 |
|
|
| Oferta |
|
| IDS |
Z roku na rok rośnie liczba incydentów związanych z naruszeniem bezpieczeństwa informacji. Wymusza to na przedsiębiorstwach ochronę styku firmy z Internetem. Duża ilość krytycznych informacji udostępniona jest on-line. Mobilni użytkownicy wymagają dostępu do zasobów korporacji i poczty elektronicznej. Powoduje to, że duże organizacje narażone są na utratę cennego aktywu biznesowego, jakim stała się informacja. Oprócz stosowania takich zabezpieczeń jak zapory sieciowe czy systemy filtrowania treści, coraz częściej sięga się po różnego rodzaju systemy służące do monitorowania naruszeń bezpieczeństwa - systemy wykrywania włamań (IDS). Mają one za zadanie wykrycie, że w sieci lub na komputerze dzieje się coś nieprawidłowego i powiadomienie o tym odpowiednich osób. Wiedza o tym, że dzieje się coś nieprawidłowego jest pierwszym krokiem do ochrony sieci.
Co to jest system IDS?
System wykrywania włamań IDS (Intrusion Detection System) to system, którego celem jest zidentyfikowanie niebezpiecznych działań zachodzących w sieci. Chodzi więc o wykrycie tych zjawisk, które stanowią zagrożenie dla systemu. Może to być także nieudana próba ataku lub przygotowanie do pełnego włamania, np. skanowanie portów lub mapowanie sieci poprzez wyszukiwanie jej krytycznych serwerów, usług i aplikacji. Sondy systemu IDS mają za zadanie zbierać informacje o zdarzeniach w sieci. Mogą to być dedykowane rozwiązania sprzętowe lub programowe śledzące sieć w przypadku systemów NIDS (Network based Intrusion Dedection System) lub też aplikacje instalowana na chronionych serwerach - wówczas mamy do czynienia z systemem HIDS (Host based Intrusion Detection System).
Najczęściej stosuje się hybrydę rozwiązań Network Based oraz Host Based. Należy pamiętać, że system IDS składa się z sond rozmieszczonych w monitorowanych segmentach sieci i na monitorowanych komputerach oraz systemu do zarządzania sondami. Zadaniem sond jest zbieranie informacji, a zadaniem systemu zarządzania obróbka zebranych informacji i wyłowienie z nich sygnałów ataku.
Techniki wykrywania intruzów stosowane w systemach IDS
Z punktu widzenia systemów IDS istnieją trzy kategorie ataków:
- Ataki rozpoznawcze takie jak rozpoznanie sieci, tworzenie mapy systemu z uwzględnieniem jej krytycznych punktów, np. serwerów DNS, kontrolerów domeny czy też innych usług. Często takie działanie hakera poprzedza rzeczywisty atak mający na celu przejęcie pełnej kontroli nad systemem.
- Właściwe ataki polegające na próbie wykorzystania znanych i nieznanych luk w systemach operacyjnych i aplikacjach. Najczęściej wykorzystuje się w tym celu przepełnienie bufora w aplikacji lub błędy w interpretacji nietypowych danych wejściowych.
- Ataki typu odmowa dostępu do usług (Denial of Service) – są to ataki mające na celu unieruchomienie maszyny lub któregoś z jej serwisów.
Istnieją też trzy podstawowe techniki wykrywania ataków stosowane w klasycznych systemach IDS:
- Sygnatury - dopasowywanie wzorców: zestawów bajtów, wyrażeń regularnych (regular expression).
- Badanie częstości zdarzeń i przekraczania pewnych limitów w określonej jednostce czasu.
- Wykrywanie anomalii statystycznych, np. nagłe odstępstwo rozmiarów pakietów IP od przeciętnego rozmiaru obserwowanego w danej sieci.
Sygnatury - dopasowywanie wzorców
Sygnatury to zestaw predefiniowanych wzorców specyficznych dla ataków. Podobnie jak aktualizacja szczepionek antywirusowych dla systemów antywirusowych, tak ciągła aktualizacja baz sygnatur dla systemu IDS jest podstawą poprawnego wykrywania ataków. Oprócz sygnatur predefiniowanych istnieje zazwyczaj możliwość zdefiniowania własnych reguł. Przykładem może być prosta reguła badająca pakiet pod kątem zawartości ściśle sprecyzowanego ciągu znaków.
Badanie częstości zdarzeń i przekraczania ich limitów w określonej jednostce czasu
Ataki można również wykrywać poprzez zdefiniowanie normalnej liczby pewnych zdarzeń w określonej jednostce czasu. Przekroczenie tego limitu może sygnalizować atak. Przykładem może być wykrywanie prób nieudanego logowania. Jak wiadomo, zawsze może zdarzyć się nieudane logowanie albo nawet kilka pod rząd, gdy ktoś usiłuje przypomnieć sobie hasło albo zapomniał wyłączyć przycisk Caps Lock na klawiaturze. Jednak 100 prób w ciągu 15 minut jest zapewne spowodowane przez hakera próbującego odgadnąć hasło użytkownika.
Wykrywanie anomalii statystycznych
Każda sieć posiada swój specyficzny profil parametrów takich, jak przeciętna wielkość pakietów IP, przeciętna liczba nowo nawiązywanych połączeń w jednostce czasu, stosunek ilościowy pakietów poszczególnych protokołów sieciowych itp. Można również zaobserwować pewne zależności statystyczne wynikające z pory dnia (np. zwiększony ruch sieciowy zaraz po rozpoczęciu pracy) czy tygodnia, a także prowadzić statystyki dla poszczególnych protokołów sieciowych (np. stosunek ilościowy pakietów SYN i FIN protokołu TCP). System IDS może nauczyć się typowego profilu sieci – proces ten trwa od kilku dni do kilku tygodni – i potem porównywać bieżącą aktywność w sieci z zapamiętanym profilem. Porównanie tych dwóch profilów stanowi podstawę do stwierdzenia czy w sieci dzieje się coś niezwykłego.
Reakcja na atak
Sondy zbierają dane dla systemu zarządzania IDS. System stosując wspomniane wyżej metody wykrywa nieprawidłowe zachowanie sieci. Po wykryciu ataku system informuje o tym administratora. Systemy IDS stosują różne metody powiadamiania – pocztą elektroniczną, przez protokół SNMP, dziennik zdarzeń systemu, SMS i inne. Zazwyczaj informacja taka trafia prędzej czy później do administratora sieci, który podejmuje odpowiednie kroki. Często też rolą administratora jest oddzielenie fałszywych alarmów od prawdziwych ataków, gdyż nawet najnowocześniejsze systemy nie zawsze potrafią odróżnić atak od prawidłowego zachowania. Rozwinięciem idei systemów wykrywania nadużyć są systemy zapobiegania włamaniom.
Nasza oferta
Firma SafeComputing oferuje usługi pomagające ochronić sieć przed intruzami. Nasi specjaliści doradzają jak skonfigurować system IDS tak, aby zminimalizować liczbę fałszywych alarmów, wykrywać najnowsze ataki, gdzie w strukturze sieci umieścić IDS i jak skutecznie powiadamiać administratorów sieci. Posiadamy również w ofercie doskonałe rozwiązania technologiczne (sprzętowe i programowe) z zakresu IDS, zarówno typu sieciowego (NIDS) jak i serwerowego (HIDS).
|
| |
|
