NIDS (hálózati behatolás-érzékelő rendszer) és NIPS (hálózati behatolás-megelőző rendszer))

author
7 minutes, 7 seconds Read
X

Adatvédelem & cookie-k

ez az oldal cookie-kat használ. A folytatással elfogadja azok használatát. Tudj meg többet, beleértve a cookie-k kezelésének módját is.

Megvan!

hirdetés

NIDS és NIPS (viselkedés alapú, aláírás alapú, anomália alapú, heurisztikus)

az IDS (intrusion detection system) olyan szoftver, amely szerveren vagy hálózati eszközön fut a hálózati tevékenység megfigyelésére és nyomon követésére. Az IDS használatával a hálózati rendszergazda konfigurálhatja a rendszert úgy, hogy figyelje a hálózati tevékenységet olyan gyanús viselkedésekre, amelyek jogosulatlan hozzáférési kísérleteket jelezhetnek. Az IDSs konfigurálható a rendszernaplók kiértékelésére, a gyanús hálózati tevékenységek vizsgálatára, valamint a biztonsági beállításokat sértő munkamenetek leválasztására.

az IDSs tűzfalakkal is értékesíthető. A tűzfalak önmagukban megakadályozzák a gyakori támadásokat, de általában nem rendelkeznek intelligenciával vagy jelentési képességekkel a teljes hálózat figyelemmel kíséréséhez. Az IDS a tűzfallal együtt lehetővé teszi mind a reaktív testtartást a tűzfallal, mind a megelőző testtartást az IDS-szel.

egy eseményre adott válaszként az IDS képes reagálni a rendszerek letiltásával, a portok leállításával, a munkamenetek befejezésével, megtévesztéssel (átirányítás a honeypotba), sőt potenciálisan leállíthatja a hálózatot. A hálózati alapú azonosítókat, amelyek aktív lépéseket tesznek a behatolás megállítására vagy megakadályozására, hálózati Behatolásmegelőző rendszernek (nips) nevezzük. Ebben az üzemmódban aktív rendszereknek tekintik őket.

passzív észlelő rendszerek naplózzák az eseményt, és értesítésekre támaszkodva figyelmeztetik a rendszergazdákat a behatolásról. A támadás elkerülése vagy figyelmen kívül hagyása a passzív válasz példája, ahol az érvénytelen támadást biztonságosan figyelmen kívül lehet hagyni. A passzív rendszerek hátránya a behatolásérzékelés és az adminisztrátor által végrehajtott helyreállítási lépések közötti késés.

a Behatolásmegelőző rendszerek (IPS), mint például az IDSs, ugyanazt az adatgyűjtési és azonosítási folyamatot követik, azzal a hozzáadott képességgel, hogy blokkolják (megakadályozzák) a tevékenységet.

a hálózati alapú IDS megvizsgálja a hálózati mintákat, például egy szokatlan számot vagy egy adott kiszolgálóra vagy szolgáltatásra, például egy FTP-kiszolgálóra szánt kéréseket. A hálózati azonosítók rendszereit a lehető legelőször kell elhelyezni, például a tűzfalon, a hálózati csapon, a span porton vagy a hubon a külső forgalom figyeléséhez. Host IDS rendszerek másrészt, kerülnek az egyes házigazdák, ahol hatékonyabban nyomon belsőleg generált események.

mind a hálózati, mind a gazdagépazonosítók használata növeli a környezet biztonságát.

a Snort egy példa a hálózati behatolásérzékelő és-megelőző rendszerre. Forgalomelemzést és csomagnaplózást végez IP hálózatokon. A Snort rugalmas szabályalapú nyelvet használ a forgalom leírására, amelyet be kell gyűjtenie vagy át kell haladnia, valamint egy moduláris érzékelő motort.

