Systemy wykrywania intruzów (włamań sieciowych)
agatip
Created on April 11, 2020
More creations to inspire you
CHRIST THE REDEEMER
Interactive Image
ANCIENT EGYPT
Interactive Image
PYRAMIDS OF GUIZA
Interactive Image
THANKSGIVING GENIALLY
Interactive Image
10 THINGS MORE LIKELY THAN DYING IN A PLANE CRASH
Interactive Image
AMAZON RAINFOREST
Interactive Image
THE HISTORY OF THE VIOLIN
Interactive Image
Transcript
Systemy wykrywania intruzów (włamań sieciowych)
Systemy wykrywania intruzów IDS
Wykrycie w sieci nieprawidłowego zachowania
Powiadomienie osób administrujących siecią
Zidentyfikowanie niebezpiecznych działań zachodzących w sieci
Zalogowanie podejrzanych zdarzeń
Zadania systemów wykrywania intruzów(IDS – ang. Intrusion Detection System)
Zadaniem IDS jest identyfikacja zagrożenia w sieci komputerowej. Podstawą wykrywania włamań jest monitorowanie ruchu w sieci. Systemy wykrywania włamań działają w oparciu o informacje odnoszące się do aktywności chronionego systemu. Współczesne systemy IDS analizują w czasie rzeczywistym aktywność w sieci.
Systemy wykrywania intruzów IDS
ETAP PIERWSZY
ETAP DRUGI
wtargnięcie do systemu, jednocześnie odbywa się próba zamaskowania obecności intruza poprzez odpowiednie zmiany w logach systemowych. Włamywacz podejmuje również próby modyfikacji narzędzi systemowych tak, by uniemożliwić swoje wykrycie.
próba penetracji systemu będącego celem ataku. Intruz usiłuje znaleźć lukę w systemie (na przykład próbuje skanować porty) umożliwiającą wtargnięcie do systemu poprzez ominięcie systemów zabezpieczających
Włamanie do systemu
Systemy IDS
Włamanie do systemu najczęściej przebiega w dwóch etapach
Systemy IDS analizują procesy zachodzące w newralgicznych obszarach sieci objętej ochroną. Pozwalają więc wykryć niepożądane zajścia podczas próby włamania oraz po udanym włamaniu – jest to bardzo ważne ze względów bezpieczeństwa, ponieważ IDS działa dwufazowo – nawet jeżeli intruz zdoła włamać się do systemu, nadal może zostać wykryty i unieszkodliwiony, mimo usilnego zacierania śladów swojej działalności.
Systemy wykrywania intruzów IDS
Dopasowywanie wzorców
Kontekstowe dopasowywanie wzorców
Analiza heurystyczna
Analiza anomalii
Metody zidentyfikowania intruza wewnątrz chronionej sieci
Dopasowywanie wzorców - jest to najprostsza metoda detekcji intruza; pojedynczy pakiety porównywany jest z listą reguł. Jeśli któryś z warunków zostanie spełniony uruchamiany jest alarm.
Kontekstowe dopasowywanie wzorców - w kontekstowym dopasowywaniu pakietu, system bierze pod uwagę kontekst każdego pakietu. Śledzi połączenia, dokonuje łączenia fragmentowanych pakietów.
Analiza anomalii - sygnatury anomalii starają się wykryć ruch sieciowy, który odbiega od normy. Największym problemem jest określenie stanu uważanego za normalny.
Analiza heurystyczna - wykorzystuje algorytmy do identyfikacji niepożądanego działania. Algorytmy te są zwykle statystyczną oceną normalnego ruchu sieciowego. Przykładowo algorytm stwierdzający skanowanie portów wykazuje, że takie wydarzenie miało miejsce, jeżeli z jednego adresu w krótkim czasie nastąpi próba połączeń z wieloma portami.
Mimo ciągłego rozwoju systemów IDS, napotykają one na liczne przeszkody, które zniekształcają prawidłowe działanie oprogramowania, są to:
1. Mnogość aplikacji - w przypadku ataku na konkretną aplikację, polegającym na podawaniu jej nietypowych danych, system musi rozumieć protokół, którego dana aplikacja używa. Protokołów sieciowych jest bardzo dużo, system IDS nie może znać ich wszystkich, dlatego zna tylko pewien ich podzbiór. Fakt ten może zostać wykorzystany do próby ataku na sieć chronioną przez IDS.2. Defragmentacja pakietów - wykrycie ataku rozłożonego na kilka pakietów wymaga monitorowania przebiegu sesji. Takie działanie pochłania jednak część zasobów, systemy IDS mają problemy z działaniem przy transmisji pakietów przekraczającej 63mb/s. 3. Fałszywe alarmy. 4. Ograniczenia zasobów - zajęcie wszystkich zasobów sensora jest wykorzystywane do ataków na sieci chronione przez IDS
Systemy wykrywania intruzów IDS
Nieautoryzowany dostęp do zasobów
Nieuprawniona modyfikacja zasobów
Blokowanie usług
Ataki zorientowane na aplikacje
Rodzaje ataków wykrywanych przez systemy IDS
Nieautoryzowany dostęp do zasobów – najbardziej liczna grupa ataków zawierająca w sobie między innymi łamanie haseł dostępowych, używanie koni trojańskich oraz podszywanie się.
