Systemy wykrywania włamań do sieci

Systemy wykrywania włamań (IDS - Intrusion Detection System) należą do stosunkowo nowych zabezpieczeń sieciowych. Wykorzystuje się je głównie jako uzupełnienie ochrony realizowanej przez zapory ogniowe. Zapory ogniowe stanowią pierwszą linię obrony sieci, a systemy wykrywania włamań drugą, gdzie stosuje się metody wykrywania prób nielegalnej penetracji sieci i reaguje na takie działania.

Systemy wykrywania włamań (IDS - Intrusion Detection System) należą do stosunkowo nowych zabezpieczeń sieciowych. Wykorzystuje się je głównie jako uzupełnienie ochrony realizowanej przez zapory ogniowe. Zapory ogniowe stanowią pierwszą linię obrony sieci, a systemy wykrywania włamań drugą, gdzie stosuje się metody wykrywania prób nielegalnej penetracji sieci i reaguje na takie działania.

Systemy zabezpieczeń to jedna z najbardziej dynamicznie rozwijających się technologii informatycznych. Rozwój zabezpieczeń zmierza w kierunku centralnie zarządzanych, zintegrowanych systemów sieciowych, zawierających środki ochrony rezydujące na serwerach, stacjach roboczych, urządzeniach sieciowych oraz różnego rodzaju systemach dedykowanych. Należą do nich: serwery uwierzytelniania, systemy zapór ogniowych, urzędy certyfikacji PKI oraz systemy wykrywania włamań. Te ostatnie należą do stosunkowo nowych technologii zabezpieczeń sieciowych, obecnie wykorzystywanych głównie jako wsparcie zapór ogniowych. Wykrywanie włamań jest procesem identyfikowania i reagowania na nieuprawnioną działalność skierowaną przeciwko zasobom informatycznym. Programy wykrywania włamań mogą działać w modelu hostowym - chroniąc bezpośrednio systemy operacyjne, serwery webowe czy baz danych, lub w modelu sieciowym - przy wykrywaniu intruzów opartym na monitorowaniu ruchu sieciowego pod kątem podejrzanej aktywności.

Identyfikacja włamania może nastąpić przed, podczas lub po wystąpieniu działalności nieuprawnionej z punktu widzenia polityki ochrony systemu. Jeśli identyfikacja zostanie dokonana przed zaistnieniem nieuprawnionej działalności, to wówczas reakcją może być zapobieżenie jej wystąpieniu. Identyfikacja dokonana w trakcie działalności nieuprawnionej pociąga za sobą konieczność podjęcia decyzji o jej przerwaniu lub kontynuowaniu w celu uzyskania szczegółowych danych o napastniku. I w końcu, jeżeli identyfikacja włamania nastąpi post factum, potrzebna jest ocena zakresu wyrządzonych szkód - jeżeli takie zaistniały.

Reakcja na włamanie następuje na ogół po jego zidentyfikowaniu, chociaż są systemy, w których stosowana jest analiza predykcyjna, służąca do przewidywania zdarzeń i zapobiegania skutkom ich wystąpienia. W procesie reagowania można zablokować usługę, dokładnie zidentyfikować agresora, a także wyprowadzić kontratak eliminujący możliwość dalszego działania napastnika.

Podstawą wykrywania włamań jest monitorowanie. Systemy wykrywania włamań działają w oparciu o informacje dotyczące aktywności chronionego systemu. Z monitorowaniem wiąże się wiele kwestii technicznych i operacyjnych. Do najistotniejszych należą między innymi dostatecznie wczesne wykrywanie i wydajność systemu - wystarczająca do monitorowania aktywności i realizacji normalnych zadań. Stopień spełnienia tych kryteriów przesądza zazwyczaj

o powodzeniu wykrycia faktycznych włamań.

Systemy wykrywania włamań generują raporty kierowane do infrastruktury zabezpieczeń i ochrony systemu. Infrastruktura ta może być wbudowana w jednostkę monitorowania włamań lub stanowić element samodzielny. W obu przypadkach sposób przetwarzania uzyskanych informacji, ich zapisu, udostępniania i wykorzystania w celu obniżenia ryzyka jest jednym z trudniejszym aspektów praktycznej implementacji systemu wykrywania włamań.

Podstawą analiz aktywności systemu są sygnatury zachowań odbiegających od normy. Użycie sygnatur nienormalnego zachowania, zwanych także sygnaturami lub wzorcami ataków, jest szczególnie częste w systemach wykrywania włamań na bieżąco. Sygnatury zazwyczaj występują w jednej z dwóch wersji:

  • Opisy znanych ataków - są to dynamiczne opisy odpowiednich wzorców aktywności, które mogą stanowić zagrożenie dla bezpieczeństwa. Bazy danych z takimi opisami przypominają bazy danych o wirusach, stosowane w oprogramowaniu antywirusowym.

  • Wzorce podejrzanych ciągów tekstowych. Określone ciągi tekstowe (jak np. "ściśle tajne", "poufne"), wykrywane w treści przesyłanych pakietów, można uznawać za podejrzane. Wzorce te są najczęściej określane lokalnie przez administratorów systemów.

    Jedną z metod monitorowania jest też pełna analiza protokółów wszystkich siedmiu warstw, zamiast prostego porównywania wzorców ataków. Chociaż wydawać by się mogło, że analiza protokołów w każdym pakiecie może być mało efektywna w zestawieniu z prostym porównywaniem wzorców w pojedynczym pakiecie, to jednak trzeba mieć na uwadze fakt, że liczba sygnatur ataków stale rośnie - problem ten rozwiązuje się często instalowaniem wielu sensorów IDS, z których każdy obsługuje pewien podzbiór sygnatur. Przewaga tej metody polega głównie na tym, że protokoły i systemy operacyjne są budowane na podstawie standardów - stosunkowo łatwo więc zidentyfikować pakiet odbiegający od normy. Ponadto algorytm analizy protokołu może dynamicznie identyfikować wszystkie niepoprawne oraz nadmiarowe pakiety i zatrzymywać je, zanim osiągną stos TCP/IP. Nowe rodzaje ataków wymagają co prawda uaktualniania algorytmów analizy, ale zazwyczaj wykonuje się je metodą uzupełniania zmiennych algorytmu. Ujemną stroną takiego podejścia jest to, że zmiana algorytmu może trwać znacznie dłużej niż dodanie nowego wzorca.

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200