Syst émy pro detekci neoprávněného průniku
-
Upload
whitney-atkins -
Category
Documents
-
view
17 -
download
1
description
Transcript of Syst émy pro detekci neoprávněného průniku
Systémy pro detekci neoprávněného průniku
Petr PanáčekE-mail: [email protected]
04/19/23 strana 2
Obsah prezentace
Technologický úvod IDS systémy firmy Cisco Systems Dohled a správa IDS systémů Doporučený design
04/19/23 strana 3
Technologický úvod
Intrusion Detection – schopnost odhalení neoprávněné, nesprávné nebo anomální aktivity (v počítačové síti nebo na serverech)
Intrusion Detection System - systém pro detekci neoprávněného průniku, kombinace HW, SW vybavení vhodně zakomponovaná do počítačové sítě
Signature – signatura, vzorek jehož výskyt (splnění množiny podmínek) indikuje pokus o neoprávněný průnik
04/19/23 strana 4
Dělení systémů pro detekci
Podle detekční metody Podle určení
Host-based IDS – systém pro servery Network-based IDS – systém pro síťové
prostředí
04/19/23 strana 5
Host-based IDS senzory
softwarové produkty monitoring
systémová volání, logy, chybová hlášení zamknutí důležitých souborů
ochrana před útoky: na OS a aplikace, Buffer Overflow na Web server, na HTTPS Chrání přístup ke zdrojům serveru před tím než
může dojít k neautorizované aktivitě chrání jen servery a koncové počítače není podpora pro všechny OS – problém v
heterogenních sítích
04/19/23 strana 6
Network-based IDS senzory
specializovaný HW (senzor) síťové rozhraní v promiskuitním módu monitoring všech paketů ochrana celé sítě (segmentu) přenosová rychlost monitorovacího
rozhraní může být omezením nemožnost detekovat útoky v
kryptovaném provozu
04/19/23 strana 7
--
Network-Based
Host-Based
++
• Je schopen ověřit zda byl útok úspěšný či nikoliv
• Funkčnost není ovlivněna propustností nebo použitím enkrypce
• Je schopen zabránit útoku
• Je schopen ověřit zda byl útok úspěšný či nikoliv
• Funkčnost není ovlivněna propustností nebo použitím enkrypce
• Je schopen zabránit útoku
• Využívá zdroje serveru
• Možnost použití závisí na OS
• Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server
• Využívá zdroje serveru
• Možnost použití závisí na OS
• Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server
• Chrání všechny koncové stanice na monitorované síti
• Neovlivňuje výkon koncových stanic/serverů
• Je schopen detekovat DoS útoky
• Chrání všechny koncové stanice na monitorované síti
• Neovlivňuje výkon koncových stanic/serverů
• Je schopen detekovat DoS útoky
• Náročnější implementace v prostředí přepínané LAN
• Monitoring >1Gb/s zatím problémem
• Obecně neumí proaktivně zastavit útok
• Náročnější implementace v prostředí přepínané LAN
• Monitoring >1Gb/s zatím problémem
• Obecně neumí proaktivně zastavit útok
Oba produkty se vzájemně doplňujíOba produkty se vzájemně doplňují
Porovnání Host vs Network based IDS
04/19/23 strana 8
Dělení systémů pro detekci
podle detekční metody Detekce vzoru Stavová detekce vzoru Dekódování protokolu Heuristická analýza Detekce anomálií
04/19/23 strana 9
Detekce vzoru
Porovnávání datových paketů s databází signatur známých útoků+ jednoduchá
+ přesná
+ použitelná pro všechny protokoly
- problematická detekce nových(modifikovaných) útoků
- vysoká míra chybné pozitivní detekce
- většinou inspekce jen v rámci jediného paketu – snadné vyhnutí se detekci
04/19/23 strana 10
Stavová detekce vzoru
Porovnávání datových toků s databází signatur známých útoků+ jednoduchá modifikace předchozí metody
+ přesná detekce
+ použitelná pro všechny protokoly
+ je obtížnější se detekci vyhnout
- problematická detekce nových(modifikovaných) útoků
- vysoká míra chybné pozitivní detekce
04/19/23 strana 11
Dekódování protokolu
Detekce nesprávného chování protokolu (kontrola vůči RFC)+ minimalizace míry chybné pozitivní detekce
+ přesná detekce
+ dobrá detekce modifikovaných útoků
+ spolehlivá reakce na porušení pravidel protokolu
- vysoká míra chybné pozitivní detekce – RFC může být nejednoznačné
- složitější a delší vývoj
04/19/23 strana 12
Heuristická analýza
Detekce založena na vyhodnocování (statistickém) typu datového provozu+ některé druhy podezřelých aktivit lze
detekovat jen touto metodou
- algoritmus často vyžaduje ladění – nastavování prahových hodnot, aby se zabránilo vysoké míře chybné pozitivní detekce
04/19/23 strana 13
Analýza anomálií
Detekce datového provozu, který se vymyká „normálu“
Využití metod umělé inteligence+ lze detekovat nové neznámé útoky
+ není potřeba vyvíjet nové signatury
- neurčitý popis výsledku detekce
- často příliš citlivá metoda
- úspěšnost závisí na prostředí, ve kterém se systém učí co je „normální“
V praxi se zatím příliš nevyužívá
04/19/23 strana 14
Odezva na detekované útoky
Odpovědí IDS na detekovaný útok může (ale nutně nemusí) být: reset podezřelého TCP spojení zahájení filtrace nebezpečného provozu na
směrovači nebo firewallu záznam podezřelé aktivity do logu
IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků
04/19/23 strana 15
Solution SetSolution Set
RouterSensorRouterSensor
HostSensorHostSensor
FirewallSensorFirewallSensor
MgmtMgmt
NetworkSensorNetworkSensor
IDS na platformách Cisco
42104210 42354235 42504250
Standard EditionStandard Edition Web Server EditionWeb Server Edition
17001700 26002600 36003600 7xxx7xxx
Secure Command Line
Secure Command Line
Web UIEmbedded Mgr
Web UIEmbedded Mgr
CiscoWorks VMSCiscoWorks VMS
SwitchSensorSwitchSensor
Catalyst 6500IDS Module
Catalyst 6500IDS Module
37003700
501501 506E506E 515E515E 525525 535535
04/19/23 strana 16
Vícevrstvý model ochrany sítě
4. Linie: Cisco Host IDS Detekuje a chrání před útoky na OS, služby, aplikace Inspekce datového provozu po dekrypci
1. Linie: IOS router Filtry, omezování šířky pásma blokování nechtěných komunikací
2. Linie: PIX Firewall provádí stavovou inspekci inspekci příkazů
3. Linie: Cisco Network IDS Monitoruje povolené komunikace identifikuje podezřelé, útočné aktivity na OSI vrstvách 3-7 může resetovat, blokovat nebo zahazovat podezřelé pakety/komunikace
04/19/23 strana 17
Implementace a provoz IDS
zvolit IDS kombinující více metod detekce
kombinace ochrany serverů a celých síťových segmentů
pravidelné vyhodnocování informací o útocích
pravidelné ladění systému, úpravy prahových hodnot
doplňování databáze signatur
04/19/23 strana 18
Závěr
Systémy pro detekci (a prevenci) neoprávněného průniku jsou vhodným doplňkem k firewallové ochraně sítě
Kombinací síťových IDS a IDS pro servery dosáhneme vysokého stupně ochrany před neoprávněnými aktivitami
Správná funkčnost IDS musí být podpořena pravidelným vyhodnocování získaných informací a aktualizací systému