1 / 18

Syst émy pro detekci neoprávněného průniku

Syst émy pro detekci neoprávněného průniku. Petr Panáček. E-mail: ppanacek @anect.com. Obsah prezentace. Technologický úvod IDS systémy firmy Cisco Systems Dohled a správa IDS systémů Doporučený design. Technologický úvod.

whitney-atkins
Download Presentation

Syst émy pro detekci neoprávněného průniku

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Systémy pro detekci neoprávněného průniku Petr Panáček E-mail: ppanacek@anect.com

  2. Obsah prezentace • Technologický úvod • IDS systémy firmy Cisco Systems • Dohled a správa IDS systémů • Doporučený design

  3. Technologický úvod • Intrusion Detection – schopnost odhalení neoprávněné, nesprávné nebo anomální aktivity (v počítačové síti nebo na serverech) • Intrusion Detection System - systém pro detekci neoprávněného průniku, kombinace HW, SW vybavení vhodně zakomponovaná do počítačové sítě • Signature – signatura, vzorek jehož výskyt (splnění množiny podmínek) indikuje pokus o neoprávněný průnik

  4. Dělení systémů pro detekci • Podle detekční metody • Podle určení • Host-based IDS – systém pro servery • Network-basedIDS – systém pro síťové prostředí

  5. Host-based IDS senzory • softwarové produkty • monitoring • systémová volání, logy, chybová hlášení • zamknutí důležitých souborů • ochrana před útoky: • na OS a aplikace, Buffer Overflow • na Web server, na HTTPS • Chrání přístup ke zdrojům serveru před tím než může dojít k neautorizované aktivitě • chrání jen servery a koncové počítače • není podpora pro všechny OS – problém v heterogenních sítích

  6. Network-based IDS senzory • specializovaný HW (senzor) • síťové rozhraní v promiskuitním módu • monitoring všech paketů • ochrana celé sítě (segmentu) • přenosová rychlost monitorovacího rozhraní může být omezením • nemožnost detekovat útoky v kryptovaném provozu

  7. Porovnání Host vs Network based IDS + - • Je schopen ověřit zda byl útok úspěšný či nikoliv • Funkčnost není ovlivněna propustností nebo použitím enkrypce • Je schopen zabránit útoku • Využívá zdroje serveru • Možnost použití závisí na OS • Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Host-Based • Chrání všechny koncové stanice na monitorované síti • Neovlivňuje výkon koncových stanic/serverů • Je schopen detekovat DoS útoky • Náročnější implementace v prostředí přepínané LAN • Monitoring >1Gb/s zatím problémem • Obecněneumí proaktivně zastavit útok Network-Based Oba produkty se vzájemně doplňují

  8. Dělení systémů pro detekci • podle detekční metody • Detekce vzoru • Stavová detekce vzoru • Dekódování protokolu • Heuristická analýza • Detekce anomálií

  9. Detekce vzoru • Porovnávání datových paketů s databází signatur známých útoků + jednoduchá + přesná + použitelná pro všechny protokoly - problematická detekce nových(modifikovaných) útoků - vysoká míra chybné pozitivní detekce - většinou inspekce jen v rámci jediného paketu – snadné vyhnutí se detekci

  10. Stavová detekce vzoru • Porovnávání datových toků s databází signatur známých útoků + jednoduchá modifikace předchozí metody + přesná detekce + použitelná pro všechny protokoly + je obtížnější se detekci vyhnout - problematická detekce nových(modifikovaných) útoků - vysoká míra chybné pozitivní detekce

  11. Dekódování protokolu • Detekce nesprávného chování protokolu (kontrola vůči RFC) + minimalizace míry chybné pozitivní detekce + přesná detekce + dobrá detekce modifikovaných útoků + spolehlivá reakce na porušení pravidel protokolu - vysoká míra chybné pozitivní detekce – RFC může být nejednoznačné - složitější a delší vývoj

  12. Heuristická analýza • Detekce založena na vyhodnocování (statistickém) typu datového provozu + některé druhy podezřelých aktivit lze detekovat jen touto metodou - algoritmus často vyžaduje ladění – nastavování prahových hodnot, aby se zabránilo vysoké míře chybné pozitivní detekce

  13. Analýza anomálií • Detekce datového provozu, který se vymyká „normálu“ • Využití metod umělé inteligence + lze detekovat nové neznámé útoky + není potřeba vyvíjet nové signatury - neurčitý popis výsledku detekce - často příliš citlivá metoda - úspěšnost závisí na prostředí, ve kterém se systém učí co je „normální“ • V praxi se zatím příliš nevyužívá

  14. Odezva na detekované útoky • Odpovědí IDS na detekovaný útok může (ale nutně nemusí) být: • reset podezřelého TCP spojení • zahájení filtrace nebezpečného provozu na směrovači nebo firewallu • záznam podezřelé aktivity do logu • IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků

  15. IDS na platformách Cisco Solution Set Switch Sensor Catalyst 6500 IDS Module Router Sensor 3700 7xxx 1700 2600 3600 Firewall Sensor 501 506E 515E 525 535 Network Sensor 4210 4235 4250 Host Sensor Standard Edition Web Server Edition Web UI Embedded Mgr Secure Command Line CiscoWorks VMS Mgmt

  16. Vícevrstvý model ochrany sítě • 1. Linie: IOS router • Filtry, omezování šířky pásma • blokovánínechtěných komunikací • 2. Linie: PIX Firewall • provádí stavovou inspekci • inspekci příkazů • 3. Linie: Cisco Network IDS • Monitorujepovolené komunikace • identifikuje podezřelé, útočné aktivity na OSI vrstvách 3-7 • může resetovat, blokovat nebo zahazovat podezřelé pakety/komunikace • 4. Linie: Cisco Host IDS • Detekuje a chrání před útoky na OS, služby, aplikace • Inspekce datového provozu po dekrypci

  17. Implementace a provoz IDS • zvolit IDS kombinující více metod detekce • kombinace ochrany serverů a celých síťových segmentů • pravidelné vyhodnocování informací o útocích • pravidelné ladění systému, úpravy prahových hodnot • doplňování databáze signatur

  18. Závěr • Systémy pro detekci (a prevenci) neoprávněného průniku jsou vhodným doplňkem k firewallové ochraně sítě • Kombinací síťových IDS a IDS pro servery dosáhneme vysokého stupně ochrany před neoprávněnými aktivitami • Správná funkčnost IDS musí být podpořena pravidelným vyhodnocování získaných informací a aktualizací systému

More Related