Podstawy teleinformatyki

1. Podstawy teleinformatyki IDS – system wykrywania i zapobiegania atakom sieciowym

2. IDS – system wykrywania i zapobiegania atakom sieciowym. IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) – system wykrywania i zapobiegania atakom sieciowym. • system zwiększający bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym. • Systemy wykrywania włamań typu IDS działają przez analizę ruchu sieciowego.

3. IDS – system wykrywania i zapobiegania atakom sieciowym. Do priorytetowych zadań wykonywanych przez systemy IDS należą: • analiza aktywności systemu i użytkowników • wykrywanie zbyt dużych przeciążeń • analiza plików dziennika • rozpoznawanie standardowych działań włamywacza • natychmiastowa reakcja na wykryte zagrożenia • tworzenie i uruchamianie pułapek systemowych • ocena integralności poszczególnych części systemu wraz z danymi

4. IDS – system wykrywania i zapobiegania atakom sieciowym. Współczesne systemy IPS stosują znacznie bardziej zaawansowane metody prewencji, takie jak: • wykrywanie i blokowanie penetracji i ataków wykonywanych przez intruzów i robaki internetowe, • monitorowanie stanu bezpieczeństwa czyli np. wykrywanie robaków działających na hostach pracowników firmy, • wspomaganie administratorów w znajdywaniu źródeł naruszeń bezpieczeństwa, • detekcja nieupoważnionych komputerów przyłączonych do sieci lokalnej, • monitorowanie przestrzegania przez pracowników przyjętej polityki bezpieczeństwa czyli np. wykorzystywania niedozwolonych aplikacji, • wykrywanie systemów i aplikacji podatnych na błędy bezpieczeństwa, • wykrywanie sytuacji przełamania zabezpieczeń.

5. IDS – system wykrywania i zapobiegania atakom sieciowym. Metody analizy ruchu sieciowego zastosowane w systemach IDS: • Analiza heurystyczna – wykorzystująca mechanizmy defragmentacji, łączenia pakietów w strumienie danych, analizy nagłówków pakietów oraz analizy protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. • Analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla typowych ataków sieciowych. Najważniejszym elementem tej metody jest baza sygnatur, uzupełniana na bieżąco wraz z pojawianiem się nowych ataków.

6. IDS – system wykrywania i zapobiegania atakom sieciowym. Rodzaje systemów IDS: • IDS systemowy (Host IDS) – analizuje pracę systemu operacyjnego i wykrywa wszelkie możliwe naruszenia bezpieczeństwa. • IDS sieciowy (Network IDS) – analizuje ruch sieciowy , wykrywając wystąpienie znanych sygnatur ataków. • IDS stacji sieciowej (Network Node IDS) – system instalowany na poszczególnych stacjach sieciowych analizuje jedynie ruch związany z jego stacją (najczęściej stosowany w sieciach VPN, ponieważ zwykły system IDS nie ma dostępu do danych szyfrowanych)

7. IDS – system wykrywania i zapobiegania atakom sieciowym. HOST IDS: • Każdy host w sieci ma zainstalowany moduł agenta, • Dodatkowo w sieci istnieje jeden komputer będący konsolą zarządzania systemu, • Każdy moduł agenta analizuje na danym hoście kluczowe pliki systemu, logi zdarzeń oraz inne sprawdzalne zasoby oraz szuka nieautoryzowanych zmian lub podejrzanej aktywności, • Zarządca zbiera informacje od wszystkich agentów i monitoruje ich pracę z poziomu jednego hosta.

8. IDS – system wykrywania i zapobiegania atakom sieciowym. NETWORK IDS: • Składa się z sond NIDS umieszczonych w kilku newralgicznych miejscach w sieci, • pracę sond koordynuje konsola zarządzająca systemem NIDS, • Sondy szczegółowo sprawdzają każdy pakiet przechodzący w sieci. • Konsola zarządzająca Zbiera informacje od sond i poddaje je analizie, dzięki niej administrator monitoruje działanie całej sieci z jednego miejsca.

9. IDS – system wykrywania i zapobiegania atakom sieciowym. NETWORK NODE IDS: • System składa się z agentów - węzłów sieci, umieszczonych na różnych hostach w sieci lokalnej i kontrolowanych przez jedną centralną konsolę zarządzającą i monitorującą całą sieć, • Agenci nie dokonują monitorowana plików logu, czy analizy zachowań, lecz analizują przepływ pakietów w sieci. • Agenci NNIDS skupiają się tylko na wybranych pakietach sieci - tylko tych adresowanych do danego węzła, na którym agent rezyduje,

10. Podstawy teleinformatyki Konstrukcje sieci – analiza pracy sieci pod względem wybranych kryteriów bezpieczeństwa

11. Konstrukcje sieci Rys.1. Sieć nr 1 – wszystkie stacje robocze i serwery sieci lokalnej są podłączone przez router bezpośrednio do Internetu.

12. Konstrukcje sieci Rys.2. Sieć nr 2 – dokonano logicznego podziału zasobów sieci lokalnej: • Serwery świadczące usługi dla komputerów sieci LAN, • Stacje robocze sieci LAN, • Serwery internetowe

13. Konstrukcje sieci Rys.3. Sieć nr 3 – na granicach wydzielonych segmentów sieci LAN umieszczono firewall.

14. Konstrukcje sieci Rys.4. Sieć nr 4 – połączono funkcje firewalla i routera tworząc FRI oraz FRW.

15. Funkcje FRI: Routing pomiędzy DMZ a Internetem, Pozwolenie na nawiązywanie połączeń skierowanych jedynie do naszych serwerów internetowych, Pozwolenie na wychodzenie do Internetu połączeń z naszych serwerów internetowych, z podziałem na konkretne usługi, Pozwolenie na wychodzenie do Internetu połączeń z FRW, Pozostałe połączenia powinny być blokowane i logowane. Funkcje FRW: Translacja adresów NAT w połączeniach nawiązywanych z sieci LAN do Internetu, Umożliwianie użytkownikom z sieci LAN dostępu jedyni do wybranych usług internetowych, Ochrona prze próbami nawiązania połączeń do sieci LAN, Pozostałe połączenia powinny być blokowane i logowane. Konstrukcje sieci

16. Konstrukcje sieci Rys.5. Sieć nr 5 – zastosowano system IDS w punktach, w których pakiety dostają się do danej strefy sieci LAN.