Ewolucja systemów IDS

Pierwsze rozwiązania systemów wykrywania włamań (IDS - Intrusion Detection System) skupiały się głównie na analizie zdarzeń post factum. Dzisiejsze aplikacje IDS monitorują, wykrywają i reagują w czasie rzeczywistym na nieautoryzowane działania w sieci.

Pierwsze rozwiązania systemów wykrywania włamań (IDS - Intrusion Detection System) skupiały się głównie na analizie zdarzeń post factum. Dzisiejsze aplikacje IDS monitorują, wykrywają i reagują w czasie rzeczywistym na nieautoryzowane działania w sieci.

Większość ataków mieści się w jednej z trzech kategorii: rekonesans (np. skanowanie portów), wykorzystanie istniejących luk w celu uzyskania dostępu do sieci oraz ataki DoS, blokujące normalne działanie systemu lub przeciążające sieć.

IDS rozpoznaje takie działania skanując ruch i poszukując sygnatur znanych ataków, anomalii w ruchu i stosowaniu protokołów oraz oznak nieuzasadnionych działań, które mogą doprowadzić do ataku z zewnątrz lub z wewnątrz sieci.

Każdemu użytkownikowi lub urządzeniu można przypisać pewien wzorzec użytkowania sieci. Każde nieuzasadnione odchylenie od tego wzorca może być uważane za potencjalną próbę ataku. Z chwila rozpoznania znamion ataku mogą być podjęte stosowne przeciwdziałania, a zdarzenia takie są rejestrowane w dzienniku do późniejszej analizy.

Sieciowy IDS składa się zazwyczaj z trzech komponentów: sensorów, modułu zarządzającego i konsoli. Sensory są aplikacjami rozproszonymi w sieci, monitorującymi ruch. Moduł zarządzający przechowuje sygnatury ataków oraz gromadzi dane zbierane przez sensory. Konsole służą do zarządzania poszczególnymi sensorami w sieci.

Sensory rozmieszcza się zazwyczaj wewnątrz sieci i poza zaporą ogniową. Te poza zaporą ogniową mogą odpowiadać za kontrolowanie "misji rozpoznawczych", przeprowadzanych przez nieautoryzowanych użytkowników, oraz sytuacji, w których napastnik przeszedł przez zaporę. Pozwala to na katalogowanie takich zdarzeń w celu zapobiegania przyszłym incydentom.

Przechodzące przez sensory IDS pakiety TCP są analizowane i porównywane z bazą danych sygnatur ataków. Większość IDS stosuje tutaj kontrolę kontekstową - zawartość pakietu jest rozpatrywana pod kątem wcześniejszych zdarzeń, co pozwala wykrywać bardziej wymyślne ataki, na które składa się cała seria pakietów osobno nic nie znaczących. Moduł zarządzający może także przechowywać i dynamicznie zmieniać profile ruchu typowe dla różnych dni tygodnia i pór dnia.

Sensor po wykryciu pakietu (pakietów) zgodnych z sygnaturą ataku, wyzwala odpowiedni alarm i może blokować podejrzany strumień pakietów. Zazwyczaj, oprócz różnych form alarmów, zamykana jest podejrzana sesja TCP/IP, a do zapór ogniowych są wysyłane polecenia blokowania podejrzanego ruchu.

IDS, jak wszystkie nowe technologie, mają wiele niedoskonałości. Jedną z bardziej uciążliwych jest generowanie nadmiernej liczby fałszywych alarmów. Mała precyzja identyfikowania włamań powoduje, że legalny ruch o charakterystyce zbliżonej do ataków sieciowych może być uznany za próbę włamania.

Nadmierna liczba fałszywych alarmów może prowadzić do osłabienia czujności administratorów. Nowa klasa oprogramowania, przystosowana do zarządzania informacjami związanymi z bezpieczeństwem, pozwala na redukcję liczby fałszywych alarmów - dzięki lepszemu strojeniu sensorów lub lepszej korelacji zdarzeń z logów urządzeń sieciowych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200