INTRUSION DETECTION SYSTEMS

Prezentacja na temat: "INTRUSION DETECTION SYSTEMS"— Zapis prezentacji:

1 INTRUSION DETECTION SYSTEMS
IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania: Monitorowanie systemu Detekcja ataków Podejmowanie odpowiednich działań w zależności od zagrożenia (mail, pager ...)

2 Dlaczego IDS? W rzeczywistości większość zagrożeń od wewnątrz (firewall nie działa) Radzą sobie z Denial of Service – monitorując ruch sieciowy Typy: Oparte na „gospodarzu” - Host-Based IDS Oparte na sieci – Network-Based IDS

3 Host-Based IDS Najwcześniejsze rozwiązanie
Zbierają i analizują informacje na 1 komputerze np. zbieranie logów z innych komputerów w sieci Rozwiązanie może stać się niepraktyczne przy dużych sieciach W przypadku odcięcia hosta od sieci nie działa Windows Security Event Logs, IBM Tivoli Intrusion Manager, UNIX Syslog, SunSHIELD Basic Security Module

4 Network-Based IDS Sprawdzanie pakietów poruszających się po sieci
Systemy rozproszone Zwiększona odporność na ataki z zewnątrz Po zalogowaniu intruz najlepiej śledzony przez HIDS, przed - NIDS Źle działa gdy pakiety szyfrowane (wydajność) Wąskie gardło gdy ruch jest bardzo szybki Cisco Secure IDS, Shadow, Snort!, Dragon, NFR, RealSecure, NetProwler

5 HIDS i NIDS jednocześnie
Rozproszona sieć agentów HIDS Dobra implementacja powinna działać tak jak HIDS, w czasie rzeczywistym HIDS priorytetowy NIDS przy 100 Mbps/szyfrowaniu nie działa wydajnie

6 Techniki: Anomaly detection
Do wykrycia niestandardowych zachowań Przechowywany zbiór standardowych zachowań, np: Kilkudziesięciokrotne logowanie, Bycie zalogowanym w nocy, Kontrola zestawu programów uruchomionych w ciągu dnia

7 Techniki: Misuse/signature detection
Przechowywany zbiór zachowań niepożądanych (sygnatury), np: Trzykrotne niepoprawne logowanie, Inicjacja połączenia FTP w nieprawidłowy sposób, Natrafienie na sygnaturę nie musi oznaczać realnego zagrożenia

8 Techniki: Target monitoring
Czy określone pliki zostały zmodyfikowane Skorygowanie ewentualnych zmian Nie wymaga monitorowania przez administratora Porównywanie plików za pomocą haszowania i porównania haszów

9 Intrusion Prevention Systems
Wykrywanie ataków na system z zewnątrz jak i od wewnątrz Uniemożliwienie takich ataków W przybliżeniu – połączenie zapory sieciowej i IDS

10 Inline Network-Based IDS
Dwie karty sieciowe Jedna karta do wykrywania zagrożeń, bez przypisanego IP – niewidoczna Cały ruch sieciowy sprawdzany w/g sygnatur Packet scrubbing – zmienianie pakietów by nie działały, nieświadomy atakujący Problemy przy awarii komputera z InlineNIDS Jedynie określone aplikacje Nie ma ochrony bez zdefiniowanych sygnatur Zastosowanie: mainframe'y, serwery

11 Layer Seven Switches Siódma zamiast drugiej warstwy OSI (aplikacja / dane) Równoważą obciążenie określonej aplikacji między kilka serwerów Radzą sobie z DoS Mogą być stosowane w wymagających sieciach (rzędu Gbps) Umieszcza się przed zaporami sieciowymi Urządzenia konfigurowalne Ochrona działa gdy określone są sygnatury

12 Application Firewalls/IDS
Aplikacja uruchamiana na każdym chronionym komputerze Zamiast pakietów sprawdzane są: Wywołania API Zarządzanie pamięcią (przepełnienie bufora) Interakcje z systemem operacyjnym Ochrona przed błędami programistycznymi i nieznanymi atakami Tworzony profil systemu Trudność profilowania Profilowanie przy modyfikacji systemu Skupienie na każdej pojedynczej aplikacji

13 Hybrid switches Połączenie aplikacyjnych systemów ochrony przed intruzami i przełączników siódmej warstwy Umieszczenie sprzętu przed firewall'em Następuje „profilowanie” normalnego działania aplikacji sieciowych Efekty służą jako wzorce Gdy ruch sieciowy zbyt duży, warto dodać przełącznik warstwy siódmej

14 Deceptive applications
Oszukanie atakującego Zbierane informacje nt. normalnego ruchu pakietów w sieci Odpowiednio zaznaczona odpowiedź dla intruza Intruz kontynuuje atak Można rozpoznać intruza Można zebrać dowody, przerwać połączenie