologier, softwareløsninger og udvidelse af den implementerede funktionalitet af designdokumentflowsystemet, automatiseret system til teknologisk forberedelse af produktionen, PDM/PLM-elementer i faserne af designere og produktion - fremkomsten af ​​tredimensionelle designværktøjer og lovgivningsmæssige rammer, som bestemmer arbejdet med elektroniske modeller.

Som allerede nævnt taler vi i de fleste tilfælde af "implementering af PDM og PLM" om TDM, elektronisk arkiv og dokumentflow af CD og TD. Sådanne løsninger (uanset hvilket miljø de er bygget i) fungerer i praksis som regel med todimensionel CD og TD. Historisk set er principperne og tilgangene til at arbejde med todimensionelt design og teknologisk dokumentation med nogle "moderniseringer" for elektroniske todimensionale dokumenter ofte blevet "migreret" til nye systemer i de fleste virksomheder, hvor sådanne implementeringer er blevet implementeret. For eksempel, ifølge GOST 2.501-2006, foretages ændringer af elektroniske dokumenter i ny version. GOST 2.503-90, som beskriver at foretage ændringer "på papir", giver dig mulighed for at foretage ændringer direkte på tegningen (overstrege, slette (vaske), male med hvidt, indføre nye data) eller oprette nye dokumenter, deres ark erstatter originalen dem, i det væsentlige - at skabe versioner. Eksemplet illustrerer, at "opgraderinger" ikke er så væsentlige, og proceduren for at arbejde med todimensionelle elektronisk dokument praktisk talt gentager arbejdet "med papir".

Og selve de elektroniske arkiv- og dokumenthåndteringsværktøjer, CD og TD, som blev implementeret med succes på én gang, understøtter meget ofte simpelthen ikke tilgange til at arbejde med en 3D-model, men den tidligere implementerede Informationssystem, som regel er forældet og indeholder ikke moderne integrationsmekanismer, der muliggør effektiv modifikation.

Integration og optimering af produktionsprocesser

Den næste faktor er integration og optimering af produktionsprocesser. Meget ofte har vores kunder et legitimt ønske om at automatisere hele produktionskæden så meget som muligt. For eksempel er det ret logisk, at når man skriver tekniske processer, er det nyttigt for en teknolog at have adgang til resultaterne af designerens arbejde. Jeg vil utvivlsomt gerne have en form for forenet integreret miljø, og det er slet ikke ligegyldigt, hvordan sådan et miljø er bygget op – indenfor et eller flere systemer. Det vigtigste er ende-til-ende overførsel af data mellem deltagere i produktionsprocesser, brug og vedligeholdelse af opdateret information.

Oprettelse af integrerede geografisk spredte miljøer

Meget ofte indeholder tidligere implementerede systemer ikke den nødvendige funktionalitet, og de indbyggede midler til at udvide den tillader ikke at opnå det ønskede - udvidelse af funktionaliteten eller organisering af den nødvendige integrationsinteraktion med andre systemer. Ofte er designbureauer og produktionsfaciliteter geografisk adskilt. Nogle gange opfylder eksisterende værktøjer ikke moderne ideer om effektiv automatisering. For eksempel bruges udvekslingsfiler (transportarrays) til at udveksle information mellem systemer i skibsbygning. Ofte er den eneste måde at organisere integrationsinteraktion på COM-teknologi. Samtidig gør moderne systemer det muligt effektivt at organisere geografisk distribuerede databaser, arbejde med ingeniørdata og udveksle dem mellem fjerntliggende designbureauer, designbureauer og produktion.

Økonomiske årsager

Under alle forhold er den økonomiske komponent i overgangen til brugen af ​​nye platforme uden tvivl ikke ny, men i dag har den to hovedkomponenter:

• investeringer i ny platform skal medføre økonomiske fordele;
• kunder udtrykker et ønske om at reducere investeringerne og ikke være afhængige af udenlandske producenter i en række brancher.

