NIDS (Network Intrusion Detection System) i NIPS (Network Intrusion Prevention System)

author
5 minutes, 6 seconds Read
x

Prywatność & Pliki cookie

ta strona używa plików cookie. Kontynuując, zgadzasz się na ich użycie. Dowiedz się więcej, w tym jak kontrolować pliki cookie.

Mam!

Advertisements

NIDS i NIPS (Behavior based, signature based, anomaly based, heuristic)

System Wykrywania włamań (IDs) to oprogramowanie działające na serwerze lub urządzeniu sieciowym w celu monitorowania i śledzenia aktywności sieciowej. Korzystając z identyfikatora ID, administrator sieci może skonfigurować system do monitorowania aktywności sieciowej pod kątem podejrzanych zachowań, które mogą wskazywać na próby nieautoryzowanego dostępu. IDSs można skonfigurować do oceny dzienników systemowych, sprawdzania podejrzanej aktywności sieciowej i rozłączania sesji, które wydają się naruszać ustawienia zabezpieczeń.

IDSs można sprzedawać z zaporami ogniowymi. Zapory sieciowe same w sobie zapobiegają wielu typowym atakom, ale zazwyczaj nie mają możliwości analizy ani raportowania, aby monitorować całą sieć. IDS, w połączeniu z zaporą ogniową, umożliwia zarówno postawę reaktywną za pomocą zapory, jak i postawę zapobiegawczą za pomocą identyfikatorów.

w odpowiedzi na zdarzenie, identyfikatory mogą zareagować poprzez wyłączenie systemów, zamknięcie portów, zakończenie sesji, oszustwo (przekierowanie na honeypot), a nawet potencjalnie zamknięcie sieci. Identyfikatory sieciowe, które podejmują aktywne kroki w celu zatrzymania lub zapobieżenia włamaniu, nazywane są systemem zapobiegania włamaniom w sieci (NIPS). Podczas pracy w tym trybie są uważane za aktywne systemy.

pasywne systemy detekcji rejestrują Zdarzenie i polegają na powiadomieniach ostrzegających administratorów o włamaniu. Unikanie lub ignorowanie ataku jest przykładem pasywnej odpowiedzi, w której nieprawidłowy atak można bezpiecznie zignorować. Wadą systemów pasywnych jest opóźnienie między wykrywaniem włamań a wszelkimi działaniami naprawczymi podejmowanymi przez administratora.

systemy zapobiegania włamaniom (IPS), takie jak IDSs, podążają za tym samym procesem gromadzenia i identyfikacji danych i zachowań, z dodatkową możliwością blokowania (zapobiegania) aktywności.

identyfikator sieciowy analizuje wzorce sieciowe, takie jak nietypowa Liczba lub żądania przeznaczone dla określonego serwera lub usługi, takie jak serwer FTP. Systemy identyfikatorów sieciowych powinny znajdować się z góry, jak to możliwe, np. w zaporze sieciowej, kranu sieciowego, portu span lub koncentratora, w celu monitorowania ruchu zewnętrznego. Z drugiej strony systemy ID hosta są umieszczane na pojedynczych hostach, gdzie mogą skuteczniej monitorować wewnętrznie generowane zdarzenia.

używanie identyfikatorów sieci i hostów zwiększa bezpieczeństwo środowiska.

Snort jest przykładem systemu wykrywania i zapobiegania włamaniom do sieci. Prowadzi analizę ruchu i rejestrowanie pakietów w sieciach IP. Snort używa elastycznego języka opartego na regułach do opisywania ruchu, który powinien gromadzić lub przekazywać, oraz modułowego silnika wykrywania.

sieciowe wykrywanie włamań próbuje zidentyfikować nieautoryzowane, nielegalne i anomalne zachowanie oparte wyłącznie na ruchu sieciowym. Korzystając z przechwyconych danych, identyfikatory sieciowe przetwarzają i oznaczają każdy podejrzany ruch. W przeciwieństwie do systemu zapobiegania włamaniom, System Wykrywania włamań nie blokuje aktywnie ruchu w sieci. Rola identyfikatorów sieciowych jest bierna, tylko zbieranie, identyfikowanie, rejestrowanie i alarmowanie.

