Redaktor:Patrickkkkkkkk/Intrusion detection system
Intrusion detection system (IDS, tj. systém detekcie narušenia, tiež intrusion prevention system alebo IPS) je zariadenie alebo softvér, ktorého úlohou je monitorovanie sieťovej prevádzky alebo systémov a detekcia škodlivých aktivít. Akákoľvek podozrivá aktivita alebo narušenie sa zvyčajne nahlási buď správcovi, alebo sa zhromažďuje do centrálneho systému. Takýto centrálny systém kombinuje výstupy z viacerých zdrojov a je schopný rozlíšiť škodlivú aktivitu od falošných poplachov.
Typy IDS siahajú od jednotlivých počítačov až po veľké siete. Najbežnejšími typmi sú network intrusion detection systems (NIDS) a host-based intrusion detection systems (HIDS). Systém, ktorý monitoruje dôležité súbory operačného systému, je príkladom HIDS, zatiaľ čo systém, ktorý analyzuje sieťovú prevádzku, je príkladom NIDS. IDS je možné rozdeliť aj na základe použitej metódy rozpoznávania. Najbežnejšími metódami sú rozpoznávanie znakov (napr. malvér) a detekcia anomálií (detekcia odchýlok od modelu „dobrej“ prevádzky). Ďalším bežným variantom je detekcia založená na reputácii (rozpoznanie potenciálnej hrozby podľa skóre reputácie). Niektoré IDS majú schopnosť na zistené prieniky reagovať. Takéto systémy sa zvyčajne označujú ako intrusion prevention system (IPS). IPS môžu slúžiť aj na špecifické účely tým, že sa rozšíria o vlastné nástroje ako je napríklad použitie honeypotu na prilákanie a náseldnú charakterizáciu škodlivej prevádzky.
Porovnanie s firewallom
[upraviť | upraviť zdroj]Aj keď sa obe týkajú zabezpečenia siete, IDS sa od firewallu líši v tom, že tradičný sieťový firewall používa statický súbor pravidiel na povolenie alebo odmietnutie sieťových pripojení. Aby firewall zabránil prieniku do siete, obmedzuje prístup z vonku, nereaguje však na útok z vnútra. IDS ohlasuje podozrenie na vniknutie, keď už k nemu došlo a signalizuje alarm. IDS tiež sleduje útoky, ktoré pochádzajú z vnútra systému. Toto sa tradične dosahuje skúmaním sieťovej komunikácie, vzorov bežných počítačových útokov a podnikaním opatrení na varovanie užívateľov. Systém, ktorý podozrivé spojenia ukončuje a vykonáva kontrolu prístupu ako firewall na aplikačnej vrstve, sa nazýva IPS.
Rozdelenie
[upraviť | upraviť zdroj]IDS možno rozdeliť podľa toho, kde prebieha detekcia (sieť alebo hostiteľ) alebo podľa použitej metódy detekcie (znaky alebo anomálie).
Analyzovaná aktivita
[upraviť | upraviť zdroj]Sieťovo orientované systémy (NIDS)
[upraviť | upraviť zdroj]Systémy NID sú umiestnené vrámci siete tak, aby monitorovali prevádzku do a zo všetkých zariadení v sieti a vykonáva analýzu prevádzky. Po identifikácii útoku alebo zachytení abnormálneho správania sa upovedomí správca systému. Príkladom NIDS by bola jeho inštalácia do podsiete, kde sú umiestnené firewally, aby sa zistilo, či sa niekto pokúša preniknúť do firewallu. V ideálnom prípade by sa skenovala všetka prichádzajúca a odchádzajúca prevádzka, pričom by sa však znížila rýchlosť siete. Systémy NID sú tiež schopné porovnávať pakety pre uložené znaky. Samotné NIDS vieme rozdeliť na: on-line a off-line NIDS, často označované ako inline a tap mode. On-line NIDS pracuje so sieťou v reálnom čase. Analyzuje ethernetové pakety a rozhoduje, či ide o útok alebo nie. Off-line NIDS sa zaoberá uloženými dátami a spätne vyhodnocuje, či išlo o útok alebo nie.
NIDS je možné kombinovať aj s inými technológiami za účelom zvýšenia jeho úspešnosti. Príkladom je IDS založené na umelej neurónovej sieti. Neurónové siete pomáhajú IDS pri predpovedaní útokov učením sa z chýb. Na základe výsledkov výskumu 24 sieťových útokov má takýto systém priemernú úspešnosť 99.9%
Uzlovo orientované systémy (HIDS)
[upraviť | upraviť zdroj]Systémy HID bežia na jednotlivých hostiteľoch alebo zariadeniach v sieti. HIDS monitoruje iba sieťovú prevádzku zariadenia, a ak sa zistí podozrivá aktivita, systém upozorní používateľa alebo správcu. Vytvára snímku existujúcich systémových súborov a porovnáva ju s predchádzajúcou snímkou. Ak boli kritické systémové súbory upravené alebo odstránené, správcovi sa odošle výstraha, aby ich preskúmal.
Metódy detekcie
[upraviť | upraviť zdroj]Hľadanie znakov
[upraviť | upraviť zdroj]Základnou metódou IDS je detekcia útokov hľadaním špecifických znakov, ako sú bajtové sekvencie v sieťovej prevádzke alebo známe škodlivé sekvencie inštrukcií používané malvérom. Hoci IDS na tejto báze dokáže ľahko odhaliť známe útoky, je ťažké odhaliť nové útoky, pre ktoré nie je k dispozícii žiadny vzor.
Tieto znaky pre IDS určuje jeho výrobca. Pravidelná aktualizácia IDS je preto kľúčová.
Detekcia anomálií
[upraviť | upraviť zdroj]Takýto typ detekcie bol zavedený predovšetkým na detekciu neznámych útokov. Základom je použitie strojového učenia na vytvorenie modelu dôveryhodnej aktivity a následné porovnávanie nového správania s týmto modelom. Hoci tento prístup umožňuje detekciu predtým neznámych útokov, zvyšuje sa riziko falošného označenia. To znamená, že predtým neznáma legitímna aktivita môže byť tiež označená ako škodlivá.
Intrusion prevention system
[upraviť | upraviť zdroj]Intrusion prevention systems (IPS), tiež známe ako intrusion detection and prevetion systems (IDPS), sú zariadenia, ktoré monitorujú sieťové alebo systémové aktivity na výskyt škodlivých aktivít. Hlavnými funkciami týchto systémov sú identifikovať škodlivú aktivitu, zaznamenávať informácie o tejto aktivite, ohlásiť ju a pokúsiť sa ju zablokovať alebo zastaviť.
IPS sa považujú za rozšírenie IDS, pretože obe monitorujú sieťovú prevádzku a/alebo systémové aktivity a hľadajú škodlivé aktivity. Hlavnými rozdielmi sú, že IPS, na rozdiel od IDS, je schopné aktívne predísť alebo zablokovať detekovanú aktivitu.
Rozdelenie
[upraviť | upraviť zdroj]IPS možno rozdeliť do štyroch rôznych typov:
- NIPS: monitoruje prevádzku celej siete analyzovaním aktivít sieťových protokolov.
- WIPS: monitorujte prevádzku v bezdrôtovej sieti.
- NBA: skúma sieťovú prevádzku s cieľom identifikovať hrozby, ktoré vytvárajú nezvyčajné toky dát ako sú útoky DDoS, či určité formy malvéru.
- HIPS: nainštalovaný softvér, ktorý monitoruje podozrivú aktivitu jedného zariadenia.
Metódy detekcie
[upraviť | upraviť zdroj]Väčšina IPS využíva jednu z týchto metód:
- Detekcia znakov: systém monitoruje pakety v sieti a porovnáva ich s vopred nakonfigurovanými a vopred určenými vzormi útokov - ich znakmi.
- Detekcia anomálií: systém monitoruje sieťovú prevádzku a porovnáva ju s určením modelom. Model určuje, čo je pre túto sieť „normálne“ – aké rozsahy portov a aké protokoly sa používajú. Môže však vyvolať falošný alarm.
Obmedzenia
[upraviť | upraviť zdroj]- Šum môže výrazne obmedziť účinnosť detekcie. Chybné pakety generované softvérovými chybami, môžu zvýšiť frekvenciu falošných poplachov.
- Mnohé útoky sú zamerané na špecifické verzie softvéru, ktoré sú zvyčajne zastarané. Na zmiernenie hrozieb je potrebná neustále sa meniaca databáza znakov. Zastarané databázy môžu spôsobiť, že systém bude zraniteľný voči novším stratégiám.
- Pri znakovej detekcií dôjde k oneskoreniu medzi objavením novej hrozby a nahraním jej znakov do IDS. Počas tohto oneskorenia nebude IDS schopný hrozbu identifikovať.
- Nedokáže kompenzovať slabé mechanizmy identifikácie a autentifikácie alebo slabé miesta v sieťových protokoloch. Keď útočník získa prístup v dôsledku slabých autentifikačných mechanizmov, IDS nemôže zabrániť útočníkovi v prístupe.
- Šifrované pakety väčšina IDS nespracuje. Šifrovaný paket teda môže umožniť prienik do siete.
- IDS poskytuje informácie na základe sieťovej adresy. Táto adresa však môže byť falošná alebo zakódovaná.
Techniky na obchádzanie detekcie
[upraviť | upraviť zdroj]Existuje niekoľko techník, ktoré útočníci využívajú na obídenie IDS:
- Fragmentácia: odosielaním fragmentovaných paketov môže útočník obísť rozpoznávanie znakov.
- Koordinované útoky: koordinované skenovanie siete, pri ktorom sa cieľové porty rozdelia medzi rôznych útočníkov. To sťažuje IDS detekciu toho, že prebieha sken siete.
- Spoofing adries/proxying: útočníci môžu vďaka sfalšovaniu adries sťažiť schopnosť IDS odhaliť zdroj útoku.
- Menenie vzorov: IDS sa pri detekcii útoku vo všeobecnosti spolieha na zhodu vzorov. Miernou zmenou údajov použitých pri útoku je možné vyhnúť sa detekcii. Napríklad server IMAP môže byť zraniteľný voči pretečeniu vyrovnávacej pamäte a IDS dokáže detekovať znaky útoku 10 bežných nástrojov na tento útok. Úpravou udát odosielaných nástrojom tak, aby sa nepodobali údajom, ktoré IDS očakáva, je možné vyhnúť sa detekcii.
Zdroje
[upraviť | upraviť zdroj]Tento článok je čiastočný alebo úplný preklad článku Intrusion Detection System na anglickej Wikipédii. [[Kategória:Systémová administrácia]]