IDS/IPS
Intrusion Prevention Systems (IPS,tj. systémy pro prevenci průniku), také známé jako Intrusion Detection and Prevention Systems (IDPS,tj. systémy pro detekci a prevenci průniku), jsou zařízení pro počítačovou bezpečnost, která monitorují síť a/nebo aktivity operačního systému na škodlivou činnost. Hlavní funkce IPS systémů jsou identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následném blokování této činnosti a také její nahlašování. IPS systémy jsou považovány za rozšíření IDS systémů, protože monitorují jak provoz na síti, tak i aktivity operačního systému, které by mohly vést k narušení bezpečnosti. Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný provoz na síti. Konkrétněji, IPS může provádět takové akce jako vyvolání poplachu, filtrování škodlivých paketů, násilné resetování spojení a/nebo blokování provozu z podezřelé IP adresy. Všechny tyto úkony často provádí ve spolupráci s firewallem. IPS také umí opravit chybný cyklický redundantní součet (CRC), defragmentovat proudy paketů, předcházet problémům s řazením TCP paketů, a čistit nežádoucí přenos včetně nastavení síťové vrstvy. Obsah [skrýt] 1 Rozdělení 2 Způsoby detekce 3 Reference 4 Externí odkazy Rozdělení
IPS systémy mohou být rozděleny do čtyř rozdílných kategorií: Network-based Intrusion Prevention (NIPS): monitoruje celou síť na podezřelou aktivitu analyzováním síťového protokolu. Wireless Intrusion Prevention Systems (WIPS): monitoruje bezdrátovou síť na podezřelou aktivitu analyzováním síťových protokolů bezdrátových sítí. Network Behavior Analysis (NBA): zkoumá síťový provoz kvůli identifikaci hrozeb, které generují neobvyklý provoz na síti, jako například útoky DDoS (odmítnutí služby), určité formy malware, a porušení zásad. Host-based Intrusion Prevention (HIPS): instalovaný softwarový balíček, který monitoruje jediný počítač na podezřelou aktivitu analyzováním událostí, které se na tomto počítači právě provádí. Způsoby detekce
Většina IPS systémů využívá jednu ze tří detekčních metod: stavové detekce značek (signatur), odhalení provozních anomálií a odhalení protokolových anomálií. Stavová detekce značek (signatur): Tato metoda detekce využívá své vlastní databáze značek, což jsou řetězce specifické pro daný typ útoku. Systém IPS využívající stavovou detekci značek monitoruje provoz na síti na shodu s těmito značkami specifickými pro daný typ útoku. Poté, co je nalezena shoda, IPS systém provede příslušnou akci. Zařízení jsou schopna si tuto databázi sama automaticky průběžně doplňovat. Útočníci však vymýšlejí stále nové druhy útoků, takže jejich značky nemusí být obsaženy v databázi pro detekci stavových značek, a proto existují další metody detekce. Odhalení provozních anomálií: Tato metoda využívá průměrných podmínek síťového provozu. Poté, co je vytvořen obraz normálního provozu na síti, systém cyklicky vzorkuje síťový provoz, využívajíc statistické analýzy k porovnávání vzorků s vytvořeným obrazem. Pokud jsou parametry aktivity na síti mimo stanovené hranice, IPS systém provede příslušnou akci. Odhalení protokolových anomálií: Tato metoda identifikuje odchylky stavů síťového protokolu porovnáváním pozorovaného síťového provozu s predefinovanými profily všeobecně přijímaných protokolových stavů.
Intrusion Detection System (IDS, tj. systém pro odhalení průniku) je v
informatice obranný systém, který monitoruje síťový provoz a snaží se odhalit
podezřelé aktivity. Hlavními činnostmi IDS systému je detekce neobvyklých
aktivit, které by mohly vést k narušení bezpečnosti v operačního systému nebo
počítačové síti a též možný aktivní zásah proti nim. IDS se nezabývá jen
finálními pokusy o prolomení bezpečnosti, ale i o detekci akcí, které jim
předcházejí. Mezi ně patří například skenování portů, sbírání informací
potřebných k útoku, atd. Hlavním prvkem IDS je senzor, který obsahuje mechanismy
pro detekci škodlivých a nebezpečných kódů a jeho činností je odhalování těchto
nebezpečí.
Požadavky na IDS
Systém IDS by měl po detekci neobvyklé aktivity vygenerovat varování (Alert),
provést zápis do logu, upozornit správce počítače a případně tuto činnost
zastavit. Dále by měl být schopen rozlišit, zda se jedná o útok z vnitřní sítě
nebo z externích sítí.
Terminologie
Výstraha/alarm: signál naznačující, že systém byl či je napaden.
Skutečně
pozitivní: legitimní útok, který vyvolá v IDS alarm.
Falešně pozitivní: IDS
vyvolá alarm, přestože k žádnému útoku nedošlo.
Falešně negativní: selhání
IDS odhalit skutečný útok.
Skutečně negativní: k žádnému útoku nedošlo a
nebyl vyvolán žádný alarm.
Šum: Data nebo rušení, která mohou vyvolat falešně
pozitivní stav.
Stránky politiky: Pokyny v rámci organizace, které řídí
předpisy a konfigurace IDS.
Stránky politiky informovanosti: Schopnost IDS
dynamicky změnit svoje pravidla a konfigurace v reakci na měnící se činnosti
prostředí.
Hodnota spolehlivosti: Hodnota, kterou organizace umístí do IDS na
základě minulé výkonnosti a analýzy, která pomáhá určit schopnost systému
efektivně identifikovat útok.
Filtrování alarmů: proces kategorizace alarmů
vyvolané z IDS s cílem odlišit falešné poplachy od skutečných útoků.