IPS system

Af en række årsager vil vi ikke dvæle ved velkendte vestlige automatiseringsværktøjer. I dette afsnit vil vi forsøge at liste løsningerne: elektroniske designarkivsystemer, dokumenthåndtering, PDM, PLM, faktisk tilpasset indenlandske processer, den nuværende lovgivningsramme for Den Russiske Føderation for designbureauer og produktion, på den ene side og tage på den anden side hensyntagen til den nuværende tilstand og tilgængelighed af designautomationssystemer, DBMS, netværksudstyr og interaktion. Med ovenstående forbehold er valget desværre ikke så stort - måske vil nogen argumentere med rimelighed (hvilket vi på forhånd er taknemmelige for), men på hjemmemarked Der er kun tre løsninger, der overvejes:

• IPS-system fremstillet af Intermech;
• LOTSMAN:PLM-system produceret af Askon;
• T¬Flex system fremstillet af Top Systems.

Formålet med artiklen er ikke en formaliseret sammenligning af disse tre systemer baseret på princippet om "tilstedeværelse eller fravær" af en bestemt funktion. Vores erfaring viser, at denne tilgang i de fleste tilfælde er meget subjektiv og forkert. I denne henseende vil vi i dag begrænse os til kun at beskrive ét IPS-system.

Generel funktionalitet

Systemet er en modulær løsning, der automatiserer design- og produktionsopgaver -gruppearbejde designere, design dokumentflow, implementering af et elektronisk arkivsystem, udførelse af teknologisk forberedelse af produktion, organisering af integrationsinteraktion med andre systemer i virksomheden.

Generel struktur IPS-systemet er vist i fig. 2.

Ris. 2. Generel struktur af IPS

Heterogenitet af IPS-miljøet

Det er ingen hemmelighed, at langt de fleste af sådanne værktøjer er udviklet af CAD-systemproducenter. Samtidig løste hver producent oprindeligt markedsføringsproblemet med at tiltrække kunder ved at arbejde med et sæt "dens" software produkter. Forresten er dette koncept iboende i softwareløsninger, ikke kun inden for automatisering af designaktiviteter og produktion og ikke kun i vores land, men udtrykker en global trend. For nogen tid siden undergik denne tilgang ændringer, og i dag vil som regel enhver producent af et PDM/PLM-system svare bekræftende på spørgsmålet om, hvorvidt der er softwareinteraktion med CAD-systemer, der ikke er hjemmehørende i det.

IPS-systemet er værd at bemærke, da det ikke oprindeligt er oprettet fra "noget indfødt" CAD-system. IPS-konceptet kan karakteriseres ved jargonen "altædende", som mest præcist karakteriserer dets forhold til de designværktøjer, der bruges i designbureauer. Samtidig afspejler implementeringen af ​​IPS den nuværende tendens til, at virksomheder har flere CAD-systemer. Samtidig bemærker vi, at en sådan "overflod af designværktøjer" i nogle tilfælde kun er et "ekko af æraen med spontan automatisering", og i nogle tilfælde - resultatet af en økonomisk sund politik, bestemt igen. , ved kompleksiteten og udvalget af designet produkter. IPS fungerer lige så godt med følgende CAD-systemer:

• AutoCAD;
• Autodesk Inventor;
• BricsCAD;
• Catia;
• Pro/ENGINEER/PTC Creo Parametrisk;
• Solid Edge;
• SolidWorks;
• KOMPAS-3D;
• KOMPAS-Graf.

Og desuden - med designsystemer printplader elektroniske produkter (ECAD): Mentor Graphics og Altium Designer.

Muligheder for tilpasning af funktionalitet

IPS-platformen giver dig mulighed for fleksibelt at konfigurere funktionalitet. Ved indstillinger kan indbyggede værktøjer bruges (uden programmering). For at implementere unik funktionalitet kan eksterne programmeringsmiljøer bruges til at skrive plug-in programmer.

