Systémy detekce a prevence narušení
Autor: Darth | 24.8.2006 |
Tento updatovaný článek vám snad již ukáže,jak zabezpečit svoji síť proti útokům "hackerů".
IPS/IDS systémy
Úvod
Typické podnikové sítě bývají připojeny k několika vnějším sítím.Vzdálené pobočky lze k centrální síti připojit pomocí různých technologií(pevné linky,DSL,různé typy VPN...),čímž vznikne rozlehlá síť.Vzdálené pobočky se často považují za součást vnitřní sítě,a tak se pro ně nedefinují zvláštní bezpečnostní opatření.Vzhledem k odlišnostem vnějších připojení je vhodné vytvořit řadu bezpečnostních zón(Internet,VPN,DMZ,vnitřní síť..) a určit mezi nimi určitá pravidla pro přenos dat.Tyto pravidla určuje firewall.Na přenos kritických dat by se měl dávat mnohem větší pozor.Na toto dohlížejí právě IDS/IPS systémy.
Dělení
Systémy IPS/IDS lze dělit na host based a network based.Pro obě kategorie je společné sledování systému,schopnost upozornit administrátora na případný útok a záznam do logu.Host based systémy se nasazují přímo na jednotlivé stanice nebo servery.Jedná se o softwarové produkty a jsou tudíž omezeny podporou pro OS na dané stanici.Monitorují systémová volání,logy a podobně.Chrání před útoky na OS a aplikace.Network based(síťové) systémy jsou specializováná zařízení pro monitorování dění na síti.
IDS-systém detekce narušení
IDS slouží k odhalování pokusů o narušení integrity síťového provozu,utajení a dostupnosti dat v chráněné síti.Je to pasivní systém,který pouze upozorňuje na útok.
IDS používá 2 typy rozpoznávání útoků:
1. z nich vyhodnocuje útoky na základě síťové aktivity tzv. NIDS (network IDS například snort).
2. z nich vyhodnocuje útoky na základě podezřelého chování systému tzv. HIDS (host IDS).
IPS-systém prevence narušení
IPS je schopný útoky zároveň detekovat a reagovat na ně(tj. zabránit útoku nebo ho přerušit).
Také má 2 druhy monitoringu a to : HIPS-detekce útoku na aplikace(škodlivé kódy,viry). NIPS-detekce útoku ze sítě (DoS útoky,portscany..)
Porovnání IPS a IDS
IPS se díky možnosti reagovat na útoky jeví jako daleko spolehlivější způsob vaší ochrany.Bohužel má i své chyby.Tam,kde IDS vyvolá poplach a administrátor ho vzápětí vyhodnotí jako planý,IPS automaticky na útok reaguje(myslí si totiž ,že je to opravdu útok).Může odpojit bežného uživatele nebo zcela zablokovat síťový provoz na daném síťovém segmentu.
Některé IDS systémy dokáží za spolupráce s firewallem,který dynamicky mění svoji politiku tak ,aby zamezil komunikaci vyhodnocené jako útok, také reagovat na útok.Takto kooperují například systémy podporující standard OPSEC.
IPS má ale opět nad IDS navrch.Je totiž navíc schopen útoku zabránit, ještě než je vůbec zahájena jakákoliv komunikace.Protože není závislý na firewallu a nemusí tak čekat ,než firewall vykoná jeho požadavky.
Spojení a detekce
Systémy detekce a prevence narušení jsou realizovány jako specializovaná zařízení(sondy nebo senzory),která jsou spravována z centrálního řídícího systému,což je obvykle softwarový produkt s grafickým rozhraním,instalující se na hlavní server.
Detekční metody používají IPS/IDS systémy zhruba tři a to:
Detekce vzoru provozu(signatury)
Detekce odchylek od protokolových norem
Detekce anomálií v síťovém provozu.
Připojení
IDS sondy se připojují na zrcadlené porty přepínačů,do hubů,případně přes rozbočení realizované síťovým tapem.V prostředí ,kde zátěž jednotlivých linek není na hranici propustnosti sond,je možné přistoupit k agregaci těchto linek do jediného datového toku a to pomocí IDS balanceru.Agregovaný datový tok je předán jediné IDS sondě.
IPS sondy,které musí ,narozdíl od IDS sond, být schopny,v případě nutnosti,datový tok i upravit,se zapojují přímo na sledovanou datovou linku,kde se chovají jako L2 zařízení.Aby byla zajištěna možnost komunikace i v případě neprůchodnosti IPS sondy(například vlivem poruchy),používá se v praxi zapojení IPS sondy se speciálním síťovým tapem pro IPS vybaveným bypassem,popřípadě jsou IPS nasazeny v clusteru.
Vícevrstvá obrana
1.linii obrany by měl poskytovat už poskytovatel připojení , a to tím,že by měl zajistit základní filtraci paketů a zabraňovat změně zdrojové IP adresy(IP spoofingu).K základní filtraci slouží hraniční směrovač.
2.linii obrany poskytuje firewall,který určuje pravidla přenosu dat po bezpečnostních zónách.Účinnější je ale hardwarový firewall,který provádí důkladnou kontrolu dat přenášených mezi zónami.Především přenášených pomocí protokolů HTTP,SMTP,FTP,DNS..
3.linii obrany by měly tvořit IPS systémy.
4.linii obrany koncových zařízení tvoří host based IPS.Chrání kritické stanice a servery v DMZ.Vidí podrobně,co se děje na koncových zařízeních,obrana proti útoku je tedy přesná a účinná.
Darth
Budeme potěšeni, pokud vás zaujme také reklamní nabídka
.Přihlášení | ||
| |||
.Infobox Nejnovější:
Články:
BugTrack: HackForum: Další služby: Na SOOM.cz je:
Článků: 991
Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 234 Hardware: 38 Diskuze: 20 069 BugTrack: 4 412 Reg. uživatelů: 15 653 A proběhlo:
Zobraz. článků: 16 899 427
Staženo souborů: 1 341 742 Staženo dat: 862 147 MB Přístupy (hits): 188 616 631 | ||
| ||||
| |||
| |||
| |||
| ||||
| ||||
| ||||
| ||||
| ||||||||||||||||||||||||
