Dokładniejszy IDS

Poważnym mankamentem sieciowych IDS jest niezbyt dokładne rozpoznanie. Narzędzia te generują fałszywe alarmy, gdy nie ma zagrożenia. Dlatego niemało specjalistów kwestionuje przydatność obecnie wdrażanych IDS. Jedną z odpowiedzi producentów na te zarzuty jest kolejna generacja produktów IDS, wykorzystująca technikę identyfikacji pasywnej (passive fingerprinting).

Poważnym mankamentem sieciowych IDS jest niezbyt dokładne rozpoznanie. Narzędzia te generują fałszywe alarmy, gdy nie ma zagrożenia. Dlatego niemało specjalistów kwestionuje przydatność obecnie wdrażanych IDS. Jedną z odpowiedzi producentów na te zarzuty jest kolejna generacja produktów IDS, wykorzystująca technikę identyfikacji pasywnej (passive fingerprinting).

Identyfikacja pasywna wykorzystuje informacje związane z systemami funkcjonującymi w hostach będących celem ataku w sieci. IDS zbiera dane o systemie operacyjnym, usługach i niektórych aplikacjach pracujące na hoście, a następnie używa tych informacji do ograniczania fałszywych rozpoznań.

Identyfikatory wzajemnych powiązań

Identyfikacja pasywna

Identyfikacja pasywna

Z chwilą wykrycia podejrzanego pakietu IDS kojarzy ten przekaz z profilem podatności docelowego hosta, aby stwierdzić, czy jest on podatny na tego typu atak. Jeżeli host zostanie uznany za niewrażliwy na wykryte zagrożenie, to akcja alarmowa zostaje zaniechana. IDS może np. zaniechać alarmu związanego z atakiem wykorzystującym Windows Remote Procedure Call i skierowanym do serwera linuksowego.

Identyfikacja pasywna działa na zasadzie porównywania kluczowych informacji nagłówkowych TCP i IP, otrzymanych z hosta źródłowego, z bazą danych sygnatur specyficznych dla danego hosta docelowego. Najbardziej popularne identyfikatory z nagłówka to: rozmiar okna, czas "życia" pakietu, bit DF i całkowita długość pakietu.

  • Rozmiar okna (wSize - window size) określa rozmiar bufora pakietów wchodzących. System operacyjny zazwyczaj ustawia ten parametr na początku sesji TCP. Większość uniksowych systemów operacyjnych, takich jak Linux czy Solaris, utrzymuje stały rozmiar okna na czas trwania sesji TCP, z kolei Windows zmienia rozmiar okna podczas sesji.

  • Czas "życia" pakietu (TTL - Time-To-Live) jest kolejnym parametrem, charakteryzującym system operacyjny hosta. Systemy operacyjne ustawiają w nagłówku IP różne wartości domyślne określające czas "życia" pakietu (liczbę przejść pakietu przez rutery, tzw. przeskoków - , lub maksymalny czas jego przebywania w sieci - IPv4), po przekroczeniu którego jest on kasowany. I tak TTL o wartości 64 wskazuje na system operacyjny FreeBSD lub Linux, a TTL o wartości 128 z dużym prawdopodobieństwem określa Windows.

  • Flaga "nie fragmentuj" (DF - Don't Fragment) nie jest tak użyteczna, jak poprzednie identyfikatory, gdyż większość systemów operacyjnych domyślnie ustawia tę flagę. Jednak może być ona wykorzystana przy identyfikacji wyjątków - niektóre systemy operacyjne, takie jak OpenBSD, pozostawiają tę flagę nieustawioną.

  • Całkowita długość pakietu (z nagłówkiem IP i zawartością) jest informacją z dużym przybliżeniem identyfikującą system operacyjny. Niektóre systemy mogą być rozpoznane na podstawie domyślnej długości pakietów SYN i SYNACK. Długości te dla poszczególnych systemów operacyjnych wynoszą: Linux - 60, Solaris - 44 i Windows 2000 - 48.
Powyższe parametry porównane z bazą danych sygnatur systemów operacyjnych umożliwiają zidentyfikowanie systemu operacyjnego lub usługi, będących właściwym celem ataku.

W ten sposób motor identyfikacji pasywnej IDS, sprawdzając pakiet z TTL o wartości 64, będzie zawężał zakres możliwych systemów operacyjnych do Linuksa lub OpenBSD - oba używają tej samej wartości TTL. Z kolei wartość wSize pozwoli na wyselekcjonowanie tylko jednego z nich, ponieważ jest różna dla każdego z tych systemów. Kombinacja parametrów identyfikujących jest tym, co tworzy sygnaturę systemu operacyjnego.

Rozpoznanie, czy docelowy host jest podatny na dany typ ataku, przed wygenerowaniem alarmu, istotnie zmniejsza liczbę fałszywych alarmów. W rezultacie nowa generacja produktów IDS charakteryzuje się bardziej dokładnym rozpoznawaniem włamań.$$


TOP 200