Et vigtigt aspekt af automatisering af design, produktionsaktiviteter, implementering af elektronisk arkiv, PDM/PLM-teknologier i en moderne virksomhed er, at du ikke skal starte med ren tavle" Derudover er opbevaringen af ​​oplysninger som udgangspunkt allerede organiseret i en eller anden grad i i elektronisk format(elektronisk arkiv), vellykket implementering af designdokumentflow, PDM- og PLM-elementer er ikke ualmindeligt. I mere "avancerede" tilfælde er der et enkelt informationsrum, og intersysteminteraktion er organiseret. Samtidig kræver på den ene side implementerede og succesfuldt drevne værktøjer modernisering i forbindelse med overgangen til nye teknologier (for eksempel ved introduktion af tredimensionelle CAD-systemer). På den anden side bør og kan tidligere akkumulerede databaser, tekniske og organisatoriske tilgange anvendes ved introduktion af nye teknologier. For eksempel mister en database med "todimensionel" dokumentation for tidligere producerede produkter overhovedet ikke sin relevans ved overgangen til brug af 3D-CAD-systemer (produkter drives, moderniseres, produceres igen, uanset hvordan de er designet - "på et fly" eller "på papir").

Organisering af geografisk fordelt arbejde

Lad os tilføje, at IPS-systemet gør det muligt at implementere geografisk spredte løsninger både inden for én fase af et produkts livscyklus, for eksempel ved design af et eller flere designbureauer, og inden for forskellige stadier. I dette tilfælde er det for eksempel muligt at designe et produkt med et eller flere designbureauer og fjernadgang teknologer af en eller flere adskilte produktioner til resultaterne af designeres arbejde, automatisering af teknologisk forberedelse af produktion ved hjælp af de relevante IPS-moduler. Mekanismen til udgivelse af dokumenter og modeller gør det muligt for en virksomhed fjernt fra designbureauet at lave anmærkninger og igangsætte ændringer, der arbejder i et enkelt geografisk distribueret miljø.

Den generelle struktur for organiseringen af ​​distribueret arbejde af IPS er vist i fig. 3.

Ris. 3. Organisering af geografisk fordelt arbejde i IPS

Et eksempel på KB's overgang til brug af IPS

Lad os give rigtigt eksempel oversættelse fra et tidligere implementeret elektronisk arkivsystem, dokumentflow med PDM- og PLM-elementer i et af de store designbureauer. De vigtigste grunde til at udføre arbejdet:

• overgang af designafdelinger til tredimensionelt design;
• fravær teknisk gennemførlighed understøttelse af arbejde med 3D-CAD-systemer til det eksisterende elektroniske arkiv- og dokumentstyringssystem CD med PDM- og PLM-elementer;
• forældet arkitektur af det eksisterende system og umuligheden af ​​dets yderligere skalering;
• krav til geografisk spredt samspil mellem designbureauer med andre designbureauer og produktion.

Arbejdsresultater:

• udarbejdelse af datamigreringsspørgsmål fra det eksisterende system til IPS;
• udarbejdelse af spørgsmål om migrering af processer fra det eksisterende system til IPS;
• softwareløsning - undersystem af interface interaktion mellem eksisterende system og IPS for at sikre integration mellem systemer, hvilket muliggør en "glat overgang";
• den organisatoriske del af overgangen til brug af nyt system under hensyntagen til optimering af tids- og ressourceomkostninger.

Den første fase - udvikling af teknologi og software- og hardwareløsninger - blev udført på et tidligere designet "pilot"-produkt.

I øjeblikket udfører vores virksomheds specialister i henhold til arbejdsplanen den næste fase af arbejdet baseret på de tidligere opnåede resultater: støtte til design af to rigtige produkter af 3D-CAD-systemer og et IPS-system.

Konklusion

• Ofte er stadierne af automatisering af designbureauer og virksomheder, placeret som reelle implementeringer af PDM/PLM-teknologier, oprettelsen af ​​elektroniske arkiver, dokumentstyringssystemer CD og TD, TDM (normalt for todimensionelle dokumenter). I de fleste tilfælde kan vi kun tale om den faktiske implementering af PDM- og PLM-elementer;
• med overgangen til tredimensionelt design, tidligere implementerede elektroniske arkiv- og dokumentstyringssystemer CD og TD, indførte PDM- og PLM-elementer ikke altid opfylder de nye krav;
• overførsel til nye platforme af elektroniske arkiv- og dokumentstyringssystemer CD og TD, PDM og PLM elementer er ikke en nem, men fuldstændig løselig opgave, der kræver ESG Bureau udviklet af virksomheden systematisk tilgang, kun delvist dækket i artiklen.