Útočník
nebo vetřelec: subjekt, který se snaží najít způsob, jak získat neoprávněný
přístup k informacím, způsobit škodu nebo se věnovat jiným škodlivým činnostem.
Maškarádník: Uživatel, který nemá oprávnění v systému, ale pokusí o přístup k
informacím jako oprávněný uživatel.Obecně to jsou uživatelé z venku.
Misfeasor: Obecně interní uživatel a existují dva typy:
oprávněný uživatel s
omezeným oprávněním.
uživatel s plnými právy, který zneužívá svých pravomocí.
Ilegální uživatel: uživatel, který působí jako vedoucí a snaží se využít svého
oprávnění tak, aby nedošlo k jeho zachycení.
Dva hlavní typy IDS
Uzlově orientované systémy detekce odhalení průniku
HIDS (Host-based
intrusion detection system) sestává ze softwarového agenta, který se snaží
detekovat útoky pomocí analýzy systémových volání, činnosti aplikací, úprav na
souborovém systému a jiných akcí hostitele. Některé aplikačně zaměřené IDS jsou
také součástí této kategorie.
Příklady HIDS
Dragon Squire
Emerald
eXpert-BSM
NFR HID
Intruder Alert
Síťově orientované systémy detekce
odhalení průniku
NIDS (Network intrusion detection system) jsou
nezávislou platformou, která identifikuje narušení tím, že zkoumá síťovou
komunikaci a monitoruje více hostitelů. NIDS senzory bývají umístěny přímo na
síťových prvcích jako jsou např. HUB, SWITCH konfigurovaný pro zrcadlení portů
nebo TAP a zachytí tak veškerý síťový provoz. Systém analyzuje všechny pakety,
které procházejí sítí a snaží se v nich odhalit škodlivý kód.
Příklady NIDS
Snort
Cisco Secure IDS (dříve NetRanger)
Hogwash
Dragon
E-Trust IDS
Pasivní a aktivní IDS
Pasivní systém při odhalení podezřelé aktivity nijak nezasahuje do síťového
provozu. Pouze vygeneruje varování (Alert), případně o tom zapíše do logu.
Aktivní systém oproti pasivnímu navíc proti takové události zasáhne, například
zablokováním služby. Aktivní systém je také známý jako systém prevence
proniknutí (IPS), který reaguje na podezřelé aktivity resetováním spojení nebo
přeprogramují firewallu tak, aby blokoval provoz v síti z podezřelého škodlivého
zdroje. Termín systém odhalení a prevence proniknutí (IDPS) je běžně používaný
tam, kde se toto může dít automaticky nebo na příkaz operátora. Jedná se o
systémy, které jak detekují útoky, tak se jim snaží předcházet.
IDS není
Síťový monitorovací nástroj (odhalování DOS a jiných útoků)
Antivirový
program
Firewall
Bezpečnostní/šifrovací systémy (VPN, SSL, S/MIME,
Kerberos, Radius, atd.)
Skenovací nástroje na odhalení chyb v systémech
Srovnání s firewally
Ačkoli se oba vztahují k zabezpečení sítě, IDS se liší od firewallu v tom, že
firewall se snaží zabránit proniknutí omezením přístupu mezi sítěmi, ale
nesignalizuje útok zevnitř sítě. IDS hodnotí podezření na narušení, jakmile k
němu dojde signalizuje alarm. IDS také hlídá útoky, které by pocházely zevnitř
systému. Toto je dosaženo zkoumáním síťové komunikace, identifikováním heuristik
a vzorů (často známé jako podpisy) na běžné počítačové útoky a uvědomění
operátora. Systém, který ukončuje spojení se nazývá systému prevence proniknutí
a je další forma firewallu na aplikační vrstvě.
Statistické anomálie a IDS
zaměřené na podpisy
Všechny IDS používají jednu ze dvou detekčních metod:
IDS zaměřené na
statistické anomálie
IDS zaměřené na statistické anomálie stanovují základní
výkon na základě ohodnocení běžného síťového provozu. Poté testuje aktuální
síťovou aktivu porovnáním se stanoveným základem za účelem zjistit, jestli spadá
do parametrů základu. Pokud do těchto parametrů nespadá, spustí se alarm.
IDS
zaměřené na charakteristiky
Síťový provoz je zkoumán na předem nastavené a
určené vzory útoku známé jako charakteristiky. Dnes má mnoho útoků rozdílné
charakteristiky. V dobré bezpečnostní praxi musí byt neustále aktualizovaná
databáze těchto charakteristik kvůli snížení nových hrozeb.
Omezení
Šum
Šum může vážně omezit účinnost IDS. Špatné pakety generované z chyby
v softwaru, poškozují data v DNS, a místní pakety, které unikly mohou vytvořit
značně vysoké riziko falešného poplachu.
Příliš málo útoků
Není neobvyklé
pro mnoho skutečných útoků, že jsou velmi nízko pod laťkou falešných alarmů, a
tak jsou často přehlíženy a ignorovány.
Aktualizace charakteristik
Mnoho
útoků je zaměřeno na specifické verze neaktualizovaného softwaru. Pro snížení
hrozeb je nutné stále aktualizovat jejich knihovnu. Zastaralé databáze mohou
zanechat IDS zranitelné vůči novým strategiím.
Obcházecí techniky IDS
Tyto techniky obcházejí detekci tím, že vytvářejí rozdílné stavy na IDS a na
cílovém počítači. Protivník toho dosahuje buď manipulací útoku samotného nebo
síťového provozu, který útok obsahuje.
Obtížně detekovatelné aktivity
Následky útoku mohou vyvolat i další účinky, které způsobí divné chování systému. Sledování takových účinků je ale obtížně.