Nieuprawniona modyfikacja zasobów – zawiera w sobie nieuprawnioną modyfikację oraz kasowanie danych oraz generowanie nieuprawnionych transmisji danych.
Ataki zorientowane na aplikacje – ataki wykorzystujące błędy oraz luki zawarte w aplikacjach.
Blokowanie usług – przede wszystkim ataki typu DoS/DDoS.
Rodzaje systemów IDS
NIDS
NNIDS
HIDS
NIDS (ang. Network Intrusion Detection System) – rozwiązania sprzętowe lub programowe śledzące sieć
HIDS (ang. Host Intrusion Detection System) – aplikacje instalowane na chronionych serwerach usług sieciowych
–NNIDS (ang. Network Node Intrusion Detection System) – rozwiązania hybrydowe
Pierwsze rozwiązania systemów wykrywania włamań polegały przede wszystkim na szczegółowej analizie wystąpienia niebezpiecznego zdarzenia. Współczesne aplikacje IDS wykonują dodatkowo monitorowanie sieci oraz wykrywanie i reagowanie w czasie rzeczywistym na nieautoryzowane działania w sieci.
Network Intrusion Detection System
Schemat systemu NIDS
Takie rozwiązanie umożliwia skuteczne monitorowanie wydzielonego segmentu sieci. System NIDS może podsłuchiwać wszelką komunikację prowadzoną w tej sieci. Można zauważyć, że to rozwiązanie nastawione jest na ochronę publicznie dostępnych serwerów zlokalizowanych w podsieciach stref zdemilitaryzowanych.
Host Intrusion Detection System
Schemat systemu HIDS
Podstawowa różnica między HIDS a NIDS polega na tym, iż w tym przypadku chroniony jest tylko komputer, na którym system rezyduje. Ponadto system HIDS można uruchamiać na firewallach, zabezpieczając go tym samym.
Network Node Intrusion Detection System
Schemat systemu NNIDS
System składający się z czterech sensorów i centralnego systemu zarządzającego. Standardowo systemy NNIDS funkcjonują w ramach architektury przeznaczonej do obsługi zarządzania i badania sieci.
Sensory wykrywania włamań systemów NIDS zlokalizowane są zdalnie w odpowiednich miejscach i składają raporty do centralnego systemu zarządzania NIDS. Dzienniki ataków są co jakiś czas dostarczane do systemu zarządzającego i mogą być tam przechowywane w centralnej bazie danych. Z kolei nowe sygnatury ataków mogą być ładowane do systemów-sensorów. Zgodnie z rysunkiem sensory NIDS1 i NIDS2 operują w cichym trybie odbierania i chronią serwery dostępu publicznego. Z kolei sensory NIDS3 i NIDS4 chronią systemy hostów znajdujących się wewnątrz sieci zaufanej.
01 Zapora ogniowa (ang. firewall)
Najczęściej firewallem jest dedykowany program, który użytkownik instaluje w systemie operacyjnym. Bywa także usługa, którą można aktywować u operatora internetowego za drobna opłatą, lub elementem infrastruktury sieciowej – osobnym komputerem, modułem sieciowym lub elementem routera.
- Zapora ogniowa (ang. firewall) jest jednym z najefektywniejszych narzędzi bezpieczeństwa służących do zabezpieczania wewnętrznych użytkowników przed zagrożeniami zewnętrznymi. - Zapora ogniowa stoi na granicy dwóch lub więcej sieci i kontroluje ruch pomiędzy nimi oraz pomaga zapobiec nieupoważnionemu dostępowi. - Zapory ogniowe używają różnych technik w celu określenia, jaki dostęp do sieci ma zostać przepuszczony, a jaki zablokowany.Ochrona systemów informatycznych określona w polityce bezpieczeństwa zakłada wykorzystywanie firewalli jako blokady przesyłania nieautoryzowanych danych między sieciami wewnętrzną i zewnętrzną.
