Podstawy teleinformatyki

IDS – system wykrywania i zapobiegania atakom sieciowym

IDS – system wykrywania i zapobiegania atakom sieciowym.

IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) – system wykrywania i zapobiegania atakom sieciowym.

system zwiększający bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.

Systemy wykrywania włamań typu IDS działają przez analizę ruchu sieciowego.

IDS – system wykrywania i zapobiegania atakom sieciowym.

Do priorytetowych zadań wykonywanych przez systemy IDS należą:

analiza aktywności systemu i użytkowników wykrywanie zbyt dużych przeciążeń analiza plików dziennika rozpoznawanie standardowych działań włamywacza natychmiastowa reakcja na wykryte zagrożenia tworzenie i uruchamianie pułapek systemowych ocena integralności poszczególnych części systemu wraz z

danymi

IDS – system wykrywania i zapobiegania atakom sieciowym.

Współczesne systemy IPS stosują znacznie bardziej zaawansowane metody prewencji, takie jak:

wykrywanie i blokowanie penetracji i ataków wykonywanych przez intruzów i robaki internetowe,

monitorowanie stanu bezpieczeństwa czyli np. wykrywanie robaków działających na hostach pracowników firmy,

wspomaganie administratorów w znajdywaniu źródeł naruszeń bezpieczeństwa,

detekcja nieupoważnionych komputerów przyłączonych do sieci lokalnej,

monitorowanie przestrzegania przez pracowników przyjętej polityki bezpieczeństwa czyli np. wykorzystywania niedozwolonych aplikacji,

wykrywanie systemów i aplikacji podatnych na błędy bezpieczeństwa,

wykrywanie sytuacji przełamania zabezpieczeń.

IDS – system wykrywania i zapobiegania atakom sieciowym.

Metody analizy ruchu sieciowego zastosowane w systemach IDS: Analiza heurystyczna – wykorzystująca mechanizmy

defragmentacji, łączenia pakietów w strumienie danych, analizy nagłówków pakietów oraz analizy protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych.

Analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla typowych ataków sieciowych. Najważniejszym elementem tej metody jest baza sygnatur, uzupełniana na bieżąco wraz z pojawianiem się nowych ataków.

IDS – system wykrywania i zapobiegania atakom sieciowym.

Rodzaje systemów IDS: IDS systemowy (Host IDS) – analizuje pracę systemu

operacyjnego i wykrywa wszelkie możliwe naruszenia bezpieczeństwa.

IDS sieciowy (Network IDS) – analizuje ruch sieciowy , wykrywając wystąpienie znanych sygnatur ataków.

IDS stacji sieciowej (Network Node IDS) – system instalowany na poszczególnych stacjach sieciowych analizuje jedynie ruch związany z jego stacją (najczęściej stosowany w sieciach VPN, ponieważ zwykły system IDS nie ma dostępu do danych szyfrowanych)

IDS – system wykrywania i zapobiegania atakom sieciowym.

HOST IDS: Każdy host w sieci ma

zainstalowany moduł agenta, Dodatkowo w sieci istnieje jeden

komputer będący konsolą zarządzania systemu,

Każdy moduł agenta analizuje na danym hoście kluczowe pliki systemu, logi zdarzeń oraz inne sprawdzalne zasoby oraz szuka nieautoryzowanych zmian lub podejrzanej aktywności,

Zarządca zbiera informacje od wszystkich agentów i monitoruje ich pracę z poziomu jednego hosta.

IDS – system wykrywania i zapobiegania atakom sieciowym.

NETWORK IDS: Składa się z sond NIDS

umieszczonych w kilku newralgicznych miejscach w sieci,

pracę sond koordynuje konsola zarządzająca systemem NIDS,

Sondy szczegółowo sprawdzają każdy pakiet przechodzący w sieci.

Konsola zarządzająca Zbiera informacje od sond i poddaje je analizie, dzięki niej administrator monitoruje działanie całej sieci z jednego miejsca.

IDS – system wykrywania i zapobiegania atakom sieciowym.

NETWORK NODE IDS: System składa się z agentów -

węzłów sieci, umieszczonych na różnych hostach w sieci lokalnej i kontrolowanych przez jedną centralną konsolę zarządzającą i monitorującą całą sieć,

Agenci nie dokonują monitorowana plików logu, czy analizy zachowań, lecz analizują przepływ pakietów w sieci.

Agenci NNIDS skupiają się tylko na wybranych pakietach sieci - tylko tych adresowanych do danego węzła, na którym agent rezyduje,

Podstawy teleinformatyki

Konstrukcje sieci – analiza pracy sieci pod względem wybranych kryteriów

bezpieczeństwa

Konstrukcje sieci

Rys.1. Sieć nr 1 – wszystkie stacje robocze i serwery sieci lokalnej są podłączone przez router bezpośrednio do Internetu.

Konstrukcje sieci

Rys.2. Sieć nr 2 – dokonano logicznego podziału zasobów sieci lokalnej: Serwery świadczące usługi dla komputerów sieci LAN, Stacje robocze sieci LAN, Serwery internetowe

Konstrukcje sieci

Rys.3. Sieć nr 3 – na granicach wydzielonych segmentów sieci LAN umieszczono firewall.

Konstrukcje sieci

Rys.4. Sieć nr 4 – połączono funkcje firewalla i routera tworząc FRI oraz FRW.

Konstrukcje sieci

Funkcje FRI: Routing pomiędzy DMZ a

Internetem, Pozwolenie na nawiązywanie

połączeń skierowanych jedynie do naszych serwerów internetowych,

Pozwolenie na wychodzenie do Internetu połączeń z naszych serwerów internetowych, z podziałem na konkretne usługi,

Pozwolenie na wychodzenie do Internetu połączeń z FRW,

Pozostałe połączenia powinny być blokowane i logowane.

Funkcje FRW: Translacja adresów NAT w

połączeniach nawiązywanych z sieci LAN do Internetu,

Umożliwianie użytkownikom z sieci LAN dostępu jedyni do wybranych usług internetowych,

Ochrona prze próbami nawiązania połączeń do sieci LAN,

Pozostałe połączenia powinny być blokowane i logowane.

Konstrukcje sieci

Rys.5. Sieć nr 5 – zastosowano system IDS w punktach, w których pakiety dostają się do danej strefy sieci LAN.