NIDS (Network Intrusion Detection System) a NIPS (Network Intrusion Prevention System)

author
5 minutes, 57 seconds Read
X

soukromí & Cookies

tento web používá cookies. Pokračováním souhlasíte s jejich použitím. Další informace, včetně toho, jak ovládat soubory cookie.

Mám To!

reklamy

NIDS a NIPS (Behavior based, signature based, anomaly based, heuristic)

systém detekce narušení (IDS) je software, který běží na Serveru nebo síťovém zařízení pro sledování a sledování aktivity sítě. Pomocí ID může správce sítě nakonfigurovat systém tak, aby monitoroval aktivitu sítě kvůli podezřelému chování, které může naznačovat pokusy o neoprávněný přístup. IDSs lze nakonfigurovat tak, aby vyhodnotil systémové protokoly, podíval se na podezřelou síťovou aktivitu a odpojil relace, které zřejmě porušují nastavení zabezpečení.

IDSs lze prodávat s firewally. Firewally samy o sobě zabrání mnoha běžným útokům, ale obvykle nemají zpravodajské nebo zpravodajské schopnosti pro sledování celé sítě. IDS, ve spojení s firewallem, umožňuje jak reaktivní držení těla s firewallem, tak preventivní držení těla s IDS.

v reakci na událost mohou IDS reagovat deaktivací systémů, vypnutím portů, ukončením relací, podvodem (přesměrováním na honeypot) a dokonce i potenciálně vypnutím sítě. Síťové ID, které podniká aktivní kroky k zastavení nebo zabránění vniknutí, se nazývá systém prevence narušení sítě (NIPS). Při provozu v tomto režimu jsou považovány za aktivní systémy.

pasivní detekční systémy zaznamenávají událost a spoléhají na oznámení, aby upozornily správce na narušení. Vyhýbání se nebo ignorování útoku je příkladem pasivní reakce, kde lze neplatný útok bezpečně ignorovat. Nevýhodou pasivních systémů je zpoždění mezi detekcí narušení a jakýmikoli sanačními kroky provedenými správcem.

systémy prevence narušení (IPS), jako je IDSs, sledují stejný proces shromažďování a identifikace dat a chování, s přidanou schopností blokovat (zabránit) aktivitu.

síťové ID zkoumá síťové vzory, jako je neobvyklé číslo nebo požadavky určené pro konkrétní server nebo službu, jako je FTP server. Síťové ID systémy by měly být umístěny co nejpředněji, např. na firewallu, síťovém kohoutku, span portu nebo rozbočovači, aby bylo možné sledovat externí provoz. Hostitelské ID systémy na druhé straně, jsou umístěny na jednotlivých hostitelů, kde mohou efektivněji sledovat interně generované události.

Použití ID sítě i hostitele zvyšuje bezpečnost prostředí.

Snort je příkladem systému detekce a prevence narušení sítě. Provádí analýzu provozu a protokolování paketů v sítích IP. Snort používá flexibilní jazyk založený na pravidlech k popisu provozu, který by měl shromažďovat nebo předávat, a modulární detekční motor.

Síťová detekce narušení se pokouší identifikovat neoprávněné, nezákonné a anomální chování založené výhradně na síťovém provozu. Pomocí zachycených dat síť IDS zpracovává a označuje jakýkoli podezřelý provoz. Na rozdíl od systému prevence narušení systém detekce narušení aktivně neblokuje síťový provoz. Role ID sítě je pasivní, pouze shromažďování, identifikace, protokolování a upozornění.

hostitelský systém detekce narušení (HIDS) se pokouší identifikovat neautorizované, nezákonné a anomální chování na konkrétním zařízení. HIDS obecně zahrnuje agenta nainstalovaného v každém systému, monitorování a upozornění na místní operační systém a aktivitu aplikací. Nainstalovaný agent používá kombinaci podpisů, pravidel a heuristiky k identifikaci neoprávněné činnosti. Role ID hostitele je pasivní, pouze shromažďování, identifikace, protokolování a upozornění. Tripwire je příkladem HIDS.

v současné době neexistují žádné plně zralé otevřené standardy pro ID. Internet Engineering Task Force (IETF) je orgán, který vyvíjí nové internetové standardy. Mají pracovní skupinu, která vyvíjí společný formát pro výstrahy IDS.

následující typy monitorovacích metod lze použít k detekci narušení a škodlivého chování: podpis, anomálie, heuristické a pravidlové monitorování.

ID založené na podpisu bude monitorovat pakety v síti a porovnávat je s databází podpisů nebo atributů ze známých škodlivých hrozeb. To je podobné způsobu, jakým většina antivirového softwaru detekuje malware. Problém je v tom, že bude existovat zpoždění mezi novou hrozbou objevenou ve volné přírodě a podpisem pro detekci této hrozby aplikované na vaše ID.

podpis ID sítě je vzor, který chceme hledat v provozu. Podpisy se pohybují od velmi jednoduchých-kontrola hodnoty pole záhlaví-až po vysoce složité podpisy, které mohou skutečně sledovat stav připojení nebo provádět rozsáhlou analýzu protokolu.

ID založené na anomáliích zkoumá probíhající provoz, aktivitu, transakce nebo chování na anomálie (věci mimo normu) v sítích nebo systémech, které mohou naznačovat útok. IDS, který je založen na anomáliích, bude monitorovat síťový provoz a porovnávat jej se stanovenou základní linií. Základní linie určí, co je pro tuto síť“ normální“, jaký druh šířky pásma se obecně používá, jaké protokoly se používají, jaké porty a zařízení se obecně připojují, a upozorní správce, když je detekován provoz, který je anomální vůči základní linii.

heuristické monitorování zabezpečení používá počáteční databázi známých typů útoků, ale dynamicky mění jejich podpisy na základě naučeného chování síťového provozu. Heuristický systém používá algoritmy k analýze provozu procházejícího sítí. Heuristické systémy vyžadují jemnější doladění, aby se zabránilo falešným pozitivům ve vaší síti.

systém založený na chování hledá změny v chování, jako je neobvykle vysoký provoz,porušení zásad atd. Tím, že hledá odchylky v chování, je schopen rozpoznat potenciální hrozby a rychle reagovat.
podobně jako pravidla řízení přístupu k bráně firewall se systém monitorování zabezpečení založený na pravidlech spoléhá na správce, aby vytvořil pravidla a určil kroky, které je třeba podniknout, když jsou tato pravidla porušena.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Studijní Průvodce: Zkouška SY0-301, páté vydání Emmett Dulaney
* Mike Meyers ‚ CompTIA Security + certifikační pas, druhé vydání T. J. Samuelle

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

inzeráty

Similar Posts

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.