Host based intrusion detection system (HIDS) próbuje zidentyfikować nieautoryzowane, nielegalne i anomalne zachowanie na określonym urządzeniu. HIDS zazwyczaj obejmuje agenta zainstalowanego w każdym systemie, monitorowanie i ostrzeganie o lokalnym systemie operacyjnym i aktywności aplikacji. Zainstalowany agent używa kombinacji podpisów, reguł i heurystyk do identyfikacji nieautoryzowanych działań. Rola ID hosta jest pasywna, tylko zbieranie, identyfikowanie, rejestrowanie i ostrzeganie. Tripwire jest przykładem HIDS.

obecnie nie ma w pełni dojrzałych otwartych standardów dla ID. Internet Engineering Task Force (IETF) jest organem, który opracowuje nowe standardy internetowe. Mają grupę roboczą, która opracowuje wspólny format alertów IDS.

do wykrywania włamań i złośliwych zachowań można wykorzystać następujące rodzaje metod monitorowania: monitorowanie sygnatur, anomalii, heurystyki i oparte na regułach.

identyfikatory oparte na podpisach będą monitorować pakiety w sieci i porównywać je z bazą danych podpisów lub atrybutów znanych złośliwych zagrożeń. Jest to podobne do sposobu, w jaki większość programów antywirusowych wykrywa złośliwe oprogramowanie. Problem polega na tym, że pojawi się opóźnienie między odkryciem nowego zagrożenia w środowisku naturalnym a podpisem do wykrycia tego zagrożenia zastosowanym do Twoich identyfikatorów.

sygnatura IDS sieci to wzorzec, którego chcemy szukać w ruchu. Sygnatury obejmują zakres od bardzo prostych-sprawdzanie wartości pola nagłówka – do bardzo złożonych sygnatur, które mogą śledzić stan połączenia lub przeprowadzać obszerną analizę protokołu.

identyfikatory oparte na anomaliach analizują bieżący ruch, aktywność, transakcje lub zachowanie pod kątem anomalii (rzeczy spoza normy) w sieciach lub systemach, które mogą wskazywać na atak. IDS oparty na anomaliach monitoruje ruch sieciowy i porównuje go z ustaloną linią bazową. Linia bazowa określi, co jest „normalne” dla tej sieci, jaki rodzaj przepustowości jest ogólnie używany, jakie protokoły są używane, jakie porty i urządzenia ogólnie łączą się ze sobą, i powiadomi administratora, gdy zostanie wykryty ruch, który jest anomalny dla linii bazowej.

heurystyczne monitorowanie bezpieczeństwa wykorzystuje początkową bazę znanych typów ataków, ale dynamicznie zmienia ich sygnatury na podstawie poznanego zachowania ruchu sieciowego. System heurystyczny wykorzystuje algorytmy do analizy ruchu przechodzącego przez sieć. Systemy heurystyczne wymagają dokładniejszego dostrojenia, aby zapobiec fałszywym alarmom w sieci.

system oparty na zachowaniu szuka zmian w zachowaniu, takich jak niezwykle duży ruch, naruszenia zasad i tak dalej. Szukając odchyleń w zachowaniu, jest w stanie rozpoznać potencjalne zagrożenia i szybko reagować.
podobnie jak reguły kontroli dostępu do zapory, system monitorowania bezpieczeństwa oparty na regułach polega na administratorze, który tworzy reguły i określa działania, które należy podjąć, gdy te reguły zostaną przekroczone.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Study Guide: Egzamin SY0-301, wydanie piąte Emmett Dulaney

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

ogłoszenia

Similar Posts

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.