Systemy wykrywania intruzów (włamań sieciowych)

Systemy wykrywania intruzów (włamań sieciowych)

Systemy wykrywania intruzów IDS

Wykrycie w sieci nieprawidłowego zachowania

Powiadomienie osób administrujących siecią

Zidentyfikowanie niebezpiecznych działań zachodzących w sieci

Zalogowanie podejrzanych zdarzeń

Zadania systemów wykrywania intruzów(IDS – ang. Intrusion Detection System)

Zadaniem IDS jest identyfikacja zagrożenia w sieci komputerowej. Podstawą wykrywania włamań jest monitorowanie ruchu w sieci. Systemy wykrywania włamań działają w oparciu o informacje odnoszące się do aktywności chronionego systemu. Współczesne systemy IDS analizują w czasie rzeczywistym aktywność w sieci.

Systemy wykrywania intruzów IDS

ETAP PIERWSZY

ETAP DRUGI

wtargnięcie do systemu, jednocześnie odbywa się próba zamaskowania obecności intruza poprzez odpowiednie zmiany w logach systemowych. Włamywacz podejmuje również próby modyfikacji narzędzi systemowych tak, by uniemożliwić swoje wykrycie.

próba penetracji systemu będącego celem ataku. Intruz usiłuje znaleźć lukę w systemie (na przykład próbuje skanować porty) umożliwiającą wtargnięcie do systemu poprzez ominięcie systemów zabezpieczających

Włamanie do systemu

Systemy IDS

Włamanie do systemu najczęściej przebiega w dwóch etapach

Systemy IDS analizują procesy zachodzące w newralgicznych obszarach sieci objętej ochroną. Pozwalają więc wykryć niepożądane zajścia podczas próby włamania oraz po udanym włamaniu – jest to bardzo ważne ze względów bezpieczeństwa, ponieważ IDS działa dwufazowo – nawet jeżeli intruz zdoła włamać się do systemu, nadal może zostać wykryty i unieszkodliwiony, mimo usilnego zacierania śladów swojej działalności.

Systemy wykrywania intruzów IDS

Dopasowywanie wzorców

Kontekstowe dopasowywanie wzorców

Analiza heurystyczna

Analiza anomalii

Metody zidentyfikowania intruza wewnątrz chronionej sieci

Dopasowywanie wzorców - jest to najprostsza metoda detekcji intruza; pojedynczy pakiety porównywany jest z listą reguł. Jeśli któryś z warunków zostanie spełniony uruchamiany jest alarm.

Kontekstowe dopasowywanie wzorców - w kontekstowym dopasowywaniu pakietu, system bierze pod uwagę kontekst każdego pakietu. Śledzi połączenia, dokonuje łączenia fragmentowanych pakietów.

Analiza anomalii - sygnatury anomalii starają się wykryć ruch sieciowy, który odbiega od normy. Największym problemem jest określenie stanu uważanego za normalny.

Analiza heurystyczna - wykorzystuje algorytmy do identyfikacji niepożądanego działania. Algorytmy te są zwykle statystyczną oceną normalnego ruchu sieciowego. Przykładowo algorytm stwierdzający skanowanie portów wykazuje, że takie wydarzenie miało miejsce, jeżeli z jednego adresu w krótkim czasie nastąpi próba połączeń z wieloma portami.

Mimo ciągłego rozwoju systemów IDS, napotykają one na liczne przeszkody, które zniekształcają prawidłowe działanie oprogramowania, są to:

1. Mnogość aplikacji - w przypadku ataku na konkretną aplikację, polegającym na podawaniu jej nietypowych danych, system musi rozumieć protokół, którego dana aplikacja używa. Protokołów sieciowych jest bardzo dużo, system IDS nie może znać ich wszystkich, dlatego zna tylko pewien ich podzbiór. Fakt ten może zostać wykorzystany do próby ataku na sieć chronioną przez IDS.2. Defragmentacja pakietów - wykrycie ataku rozłożonego na kilka pakietów wymaga monitorowania przebiegu sesji. Takie działanie pochłania jednak część zasobów, systemy IDS mają problemy z działaniem przy transmisji pakietów przekraczającej 63mb/s. 3. Fałszywe alarmy. 4. Ograniczenia zasobów - zajęcie wszystkich zasobów sensora jest wykorzystywane do ataków na sieci chronione przez IDS

Systemy wykrywania intruzów IDS

Nieautoryzowany dostęp do zasobów

Nieuprawniona modyfikacja zasobów

Blokowanie usług

Ataki zorientowane na aplikacje

Rodzaje ataków wykrywanych przez systemy IDS

Nieautoryzowany dostęp do zasobów – najbardziej liczna grupa ataków zawierająca w sobie między innymi łamanie haseł dostępowych, używanie koni trojańskich oraz podszywanie się.

