Ukryte ataki i fałszywe alarmy nowe wyzwania dla narzędzi IDS
-
- Józef Muszyński,
- 01.12.2002
Poszukiwanie anomalii w protokołach obejmuje zbyt długie pakiety lub pakiety zawierające niewłaściwe typy danych. Stosuje się także kontrolę przejścia z jednego stanu w inny lub zadań wykonywanych poza ustaloną kolejnością. Większość protokołów internetowych ma dobrze zdefiniowane procedury uzgadniania (handshaking), które mają miejsce przed oraz podczas wymiany danych. Napastnik może próbować umyślnie wykonywać niektóre zadania poza kolejnością w celu wykorzystania luk w hoście lub spowodowania przepełnienia bufora, co pozwala mu na przejęcie kontroli nad hostem.
Nie oznacza to, że IDS przygotowany do wyszukiwania anomalii protokołowych nie będzie generował fałszywych alarmów. Można przecież wyłapywać odchylenia od protokołu, które nie są szkodliwe lub są nieświadome: np. starsze serwery pocztowe implementujące mało dokładnie protokół SMTP. Takie anomalie powinny być wyłapywane zaraz po zainstalowaniu IDS - można wtedy przygotować odpowiednie skrypty odsiewające je.
Niektóre z nowych IDS obsługują także automatyczne uaktualnianie sygnatur - sygnatury są przesyłane do serwera w ośrodku użytkownika, z którego są następnie dostarczane do indywidualnych sensorów IDS.
Rodzaje IDS
Na rynku IDS można wyróżnić trzy podstawowe kategorie produktów:
Do tradycyjnych systemów Host IDS doszły produkty typu File Integrity Assesment, monitorujące stan plików systemowych i aplikacyjnych, a także rejestrów systemowych. Trzecim typem są produkty Intrusion Prevention Systems (IPS). Tradycyjne Host IDS to systemy reagujące, a nie zapobiegające - oczekują one na wydarzenia związane z wtargnięciem do systemu. Natomiast IPS podejmują próby monitorowania i przechwytywania wywołań funkcji jądra systemowego czy API w celu zapobieżenia atakom. Mogą one monitorować strumienie danych i specyfikę środowisk poszczególnych aplikacji (lokalizacja plików, ustawienia w rejestrach itp.) w celu ochrony tych aplikacji przed atakami, dla których nie istnieją jeszcze sygnatury. Największą zaletą produktów IPS jest to, że przeznaczone są do unieszkodliwiania włamań, a nie do raportowania o nich, jak już się wydarzą. Są też i wady. Niepoprawne skonfigurowanie może spowodować uznanie za DoS potoku pakietów pochodzącego z legalnego źródła i uniemożliwienie mu dostępu do systemu. Inną wadą jest konieczność ścisłej integracji z systemem operacyjnym, co może powodować problemy z uaktualnianiem.
Metody wykrywania w sieciowych IDS
Wykrywanie ataków w sieci i zapobieganie im
Porównywanie wzorców
Porównywanie wzorców w swojej najbardziej podstawowej formie jest związane z identyfikacją stałych sekwencji bajtów w pojedynczym pakiecie. Poza identyfikacją sekwencji bajtów większość IDS porównuje także różne kombinacje adresów źródłowych i przeznaczenia IP, źródłowych i docelowych portów oraz protokołów. Bardzo często jest możliwe też dostrajanie sygnatur przez określanie punktu początkowego i końcowego inspekcji w pakiecie lub tez kombinacji poszczególnych flag TCP/IP.
Metoda ta jest zazwyczaj ograniczona do inspekcji pojedynczych pakietów i dlatego też nie można jej stosować do ruchu sieciowego o strumieniowej naturze, takiego jak sesje HTTP.
