1 INTRUSION DETECTION SYSTEMSIDS – zajmują się wykrywaniem prób ataku na system Często używane z firewall'ami Uzupełnienie systemu bezpieczeństwa Zadania: Monitorowanie systemu Detekcja ataków Podejmowanie odpowiednich działań w zależności od zagrożenia (mail, pager ...)
2 Dlaczego IDS? W rzeczywistości większość zagrożeń od wewnątrz (firewall nie działa) Radzą sobie z Denial of Service – monitorując ruch sieciowy Typy: Oparte na „gospodarzu” - Host-Based IDS Oparte na sieci – Network-Based IDS
3 Host-Based IDS Najwcześniejsze rozwiązanieZbierają i analizują informacje na 1 komputerze np. zbieranie logów z innych komputerów w sieci Rozwiązanie może stać się niepraktyczne przy dużych sieciach W przypadku odcięcia hosta od sieci nie działa Windows Security Event Logs, IBM Tivoli Intrusion Manager, UNIX Syslog, SunSHIELD Basic Security Module
4 Network-Based IDS Sprawdzanie pakietów poruszających się po sieciSystemy rozproszone Zwiększona odporność na ataki z zewnątrz Po zalogowaniu intruz najlepiej śledzony przez HIDS, przed - NIDS Źle działa gdy pakiety szyfrowane (wydajność) Wąskie gardło gdy ruch jest bardzo szybki Cisco Secure IDS, Shadow, Snort!, Dragon, NFR, RealSecure, NetProwler
5 HIDS i NIDS jednocześnieRozproszona sieć agentów HIDS Dobra implementacja powinna działać tak jak HIDS, w czasie rzeczywistym HIDS priorytetowy NIDS przy 100 Mbps/szyfrowaniu nie działa wydajnie
6 Techniki: Anomaly detectionDo wykrycia niestandardowych zachowań Przechowywany zbiór standardowych zachowań, np: Kilkudziesięciokrotne logowanie, Bycie zalogowanym w nocy, Kontrola zestawu programów uruchomionych w ciągu dnia
7 Techniki: Misuse/signature detectionPrzechowywany zbiór zachowań niepożądanych (sygnatury), np: Trzykrotne niepoprawne logowanie, Inicjacja połączenia FTP w nieprawidłowy sposób, Natrafienie na sygnaturę nie musi oznaczać realnego zagrożenia
8 Techniki: Target monitoringCzy określone pliki zostały zmodyfikowane Skorygowanie ewentualnych zmian Nie wymaga monitorowania przez administratora Porównywanie plików za pomocą haszowania i porównania haszów
9 Intrusion Prevention SystemsWykrywanie ataków na system z zewnątrz jak i od wewnątrz Uniemożliwienie takich ataków W przybliżeniu – połączenie zapory sieciowej i IDS
10 Inline Network-Based IDSDwie karty sieciowe Jedna karta do wykrywania zagrożeń, bez przypisanego IP – niewidoczna Cały ruch sieciowy sprawdzany w/g sygnatur Packet scrubbing – zmienianie pakietów by nie działały, nieświadomy atakujący Problemy przy awarii komputera z InlineNIDS Jedynie określone aplikacje Nie ma ochrony bez zdefiniowanych sygnatur Zastosowanie: mainframe'y, serwery
11 Layer Seven Switches Siódma zamiast drugiej warstwy OSI (aplikacja / dane) Równoważą obciążenie określonej aplikacji między kilka serwerów Radzą sobie z DoS Mogą być stosowane w wymagających sieciach (rzędu Gbps) Umieszcza się przed zaporami sieciowymi Urządzenia konfigurowalne Ochrona działa gdy określone są sygnatury
12 Application Firewalls/IDSAplikacja uruchamiana na każdym chronionym komputerze Zamiast pakietów sprawdzane są: Wywołania API Zarządzanie pamięcią (przepełnienie bufora) Interakcje z systemem operacyjnym Ochrona przed błędami programistycznymi i nieznanymi atakami Tworzony profil systemu Trudność profilowania Profilowanie przy modyfikacji systemu Skupienie na każdej pojedynczej aplikacji
13 Hybrid switches Połączenie aplikacyjnych systemów ochrony przed intruzami i przełączników siódmej warstwy Umieszczenie sprzętu przed firewall'em Następuje „profilowanie” normalnego działania aplikacji sieciowych Efekty służą jako wzorce Gdy ruch sieciowy zbyt duży, warto dodać przełącznik warstwy siódmej
14 Deceptive applicationsOszukanie atakującego Zbierane informacje nt. normalnego ruchu pakietów w sieci Odpowiednio zaznaczona odpowiedź dla intruza Intruz kontynuuje atak Można rozpoznać intruza Można zebrać dowody, przerwać połączenie