Network based intrusion detection megpróbálja azonosítani a jogosulatlan, tiltott és rendellenes viselkedést kizárólag a hálózati forgalom alapján. A rögzített adatok felhasználásával a hálózati azonosítók feldolgozzák és megjelölik a gyanús forgalmat. A Behatolásmegelőző rendszerrel ellentétben a behatolásérzékelő rendszer nem blokkolja aktívan a hálózati forgalmat. A hálózati azonosítók szerepe passzív, csak gyűjtés, azonosítás, naplózás és riasztás.

a Host based intrusion detection system (HIDS) megpróbálja azonosítani a jogosulatlan, tiltott és rendellenes viselkedést egy adott eszközön. A HIDS általában magában foglalja az egyes rendszerekre telepített ügynököt, amely figyeli és figyelmezteti a helyi operációs rendszert és az alkalmazás tevékenységét. A telepített ügynök aláírások, szabályok és heurisztika kombinációját használja a jogosulatlan tevékenységek azonosítására. A host ID-k szerepe passzív, csak gyűjtés, azonosítás, naplózás és riasztás. Tripwire egy példa a HIDS.

jelenleg nincsenek teljesen kiforrott nyílt szabványok az ID-hez. Az Internet Engineering Task Force (IETF) az a szervezet, amely új internetes szabványokat dolgoz ki. Van egy munkacsoportjuk, amely közös formátumot dolgoz ki az IDS riasztásokhoz.

a következő típusú megfigyelési módszerek használhatók a behatolások és a rosszindulatú viselkedés észlelésére: aláírás, anomália, heurisztikus és szabályalapú megfigyelés.

az aláíráson alapuló azonosítók figyelik a hálózaton lévő csomagokat, és összehasonlítják őket az ismert rosszindulatú fenyegetések aláírásainak vagy attribútumainak adatbázisával. Ez hasonló ahhoz, ahogyan a legtöbb víruskereső szoftver észleli a rosszindulatú programokat. A probléma az, hogy késés lesz egy új fenyegetés felfedezése között a vadonban, és a fenyegetés észlelésére szolgáló aláírás között, amelyet az azonosítóira alkalmaznak.

a hálózati azonosítók aláírása olyan minta, amelyet a forgalomban szeretnénk keresni. Az aláírások a nagyon egyszerűtől – a fejlécmező értékének ellenőrzésétől – a rendkívül összetett aláírásokig terjednek, amelyek valóban nyomon követhetik a kapcsolat állapotát, vagy kiterjedt protokollelemzést végezhetnek.

az anomálián alapuló IDS megvizsgálja a folyamatban lévő forgalmat, tevékenységet, tranzakciókat vagy viselkedést anomáliák (normán kívüli dolgok) esetén a hálózatokon vagy rendszereken, amelyek támadást jelezhetnek. Az anomálián alapuló IDS figyelemmel kíséri a hálózati forgalmat, és összehasonlítja azt egy meghatározott alapvonallal. Az alapvonal azonosítja, hogy mi a” normális ” az adott hálózaton, milyen sávszélességet használnak általában, milyen protokollokat használnak, milyen portok és eszközök kapcsolódnak általában egymáshoz, és figyelmezteti az adminisztrátort, ha az alapvonalhoz képest rendellenes forgalmat észlel.

a heurisztikus alapú biztonsági megfigyelés az ismert támadási típusok kezdeti adatbázisát használja, de dinamikusan megváltoztatja az aláírásokat a hálózati forgalom tanult viselkedése alapján. A heurisztikus rendszer algoritmusokat használ a hálózaton áthaladó forgalom elemzésére. A heurisztikus rendszerek további finomhangolást igényelnek, hogy megakadályozzák a hamis pozitív eredményeket a hálózatban.

a viselkedésalapú rendszer a viselkedés variációit keresi, például a szokatlanul nagy forgalmat, az irányelvek megsértését stb. A viselkedés eltéréseit keresve képes felismerni a potenciális fenyegetéseket és gyorsan reagálni.
a tűzfal hozzáférés-vezérlési szabályaihoz hasonlóan a szabályalapú biztonsági felügyeleti rendszer a rendszergazdára támaszkodik a szabályok létrehozásához és a szabályok megsértése esetén végrehajtandó műveletek meghatározásához.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Tanulmányi Útmutató: SY0-301 vizsga, Emmett Dulaney ötödik kiadása
* Mike Meyers CompTIA Security + tanúsító útlevele, T. J. Samuelle második kiadása

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

reklámok

Similar Posts

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.