1 / 14

INTRUSION DETECTION SYSTEMS

INTRUSION DETECTION SYSTEMS. IDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania: Monitorowanie systemu Detekcja ataków Podejmowanie odpowiednich działań w zależności od zagrożenia (mail, pager ...). Dlaczego IDS?.

colleen
Download Presentation

INTRUSION DETECTION SYSTEMS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INTRUSION DETECTION SYSTEMS • IDS – zajmują się wykrywaniem prób ataku na system • Często używane z firewall'ami • Uzupełnienie systemu bezpieczeństwa • Zadania: • Monitorowanie systemu • Detekcja ataków • Podejmowanie odpowiednich działań w zależności od zagrożenia (mail, pager ...)

  2. Dlaczego IDS? • W rzeczywistości większość zagrożeń od wewnątrz (firewall nie działa) • Radzą sobie z Denial of Service – monitorując ruch sieciowy Typy: • Oparte na „gospodarzu” - Host-Based IDS • Oparte na sieci – Network-Based IDS

  3. Host-Based IDS • Najwcześniejsze rozwiązanie • Zbierają i analizują informacje na 1 komputerze • np. zbieranie logów z innych komputerów w sieci • Rozwiązanie może stać się niepraktyczne przy dużych sieciach • W przypadku odcięcia hosta od sieci nie działa • Windows Security Event Logs, IBM Tivoli Intrusion Manager, UNIX Syslog, SunSHIELD Basic Security Module

  4. Network-Based IDS • Sprawdzanie pakietów poruszających się po sieci • Systemy rozproszone • Zwiększona odporność na ataki z zewnątrz • Po zalogowaniu intruz najlepiej śledzony przez HIDS, przed - NIDS • Źle działa gdy pakiety szyfrowane (wydajność) • Wąskie gardło gdy ruch jest bardzo szybki • Cisco Secure IDS, Shadow, Snort!, Dragon, NFR, RealSecure, NetProwler

  5. HIDS i NIDS jednocześnie • Rozproszona sieć agentów HIDS • Dobra implementacja powinna działać tak jak HIDS, w czasie rzeczywistym • HIDS priorytetowy • NIDS przy 100 Mbps/szyfrowaniu nie działa wydajnie

  6. Techniki: Anomaly detection • Do wykrycia niestandardowych zachowań • Przechowywany zbiór standardowych zachowań, np: • Kilkudziesięciokrotne logowanie, • Bycie zalogowanym w nocy, • Kontrola zestawu programów uruchomionych w ciągu dnia

  7. Techniki: Misuse/signature detection • Przechowywany zbiór zachowań niepożądanych (sygnatury), np: • Trzykrotne niepoprawne logowanie, • Inicjacja połączenia FTP w nieprawidłowy sposób, • Natrafienie na sygnaturę nie musi oznaczać realnego zagrożenia

  8. Techniki: Target monitoring • Czy określone pliki zostały zmodyfikowane • Skorygowanie ewentualnych zmian • Nie wymaga monitorowania przez administratora • Porównywanie plików za pomocą haszowania i porównania haszów

  9. Intrusion Prevention Systems • Wykrywanie ataków na system z zewnątrz jak i od wewnątrz • Uniemożliwienie takich ataków • W przybliżeniu – połączenie zapory sieciowej i IDS

  10. Inline Network-Based IDS • Dwie karty sieciowe • Jedna karta do wykrywania zagrożeń, bez przypisanego IP – niewidoczna • Cały ruch sieciowy sprawdzany w/g sygnatur • Packet scrubbing – zmienianie pakietów by nie działały, nieświadomy atakujący • Problemy przy awarii komputera z InlineNIDS • Jedynie określone aplikacje • Nie ma ochrony bez zdefiniowanych sygnatur • Zastosowanie: mainframe'y, serwery

  11. Layer Seven Switches • Siódma zamiast drugiej warstwy OSI (aplikacja / dane) • Równoważą obciążenie określonej aplikacji między kilka serwerów • Radzą sobie z DoS • Mogą być stosowane w wymagających sieciach (rzędu Gbps) • Umieszcza się przed zaporami sieciowymi • Urządzenia konfigurowalne • Ochrona działa gdy określone są sygnatury

  12. Application Firewalls/IDS • Aplikacja uruchamiana na każdym chronionym komputerze • Zamiast pakietów sprawdzane są: • Wywołania API • Zarządzanie pamięcią (przepełnienie bufora) • Interakcje z systemem operacyjnym • Ochrona przed błędami programistycznymi i nieznanymi atakami • Tworzony profil systemu • Trudność profilowania • Profilowanie przy modyfikacji systemu • Skupienie na każdej pojedynczej aplikacji

  13. Hybrid switches • Połączenie aplikacyjnych systemów ochrony przed intruzami i przełączników siódmej warstwy • Umieszczenie sprzętu przed firewall'em • Następuje „profilowanie” normalnego działania aplikacji sieciowych • Efekty służą jako wzorce • Gdy ruch sieciowy zbyt duży, warto dodać przełącznik warstwy siódmej

  14. Deceptive applications • Oszukanie atakującego • Zbierane informacje nt. normalnego ruchu pakietów w sieci • Odpowiednio zaznaczona odpowiedź dla intruza • Intruz kontynuuje atak • Można rozpoznać intruza • Można zebrać dowody, przerwać połączenie

More Related