Bibliografi

1. Turetsky O., Tuchkov A., Chikovskaya I., Ryndin A. Ny udvikling af InterCAD-virksomheden - et system til lagring af dokumenter og 3D-modeller // REM. 2014. Nr. 1.
2. Tuchkov A., Ryndin A. Om måder at skabe tekniske datastyringssystemer // REM. 2014. Nr. 1.
3. Kazantseva I., Ryndin A., Reznik B. Information og reguleringsstøtte til et skibs fulde livscyklus. Erfaring fra ESG Bureau // Korabel.ru. 2013. nr. 3 (21).
4. Tuchkov A., Ryndin A. Design datastyringssystemer inden for industrielt og civilt byggeri: vores erfaring og forståelse // CAD og grafik. 2013. Nr. 2.
5. Galkina O., Korago N., Tuchkov A., Ryndin A. D’AR elektroniske arkivsystem er det første skridt mod at opbygge et design data management system // CAD og grafik. 2013. Nr. 9.
6. Ryndin A., Turetsky O., Tuchkov A., Chikovskaya I. Oprettelse af et lager af 3D-modeller og dokumenter ved arbejde med tredimensionelle CAD-systemer // CAD og grafik. 2013. Nr. 10.
7. Ryndin A., Galkina O., Blagodyr A., ​​​​Korago N. Automatisering af dokumentationsstrømme - et vigtigt skridt til oprettelsen af ​​et samlet informationsrum for virksomheden // REM. 2012. Nr. 4.
8. Petrov V. Erfaring med at skabe et samlet informationsrum i St. Petersburg JSC "Red October" // CAD og grafik. 2012. Nr. 11.
9. Malashkin Yu., Shatskikh T., Yukhov A., Galkina O., Karago N., Ryndin A., Fertman I. Erfaring med at udvikle et elektronisk dokumenthåndteringssystem hos OJSC Giprospetsgaz // CAD og grafik. 2011. Nr. 12.
10. Sanyov V., Suslov D., Smirnov S. Brug af informationsteknologier ved Central Research Institute of Ship Engineering // CADmaster. 2010. Nr. 3.
11. Vorobyov A., Danilova L., Ignatov B., Ryndin A., Tuchkov A., Utkin A., Fertman I., Shcheglov D. Scenarie og mekanismer til at skabe et samlet informationsrum // CADmaster. 2010. Nr. 5.
12. Danilova L., Shcheglov D. Metode til at skabe et samlet informationsrum for raket- og rumindustrien // REM. 2010. Nr. 6.
13. Galkina O.M., Ryndin A.A., Ryabenkiy L.M., Tuchkov A.A., Fertman I.B. Elektronisk informationsmodel skibsbygningsprodukter på forskellige stadier af livscyklussen // CADmaster. 2007. nr. 37a.
14. Ryndin A.A., Ryabenkiy L.M., Tuchkov A.A., Fertman I.B. Teknologier til sikring af produkters livscyklus // Computer-INFORM. 2005. Nr. 11.
15. Ryndin A.A., Ryabenkiy L.M., Tuchkov A.A., Fertman I.B. Stadier af implementering af IPI-teknologier // Skibsbygning. 2005. Nr. 4.

Moderne informationssikkerhedssystemer består af mange komponenter, der giver omfattende beskyttelsesforanstaltninger på alle stadier af informationsbehandling og -lagring. Et af de vigtigste elementer i sikkerhedssystemer er systemer til forebyggelse af indtrængen (IPS).