02 Zapora ogniowa (ang. firewall)
Podstawowe funkcje zapór ogniowych
- ochrona adresów IP i przesyłanie komunikacji
- ochrona przed atakami i skanowaniem
- oddzielenie sieci
- filtrowanie adresów IP
- filtrowanie zawartości
- przekierowywanie pakietów
- uwierzytelnienie i szyfrowanie
- rejestrowanie komunikacji w dziennikach
Dzięki tej funkcji możliwe jest tworzenie dodatkowych podsieci. Mając do dyspozycji pojedynczy adres IP można utworzyć sieć lokalną LAN a nawet rozległą WAN
Firewall jest przede wszystkim narzędziem służącym do tworzenia granic między sieciami. Nie musi on jednak być umiejscowiony między siecią publiczną a prywatną. Firewalle umieszcza się również wewnątrz sieci firmowych,
Za pomocą firewalla można ograniczyć dowolny typ komunikacji sieciowej
Funkcja ta pozwala na zarządzanie połączeniami w zależności od adresu IP oraz portu
Serwery pośredniczące proxy są jedynym typem firewalli, które są w stanie analizować komunikację badając adresy URL oraz zawartość stron WWW
Funkcja ta przesyłanie komunikacji na zupełnie inny port lub host niż ten, do którego został wysłany
Firewall umożliwia uwierzytelnienie użytkowników i szyfrowanie transmisji wykonywanych między nim a firewallem innej sieci
Firewall pozwala na przegląd szczegółowych informacji na temat pakietów sieciowych przechodzących przez niego
01 Użycie zapory ogniowej
W powyższym przykładzie zastosowano zaporę ogniową do ochrony wewnętrznych zasobów sieci komputerowej.
Natomiast serwer WWW dedykowany dla klientów z Internetu jest całkowicie dostępny na ataki, a jego działanie uzależnione od zastosowanej platformy serwerowej i poprawności konfiguracji.
02 Użycie zapory ogniowej
W powyższym przypadku pomimo, że serwer WWW jest umieszczony za zaporą ogniową nie jest to rozwiązanie jeszcze idealne.
Konfiguracja urządzenia pozwalającego na przepuszczanie ruchu na porcie 80 (protokół http) i 443 (protokół https) konieczna do zapewnienia właściwej obsługi ruchu przychodzącego daje włamywaczowi możliwość przeprowadzenia ataku na wewnętrzną sieć LAN.
03 Użycie zapory ogniowej
W powyższym przypadku zastosowano strefę zdemilitaryzowaną (ang. Demilitarized Zone, DMZ). Określenie to zapożyczone zostało z terminologii wojskowej, gdzie DMZ jest określonym obszarem pomiędzy wrogimi siłami, w którym aktywność militarna jest zakazana.
W sieciach komputerowych DMZ to obszar sieci, który jest dostępny zarówno dla wewnętrznych jak i zewnętrznych użytkowników. Jest bardziej bezpieczny od zewnętrznej sieci, lecz mniej bezpieczny - od wewnętrznej. Obszar ten jest tworzony przez jeden lub klika firewalli i ma za zadanie odseparowanie sieci od siebie. Serwery WWW przeznaczone do publicznego dostępu często umieszcza się właśnie w DMZ.
04 Użycie zapory ogniowej
W powyższym wariancie zastosowano dwie zapory ogniowe ze strefą DMZ umieszczoną pomiędzy nimi. Zewnętrzna zapora ogniowa jest mniej restrykcyjna i zezwala użytkownikom z Internetu na dostęp do usług w DMZ jednocześnie przepuszczając ruch zainicjowany przez użytkowników wewnętrznych. Wewnętrzna zapora ogniowa jest bardziej restrykcyjny -
chroni wewnętrzną sieć przed nieupoważnionym dostępem. Konfiguracja z jedną zaporą ogniową zalecana jest w mniejszych sieciach. Należy zauważyć, że konfiguracja taka stanowi pojedynczy punkt awarii i jednocześnie sama zapora może zostać przeciążona. Konfiguracja z dwiema zaporami ogniowymi jest polecana do większych i bardziej rozbudowanych sieci, gdzie natężenie ruchu jest znacznie większe.
05 Strefa zdemilitaryzowana - DMZ
Planowanie bezpieczeństwa sieciowego wymaga oceny ryzyka związanego z utratą danych, uzyskaniem nieautoryzowanego dostępu. Plan musi również uwzględniać czynnik kosztów, stopień wyszkolenia personelu, platformy i sprzęt wykorzystywany w sieci. Zapory ogniowe, a co za tym idzie strefy DMZ zapewniają wielowarstwowy
model bezpieczeństwa. W przeszłości zapory ogniowe były wykorzystywane jedynie do podziału sieci na dwie części, sieć wewnętrzną i zewnętrzną (publiczną). Obecnie ze względu na dostępność narzędzi służących do przeprowadzania włamań i łatwość z jaką mogą być przeprowadzane ataki, włącznie z atakami wykorzystującymi fałszowanie adresów, konieczne jest dokładniejsze izolowanie sieci i lepsza ochrona przechowywanych w niej sieci. Zatem konieczne jest stosowanie stref zdemilitaryzowanych. Na powyższym rysunku przedstawiono przykład budowy prostej strefy DMZ.
THANK YOU!
RAFAŁ PODLEŚNY
KOLEJNYM TEMATEM BĘDZIE:Podstawy bezpieczeństwa sieciowego,rodzaje włamań i ataków sieciowych