Systemy wykrywania intruzów (włamań sieciowych)

Systemy wykrywania intruzów (włamań sieciowych)

Zadania systemów wykrywania intruzów (IDS – ang. Intrusion Detection System)

Zalogowanie podejrzanych zdarzeń

Zidentyfikowanie niebezpiecznych działań zachodzących w sieci

Powiadomienie osób administrujących siecią

Wykrycie w sieci nieprawidłowego zachowania

Systemy wykrywania intruzów IDS

Systemy IDS

Włamanie do systemu

próba penetracji systemu będącego celem ataku. Intruz usiłuje znaleźć lukę w systemie (na przykład próbuje skanować porty) umożliwiającą wtargnięcie do systemu poprzez ominięcie systemów zabezpieczających

wtargnięcie do systemu, jednocześnie odbywa się próba zamaskowania obecności intruza poprzez odpowiednie zmiany w logach systemowych. Włamywacz podejmuje również próby modyfikacji narzędzi systemowych tak, by uniemożliwić swoje wykrycie.

ETAP DRUGI

ETAP PIERWSZY

Systemy wykrywania intruzów IDS

Metody zidentyfikowania intruza wewnątrz chronionej sieci

Analiza anomalii

Analiza heurystyczna

Kontekstowe dopasowywanie wzorców

Dopasowywanie wzorców

Systemy wykrywania intruzów IDS

1. Mnogość aplikacji - w przypadku ataku na konkretną aplikację, polegającym na podawaniu jej nietypowych danych, system musi rozumieć protokół, którego dana aplikacja używa. Protokołów sieciowych jest bardzo dużo, system IDS nie może znać ich wszystkich, dlatego zna tylko pewien ich podzbiór. Fakt ten może zostać wykorzystany do próby ataku na sieć chronioną przez IDS.2. Defragmentacja pakietów - wykrycie ataku rozłożonego na kilka pakietów wymaga monitorowania przebiegu sesji. Takie działanie pochłania jednak część zasobów, systemy IDS mają problemy z działaniem przy transmisji pakietów przekraczającej 63mb/s. 3. Fałszywe alarmy. 4. Ograniczenia zasobów - zajęcie wszystkich zasobów sensora jest wykorzystywane do ataków na sieci chronione przez IDS

Mimo ciągłego rozwoju systemów IDS, napotykają one na liczne przeszkody, które zniekształcają prawidłowe działanie oprogramowania, są to:

Rodzaje ataków wykrywanych przez systemy IDS

Ataki zorientowane na aplikacje

Blokowanie usług

Nieuprawniona modyfikacja zasobów

Nieautoryzowany dostęp do zasobów

Systemy wykrywania intruzów IDS

HIDS

NNIDS

NIDS

Rodzaje systemów IDS

Takie rozwiązanie umożliwia skuteczne monitorowanie wydzielonego segmentu sieci. System NIDS może podsłuchiwać wszelką komunikację prowadzoną w tej sieci. Można zauważyć, że to rozwiązanie nastawione jest na ochronę publicznie dostępnych serwerów zlokalizowanych w podsieciach stref zdemilitaryzowanych.

Schemat systemu NIDS

Network Intrusion Detection System

Podstawowa różnica między HIDS a NIDS polega na tym, iż w tym przypadku chroniony jest tylko komputer, na którym system rezyduje. Ponadto system HIDS można uruchamiać na firewallach, zabezpieczając go tym samym.

Schemat systemu HIDS

Host Intrusion Detection System

Sensory wykrywania włamań systemów NIDS zlokalizowane są zdalnie w odpowiednich miejscach i składają raporty do centralnego systemu zarządzania NIDS. Dzienniki ataków są co jakiś czas dostarczane do systemu zarządzającego i mogą być tam przechowywane w centralnej bazie danych. Z kolei nowe sygnatury ataków mogą być ładowane do systemów-sensorów. Zgodnie z rysunkiem sensory NIDS1 i NIDS2 operują w cichym trybie odbierania i chronią serwery dostępu publicznego. Z kolei sensory NIDS3 i NIDS4 chronią systemy hostów znajdujących się wewnątrz sieci zaufanej.

System składający się z czterech sensorów i centralnego systemu zarządzającego. Standardowo systemy NNIDS funkcjonują w ramach architektury przeznaczonej do obsługi zarządzania i badania sieci.

Schemat systemu NNIDS

Network Node Intrusion Detection System

Najczęściej firewallem jest dedykowany program, który użytkownik instaluje w systemie operacyjnym. Bywa także usługa, którą można aktywować u operatora internetowego za drobna opłatą, lub elementem infrastruktury sieciowej – osobnym komputerem, modułem sieciowym lub elementem routera.

