Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

INTRUSION DETECTION SYSTEMS IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania:

Podobne prezentacje


Prezentacja na temat: "INTRUSION DETECTION SYSTEMS IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania:"— Zapis prezentacji:

1 INTRUSION DETECTION SYSTEMS IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania: – Monitorowanie systemu – Detekcja ataków – Podejmowanie odpowiednich działań w zależności od zagrożenia (mail, pager...)

2 Dlaczego IDS? W rzeczywistości większość zagrożeń od wewnątrz (firewall nie działa) Radzą sobie z Denial of Service – monitorując ruch sieciowy Typy: Oparte na gospodarzu - Host-Based IDS Oparte na sieci – Network-Based IDS

3 Host-Based IDS Najwcześniejsze rozwiązanie Zbierają i analizują informacje na 1 komputerze – np. zbieranie logów z innych komputerów w sieci Rozwiązanie może stać się niepraktyczne przy dużych sieciach W przypadku odcięcia hosta od sieci nie działa Windows Security Event Logs, IBM Tivoli Intrusion Manager, UNIX Syslog, SunSHIELD Basic Security Module

4 Network-Based IDS Sprawdzanie pakietów poruszających się po sieci Systemy rozproszone Zwiększona odporność na ataki z zewnątrz Po zalogowaniu intruz najlepiej śledzony przez HIDS, przed - NIDS Źle działa gdy pakiety szyfrowane (wydajność) Wąskie gardło gdy ruch jest bardzo szybki Cisco Secure IDS, Shadow, Snort!, Dragon, NFR, RealSecure, NetProwler

5 HIDS i NIDS jednocześnie Rozproszona sieć agentów HIDS Dobra implementacja powinna działać tak jak HIDS, w czasie rzeczywistym HIDS priorytetowy NIDS przy 100 Mbps/szyfrowaniu nie działa wydajnie

6 Techniki: Anomaly detection Do wykrycia niestandardowych zachowań Przechowywany zbiór standardowych zachowań, np: – Kilkudziesięciokrotne logowanie, – Bycie zalogowanym w nocy, – Kontrola zestawu programów uruchomionych w ciągu dnia

7 Techniki: Misuse/signature detection Przechowywany zbiór zachowań niepożądanych (sygnatury), np: – Trzykrotne niepoprawne logowanie, – Inicjacja połączenia FTP w nieprawidłowy sposób, Natrafienie na sygnaturę nie musi oznaczać realnego zagrożenia

8 Techniki: Target monitoring Czy określone pliki zostały zmodyfikowane Skorygowanie ewentualnych zmian Nie wymaga monitorowania przez administratora Porównywanie plików za pomocą haszowania i porównania haszów

9 Intrusion Prevention Systems Wykrywanie ataków na system z zewnątrz jak i od wewnątrz Uniemożliwienie takich ataków W przybliżeniu – połączenie zapory sieciowej i IDS

10 Inline Network-Based IDS Dwie karty sieciowe Jedna karta do wykrywania zagrożeń, bez przypisanego IP – niewidoczna Cały ruch sieciowy sprawdzany w/g sygnatur Packet scrubbing – zmienianie pakietów by nie działały, nieświadomy atakujący Problemy przy awarii komputera z InlineNIDS Jedynie określone aplikacje Nie ma ochrony bez zdefiniowanych sygnatur Zastosowanie: mainframe'y, serwery

11 Layer Seven Switches Siódma zamiast drugiej warstwy OSI (aplikacja / dane) Równoważą obciążenie określonej aplikacji między kilka serwerów Radzą sobie z DoS Mogą być stosowane w wymagających sieciach (rzędu Gbps) Umieszcza się przed zaporami sieciowymi Urządzenia konfigurowalne Ochrona działa gdy określone są sygnatury

12 Application Firewalls/IDS Aplikacja uruchamiana na każdym chronionym komputerze Zamiast pakietów sprawdzane są: – Wywołania API – Zarządzanie pamięcią (przepełnienie bufora) – Interakcje z systemem operacyjnym Ochrona przed błędami programistycznymi i nieznanymi atakami Tworzony profil systemu Trudność profilowania Profilowanie przy modyfikacji systemu Skupienie na każdej pojedynczej aplikacji

13 Hybrid switches Połączenie aplikacyjnych systemów ochrony przed intruzami i przełączników siódmej warstwy Umieszczenie sprzętu przed firewall'em Następuje profilowanie normalnego działania aplikacji sieciowych Efekty służą jako wzorce Gdy ruch sieciowy zbyt duży, warto dodać przełącznik warstwy siódmej

14 Deceptive applications Oszukanie atakującego Zbierane informacje nt. normalnego ruchu pakietów w sieci Odpowiednio zaznaczona odpowiedź dla intruza Intruz kontynuuje atak Można rozpoznać intruza Można zebrać dowody, przerwać połączenie


Pobierz ppt "INTRUSION DETECTION SYSTEMS IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania:"

Podobne prezentacje


Reklamy Google