IPS-systemer er designet til at registrere og blokere angreb på netværket og udføre en fuld scanning af trafik, der passerer gennem kontrollerede punkter på netværket. Når ondsindet trafik opdages, blokeres flowet, hvilket forhindrer yderligere udvikling af angrebet. For at søge efter angreb bruger systemer en række forskellige algoritmer og signaturdatabaser, som kan indeholde flere tusinde angrebsdefinitioner, hvilket gør det muligt at blokere de fleste kendte angrebstyper og deres kombinationer.

For at øge effektiviteten af ​​et IPS-system er det nødvendigt at vælge trafikkontrolpunkter, hvor angreb vil blive blokeret, hvilket vil forhindre uønsket trafik i at sprede sig til andre dele af netværket. Som regel vælges kontrolpunkter i hver organisation afhængigt af både forretningsmål og mange andre faktorer.

I øjeblikket implementerer udstyrsproducenter to placeringsmetoder: metoden til at forbinde en enhed til et netværksgab og metoden til at omdirigere informationsstrømme. Begge har deres fordele og ulemper, som skal tages i betragtning, når et beskyttelsessystem designes.

Metode til at oprette forbindelse til et netværksbrud giver fuldstændig kontrol over al trafik, der passerer gennem det kontrollerede punkt, hvilket ikke tillader det at "passere ubemærket." Men dette skaber et enkelt fejlpunkt, og redundans skal opretholdes for at eliminere det. En anden ulempe ved denne metode er, at denne forbindelse introducerer forsinkelser i al trafik, der passerer gennem enheden, hvilket kræver enheder, der er i stand til at fungere ved datalinkhastigheder.

Omdirigeringsmetode involverer installation af en sensor (eller flere sensorer) for at søge efter mistænkelig trafik i datastrømmen. Strømmen, der kontrolleres, ledes til sensoren fra kontaktens spejlporte eller duplikeres med andre tilgængelige midler. Når mistænkelig trafik opdages, ændres ruten, og trafikstrømmen omdirigeres til en enhed, der udfører en fuld scanning, som i sidste ende beslutter, om trafik skal blokeres eller tillades. Hvis der træffes beslutning om at passere, vender trafikken tilbage til den tidligere rute. Hvis en sensor eller IPS-enhed svigter, afbrydes datatransmissionen over netværket ikke; derudover indføres der ingen forsinkelser i den "normale" trafik. Men med denne metode implementeres angreb af en netværkspakke, kan lykkes, selvom denne pakke detekteres. En anden ulempe er de strenge krav til netværksudstyr, som interaktionen vil finde sted med.

IPS-enheder placeres på passende steder i henhold til den valgte model. Som regel er sådanne punkter placeret på kanten af ​​netværk eller repræsenterer grænseadgangspunkter til udbydernetværk. I På det sidste Som et resultat af forbedringen af ​​IPS-systemer og stigningen i insidertrusler er der en tendens til at placere enheder inde i netværk - for mere fuldstændig kontrol af trafikken mellem afdelinger, servere og undernet af virksomheder. Som følge heraf er kravene til pålidelighed og korrekt drift såvel som til enhedens ydeevne steget betydeligt.

Samtidig løses traditionelle problemer med at eliminere et enkelt fejlpunkt stadig på samme traditionelle måde - ved at duplikere udstyr og komponenter, hvilket i princippet svarer til generelle tendenser i udvikling af udstyr til kritiske opgaver. Lad os se nærmere på problemerne med driftspålidelighed og enhedens ydeevne.

Lad os starte med ydeevne. Dette problem løses traditionelt på to måder: enten ved at øge processorkraften og parallel bearbejdning, eller oprettelse af specialiserede chips, der udfører de nødvendige operationer i hardware. Den anden metode er ret dyr på grund af brugen af ​​komplekse og "branchy" pakkeverifikationsprocedurer, hvilket igen komplicerer chipsene og øger deres omkostninger. Producenter af IPS-systemer bruger forskellige kombinationer disse metoder, såvel som traditionelle metoder til enhedsklynger med belastningsfordeling, som giver dig mulighed for at oprette enheder med de nødvendige driftshastighedsparametre.

