INTRUSION DETECTION SYSTEMS IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania: Monitorowanie systemu Detekcja ataków Podejmowanie odpowiednich działań w zależności od zagrożenia (mail, pager ...)
Dlaczego IDS? W rzeczywistości większość zagrożeń od wewnątrz (firewall nie działa) Radzą sobie z Denial of Service – monitorując ruch sieciowy Typy: Oparte na „gospodarzu” - Host-Based IDS Oparte na sieci – Network-Based IDS
Host-Based IDS Najwcześniejsze rozwiązanie Zbierają i analizują informacje na 1 komputerze np. zbieranie logów z innych komputerów w sieci Rozwiązanie może stać się niepraktyczne przy dużych sieciach W przypadku odcięcia hosta od sieci nie działa Windows Security Event Logs, IBM Tivoli Intrusion Manager, UNIX Syslog, SunSHIELD Basic Security Module
Network-Based IDS Sprawdzanie pakietów poruszających się po sieci Systemy rozproszone Zwiększona odporność na ataki z zewnątrz Po zalogowaniu intruz najlepiej śledzony przez HIDS, przed - NIDS Źle działa gdy pakiety szyfrowane (wydajność) Wąskie gardło gdy ruch jest bardzo szybki Cisco Secure IDS, Shadow, Snort!, Dragon, NFR, RealSecure, NetProwler
HIDS i NIDS jednocześnie Rozproszona sieć agentów HIDS Dobra implementacja powinna działać tak jak HIDS, w czasie rzeczywistym HIDS priorytetowy NIDS przy 100 Mbps/szyfrowaniu nie działa wydajnie
Techniki: Anomaly detection Do wykrycia niestandardowych zachowań Przechowywany zbiór standardowych zachowań, np: Kilkudziesięciokrotne logowanie, Bycie zalogowanym w nocy, Kontrola zestawu programów uruchomionych w ciągu dnia
Techniki: Misuse/signature detection Przechowywany zbiór zachowań niepożądanych (sygnatury), np: Trzykrotne niepoprawne logowanie, Inicjacja połączenia FTP w nieprawidłowy sposób, Natrafienie na sygnaturę nie musi oznaczać realnego zagrożenia
Techniki: Target monitoring Czy określone pliki zostały zmodyfikowane Skorygowanie ewentualnych zmian Nie wymaga monitorowania przez administratora Porównywanie plików za pomocą haszowania i porównania haszów
Intrusion Prevention Systems Wykrywanie ataków na system z zewnątrz jak i od wewnątrz Uniemożliwienie takich ataków W przybliżeniu – połączenie zapory sieciowej i IDS
Inline Network-Based IDS Dwie karty sieciowe Jedna karta do wykrywania zagrożeń, bez przypisanego IP – niewidoczna Cały ruch sieciowy sprawdzany w/g sygnatur Packet scrubbing – zmienianie pakietów by nie działały, nieświadomy atakujący Problemy przy awarii komputera z InlineNIDS Jedynie określone aplikacje Nie ma ochrony bez zdefiniowanych sygnatur Zastosowanie: mainframe'y, serwery
Layer Seven Switches Siódma zamiast drugiej warstwy OSI (aplikacja / dane) Równoważą obciążenie określonej aplikacji między kilka serwerów Radzą sobie z DoS Mogą być stosowane w wymagających sieciach (rzędu Gbps) Umieszcza się przed zaporami sieciowymi Urządzenia konfigurowalne Ochrona działa gdy określone są sygnatury
Application Firewalls/IDS Aplikacja uruchamiana na każdym chronionym komputerze Zamiast pakietów sprawdzane są: Wywołania API Zarządzanie pamięcią (przepełnienie bufora) Interakcje z systemem operacyjnym Ochrona przed błędami programistycznymi i nieznanymi atakami Tworzony profil systemu Trudność profilowania Profilowanie przy modyfikacji systemu Skupienie na każdej pojedynczej aplikacji
Hybrid switches Połączenie aplikacyjnych systemów ochrony przed intruzami i przełączników siódmej warstwy Umieszczenie sprzętu przed firewall'em Następuje „profilowanie” normalnego działania aplikacji sieciowych Efekty służą jako wzorce Gdy ruch sieciowy zbyt duży, warto dodać przełącznik warstwy siódmej
Deceptive applications Oszukanie atakującego Zbierane informacje nt. normalnego ruchu pakietów w sieci Odpowiednio zaznaczona odpowiedź dla intruza Intruz kontynuuje atak Można rozpoznać intruza Można zebrać dowody, przerwać połączenie