130 likes | 234 Views
Innføring i IDS ( Intrusion Detection System). Som en enkel start på forskjellige måter å oppdage inntrengere på, skal vi se på en variant av dette som kan få oss til å legge igjen spor som kan brukes av de som ønsker å angripe oss. HOAX
E N D
Innføring i IDS (Intrusion Detection System) • Som en enkel start på forskjellige måter å oppdage inntrengere på, skal vi se på en variant av dette som kan få oss til å legge igjen spor som kan brukes av de som ønsker å angripe oss. HOAX • En hoax er vanligvis en e-mail som utgir seg for å være en viktig melding og kan omhandle mange forskjellige tema: Virus, gaver, spørsmål om du vil støtte en sak og mye annet. Nesten alltid ber den deg også om å sende meldingen videre til så mange som mulig av dine venner og bekjente. • En hoax er aldri det den utgjør seg for. Den øker bare trafikken på internett og kaster bort din og andres tid. De kan godt sammenlignes med spam.
Er en hoax et virus? • Man kan godt si at en hoax er en type virus da de har en rekke likheter:
Hvordan fungerer en hoax? • Den store forskjellen mellom virus og hoax er hvordan de sprer seg. Virus sprer seg oftest automatisk ved å sende seg selv til mailadresser det finner på din PC. • En hoax er ikke noe program og kan derfor ikke spre seg selv videre.
Hvordan identifisere en hoax • En hoax fungerer bare om den kan overbevise leseren om den er sann. • Måten de fleste meldingene gjør dette på er å hevde at innholdet kommer fra et kjent firma, statlig kontor eller andre organisasjoner. • Allikevel er den sendt til deg fra en venn via en venn via en venn via en venn...
De forskjellige kategoriene • VirusadvarselMailen advarer mot et nytt virus. Det du IKKE skal gjøre er å slette filer som slike meldinger ber deg fjerne. • BedrageriDenne typen hoax ber deg gå til en webside og legge igjen brukernavn, passord, kredittkortnummer og PIN-kode eller liknende. • En moderne myteDenne forteller en utrolig historie om noe som har hendt. Om en slik historie virker usannsynlig så er den ofte det.
De forskjellige kategoriene – forts. • GaverSlike mailer hevder at du ved å sende den videre til så og så mange personer vil gjøre deg fortjent til en gave eller penger fra et stort kjent firma. Det er bare å sende mailen videre så vil firmaets mailsporingsprogram finne ut hvor mange mail du har sendt. • En tåredryppende historie eller kjedebrevDette er en tragisk historie om en person som er dødssyk og har et ønske om å motta mange postkort eller e-mail før personen går bort slik at han kan bli udødeliggjort i Guinness rekordbok eller andre steder. • Bli rik kjaptEn eller annen person har kommet på en måte å bli rik kjapt og han vil gjerne dele det med all som er på internett.
Eksempel på IDS • Symantec Host IDS er et produkt for inntregningsdetektering og sikkerhetsovervåkning av servere og arbeidsstasjoner. • Programvaren registrerer i realtime alle hendelser på servere og arbeidsstasjoner. • Dette blir så sjekket mot definerte sikkerhetspolicy. • Ikke godkjente hendelser kan for eksempel være ugyldige innlogginger, endring av rettigheter til filer og databaser eller andre angrep.
Nettets utvikling • Mulighetene og anledningene er grenseløse innen Internett, men det er også mulighetene for ondsinnede angrep. • Det viktigste er å unngå og å forhindre at et datasystem blir angrepet. • Men like viktig er det å oppdage at angrep skjer eller nettopp har skjedd slik at vi kan unngå for store skader. Det er dette vi kaller inntregningsdetektering.
Andersons definisjon i 1980 J. P. Anderson definerte i 1980 følgende: • forsøk på inntregning eller en trussel er et bevisst forsøk på å: • få tak i informasjon • manipulere informasjon • gjøre et system upålitelig eller ubrukbart • Et datasystem skal i utgangspunktet være konfidensielt, integrert og være sikkert mot DoS. • Stadig flere system blir utsatt for angrep på grunn av større bruk av internett og mulighetene for å kunne oppnå økonomiske fordeler ved å misbruke nettet.
Angrepstyper • Det som oftest forsøkes er å finne hull i de operativsystemene som er i bruk. • DoS - Denial of Service • Trojan Horse – er med i annen software. • Virus – reproduserer seg selv ved å ”angripe” andre filer • Orm – selvproduserende program. Lager kopier av seg selv. Bruker ofte mailklienters adressebok • Logiske bomber – passiv inntil en gitt begivenhet skjer (dato, bruker etc)
Angrepsforhindring I prinsippet er det to måter å forhindre et angrep på: • Bygge et system som er så komplekst og sikkert at det ikke er mulig å angripe (utenfra). I praksis er ikke dette mulig da: • Ingen systemer kan gjøres feilfrie. Alle OS og programmer inneholder bugs. Hvis man skal vente på den feilfrie versjon må man vente til man dør. • ”Ingen” forventer at programmer som kommer på markedet skal være uten bugs.
Angrepsforhindring - forts • Epost-klienter kan gjøres sikre, men blir mindre attraktive for mange brukere da de ikke vil inneholde samme funksjonalitet. • Å garantere sikre økonomiske systemer eller transaksjoner vil vel aldri komme på markedet. • Kryptering gir sikrere overføring av data, men passord kan bli mistet, glemt eller bli knekket. • Selv om systemet er sikkert utenfra er det ikke sikkert mot egne ansatte. • Vanligvis er det slik at desto sikrere man gjør et (data)system, desto mindre effektivt blir systemet.
IDS • Den andre måten er å leve med usikkerhet, men bygge opp inntregningsdetektering slik at de som angriper ikke gjør for mye skade før de blir oppdaget. • Slike IDS’er er laget på forskjellig måter og av forskjellige produsenter, men ingen kan vel sies å ha fått en dominerende stilling i markedet. • Mest bruk for å sjekke at angrep har skjedd er ved å sette opp auditing (logging av diverse hendelser).