Architektura
Architektura je jedním z nejkritičtějších aspektů v nasazení detekce a prevence
narušení. Její špatný návrh vede k několika nežádoucím jevům, kterými jsou
nedostupnost dat, špatná odezva, či zpomalení sítě.
Vrstvená architektura
Je složena ze tří typů:
jednovrstvá architektura
vícevrstvá architektura
architektura peer-peer.
Jednovrstvá architektura
Je to jedna z nejzákladnějších architektur.
Komponenty sbírají a zpracovávají data samostatně, aniž by je předávaly jako
svůj výstup jiným komponentám. Tato architektura je
jednoduchá, levná, a
nezávislá. V dnešní době se většinou skládá z komponent, které o sobě vzájemně
neví, z čehož vyplývá omezení účinnosti.
Vícevrstvá architektura
Skládá se z více komponent, které si mezi sebou předávají informace. Většina
dnešních IDS systémů obsahuje tři základní komponenty jimiž jsou senzory,
analyzátory nebo agenty a manažer. Senzory jsou komponenty, které sbírají data
ze síťového rozhraní, logů či firewallů. Agenti získávají informace ze senzorů a
sledují aktivitu narušení v místě nasazení. Většinou se zaměřují na vykonávání
jediné funkce, tj. jeden agent monitoruje pouze TCP spojení, druhý jen UDP
spojení atd. Pokud zjistí, že dochází k útoku, pošle informaci komponentě
manažer, která má možnost zachovat se podle následujících možností:
Sběr výstah
Spuštění stránkovače či vytočení telefonního čísla
Uložení
informace do databáze
Získávání dalších informací týkající se události
Zaslání informace na host
Zaslání příkazů na firewall, pro změnu přístupového
kontrolního listu
Poskytnutí uživatelského rozhraní řídící konzoli
Mezi výhody vícevrstvové architektury patří vyšší účinnost a hlubší analýza. Každá komponenta provádí pouze tu úlohu, pro kterou byla navržena, navíc není závislá na ostatních částech architektury. Hlavní nevýhodou této architektury je složitost, a z toho vyplývající náročnější údržba.
Architektura peer-peer
V této architektuře se vyměňují informace o
detekci či prevenci mezi rovnocennými komponentami, z nichž každá provádí stejný
druh činnosti. Často se využívá ve spolupráci s firewally. Informace
odehrávající se na jednom firewallu se předává druhému, což umožňuje změnu
pravidel v řídícím přístupovém seznamu, či přidání restrikcí. Taktéž druhý
firewall si vyměňuje informace s prvním, který na základě jeho informací může
změnit své chování. Hlavní výhoda spočívá v jednoduchosti. Každý rovnocenný
partner může získávat informace od ostatních.
Senzory
Senzory jsou vlastně vstupními body systému (nejnižšími
komponentami), které sbírají
a předávají data dalším komponentám
Existují dva základní typy senzorů:
Senzory založené na síti Jsou to programy nebo síťová zařízení, která zachytávají data na síti. Ve srovnání se senzory založenými na uzlech bývají nasazovány častěji. Největší výhoda spočívá v počtu uzlů, pro které může senzor poskytovat data. Bude-li mít tato síť sto uzlů, může tento senzor sbírat data o zneužití ve všech uzlech. [2] 3.2.2 Senzory založené na uzlech Síťové rozhraní každého uzlu musí být nakonfigurováno tak, aby zpracovávalo pouze data určená pro něj. Většina těchto senzorů jsou programy, které vytvářejí data ve formě logu. Výstup těchto programů je zasílán do analytických programů, kde bývá dále zpracováván.
Agenti
Primární funkcí agentů je analýza dat přijatých od senzorů. Agenta si můžeme představit jako několik na sobě nezávislých procesů analyzující chování, za účelem detekce narušení a anomálií. Pokud se v síti nachází více agentů, pracují nezávisle na sobě. Co z toho plyne? Pokud jeden agent přestane pracovat, ostatní mohou dále pokračovat ve své činnosti. Díky této vlastnosti mohou být jednotliví agenti dle potřeby do systému přidáváni, či odebíráni. Fungují nezávisle na sobě a často spolupracují.
Komponenta manažer Někdy také bývá nazývána server, je další komponentou vícevrstvé architektury a zajišťuje funkci řízení IDS/IPS systémů. Manažer je tzv. mozkem celého systému. Jednou z hlavních úloh této komponenty je generování výstrahy, jakmile se objeví událost vysokého stupně nebezpečí. Tyto výstrahy bývají rozesílány e-mailem nebo pomocí syslogu.
Další úlohy komponenty manažer:
Korelace událostí
Analýza vyšší úrovně
Monitorování ostatních komponent
Generování a distribuce strategie
Řídící konzole