NIDS (Network Intrusion Detection System) ja NIPS (Network Intrusion Prevention System))

author
4 minutes, 31 seconds Read
X

Yksityisyys & evästeet

tämä sivusto käyttää evästeitä. Jatkamalla hyväksyt niiden käytön. Lue lisää, mukaan lukien evästeiden hallinta.

Got It!

Advertisements

NIDS and NIPS (Behavior based, signature based, anomaly based, heuristic)

an intrusion detection system (IDS) on palvelimella tai verkkolaitteessa toimiva ohjelmisto, joka valvoo ja seuraa verkon toimintaa. Käyttämällä tunnuksia verkon ylläpitäjä voi määrittää järjestelmän valvomaan verkon toimintaa epäilyttävän käyttäytymisen varalta, joka voi viitata luvattomiin käyttöyrityksiin. IDSs voidaan määrittää arvioimaan järjestelmän lokit, katsomaan epäilyttävää verkon toimintaa ja katkaisemaan istunnot, jotka näyttävät rikkovan suojausasetuksia.

IDSs: ää voi myydä palomuurilla. Palomuurit itsessään estävät monia yleisiä hyökkäyksiä, mutta niillä ei yleensä ole tiedustelu-tai raportointivalmiuksia koko verkon valvomiseen. Tunnukset yhdessä palomuurin kanssa mahdollistavat sekä reaktiivisen asennon palomuurin kanssa että ennaltaehkäisevän asennon tunnusten kanssa.

vastauksena tapahtumaan tunnukset voivat reagoida poistamalla järjestelmät käytöstä, sulkemalla portit, lopettamalla istunnot, harhauttamalla (uudelleenohjaus honeypotiin) ja jopa mahdollisesti sulkemalla verkon. Verkkopohjaista tunnusta, joka pyrkii aktiivisesti pysäyttämään tai estämään tunkeutumisen, kutsutaan verkon tunkeutumisen ehkäisyjärjestelmäksi (network intrusion prevention system, NIPS). Kun ne toimivat tässä tilassa, niitä pidetään aktiivisina järjestelminä.

passiiviset tunnistusjärjestelmät kirjaavat tapahtuman ja tukeutuvat ilmoituksiin, jotka ilmoittavat ylläpitäjille tunkeutumisesta. Hyökkäyksen karttaminen tai sivuuttaminen on esimerkki passiivisesta vastauksesta, jossa virheellinen hyökkäys voidaan turvallisesti sivuuttaa. Passiivisten järjestelmien haittana on viive tunkeutumisen havaitsemisen ja ylläpitäjän toteuttamien korjaustoimien välillä.

Intrusion prevention systems (IPS), kuten IDSs, noudattaa samaa tietojen ja käyttäytymisen keruu-ja tunnistamisprosessia, johon on lisätty kyky estää (estää) toiminta.

verkkopohjaiset tunnukset tarkastelevat verkkomerkintöjä, kuten epätavallista määrää tai tietylle palvelimelle tai palvelulle, kuten FTP-palvelimelle, suunnattuja pyyntöjä. Verkkotunnistusjärjestelmien tulisi sijaita mahdollisimman etukäteen esimerkiksi palomuurissa, verkon tapissa, span-portilla tai keskuksessa ulkoisen liikenteen seuraamiseksi. Host IDS-järjestelmät puolestaan sijoitetaan yksittäisiin isäntiin, joissa ne voivat tehokkaammin seurata sisäisesti tuotettuja tapahtumia.

sekä verkko-että isäntätunnusten käyttö parantaa ympäristön turvallisuutta.

Snort on esimerkki verkkomurtojen havaitsemis-ja ehkäisyjärjestelmästä. Se tekee IP-verkoissa liikenneanalyysejä ja paketinloukutuksia. Snort käyttää joustavaa sääntöpohjaista kieltä kuvaamaan liikennettä, jota sen pitäisi kerätä tai kulkea, sekä modulaarista tunnistusmoottoria.

verkkoon perustuva tunkeutumisen havaitseminen pyrkii tunnistamaan luvattoman, laittoman ja poikkeavan käyttäytymisen, joka perustuu yksinomaan verkkoliikenteeseen. Kaapattujen tietojen avulla verkkotunnukset käsittelevät ja merkkaavat epäilyttävän liikenteen. Toisin kuin tunkeutumisen estojärjestelmä, tunkeutumisen tunnistusjärjestelmä ei aktiivisesti estä verkkoliikennettä. Verkkotunnusten rooli on passiivinen, vain kerääminen, tunnistaminen, kirjaaminen ja hälyttäminen.

