Wykrywanie ataków coraz skuteczniejsze

Środki ochrony przed hakerami

Środki zaradcze na ataki hakerów to systemy wykrywania wtargnięć - IDS (Intrusion Detection Systems). Stosowane w nich rozwiązania można obecnie podzielić na trzy kategorie: Host IDS, Network IDS i Network Node IDS.

Host IDS (HIDS). Rozwiązania te opierają się na modułach agentów rezydujących na wszystkich monitorowanych hostach. Moduły te analizują logi zdarzeń, kluczowe pliki systemu i inne sprawdzalne zasoby, poszukując nieautoryzowanych zmian lub podejrzanej aktywności. Wszystko, co odbiega od normy, powoduje automatyczne generowania alarmów lub uaktywnienie pułapek SNMP.

Monitorowane są m.in. próby logowania do systemu i odnotowywane używanie niewłaściwego hasła - jeżeli próby takie powtarzają się wielokrotnie w krótkich odstępach, można założyć, że ktoś próbuje dostać się do systemu nielegalnie. Innym sposobem jest monitorowanie stanu plików systemowych i aplikacyjnych oraz rejestrów Windows. Wykonuje się to metodą "fotografii stanów", rejestrując na początku stany istotnych plików. Jeżeli napastnikowi (lub niektórym postaciom konia trojańskiego) uda się uzyskać dostęp do sytemu i wykonać w nim zmiany, zostanie to zauważone (na ogół jednak nie w czasie rzeczywistym).

Większość systemów hostowych to systemy reaktywne oczekujące na pojawienie się jakichś zdarzeń przed podniesieniem alarmu. Są jednak wśród nich także systemy działające z wyprzedzeniem (proaktywnie), monitorujące i przechwytujące odwołania do jądra systemu operacyjnego lub API, w celu zapobiegania atakom, jak również zarejestrowania tych faktów w dzienniku zdarzeń. Działania proaktywne mogą polegać także na monitorowaniu strumieni danych i środowisk specyficznych dla poszczególnych aplikacji (np. lokalizacji plików i ustawień rejestrów dla serwerów webowych) w celu ich ochrony przed nowymi atakami, dla których nie istnieją jeszcze odpowiednie sygnatury w bazach danych IDS. Rozwiązania takie noszą czasem nazwę systemów zapobiegania włamaniom (IPS - Intrusion Prevention System), ponieważ ukierunkowane są na powstrzymywanie ataków, a nie na proste tylko informowanie o nich.

Network IDS (NIDS). Rozwiązania te monitorują ruch sieciowy w czasie rzeczywistym, sprawdzając szczegółowo pakiety w celu namierzenia ataków typu DoS czy też niebezpiecznej zawartości przez nie przenoszonej, zanim osiągną one miejsce przeznaczenia. W swoim działaniu opierają się na porównywaniu pakietów z wzorcami (sygnaturami) ataków (attack signatures), przechowywanymi w bazie danych IDS, lub na analizie protokołów mającej na celu wykrywanie anomalii w ich wykonywaniu. Bazy danych sygnatur uaktualniane są przez dostawców pakietów IDS w miarę pojawiania się nowych form ataków.

Po wykryciu podejrzanej aktywności monitor sieciowy może zaalarmować obsługę sieci, a także zamknąć natychmiast podejrzane połączenie. Wiele tego typu rozwiązań jest integrowanych z zaporami ogniowymi w celu ustalania dla nich nowych reguł blokowania ruchu, umożliwiających zatrzymanie hakera już na zaporze ogniowej przy próbie kolejnego ataku.

Rozwiązania oparte na metodzie sieciowej funkcjonują w tzw. trybie rozrzutnym (promiscous mode), polegającym na przeglądaniu każdego pakietu w kontrolowanym segmencie sieci, niezależnie od adresu przeznaczenia pakietu. Z uwagi na duże obciążenie, jakie niesie ze sobą przeglądanie każdego pakietu, rozwiązania te wymagają zazwyczaj dedykowanego hosta.

Większość ataków budowanych jest w oparciu o szereg, wysłanych nierzadko w dużych odstępach czasu, pakietów. Oznacza to konieczność przechowywania przez IDS pewnej liczby pakietów w swoim wewnętrznym buforze w celu śledzenia całej sesji i porównania grupy pakietów z zawartością bazy danych sygnatur. Technika ta, znana jako technika kontekstu stanów (maintaining state), pozwala na porównanie ostatnio otrzymanego pakietu z bazą danych w kontekście wcześniejszych wydarzeń podczas tej sesji. Na każdy segment sieci wymagany jest jeden taki system, ponieważ nie mogą one "oglądać" sieci poza ruterami i przełącznikami.

Network Node IDS (NNIDS). Jest to stosunkowo nowy typ hybrydowego agenta IDS, wolny od niektórych ograniczeń sieciowych IDS. Agent taki pracuje w sposób podobny do sieciowych IDS - pakiety przechwytywane w sieci są porównywane z sygnaturami ataków z bazy danych - interesuje się jednak tylko pakietami adresowanymi do węzła, na którym rezyduje (stąd nazwa IDS węzła sieci, czasami też Stack-based IDS). Systemy takie są niekiedy określane jako "hostowe", jednak termin ten dotyczy systemów skupiających się na monitorowaniu plików logu i analizie zachowań, natomiast sieciowe i węzłowe IDS skupiają się na analizie ruchu TCP - z tą jedynie różnicą, że NIDS pracuje w trybie "rozrzutnym", podczas gdy NNIDS skupiają się na wybranych pakietach w sieci.

Fakt, że systemy NNIDS nie zajmują się wszystkimi pakietami krążącymi w sieci, powoduje, iż pracują one znacznie szybciej i wydajniej, co pozwala na instalowanie ich na istniejących serwerach bez obawy ich przeciążenia.

W tym przypadku trzeba zainstalować cały szereg agentów - jeden na każdym chronionym serwerze - a każdy z nich musi przekazywać raporty do centralnej konsoli.


TOP 200