Nieuprawniona modyfikacja zasobów – zawiera w sobie nieuprawnioną modyfikację oraz kasowanie danych oraz generowanie nieuprawnionych transmisji danych.

Ataki zorientowane na aplikacje – ataki wykorzystujące błędy oraz luki zawarte w aplikacjach.

Blokowanie usług – przede wszystkim ataki typu DoS/DDoS.

Rodzaje systemów IDS

NIDS

NNIDS

HIDS

NIDS (ang. Network Intrusion Detection System) – rozwiązania sprzętowe lub programowe śledzące sieć

HIDS (ang. Host Intrusion Detection System) – aplikacje instalowane na chronionych serwerach usług sieciowych

–NNIDS (ang. Network Node Intrusion Detection System) – rozwiązania hybrydowe

Pierwsze rozwiązania systemów wykrywania włamań polegały przede wszystkim na szczegółowej analizie wystąpienia niebezpiecznego zdarzenia. Współczesne aplikacje IDS wykonują dodatkowo monitorowanie sieci oraz wykrywanie i reagowanie w czasie rzeczywistym na nieautoryzowane działania w sieci.

Network Intrusion Detection System

Schemat systemu NIDS

Takie rozwiązanie umożliwia skuteczne monitorowanie wydzielonego segmentu sieci. System NIDS może podsłuchiwać wszelką komunikację prowadzoną w tej sieci. Można zauważyć, że to rozwiązanie nastawione jest na ochronę publicznie dostępnych serwerów zlokalizowanych w podsieciach stref zdemilitaryzowanych.

Host Intrusion Detection System

Schemat systemu HIDS

Podstawowa różnica między HIDS a NIDS polega na tym, iż w tym przypadku chroniony jest tylko komputer, na którym system rezyduje. Ponadto system HIDS można uruchamiać na firewallach, zabezpieczając go tym samym.

Network Node Intrusion Detection System

Schemat systemu NNIDS

System składający się z czterech sensorów i centralnego systemu zarządzającego. Standardowo systemy NNIDS funkcjonują w ramach architektury przeznaczonej do obsługi zarządzania i badania sieci.

Sensory wykrywania włamań systemów NIDS zlokalizowane są zdalnie w odpowiednich miejscach i składają raporty do centralnego systemu zarządzania NIDS. Dzienniki ataków są co jakiś czas dostarczane do systemu zarządzającego i mogą być tam przechowywane w centralnej bazie danych. Z kolei nowe sygnatury ataków mogą być ładowane do systemów-sensorów. Zgodnie z rysunkiem sensory NIDS1 i NIDS2 operują w cichym trybie odbierania i chronią serwery dostępu publicznego. Z kolei sensory NIDS3 i NIDS4 chronią systemy hostów znajdujących się wewnątrz sieci zaufanej.

01 Zapora ogniowa (ang. firewall)

Najczęściej firewallem jest dedykowany program, który użytkownik instaluje w systemie operacyjnym. Bywa także usługa, którą można aktywować u operatora internetowego za drobna opłatą, lub elementem infrastruktury sieciowej – osobnym komputerem, modułem sieciowym lub elementem routera.

- Zapora ogniowa (ang. firewall) jest jednym z najefektywniejszych narzędzi bezpieczeństwa służących do zabezpieczania wewnętrznych użytkowników przed zagrożeniami zewnętrznymi. - Zapora ogniowa stoi na granicy dwóch lub więcej sieci i kontroluje ruch pomiędzy nimi oraz pomaga zapobiec nieupoważnionemu dostępowi. - Zapory ogniowe używają różnych technik w celu określenia, jaki dostęp do sieci ma zostać przepuszczony, a jaki zablokowany.Ochrona systemów informatycznych określona w polityce bezpieczeństwa zakłada wykorzystywanie firewalli jako blokady przesyłania nieautoryzowanych danych między sieciami wewnętrzną i zewnętrzną.

02 Zapora ogniowa (ang. firewall)

Podstawowe funkcje zapór ogniowych

• ochrona adresów IP i przesyłanie komunikacji

• ochrona przed atakami i skanowaniem

• oddzielenie sieci

• filtrowanie adresów IP

• filtrowanie zawartości

• przekierowywanie pakietów

• uwierzytelnienie i szyfrowanie

• rejestrowanie komunikacji w dziennikach

Dzięki tej funkcji możliwe jest tworzenie dodatkowych podsieci. Mając do dyspozycji pojedynczy adres IP można utworzyć sieć lokalną LAN a nawet rozległą WAN

Firewall jest przede wszystkim narzędziem służącym do tworzenia granic między sieciami. Nie musi on jednak być umiejscowiony między siecią publiczną a prywatną. Firewalle umieszcza się również wewnątrz sieci firmowych,

