NIDS (sistem de detectare a intruziunilor în rețea) și NIPS (sistem de prevenire a intruziunilor în rețea)

author
5 minutes, 54 seconds Read
X

Confidențialitate & cookie-uri

acest site folosește cookie-uri. Continuând, sunteți de acord cu utilizarea lor. Aflați mai multe, inclusiv cum să controlați cookie-urile.

Am Înțeles!

reclame

NID-uri și NIPS (bazate pe comportament, bazate pe semnături, bazate pe anomalii, euristice)

un sistem de detectare a intruziunilor (IDS) este un software care rulează pe un server sau dispozitiv de rețea pentru a monitoriza și urmări activitatea rețelei. Utilizând un IDS, un administrator de rețea poate configura sistemul pentru a monitoriza activitatea rețelei pentru un comportament suspect care poate indica încercări de acces neautorizate. IDSs poate fi configurat pentru a evalua jurnalele de sistem, pentru a analiza activitatea suspectă a rețelei și pentru a deconecta sesiunile care par să încalce setările de securitate.

IDSs pot fi vândute cu firewall-uri. Firewall – urile de la sine vor preveni multe atacuri comune, dar de obicei nu au inteligența sau capacitățile de raportare pentru a monitoriza întreaga rețea. Un IDS, împreună cu un firewall, permite atât o postură reactivă cu firewall-ul, cât și o postură preventivă cu IDS.

ca răspuns la un eveniment, ID-urile pot reacționa prin dezactivarea sistemelor, închiderea porturilor, încheierea sesiunilor, înșelăciunea (redirecționarea către honeypot) și chiar închiderea potențială a rețelei. Un IDS bazat pe rețea care ia măsuri active pentru a opri sau preveni o intruziune se numește sistem de prevenire a intruziunilor în rețea (NIPS). Când funcționează în acest mod, acestea sunt considerate sisteme active.

sistemele de detectare pasivă înregistrează evenimentul și se bazează pe Notificări pentru a avertiza administratorii despre o intruziune. Evitarea sau ignorarea unui atac este un exemplu de răspuns pasiv, în care un atac nevalid poate fi ignorat în siguranță. Un dezavantaj al sistemelor pasive este decalajul dintre detectarea intruziunilor și orice măsuri de remediere luate de administrator.

sistemele de prevenire a intruziunilor (IPS) precum IDSs urmează același proces de colectare și identificare a datelor și comportamentului, cu capacitatea adăugată de a bloca (preveni) activitatea.

un ID bazat pe rețea examinează tiparele de rețea, cum ar fi un număr neobișnuit sau cereri destinate unui anumit server sau serviciu, cum ar fi un server FTP. Sistemele IDS de rețea ar trebui să fie amplasate cât mai în avans posibil, de exemplu pe firewall, Un robinet de rețea, port de deschidere sau hub, pentru a monitoriza traficul extern. Sistemele IDS gazdă, pe de altă parte, sunt plasate pe gazde individuale unde pot monitoriza mai eficient evenimentele generate intern.

utilizarea ID-urilor de rețea și gazdă îmbunătățește securitatea mediului.

Snort este un exemplu de sistem de detectare și prevenire a intruziunilor în rețea. Efectuează analiza traficului și înregistrarea pachetelor pe rețelele IP. Snort folosește un limbaj flexibil bazat pe reguli pentru a descrie traficul pe care ar trebui să îl colecteze sau să îl treacă și un motor modular de detectare.

detectarea intruziunilor bazate pe rețea încearcă să identifice comportamentul neautorizat, ilicit și anormal bazat exclusiv pe traficul de rețea. Folosind datele capturate, ID-urile de rețea procesează și semnalează orice trafic suspect. Spre deosebire de un sistem de prevenire a intruziunilor, un sistem de detectare a intruziunilor nu blochează activ traficul de rețea. Rolul unui ID de rețea este pasiv, doar colectarea, identificarea, înregistrarea și alertarea.

Host based intrusion detection system (HIDS) încearcă să identifice comportamentul neautorizat, ilicit și anormal pe un anumit dispozitiv. HIDS implică, în general, un agent instalat pe fiecare sistem, monitorizarea și alertarea cu privire la activitatea locală a sistemului de operare și a aplicației. Agentul instalat utilizează o combinație de semnături, reguli și euristică pentru a identifica activitatea neautorizată. Rolul ID-urilor gazdă este pasiv, adunând, identificând, înregistrând și alertând. Tripwire este un exemplu de HIDS.

nu există standarde deschise complet mature pentru ID în prezent. Internet Engineering Task Force (IETF) este organismul care dezvoltă noi standarde de Internet. Ei au un grup de lucru pentru a dezvolta un format comun pentru alerte IDS.

următoarele tipuri de metodologii de monitorizare pot fi utilizate pentru a detecta intruziunile și comportamentul rău intenționat: semnătură, anomalie, euristică și monitorizare bazată pe reguli.

un ID bazat pe semnătură va monitoriza pachetele din rețea și le va compara cu o bază de date cu semnături sau atribute ale amenințărilor rău intenționate cunoscute. Acest lucru este similar cu modul în care majoritatea software-urilor antivirus detectează malware. Problema este că va exista un decalaj între o nouă amenințare descoperită în sălbăticie și semnătura pentru detectarea acelei amenințări aplicate ID-urilor dvs.

o semnătură IDS de rețea este un model pe care dorim să îl căutăm în trafic. Semnăturile variază de la foarte simple – verificarea valorii unui câmp antet – la semnături extrem de complexe care pot urmări de fapt starea unei conexiuni sau pot efectua analize extinse de protocol.

un IDS bazat pe anomalii examinează traficul, activitatea, tranzacțiile sau comportamentul în curs de desfășurare pentru anomalii (lucruri în afara normei) pe rețele sau sisteme care pot indica un atac. Un IDS care se bazează pe anomalie va monitoriza traficul de rețea și îl va compara cu o linie de bază stabilită. Linia de bază va identifica ceea ce este” normal ” pentru acea rețea, ce fel de lățime de bandă este utilizată în general, ce protocoale sunt utilizate, ce porturi și dispozitive se conectează în general între ele și va alerta administratorul atunci când este detectat traficul care este anormal la linia de bază.

o monitorizare de securitate bazată pe euristică utilizează o bază de date inițială a tipurilor de atac cunoscute, dar modifică dinamic baza semnăturilor lor pe comportamentul învățat al traficului de rețea. Un sistem euristic utilizează algoritmi pentru a analiza traficul care trece prin rețea. Sistemele euristice necesită o reglare mai fină pentru a preveni falsurile pozitive în rețeaua dvs.

un sistem bazat pe comportament caută variații ale comportamentului, cum ar fi traficul neobișnuit de mare, încălcările politicii și așa mai departe. Căutând abateri în comportament, este capabil să recunoască potențialele amenințări și să răspundă rapid.
Similar cu regulile de control al accesului firewall, un sistem de monitorizare a securității bazat pe reguli se bazează pe administrator pentru a crea reguli și a determina acțiunile de întreprins atunci când aceste reguli sunt încălcate.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Ghid De Studiu: Examen SY0-301, ediția a cincea de Emmett Dulaney
• pașaportul de certificare CompTIA Security+ al lui Mike Meyers, ediția a doua de T. J. Samuelle

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

reclame

Similar Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată.