IDS/IPS

Intrusion Prevention Systems (IPS,tj. systémy pro prevenci průniku), také známé jako Intrusion Detection and Prevention Systems (IDPS,tj. systémy pro detekci a prevenci průniku), jsou zařízení pro počítačovou bezpečnost, která monitorují síť a/nebo aktivity operačního systému na škodlivou činnost. Hlavní funkce IPS systémů jsou identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následném blokování této činnosti a také její nahlašování. IPS systémy jsou považovány za rozšíření IDS systémů, protože monitorují jak provoz na síti, tak i aktivity operačního systému, které by mohly vést k narušení bezpečnosti. Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný provoz na síti. Konkrétněji, IPS může provádět takové akce jako vyvolání poplachu, filtrování škodlivých paketů, násilné resetování spojení a/nebo blokování provozu z podezřelé IP adresy. Všechny tyto úkony často provádí ve spolupráci s firewallem. IPS také umí opravit chybný cyklický redundantní součet (CRC), defragmentovat proudy paketů, předcházet problémům s řazením TCP paketů, a čistit nežádoucí přenos včetně nastavení síťové vrstvy. Obsah [skrýt] 1 Rozdělení 2 Způsoby detekce 3 Reference 4 Externí odkazy Rozdělení

IPS systémy mohou být rozděleny do čtyř rozdílných kategorií: Network-based Intrusion Prevention (NIPS): monitoruje celou síť na podezřelou aktivitu analyzováním síťového protokolu. Wireless Intrusion Prevention Systems (WIPS): monitoruje bezdrátovou síť na podezřelou aktivitu analyzováním síťových protokolů bezdrátových sítí. Network Behavior Analysis (NBA): zkoumá síťový provoz kvůli identifikaci hrozeb, které generují neobvyklý provoz na síti, jako například útoky DDoS (odmítnutí služby), určité formy malware, a porušení zásad. Host-based Intrusion Prevention (HIPS): instalovaný softwarový balíček, který monitoruje jediný počítač na podezřelou aktivitu analyzováním událostí, které se na tomto počítači právě provádí. Způsoby detekce

Většina IPS systémů využívá jednu ze tří detekčních metod: stavové detekce značek (signatur), odhalení provozních anomálií a odhalení protokolových anomálií. Stavová detekce značek (signatur): Tato metoda detekce využívá své vlastní databáze značek, což jsou řetězce specifické pro daný typ útoku. Systém IPS využívající stavovou detekci značek monitoruje provoz na síti na shodu s těmito značkami specifickými pro daný typ útoku. Poté, co je nalezena shoda, IPS systém provede příslušnou akci. Zařízení jsou schopna si tuto databázi sama automaticky průběžně doplňovat. Útočníci však vymýšlejí stále nové druhy útoků, takže jejich značky nemusí být obsaženy v databázi pro detekci stavových značek, a proto existují další metody detekce. Odhalení provozních anomálií: Tato metoda využívá průměrných podmínek síťového provozu. Poté, co je vytvořen obraz normálního provozu na síti, systém cyklicky vzorkuje síťový provoz, využívajíc statistické analýzy k porovnávání vzorků s vytvořeným obrazem. Pokud jsou parametry aktivity na síti mimo stanovené hranice, IPS systém provede příslušnou akci. Odhalení protokolových anomálií: Tato metoda identifikuje odchylky stavů síťového protokolu porovnáváním pozorovaného síťového provozu s predefinovanými profily všeobecně přijímaných protokolových stavů.

 

Intrusion Detection System (IDS, tj. systém pro odhalení průniku) je v informatice obranný systém, který monitoruje síťový provoz a snaží se odhalit podezřelé aktivity. Hlavními činnostmi IDS systému je detekce neobvyklých aktivit, které by mohly vést k narušení bezpečnosti v operačního systému nebo počítačové síti a též možný aktivní zásah proti nim. IDS se nezabývá jen finálními pokusy o prolomení bezpečnosti, ale i o detekci akcí, které jim předcházejí. Mezi ně patří například skenování portů, sbírání informací potřebných k útoku, atd. Hlavním prvkem IDS je senzor, který obsahuje mechanismy pro detekci škodlivých a nebezpečných kódů a jeho činností je odhalování těchto nebezpečí.
Požadavky na IDS

Systém IDS by měl po detekci neobvyklé aktivity vygenerovat varování (Alert), provést zápis do logu, upozornit správce počítače a případně tuto činnost zastavit. Dále by měl být schopen rozlišit, zda se jedná o útok z vnitřní sítě nebo z externích sítí.
Terminologie

Výstraha/alarm: signál naznačující, že systém byl či je napaden.
Skutečně pozitivní: legitimní útok, který vyvolá v IDS alarm.
Falešně pozitivní: IDS vyvolá alarm, přestože k žádnému útoku nedošlo.
Falešně negativní: selhání IDS odhalit skutečný útok.
Skutečně negativní: k žádnému útoku nedošlo a nebyl vyvolán žádný alarm.
Šum: Data nebo rušení, která mohou vyvolat falešně pozitivní stav.
Stránky politiky: Pokyny v rámci organizace, které řídí předpisy a konfigurace IDS.
Stránky politiky informovanosti: Schopnost IDS dynamicky změnit svoje pravidla a konfigurace v reakci na měnící se činnosti prostředí.
Hodnota spolehlivosti: Hodnota, kterou organizace umístí do IDS na základě minulé výkonnosti a analýzy, která pomáhá určit schopnost systému efektivně identifikovat útok.
Filtrování alarmů: proces kategorizace alarmů vyvolané z IDS s cílem odlišit falešné poplachy od skutečných útoků.
Útočník nebo vetřelec: subjekt, který se snaží najít způsob, jak získat neoprávněný přístup k informacím, způsobit škodu nebo se věnovat jiným škodlivým činnostem.
Maškarádník: Uživatel, který nemá oprávnění v systému, ale pokusí o přístup k informacím jako oprávněný uživatel.Obecně to jsou uživatelé z venku.
Misfeasor: Obecně interní uživatel a existují dva typy:
oprávněný uživatel s omezeným oprávněním.
uživatel s plnými právy, který zneužívá svých pravomocí.
Ilegální uživatel: uživatel, který působí jako vedoucí a snaží se využít svého oprávnění tak, aby nedošlo k jeho zachycení.
Dva hlavní typy IDS

