Systemy wykrywania intruzów (włamań sieciowych)

Systemy wykrywania intruzów (włamań sieciowych)

Systemy wykrywania intruzów IDS

Zalogowanie podejrzanych zdarzeń

Wykrycie w sieci nieprawidłowego zachowania

Zadania systemów wykrywania intruzów (IDS – ang. Intrusion Detection System)

Zidentyfikowanie niebezpiecznych działań zachodzących w sieci

Powiadomienie osób administrujących siecią

Systemy wykrywania intruzów IDS

Włamanie do systemu

ETAP PIERWSZY

ETAP DRUGI

próba penetracji systemu będącego celem ataku. Intruz usiłuje znaleźć lukę w systemie (na przykład próbuje skanować porty) umożliwiającą wtargnięcie do systemu poprzez ominięcie systemów zabezpieczających

wtargnięcie do systemu, jednocześnie odbywa się próba zamaskowania obecności intruza poprzez odpowiednie zmiany w logach systemowych. Włamywacz podejmuje również próby modyfikacji narzędzi systemowych tak, by uniemożliwić swoje wykrycie.

Systemy IDS

Systemy wykrywania intruzów IDS

Analiza heurystyczna

Dopasowywanie wzorców

Metody zidentyfikowania intruza wewnątrz chronionej sieci

Analiza anomalii

Kontekstowe dopasowywanie wzorców

Mimo ciągłego rozwoju systemów IDS, napotykają one na liczne przeszkody, które zniekształcają prawidłowe działanie oprogramowania, są to:

1. Mnogość aplikacji - w przypadku ataku na konkretną aplikację, polegającym na podawaniu jej nietypowych danych, system musi rozumieć protokół, którego dana aplikacja używa. Protokołów sieciowych jest bardzo dużo, system IDS nie może znać ich wszystkich, dlatego zna tylko pewien ich podzbiór. Fakt ten może zostać wykorzystany do próby ataku na sieć chronioną przez IDS.2. Defragmentacja pakietów - wykrycie ataku rozłożonego na kilka pakietów wymaga monitorowania przebiegu sesji. Takie działanie pochłania jednak część zasobów, systemy IDS mają problemy z działaniem przy transmisji pakietów przekraczającej 63mb/s. 3. Fałszywe alarmy. 4. Ograniczenia zasobów - zajęcie wszystkich zasobów sensora jest wykorzystywane do ataków na sieci chronione przez IDS

Systemy wykrywania intruzów IDS

Blokowanie usług

Nieautoryzowany dostęp do zasobów

Rodzaje ataków wykrywanych przez systemy IDS

Ataki zorientowane na aplikacje

Nieuprawniona modyfikacja zasobów

Rodzaje systemów IDS

NNIDS

HIDS

NIDS

Schemat systemu NIDS

Network Intrusion Detection System

Takie rozwiązanie umożliwia skuteczne monitorowanie wydzielonego segmentu sieci. System NIDS może podsłuchiwać wszelką komunikację prowadzoną w tej sieci. Można zauważyć, że to rozwiązanie nastawione jest na ochronę publicznie dostępnych serwerów zlokalizowanych w podsieciach stref zdemilitaryzowanych.

Schemat systemu HIDS

Host Intrusion Detection System

Podstawowa różnica między HIDS a NIDS polega na tym, iż w tym przypadku chroniony jest tylko komputer, na którym system rezyduje. Ponadto system HIDS można uruchamiać na firewallach, zabezpieczając go tym samym.

Schemat systemu NNIDS

Network Node Intrusion Detection System

System składający się z czterech sensorów i centralnego systemu zarządzającego. Standardowo systemy NNIDS funkcjonują w ramach architektury przeznaczonej do obsługi zarządzania i badania sieci.

Sensory wykrywania włamań systemów NIDS zlokalizowane są zdalnie w odpowiednich miejscach i składają raporty do centralnego systemu zarządzania NIDS. Dzienniki ataków są co jakiś czas dostarczane do systemu zarządzającego i mogą być tam przechowywane w centralnej bazie danych. Z kolei nowe sygnatury ataków mogą być ładowane do systemów-sensorów. Zgodnie z rysunkiem sensory NIDS1 i NIDS2 operują w cichym trybie odbierania i chronią serwery dostępu publicznego. Z kolei sensory NIDS3 i NIDS4 chronią systemy hostów znajdujących się wewnątrz sieci zaufanej.

01 Zapora ogniowa (ang. firewall)

Najczęściej firewallem jest dedykowany program, który użytkownik instaluje w systemie operacyjnym. Bywa także usługa, którą można aktywować u operatora internetowego za drobna opłatą, lub elementem infrastruktury sieciowej – osobnym komputerem, modułem sieciowym lub elementem routera.