Lad os nu tale om det sværeste problem, der plager IPS-enheder - problemet med falske positiver. Det samme problem er relevant for indtrængningsdetektionssystemer (Intrusion Detection System, IDS), men i modsætning til IPS kræver de ikke særlig omhu i deres arbejde, da disse systemer kun er ansvarlige for detektion og information. Med IPS-systemer er alt meget mere kompliceret - i tilfælde af en falsk positiv (som i tilfælde af en reel trussel) blokeres trafikken, hvilket kan forårsage betydelig skade for organisationen.

Næsten alle IPS-systemproducenter har "proprietære" algoritmer, der minimerer antallet af falske positiver gennem omhyggelig test af udstyr og opdateringer, som sikrer tilstrækkelig pålidelig drift netværk.

Blandt andet, forskellige producenter Algoritmer adskiller sig i specialisering og har forskellig effektivitet i detektion og blokering forskellige typer angreb, hvilket gør det svært at skabe sikkerhedsløsninger.

Hvis opgaven med at integrere IPS og andre sikkerhedssystemer ved oprettelse komplekse systemer beskyttelse er stadig vanskelig at løse, så løses opgaverne med centraliseret styring af IPS-systemer fra én producent ved hjælp af midler leveret af producenterne, hvilket gør det muligt at reducere omkostningerne ved at administrere systemer, samt centralt anvende sikkerhedspolitikker.

Således fungerer IPS-systemer som et effektivt element i integrerede sikkerhedssystemer, men deres implementering og support er en meget vanskelig opgave, der kræver højt kvalificerede specialister, hvilket praktisk talt udelukker uafhængig oprettelse effektiv løsning baseret på dem.

Systemer til forebyggelse af indtrængen (IPS-systemer).
Beskyttelse af din computer mod uautoriseret adgang.

Systemer til forebyggelse af indtrængen– aktive informationssikkerhedsværktøjer, der ikke kun registrerer, men også beskytter mod indtrængen og sikkerhedsbrud. Til sådanne systemer bruges traditionelt forkortelsen IPS (fra det engelske Intrusion Prevention System - intrusion prevention system). IPS-systemer er en forbedret version af systemer til registrering af indtrængen, som implementerer funktionaliteten med automatisk beskyttelse mod cybertrusler. Systemer til forebyggelse af indtrængen er i stand til at detektere ondsindet aktivitet, sende signaler til administratoren, blokere mistænkelige processer og afbryde eller blokere en netværksforbindelse, hvorigennem et angreb udføres på datalagring eller tjenester. IPS kan også udføre pakkedefragmentering ved at omarrangere TCP-pakker for at beskytte mod pakker med ændrede SEQ- og ACK-numre.

Den mest udbredte type systemer til forebyggelse af indtrængen i dag er HØFTER(fra det engelske Host-based Intrusion Prevention System - intrusion prevention system på værtsniveau). HIPS-teknologi er grundlaget for sikkerhedsprodukter og -systemer, desuden er elementer af HIPS-beskyttelse begyndt at bruge traditionelle midler til at bekæmpe malware - for eksempel antivirusprogrammer.

Hvis vi taler om fordelene ved HIPS-type indtrængningsforebyggende systemer, så er det vigtigste uden tvivl udelukkende højt niveau beskyttelse. Informationssikkerhedseksperter er enige om, at HIPS-systemer kan yde næsten 100 % beskyttelse mod enhver, selv den seneste, malware, såvel som ethvert forsøg på uautoriseret adgang til fortrolige oplysninger. Dette er et forsvar, der gør sit arbejde perfekt. hovedfunktion- beskytte. Intet traditionelt informationssikkerhedsværktøj kan prale af et sådant beskyttelsesniveau.