Uzlově orientované systémy detekce odhalení průniku
HIDS (Host-based intrusion detection system) sestává ze softwarového agenta, který se snaží detekovat útoky pomocí analýzy systémových volání, činnosti aplikací, úprav na souborovém systému a jiných akcí hostitele. Některé aplikačně zaměřené IDS jsou také součástí této kategorie.
Příklady HIDS
Dragon Squire
Emerald eXpert-BSM
NFR HID
Intruder Alert
Síťově orientované systémy detekce odhalení průniku
NIDS (Network intrusion detection system) jsou nezávislou platformou, která identifikuje narušení tím, že zkoumá síťovou komunikaci a monitoruje více hostitelů. NIDS senzory bývají umístěny přímo na síťových prvcích jako jsou např. HUB, SWITCH konfigurovaný pro zrcadlení portů nebo TAP a zachytí tak veškerý síťový provoz. Systém analyzuje všechny pakety, které procházejí sítí a snaží se v nich odhalit škodlivý kód.
Příklady NIDS
Snort
Cisco Secure IDS (dříve NetRanger)
Hogwash
Dragon
E-Trust IDS
Pasivní a aktivní IDS

Pasivní systém při odhalení podezřelé aktivity nijak nezasahuje do síťového provozu. Pouze vygeneruje varování (Alert), případně o tom zapíše do logu. Aktivní systém oproti pasivnímu navíc proti takové události zasáhne, například zablokováním služby. Aktivní systém je také známý jako systém prevence proniknutí (IPS), který reaguje na podezřelé aktivity resetováním spojení nebo přeprogramují firewallu tak, aby blokoval provoz v síti z podezřelého škodlivého zdroje. Termín systém odhalení a prevence proniknutí (IDPS) je běžně používaný tam, kde se toto může dít automaticky nebo na příkaz operátora. Jedná se o systémy, které jak detekují útoky, tak se jim snaží předcházet.
IDS není

Síťový monitorovací nástroj (odhalování DOS a jiných útoků)
Antivirový program
Firewall
Bezpečnostní/šifrovací systémy (VPN, SSL, S/MIME, Kerberos, Radius, atd.)
Skenovací nástroje na odhalení chyb v systémech
Srovnání s firewally

Ačkoli se oba vztahují k zabezpečení sítě, IDS se liší od firewallu v tom, že firewall se snaží zabránit proniknutí omezením přístupu mezi sítěmi, ale nesignalizuje útok zevnitř sítě. IDS hodnotí podezření na narušení, jakmile k němu dojde signalizuje alarm. IDS také hlídá útoky, které by pocházely zevnitř systému. Toto je dosaženo zkoumáním síťové komunikace, identifikováním heuristik a vzorů (často známé jako podpisy) na běžné počítačové útoky a uvědomění operátora. Systém, který ukončuje spojení se nazývá systému prevence proniknutí a je další forma firewallu na aplikační vrstvě.
Statistické anomálie a IDS zaměřené na podpisy

Všechny IDS používají jednu ze dvou detekčních metod:
IDS zaměřené na statistické anomálie
IDS zaměřené na statistické anomálie stanovují základní výkon na základě ohodnocení běžného síťového provozu. Poté testuje aktuální síťovou aktivu porovnáním se stanoveným základem za účelem zjistit, jestli spadá do parametrů základu. Pokud do těchto parametrů nespadá, spustí se alarm.
IDS zaměřené na charakteristiky
Síťový provoz je zkoumán na předem nastavené a určené vzory útoku známé jako charakteristiky. Dnes má mnoho útoků rozdílné charakteristiky. V dobré bezpečnostní praxi musí byt neustále aktualizovaná databáze těchto charakteristik kvůli snížení nových hrozeb.
Omezení

Šum
Šum může vážně omezit účinnost IDS. Špatné pakety generované z chyby v softwaru, poškozují data v DNS, a místní pakety, které unikly mohou vytvořit značně vysoké riziko falešného poplachu.
Příliš málo útoků
Není neobvyklé pro mnoho skutečných útoků, že jsou velmi nízko pod laťkou falešných alarmů, a tak jsou často přehlíženy a ignorovány.
Aktualizace charakteristik
Mnoho útoků je zaměřeno na specifické verze neaktualizovaného softwaru. Pro snížení hrozeb je nutné stále aktualizovat jejich knihovnu. Zastaralé databáze mohou zanechat IDS zranitelné vůči novým strategiím.
Obcházecí techniky IDS

Tyto techniky obcházejí detekci tím, že vytvářejí rozdílné stavy na IDS a na cílovém počítači. Protivník toho dosahuje buď manipulací útoku samotného nebo síťového provozu, který útok obsahuje.
Obtížně detekovatelné aktivity

Následky útoku mohou vyvolat i další účinky, které způsobí divné chování systému. Sledování takových účinků je ale obtížně.