01 Zapora ogniowa (ang. firewall)

02 Zapora ogniowa (ang. firewall)

- Zapora ogniowa (ang. firewall) jest jednym z najefektywniejszych narzędzi bezpieczeństwa służących do zabezpieczania wewnętrznych użytkowników przed zagrożeniami zewnętrznymi. - Zapora ogniowa stoi na granicy dwóch lub więcej sieci i kontroluje ruch pomiędzy nimi oraz pomaga zapobiec nieupoważnionemu dostępowi. - Zapory ogniowe używają różnych technik w celu określenia, jaki dostęp do sieci ma zostać przepuszczony, a jaki zablokowany. Ochrona systemów informatycznych określona w polityce bezpieczeństwa zakłada wykorzystywanie firewalli jako blokady przesyłania nieautoryzowanych danych między sieciami wewnętrzną i zewnętrzną.

• rejestrowanie komunikacji w dziennikach

• uwierzytelnienie i szyfrowanie

• przekierowywanie pakietów

• filtrowanie zawartości

• filtrowanie adresów IP

• oddzielenie sieci

• ochrona przed atakami i skanowaniem

• ochrona adresów IP i przesyłanie komunikacji

Podstawowe funkcje zapór ogniowych

Natomiast serwer WWW dedykowany dla klientów z Internetu jest całkowicie dostępny na ataki, a jego działanie uzależnione od zastosowanej platformy serwerowej i poprawności konfiguracji.

W powyższym przykładzie zastosowano zaporę ogniową do ochrony wewnętrznych zasobów sieci komputerowej.

01 Użycie zapory ogniowej

Konfiguracja urządzenia pozwalającego na przepuszczanie ruchu na porcie 80 (protokół http) i 443 (protokół https) konieczna do zapewnienia właściwej obsługi ruchu przychodzącego daje włamywaczowi możliwość przeprowadzenia ataku na wewnętrzną sieć LAN.

W powyższym przypadku pomimo, że serwer WWW jest umieszczony za zaporą ogniową nie jest to rozwiązanie jeszcze idealne.

02 Użycie zapory ogniowej

W sieciach komputerowych DMZ to obszar sieci, który jest dostępny zarówno dla wewnętrznych jak i zewnętrznych użytkowników. Jest bardziej bezpieczny od zewnętrznej sieci, lecz mniej bezpieczny - od wewnętrznej. Obszar ten jest tworzony przez jeden lub klika firewalli i ma za zadanie odseparowanie sieci od siebie. Serwery WWW przeznaczone do publicznego dostępu często umieszcza się właśnie w DMZ.

W powyższym przypadku zastosowano strefę zdemilitaryzowaną (ang. Demilitarized Zone, DMZ). Określenie to zapożyczone zostało z terminologii wojskowej, gdzie DMZ jest określonym obszarem pomiędzy wrogimi siłami, w którym aktywność militarna jest zakazana.

03 Użycie zapory ogniowej

chroni wewnętrzną sieć przed nieupoważnionym dostępem. Konfiguracja z jedną zaporą ogniową zalecana jest w mniejszych sieciach. Należy zauważyć, że konfiguracja taka stanowi pojedynczy punkt awarii i jednocześnie sama zapora może zostać przeciążona. Konfiguracja z dwiema zaporami ogniowymi jest polecana do większych i bardziej rozbudowanych sieci, gdzie natężenie ruchu jest znacznie większe.

W powyższym wariancie zastosowano dwie zapory ogniowe ze strefą DMZ umieszczoną pomiędzy nimi. Zewnętrzna zapora ogniowa jest mniej restrykcyjna i zezwala użytkownikom z Internetu na dostęp do usług w DMZ jednocześnie przepuszczając ruch zainicjowany przez użytkowników wewnętrznych. Wewnętrzna zapora ogniowa jest bardziej restrykcyjny -

04 Użycie zapory ogniowej

model bezpieczeństwa. W przeszłości zapory ogniowe były wykorzystywane jedynie do podziału sieci na dwie części, sieć wewnętrzną i zewnętrzną (publiczną). Obecnie ze względu na dostępność narzędzi służących do przeprowadzania włamań i łatwość z jaką mogą być przeprowadzane ataki, włącznie z atakami wykorzystującymi fałszowanie adresów, konieczne jest dokładniejsze izolowanie sieci i lepsza ochrona przechowywanych w niej sieci. Zatem konieczne jest stosowanie stref zdemilitaryzowanych. Na powyższym rysunku przedstawiono przykład budowy prostej strefy DMZ.

Planowanie bezpieczeństwa sieciowego wymaga oceny ryzyka związanego z utratą danych, uzyskaniem nieautoryzowanego dostępu. Plan musi również uwzględniać czynnik kosztów, stopień wyszkolenia personelu, platformy i sprzęt wykorzystywany w sieci. Zapory ogniowe, a co za tym idzie strefy DMZ zapewniają wielowarstwowy

05 Strefa zdemilitaryzowana - DMZ

KOLEJNYM TEMATEM BĘDZIE:Podstawy bezpieczeństwa sieciowego,rodzaje włamań i ataków sieciowych

RAFAŁ PODLEŚNY

THANK YOU!