HIPS-værktøjer og -teknikker er kernen i SafenSofts informationssikkerhedskapacitet. Vores produkter kombinerer alle fordelene ved systemer til forebyggelse af indtrængen og traditionelle sikkerhedsløsninger. SoftControls proaktive beskyttelse forhindrer ethvert forsøg på uautoriseret adgang til data- og softwaremiljøet på hjemme-pc'er (SysWatch Personal og SysWatch Deluxe-produkter), virksomhedsnetværksarbejdsstationer (Enterprise Suite), pengeautomater og betalingsterminaler (TPSecure og TPSecure Teller). Vores patenterede V.I.P.O.®-applikationskontrolteknologi kombinerer 3 beskyttelseslag: kontrollerer alle kørende applikationer, bruger en dynamisk sandkasse til at køre mistænkelige processer og kontrollerer applikationsadgang til filsystem, registreringsdatabasenøgler, eksterne enheder Og netværksressourcer. SoftControl-løsninger er i stand til at arbejde parallelt med antiviruspakker, hvilket giver fuld beskyttelse computersoftwaremiljø. Når du arbejder på et lokalt netværk, har SoftControl-produkter bekvem centraliseret styring og et om trusler. I modsætning til traditionelle sikkerhedsløsninger kræver SoftControl-løsninger ikke konstante opdateringer signaturdatabaser.

Dmitry Volkov
Leder af IT Incident Investigation, Group-IB

Moderne udvikling af IPS

Network intrusion prevention systems (IPS) kan blive effektivt værktøj for folk, der er involveret i sikkerhed og dyre stykker hardware, der samler støv i tomgang. For at sikre at et IPS-system ikke bliver en skuffelse, skal det som minimum opfylde følgende krav, der skal tages i betragtning ved valg af det.

Systemet skal:

1. har en bred vifte af modeller, der opfylder kravene fra både små regionale kontorer og hovedvirksomheden med multi-gigabit-netværk;
2. understøtter ikke kun signaturanalyse, men også unormal protokolanalyse og selvfølgelig adfærdsanalyse;
3. give et klart billede af netværket og de enheder, der er tilsluttet det;
4. give arbejde i IDS-tilstand, udføre adfærdsanalyse, have værktøjer til at udføre undersøgelser;
5. have centraliseret styring af installerede IPS/IDS-systemer;
6. har gode analyseværktøjer til effektivt at forbedre sikkerhedspolitikker.

IDS/IPS-systemer er oftest forbundet, hvor der er kritiske ressourcer. Men udover det faktum, at det er nødvendigt at blokere angreb på disse ressourcer, bør du konstant overvåge dem, nemlig: vide, hvilke af disse ressourcer der er sårbare, og hvordan deres adfærd på netværket ændrer sig. Derfor er det nødvendigt at tilføje yderligere funktionalitet til IDS/IPS-systemer, så de kan beskytte de nødvendige ressourcer mere pålideligt, samtidig med at omkostningerne ved ejerskab reduceres. Så beskyttelse kan udføres i tre faser - IPS, Adaptive IPS, Enterprise Threat Management. Funktionaliteten af ​​hver efterfølgende fase omfatter alle funktionerne fra den foregående fase og udvides med nye.

Fase 1: Du kan overvåge og/eller blokere angreb, der udnytter tusindvis af sårbarheder, det vil sige standard IPS-sensorer og deres kontrolcentre.

Fase 2. Det bliver muligt at udforske netværket, prioritere begivenheder og automatisere IPS-konfiguration.

Fase 3. Fuld mulig funktionalitet til beskyttelse virksomhedens netværk før, under og efter anfaldet.

ETM er den første udførelsesform af bevidstheden om, at mens den beskytter informationsressourcer, du skal arbejde smartere, ikke hårdere. Fra et teknologisk perspektiv er ETM en kombination af fire trussels- og sårbarhedsstyringsteknologier kombineret til en enkelt centralt styret løsning. Som et resultat giver denne løsning flere muligheder end hvert produkt alene. Som vist i fig. 3, ETM består af et system til forebyggelse af indtrængen (IPS), netværksadfærdsanalyse (NBA), netværksadgangskontrol (NAC), sårbarhedsanalyse (VA), kommunikationsundersystem og centraliseret styring.

Sammenligning af IPS-producenter

I fig. Figur 4 viser, hvilke af IPS-systemproducenterne, der er i spidsen. Men uden at være bundet til Gartner, lad os se på, hvilken funktionalitet hver producent har.