Host based intrusion detection system (HIDS) pyrkii tunnistamaan luvattoman, laittoman ja poikkeavan käyttäytymisen tietyssä laitteessa. HIDS sisältää yleensä jokaiseen järjestelmään asennetun agentin, joka seuraa ja varoittaa paikallisesta käyttöjärjestelmästä ja sovellustoiminnasta. Asennettu agentti käyttää allekirjoitusten, sääntöjen ja heuristiikan yhdistelmää tunnistaakseen luvattoman toiminnan. Isäntätunnusten rooli on passiivinen, vain kerääminen, tunnistaminen, kirjaaminen ja hälyttäminen. Tripwire on esimerkki HIDS.

ID: lle ei ole tällä hetkellä täysin kypsiä avoimia standardeja. Internet Engineering Task Force (IETF) on elin, joka kehittää uusia Internet-standardeja. Heillä on työryhmä, jonka tehtävänä on kehittää yhteinen formaatti IDS-hälytyksille.

seuraavia valvontamenetelmiä voidaan käyttää intruusioiden ja haitallisen käyttäytymisen havaitsemiseen: allekirjoitus, anomalia, heuristinen ja sääntöpohjainen seuranta.

allekirjoituspohjaiset tunnukset valvovat verkossa olevia paketteja ja vertaavat niitä tunnettujen haitallisten uhkien allekirjoituksia tai attribuutteja sisältävään tietokantaan. Tämä muistuttaa tapaa, jolla useimmat virustorjuntaohjelmat havaitsevat haittaohjelmat. Ongelma on se, että uuden uhan löytämisen luonnossa ja sen tunnisteiden tunnistamisen allekirjoituksen välillä on viive.

verkkotunnusten allekirjoitus on kuvio, jota haluamme etsiä liikenteessä. Allekirjoitukset vaihtelevat hyvin yksinkertaisista-otsikkokentän arvon tarkistamisesta – erittäin monimutkaisiin allekirjoituksiin, jotka voivat itse asiassa seurata yhteyden tilaa tai suorittaa laajan protokollan analyysin.

anomaliaan perustuva IDS tutkii käynnissä olevaa liikennettä, toimintaa, tapahtumia tai käyttäytymistä sellaisten poikkeamien (normin ulkopuolisten asioiden) varalta verkoissa tai järjestelmissä, jotka voivat viitata hyökkäykseen. Anomaliaan perustuva IDS seuraa verkkoliikennettä ja vertaa sitä vakiintuneeseen perustasoon. Perustaso tunnistaa, mikä on” normaalia ” kyseiselle verkolle, millaista kaistanleveyttä yleensä käytetään, mitä protokollia käytetään, mitä portteja ja laitteita yleensä liitetään toisiinsa, ja varoittaa ylläpitäjää, kun havaitaan liikennettä, joka on poikkeavaa perustasolle.

heuristic-pohjainen tietoturvaseuranta käyttää alkuperäistä tietokantaa tunnetuista hyökkäystyypeistä, mutta muuttaa dynaamisesti niiden allekirjoituspohjaa verkkoliikenteen opitun käyttäytymisen perusteella. Heuristinen järjestelmä käyttää algoritmeja verkon läpi kulkevan liikenteen analysointiin. Heuristiset järjestelmät vaativat enemmän hienosäätöä, jotta väärät positiivit eivät pääse verkkoon.

käyttäytymiseen perustuva järjestelmä etsii käyttäytymisen vaihtelua, kuten epätavallisen suurta liikennettä, politiikkarikkomuksia ja niin edelleen. Etsimällä poikkeamia käyttäytymisestä se pystyy tunnistamaan mahdolliset uhat ja reagoimaan nopeasti.
palomuurin kulunvalvontasääntöjen tapaan sääntöihin perustuva tietoturvaseurantajärjestelmä luottaa siihen, että järjestelmänvalvoja luo säännöt ja määrittää toimet, joihin on ryhdyttävä, kun sääntöjä rikotaan.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security+ Opinto-Opas: Exam SY0-301, Fifth Edition by Emmett Dulaney
* Mike Meyers ’ CompTIA Security+ Certification Passport, Second Edition by T. J. Samuelle

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

mainokset

Similar Posts

Vastaa

Sähköpostiosoitettasi ei julkaista.