02 Zapora ogniowa (ang. firewall)

- Zapora ogniowa (ang. firewall) jest jednym z najefektywniejszych narzędzi bezpieczeństwa służących do zabezpieczania wewnętrznych użytkowników przed zagrożeniami zewnętrznymi. - Zapora ogniowa stoi na granicy dwóch lub więcej sieci i kontroluje ruch pomiędzy nimi oraz pomaga zapobiec nieupoważnionemu dostępowi. - Zapory ogniowe używają różnych technik w celu określenia, jaki dostęp do sieci ma zostać przepuszczony, a jaki zablokowany. Ochrona systemów informatycznych określona w polityce bezpieczeństwa zakłada wykorzystywanie firewalli jako blokady przesyłania nieautoryzowanych danych między sieciami wewnętrzną i zewnętrzną.

Podstawowe funkcje zapór ogniowych

• ochrona adresów IP i przesyłanie komunikacji

• oddzielenie sieci

• ochrona przed atakami i skanowaniem

• filtrowanie adresów IP

• filtrowanie zawartości

• przekierowywanie pakietów

• uwierzytelnienie i szyfrowanie

• rejestrowanie komunikacji w dziennikach

01 Użycie zapory ogniowej

W powyższym przykładzie zastosowano zaporę ogniową do ochrony wewnętrznych zasobów sieci komputerowej.

Natomiast serwer WWW dedykowany dla klientów z Internetu jest całkowicie dostępny na ataki, a jego działanie uzależnione od zastosowanej platformy serwerowej i poprawności konfiguracji.

02 Użycie zapory ogniowej

W powyższym przypadku pomimo, że serwer WWW jest umieszczony za zaporą ogniową nie jest to rozwiązanie jeszcze idealne.

Konfiguracja urządzenia pozwalającego na przepuszczanie ruchu na porcie 80 (protokół http) i 443 (protokół https) konieczna do zapewnienia właściwej obsługi ruchu przychodzącego daje włamywaczowi możliwość przeprowadzenia ataku na wewnętrzną sieć LAN.

03 Użycie zapory ogniowej

W powyższym przypadku zastosowano strefę zdemilitaryzowaną (ang. Demilitarized Zone, DMZ). Określenie to zapożyczone zostało z terminologii wojskowej, gdzie DMZ jest określonym obszarem pomiędzy wrogimi siłami, w którym aktywność militarna jest zakazana.

W sieciach komputerowych DMZ to obszar sieci, który jest dostępny zarówno dla wewnętrznych jak i zewnętrznych użytkowników. Jest bardziej bezpieczny od zewnętrznej sieci, lecz mniej bezpieczny - od wewnętrznej. Obszar ten jest tworzony przez jeden lub klika firewalli i ma za zadanie odseparowanie sieci od siebie. Serwery WWW przeznaczone do publicznego dostępu często umieszcza się właśnie w DMZ.

04 Użycie zapory ogniowej

W powyższym wariancie zastosowano dwie zapory ogniowe ze strefą DMZ umieszczoną pomiędzy nimi. Zewnętrzna zapora ogniowa jest mniej restrykcyjna i zezwala użytkownikom z Internetu na dostęp do usług w DMZ jednocześnie przepuszczając ruch zainicjowany przez użytkowników wewnętrznych. Wewnętrzna zapora ogniowa jest bardziej restrykcyjny -

chroni wewnętrzną sieć przed nieupoważnionym dostępem. Konfiguracja z jedną zaporą ogniową zalecana jest w mniejszych sieciach. Należy zauważyć, że konfiguracja taka stanowi pojedynczy punkt awarii i jednocześnie sama zapora może zostać przeciążona. Konfiguracja z dwiema zaporami ogniowymi jest polecana do większych i bardziej rozbudowanych sieci, gdzie natężenie ruchu jest znacznie większe.

05 Strefa zdemilitaryzowana - DMZ

Planowanie bezpieczeństwa sieciowego wymaga oceny ryzyka związanego z utratą danych, uzyskaniem nieautoryzowanego dostępu. Plan musi również uwzględniać czynnik kosztów, stopień wyszkolenia personelu, platformy i sprzęt wykorzystywany w sieci. Zapory ogniowe, a co za tym idzie strefy DMZ zapewniają wielowarstwowy

model bezpieczeństwa. W przeszłości zapory ogniowe były wykorzystywane jedynie do podziału sieci na dwie części, sieć wewnętrzną i zewnętrzną (publiczną). Obecnie ze względu na dostępność narzędzi służących do przeprowadzania włamań i łatwość z jaką mogą być przeprowadzane ataki, włącznie z atakami wykorzystującymi fałszowanie adresów, konieczne jest dokładniejsze izolowanie sieci i lepsza ochrona przechowywanych w niej sieci. Zatem konieczne jest stosowanie stref zdemilitaryzowanych. Na powyższym rysunku przedstawiono przykład budowy prostej strefy DMZ.

THANK YOU!

RAFAŁ PODLEŚNY

KOLEJNYM TEMATEM BĘDZIE:Podstawy bezpieczeństwa sieciowego,rodzaje włamań i ataków sieciowych