1. IDS - Sisteme de detectie ale intruziunilor

Detectia intruziunilor este procesul de monitorizare a evenimentelor care au loc intr-un sistem sau o retea de calculatoare si analiza lor pentru a detecta posibile incidente care sunt violari sau amenitari iminente de violare a politicilor de securitate, a politicilor de utilizare acceptate sau a practicilor standard de securitate. Prevenirea intruziunilor este procesul prin care se desfasoara detectia intruziunilor si incercarea de inlaturare a posibilelor incidente detectate. Sistemele de detectie si prevenire ale intruziunilor - IDPS (Intrusion Detection-Prevention Systems) au ca scop principal identificarea posibilelor incidente, inregistrarea informatiilor despre ele, incercarea de inlaturare a incidentelor si raportarea catre administratorii de securitate. In plus, organizatiile pot folosi IDPS-urile si pentru alte scopuri: identificarea problemelor legate de politicile de securitate, documentarea amenintarilor existente si descurajarea indivizilor in a incalca politicile de securitate.

Tipuri de IDS-uri

Sistem de detectie al intruziunilor de tip network-based

Intr-un sistem de detectie al intruziunilor de tip network-based - Network-based Intrusion Detection System (NIDS) - senzorii sunt localizati in puncte critice ale retelei care este monitorizata, de cele mai multe ori la marginea retelei sau in DMZ (demilitarized zone). Senzorii capteaza tot traficul din retea si analizeaza continutul fiecarui pachet cautand urme de trafic malitios.


Un NIDS reprezinta o platforma independenta care identifica intruziunile prin examinarea traficului din retea si monitorizeaza mai multe statii. NIDS-urile pot vizualiza traficul din retea prin conectarea lor la un hub sau la un echipament switch configurat cu port mirroring.

Sistem de detectie al intruziunilor de tip host-based

Intr-un sistem de detectie al intruziunilor de tip host-based - Host-based Intrusion Detection System (HIDS) - senzorul consta, de obicei, intr-un agent software care monitorizeaza toata activitatea ce se desfasoara pe statia pe care este instalat, incluzand aici sistemul de fisiere, kernel-ul si chiar aplicatii in unele cazuri.


Un HIDS reprezinta un agent care ruleaza local pe statie si care identifica intruziunile analizand activitatile sistemului, aplicatiile, modificarile sistemului de fisiere si alte activitati ale statiei.
1.2.2. Sisteme pasive si sisteme active

Intr-un sistem pasiv, senzorul sistemului de detectie al intruziunilor (IDS) detecteaza o potentiala bresa de securitate, inregistreaza informatia si alerteaza administratorul folosind o metoda specifica (mesaje in consola, alerte, etc.). Intr-un sistem reactiv, cunoscut sub denumirea de Sistem de Prevenire al Intruziunilor - Intrusion Prevention System (IPS), IPS-ul raspunde activitatii suspicioase prin terminarea conexiunii sau prin reprogramarea firewall-ului de a bloca traficul de retea provenind de la sursa malitioasa suspectata. Aceasta se poate intampla automat sau la comanda unui operator.


Desi ambele se refera la securitatea unei retele, si uneori notiunile pot fi confundate, un IDS difera de un firewall deoarece firewall-ul urmareste semne ale intruziunilor pentru a le impiedica sa se intample. Un IDS evalueaza o posibila intruziune o data ce a avut loc si semnaleaza o alerta. Un sistem care termina conexiunea ca metoda de raspuns este un IPS si poate fi privit uneori ca o forma de firewall la nivel de aplicatie.


Termenul IDPS - Sistem de Detectie si Prevenire al intruziunilor se refera la sisteme de securitate hibride care atat detecteaza intruziunile cat si incearca sa le previna.
1.2.3. IDS-uri bazate pe anomalii si IDS-uri bazate pe semnaturi

Sistemele de detectie ale intruziunilor folosesc cel putin una dintre cele doua tehnici de detectie: anomalii statice si/sau semnaturi.


IDS bazat pe anomalii statice - Un astfel de IDS stabileste o valoare initiala de performanta bazata pe evaluari ale traficului normal din retea. Dupa efectuarea acestui pas initial, IDS-ul va raporta traficul curent din retea la valoarea initiala stabilita pentru a stabili daca se incadreaza in limitele normale. Daca traficul din retea depaseste limitele normale va fi generata o alarma. IDS bazat pe semnaturi - Un astfel de IDS examineaza traficul din retea cautand modele de atac preconfigurate si predeterminate cunoscute sub numele de semnaturi. Multe atacuri astazi au semnaturi diferite. Pentru a putea face fata amenintarilor o colectie de astfel de semnaturi trebuie actualizata in permanenta.

1.3. Limitari si tehnici de evitare ale IDS-urilor

Capabilitatile unui IDS pot fi limitate de:

  • Zgomot - Zgomotul poate afecta in mod sever eficacitatea unui IDS. Pachete gresite, generate de defectiuni ale software-urilor, date DNS alterate si pachete locale care au scapat pot crea o rata foarte crescuta de alarme false.
  • Prea putine atacuri - Nu este neobisnuit ca numarul de atacuri reale sa fie mult sub rata de alarme false. Atacurile reale pot fi atat de mult sub rata de alarme false incat sunt de obicei ignorate de catre IDS.
  • Actualizarea semnaturilor - Multe atacuri sunt indreptate catre versiuni specifice de software. Pentru a putea face fata amenintarilor este nevoie de o colectie de semnaturi actualizata in mod constant. O colectie de semnaturi care nu este actualizata poate lasa IDS-ul vulnerabil la strategii noi de atac.

