IDS

Intrusion Detection System (IDS)- wyższy poziom bezpieczeństwa

Systemy wykrywania IDS to połączenie sprzętowych i programowych rozwiązań służących do monitorowaniu ruchu i wykrywaniu ataków na infrastrukturę sieciową. Jego wykorzystanie pozwala wychwycić niestandardowe wzorce zachowań w Twojej sieci: anomalie i wszelkie zdarzenia, które odbiegających od normalnego ruchu sieciowego, a które stanowią potencjalne zagrożenie.

Wykorzystanie systemów IDS podniesie bezpieczeństwo Twoich wewnętrznych sieci LAN, jak i zewnętrznych sieci WAN mi.in. poprzez:

● Przechowywaniu zbioru wzorców zachowań niepożądanych zwanych sygnaturami i identyfikacji aktywności intruzów zachowujących się w podobny sposób,
● Stały monitoring potencjalnych celów ataku w sieci, m.in.: przez sprawdzanie modyfikacji plików za pomocą haszowania i porównywania haszów,
● Sondowanie obecności intruzów, którzy atakują sieć w długim okresie,
● Odizolowanie ataków od rzeczywistych systemów.

 

Podział i klasyfikacja systemów IDS

W swojej firmie możesz wykorzystać kilka różnych systemów Intrusion Detection System – możemy wyróżnić trzy główne grupy rozwiązań sprzętowych i programowych:

NIDS – system wykrywania anomalii i analizy ruch w całej podległej sieci. To najbardziej rozbudowane systemy IDS składające się z wielu rozproszonych elementów. Jego zaletą jest zdolność do analizy zewnętrznych ataków na sieć oraz możliwość wykrywania prób ataków DDoS, co czyni z niego najczęściej wybieranym przez firmy systemem IDS.

HIDS – czyli system wykrywania ograniczony do jednego hosta, tzw. host-based IDS. Takim hostem może być serwer aplikacji lub inny serwer danych. Pomimo ograniczenia do jednego źródła potencjalnych zagrożeń, zaletę takiego rozwiązania jest większa zdolność do wykrywania ataków w danym obszarze.

NNIDS – to połączenie cech systemu HIDS oraz NIDS mająca na celu ochronę pojedynczego hosta w połączeniu z analizą ruchu sieciowego w konkretnym miejscu sieci, tzw. network-node IDS, lub hybrydowym systemem IDS.

 

Jak działają systemy IDS?

Wszystkie systemy IDS działają w nieco inny sposób, ale ich zastosowanie ma na zawsze na celu wykrycie i raportowania konkretnych zagrożeń w sieci. Ich główną rolą jest analiza ruchu sieciowego, korzystają przy tym z wielu metod wykrywania zagrożeń. Możemy wyróżnić kilka charakterystycznych metod detekcji zagrożeń, względem których podzielić systemy IDS:

Analiza pakietów na podstawie zdefiniowanych reguł, czyli najprostsza w założeniach metoda, która polega na porównaniu sposobu komunikacji sieciowej do zdefiniowanych wcześniej wzorców. Jeśli z różnych przyczyn, przesyłane pakiety niespełniające zdefiniowanych reguł, zgłoszone zostają jako potencjalne zagrożenie.

Śledzenie pakietów w dłuższym okresie czasu, zwane analizą kontekstową. Jest to najlepsze narzędzie do wykrywania rozłożonych, rozciągniętych w czasie i wielofazowych ataków. W wielu przypadkach cyberprzestępcy poprzedzają swoje włamania szczegółowym rozpoznaniem. Analiza kontekstowa umożliwia “przekonanie” intruza, że ten nie został wykryty dzięki przesłaniu specjalnie spreparowanych odpowiedzi i zastawieniu na niego dosłownej pułapki. Wyróżnia się również metodę polegającą na dekodowanie protokołów HTTP lub FTP, czyli wstępna detekcja ataków w tzw. wyższych warstwach.

Kolejną kategorią w sposobie detekcji zagrożeń są systemy NIDS bazujące na anomaliach. W tym przypadku mówimy o heurystycznej analiza z wykorzystaniem algorytmów definiujących pewne zachowania jako anomalie i ich analizie. Tego typu pasywne działanie nie obciąża w żaden sposób infrastruktury sieciowej, a przy właściwej konfiguracji, nie może zostać dostrzeżone przez potencjalnych intruzów.

Wśród system wykrywania zagrożeń ograniczony do jednego – HIDS wyróżniamy:

Systemy tradycyjne, czyli takie, które czuwają nad bezpieczeństwem konkretnych urządzeń. Po zainstalowaniu tzw. agenta ten odpowiedzialny jest bezpośrednio za monitorowanie aktywności na danym hoście.

Systemy badające integralność, które sprawdzają sumy kontrolne najważniejszych plików systemowych i rejestr systemowy. To doskonałe rozwiązanie w wykrywaniu rootkitów i trojanów.

Systemy HIDS badające anomalie w działaniu systemu np. logowanie w biurze poza godzinami pracy i działające w oparciu o tzw. wykrywanie sygnatur – przechowują one pewne wzorce zachowań, których wystąpienie może świadczyć o potencjalnej próbie ataku, np. kilkukrotnej próbie nieudanego logowania lub otwarcia potencjalnie niebezpiecznego połączenia FTP.