Som du kan se, har nogle ikke sådan vigtige funktioner, som undersøgelse på pakkeniveau og regelgennemgang og oprettelse. Uden sådanne muligheder er det nogle gange helt uklart, hvorfor systemet udsender advarsler, og det vil tage meget tid at finde ud af årsagen til disse advarsler.

Manglen på en mekanisme til at skabe overholdelsespolitikker pålægger også visse begrænsninger. For eksempel er det nyttigt i en ekstern revision at demonstrere, hvordan dine politikker rent faktisk implementeres. Yderligere kommentarer er unødvendige, da den sande situation først vil blive klar efter den faktiske implementering i et industrielt miljø.

Det skal huskes, at sikring af netværkssikkerhed er en kompleks opgave, og uensartede løsninger sikrer ikke altid opfattelsens integritet og fører til ekstra omkostninger.

Kort anmeldelse

Cisco systemer

Pålidelige løsninger, har fremragende support, men er svære at konfigurere, signaturanalyse giver mange falske positiver, administrationsgrænseflade når store mængder hændelser tillader ikke tilstrækkelig analyse af registrerede hændelser. For fuld funktionalitet kræves yderligere investering i Cisco Security Monitoring, Analysis and Response System (CS-MARS).

Vendepunkt

Systemerne fra denne producent er nemme at konfigurere og installere. De har en god kontrolgrænseflade, men kan kun forbindes i et mellemrum, det vil sige uden passiv detektering. De tillader dig ikke at udvide funktionaliteten og er blot et IDS/IPS-system.

På en af ​​konferencerne sagde en repræsentant fra TippingPoint i sin tale, at deres udstyr kan indstilles og glemmes – og det er deres sikkerhedsstrategi.

Måske er der nogen, der deler det, men det er svært for mig at være enig i det. Ethvert sikkerhedsværktøj skal kontrolleres, ellers får du aldrig det rigtige udbytte af det. For eksempel, hvis nogen vedvarende forsøger at hacke din tilknyttede portal, og han undlod at gøre det de første to gange takket være IPS-systemet, så vil det tredje gang lykkes ham, og uden at overvåge IPS-systemet vil du ikke vide dette og forhindre efterfølgende forsøg vil du ikke lykkes.

Juniper Networks

Uanset hvad analytikere fra Gartner eller andre publikationer skriver, er det svært at sige noget godt om deres produkter. Systemet er frygtelig svært at sætte op. NSM-styringskonsollen er meget begrænset. Resultaterne vises på en sådan måde, at man får det indtryk, at udviklerne forsøgte at sikre sig, at de så så lidt som muligt på det og håbede, at angrebene rent faktisk blev afvist.

Kildebrand

Måske det bedste system. Alt er praktisk. Funktionaliteten er utrolig bred. Derudover har systemet allerede indbyggede muligheder for detaljeret dataindsamling om angrebne og angrebne noder, og ikke kun IP- og MAC-adresser, hvilket i høj grad reducerer tiden for analyse og analyse af hændelser. Sådanne oplysninger omfatter også historien om forbindelser, åbnet og derefter
lukkede havne, typer af overførte adresser, brugernavne, hvis overførslen for eksempel skete via FTP eller e-mail, og selvfølgelig selve e-mailadressen. I store netværk kan det blive et uundværligt middel til beskyttelse. De har udgivet deres løsninger siden 2001, men er først for nylig kommet ind på det russiske marked.

Konklusion

Ikke værd at implementere hele linjen nye produkter, der kun løser ét problem. Statiske sikkerhedskontroller kan ikke beskytte et dynamisk miljø. Det er nødvendigt at beskytte dine medarbejderes tid og deres indsats. Lad dem arbejde bedre, ikke hårdere. Reducer omkostningerne ved at understøtte et heterogent miljø. Reducer den tid, der bruges på at analysere data fra flere konsoller og rapporter. Brug dine penge fornuftigt, før dine sikkerhedssystemer koster dig mere end de risici, du beskytter dig imod.