Za pomocą firewalla można ograniczyć dowolny typ komunikacji sieciowej

Funkcja ta pozwala na zarządzanie połączeniami w zależności od adresu IP oraz portu

Serwery pośredniczące proxy są jedynym typem firewalli, które są w stanie analizować komunikację badając adresy URL oraz zawartość stron WWW

Funkcja ta przesyłanie komunikacji na zupełnie inny port lub host niż ten, do którego został wysłany

Firewall umożliwia uwierzytelnienie użytkowników i szyfrowanie transmisji wykonywanych między nim a firewallem innej sieci

Firewall pozwala na przegląd szczegółowych informacji na temat pakietów sieciowych przechodzących przez niego

01 Użycie zapory ogniowej

W powyższym przykładzie zastosowano zaporę ogniową do ochrony wewnętrznych zasobów sieci komputerowej.

Natomiast serwer WWW dedykowany dla klientów z Internetu jest całkowicie dostępny na ataki, a jego działanie uzależnione od zastosowanej platformy serwerowej i poprawności konfiguracji.

02 Użycie zapory ogniowej

W powyższym przypadku pomimo, że serwer WWW jest umieszczony za zaporą ogniową nie jest to rozwiązanie jeszcze idealne.

Konfiguracja urządzenia pozwalającego na przepuszczanie ruchu na porcie 80 (protokół http) i 443 (protokół https) konieczna do zapewnienia właściwej obsługi ruchu przychodzącego daje włamywaczowi możliwość przeprowadzenia ataku na wewnętrzną sieć LAN.

03 Użycie zapory ogniowej

W powyższym przypadku zastosowano strefę zdemilitaryzowaną (ang. Demilitarized Zone, DMZ). Określenie to zapożyczone zostało z terminologii wojskowej, gdzie DMZ jest określonym obszarem pomiędzy wrogimi siłami, w którym aktywność militarna jest zakazana.

W sieciach komputerowych DMZ to obszar sieci, który jest dostępny zarówno dla wewnętrznych jak i zewnętrznych użytkowników. Jest bardziej bezpieczny od zewnętrznej sieci, lecz mniej bezpieczny - od wewnętrznej. Obszar ten jest tworzony przez jeden lub klika firewalli i ma za zadanie odseparowanie sieci od siebie. Serwery WWW przeznaczone do publicznego dostępu często umieszcza się właśnie w DMZ.

04 Użycie zapory ogniowej

W powyższym wariancie zastosowano dwie zapory ogniowe ze strefą DMZ umieszczoną pomiędzy nimi. Zewnętrzna zapora ogniowa jest mniej restrykcyjna i zezwala użytkownikom z Internetu na dostęp do usług w DMZ jednocześnie przepuszczając ruch zainicjowany przez użytkowników wewnętrznych. Wewnętrzna zapora ogniowa jest bardziej restrykcyjny -

chroni wewnętrzną sieć przed nieupoważnionym dostępem. Konfiguracja z jedną zaporą ogniową zalecana jest w mniejszych sieciach. Należy zauważyć, że konfiguracja taka stanowi pojedynczy punkt awarii i jednocześnie sama zapora może zostać przeciążona. Konfiguracja z dwiema zaporami ogniowymi jest polecana do większych i bardziej rozbudowanych sieci, gdzie natężenie ruchu jest znacznie większe.

05 Strefa zdemilitaryzowana - DMZ

Planowanie bezpieczeństwa sieciowego wymaga oceny ryzyka związanego z utratą danych, uzyskaniem nieautoryzowanego dostępu. Plan musi również uwzględniać czynnik kosztów, stopień wyszkolenia personelu, platformy i sprzęt wykorzystywany w sieci. Zapory ogniowe, a co za tym idzie strefy DMZ zapewniają wielowarstwowy

model bezpieczeństwa. W przeszłości zapory ogniowe były wykorzystywane jedynie do podziału sieci na dwie części, sieć wewnętrzną i zewnętrzną (publiczną). Obecnie ze względu na dostępność narzędzi służących do przeprowadzania włamań i łatwość z jaką mogą być przeprowadzane ataki, włącznie z atakami wykorzystującymi fałszowanie adresów, konieczne jest dokładniejsze izolowanie sieci i lepsza ochrona przechowywanych w niej sieci. Zatem konieczne jest stosowanie stref zdemilitaryzowanych. Na powyższym rysunku przedstawiono przykład budowy prostej strefy DMZ.

THANK YOU!

RAFAŁ PODLEŚNY

KOLEJNYM TEMATEM BĘDZIE:Podstawy bezpieczeństwa sieciowego,rodzaje włamań i ataków sieciowych