Tehnici de evitare a IDS-urilor:

  • fragmentarea si trimiterea de pachete mici - o tehnica de baza care presupune fragmentarea informatiei in mai multe pachete mai mici pentru a face imposibila reconstruirea sesiunii la IDS
  • fragmente care se suprapun - tehnica ce presupune crearea de pachete cu numere ale secventei TCP care se suprapun incercand astfel sa se exploateze faptul ca sistemele de operare trateaza diferit aceasta suprapunere: unele vor lua in considerare datele mai noi, altele datele mai vechi
  • violari de protocol - violari deliberate ale protocoalelor TCP sau IP in asa fel incat statia tinta sa manevreze diferit pachetele decat IDS-ul
  • inserarea de trafic in IDS - un atacator poate trimite pachete care sa ajunga doar la IDS nu si la statia tinta rezultand astfel o serie de alarme false
  • atacuri de tip DoS - un atacator poate evita un IDS prin efectuarea unui atac de tip DoS asupra lui care sa ii consume resursele sau care sa genereze un numar foarte mare de alarme false reusind astfel sa ascunda atacul real

1.4.Exemple de IDS-uri

Mai jos sunt prezentate o serie de Sisteme de Detectie ale Intruziunilor :

 

Daca doriti mai multe informatii despre Sistemele de Detectie ale Intruziunilor puteti consulta una dintre adresele de mai jos:

2. IPS - Sisteme de prevenire a intruziunilor

Winpooch -http://sourceforge.net/projects/winpooch/

Un IPS este, in mod obisnuit, conceput pentru a opera complet invizibil in retea. Produsele IPS nu au de obicei o adresa IP din reteaua protejata dar pot raspunde in mod direct oricarui tip de trafic prin diverse metode (terminarea conexiunilor, renuntarea la pachete, generarea de alerte, etc.)

 


Desi unele IPS-uri au abilitatea de a implementa reguli de firewall aceasta este de obicei o functie aditionala si nu una din functiile de baza ale produsului. Mai mult, tehnologia IPS ofera o mai buna monitorizare a operatiilor unei retele furnizand informatii despre statiile active, incercarile de autentificare esuate, continut necorespunzator si alte functii ale nivelelor retea si aplicatie.

2.2. Diferente fata de IDS-uri

IPS-urile au unele avantaje fata de IDS-uri. Unul dintre acestea se refera la faptul ca IPS-urile sunt proiectate sa fie implementate in-line astfel incat tot traficul sa treaca prin ele si sa poata preveni atacurile in timp real. In plus, multe dintre solutiile IPS au capabilitatea sa decodifice protocoalele de nivel aplicatie (HTTP, FTP, SMTP) oferind astfel o mai buna monitorizare. Totusi atunci cand se doreste implementarea unui IPS de tip network-based trebuie sa se ia in considerare faptul ca daca prin respectivul segment de retea circula trafic criptat majoritatea produselor nu pot sa inspecteze astfel de trafic.


Un alt avantaj major ar fi faptul ca unele dintre IPS-uri au posibilitatea de a corecta unele dintre metodele de evitare ale IDS-urilor(atacuri de tip DoS, inserarea de trafic).

2.3. Tipuri de IPS-uri
2.3.1. Host-based

Un Sistem de Prevenire al Intruziunilor este de tip host-based (HIPS) atunci cand aplicatia de prevenire a intruziunilor se afla pe adresa IP specifica sistemului protejat, de obicei o singura statie. HIPS complementeaza metodele antivirus traditionale bazate pe semnaturi deoarece nu necesita o actualizare continua pentru a putea raspunde atacurilor. Deoarece codul daunator trebuie sa modifice sistemul sau alte componente software care se afla pe masina in cauza un HIPS va observa aceste modificari si va incerca sa previna aceasta actiune sau sa anunte utilizatorul pentru permisiune.


Dezavantajul major al unui astfel de produs consta in folosirea extensiva a resurselor statiei pe care se afla.
2.3.2. Network-based

Un Sistem de Prevenire al Intruziunilor este de tip network-based (NIPS) atunci cand aplicatia/echipamentul de prevenire al intruziunilor se afla la o alta adresa IP decat statia pe care o monitorizeaza. NIPS sunt platforme hardware/software care analizeaza, detecteaza si raporteaza evenimente legate de securitatea unei retele/segment de retea de calculatoare.
2.3.3. Diferente intre IPS-uri de tip host-based si network-based
  • HIPS-urile pot lucra atat cu date criptate cat si cu date necriptate deoarece analiza se face dupa ce datele au fost decriptate de catre statie
  • NIPS-urile nu folosesc din memoria si procesorul statiilor care le protejeaza ci dispun de propria memorie si propriul procesor
  • NIPS-urile se afla in punctele critice ale retelei si tot traficul depinde de buna lor functionare, fapt ce poate constitui un dezavantaj atunci cand echipamentul este nefunctional
  • NIPS-urile pot detecta evenimente distribuite in retea (evenimente de prioritate joasa dar care afecteaza mai multe statii din retea) si pot reactiona in timp ce HIPS-urile au la dispozitie doar datele de pe masina pe care functioneaza pentru a putea lua o decizie

2.4. Exemple de IPS-uri

Mai jos sunt prezentate o serie de Sisteme de Prevenire ale Intruziunilor :

 

 

 

 
Crearea unei pagini web, Gratuit
Designed by Free CSS Templates.