Intrusion Detection System

Intrusion Detection System (IDS, tj. systém pro odhalení průniku) je v informatice obranný systém, který monitoruje síťový provoz a snaží se odhalit podezřelé aktivity. Hlavními činnostmi IDS systému je detekce neobvyklých aktivit, které by mohly vést k narušení bezpečnosti operačního systému nebo počítačové sítě a též možný aktivní zásah proti nim. IDS se nezabývá jen finálními pokusy o prolomení bezpečnosti, ale i o detekci akcí, které jim předcházejí. Mezi ně patří například skenování portů, sbírání informací potřebných k útoku, atd. Hlavním prvkem IDS je senzor, který obsahuje mechanismy pro detekci škodlivých a nebezpečných kódů a jeho činností je odhalování těchto nebezpečí.

Požadavky na IDS

Systém IDS by měl po detekci neobvyklé aktivity vygenerovat varování (Alert), provést zápis do logu, upozornit správce počítače a případně tuto činnost zastavit. Dále by měl být schopen rozlišit, zda se jedná o útok z vnitřní sítě nebo z externích sítí.

Terminologie

  • Výstraha/alarm: signál naznačující, že systém byl, či je napaden.
  • Skutečně pozitivní: legitimní útok, který vyvolá v IDS alarm.
  • Falešně pozitivní: IDS vyvolá alarm, přestože k žádnému útoku nedošlo.
  • Falešně negativní: selhání IDS odhalit skutečný útok.
  • Skutečně negativní: k žádnému útoku nedošlo a nebyl vyvolán žádný alarm.
  • Šum: Data nebo rušení, která mohou vyvolat falešně pozitivní stav.
  • Stránky politiky: Pokyny v rámci organizace, které řídí předpisy a konfigurace IDS.
  • Stránky politiky informovanosti: Schopnost IDS dynamicky změnit svoje pravidla a konfigurace v reakci na měnící se činnosti prostředí.
  • Hodnota spolehlivosti: Hodnota, kterou organizace umístí do IDS na základě minulé výkonnosti a analýzy, která pomáhá určit schopnost systému efektivně identifikovat útok.
  • Filtrování alarmů: proces kategorizace alarmů vyvolané z IDS s cílem odlišit falešné poplachy od skutečných útoků.
  • Útočník nebo vetřelec: subjekt, který se snaží najít způsob, jak získat neoprávněný přístup k informacím, způsobit škodu nebo se věnovat jiným škodlivým činnostem.
  • Maškarádník: Uživatel, který nemá oprávnění v systému, ale pokusí o přístup k informacím jako oprávněný uživatel.Obecně to jsou uživatelé z venku.
  • Misfeasor: Obecně interní uživatel a existují dva typy:
    1. oprávněný uživatel s omezeným oprávněním.
    2. uživatel s plnými právy, který zneužívá svých pravomocí.
  • Ilegální uživatel: uživatel, který působí jako vedoucí a snaží se využít svého oprávnění tak, aby nedošlo k jeho zachycení.

Dva hlavní typy IDS

Uzlově orientované systémy detekce odhalení průniku

HIDS (Host-based intrusion detection system) sestává ze softwarového agenta, který se snaží detekovat útoky pomocí analýzy systémových volání, činnosti aplikací, úprav na souborovém systému a jiných akcí hostitele. Některé aplikačně zaměřené IDS jsou také součástí této kategorie.

Příklady HIDS

  • Dragon Squire
  • Emerald eXpert-BSM
  • NFR HID
  • Intruder Alert

Síťově orientované systémy detekce odhalení průniku

NIDS (Network intrusion detection system) jsou nezávislou platformou, která identifikuje narušení tím, že zkoumá síťovou komunikaci a monitoruje více hostitelů. NIDS senzory bývají umístěny přímo na síťových prvcích jako jsou např. HUB, SWITCH konfigurovaný pro zrcadlení portů nebo TAP a zachytí tak veškerý síťový provoz. Systém analyzuje všechny pakety, které procházejí sítí a snaží se v nich odhalit škodlivý kód.

Příklady NIDS

  • Snort
  • Cisco Secure IDS (dříve NetRanger)
  • Hogwash
  • Dragon
  • E-Trust IDS

Pasivní a aktivní IDS

Pasivní systém při odhalení podezřelé aktivity nijak nezasahuje do síťového provozu. Pouze vygeneruje varování (Alert), případně o tom zapíše do logu. Aktivní systém oproti pasivnímu navíc proti takové události zasáhne, například zablokováním služby. Aktivní systém je také známý jako systém prevence proniknutí (IPS), který reaguje na podezřelé aktivity resetováním spojení nebo přeprogramují firewallu tak, aby blokoval provoz v síti z podezřelého škodlivého zdroje. Termín systém odhalení a prevence proniknutí (IDPS) je běžně používaný tam, kde se toto může dít automaticky nebo na příkaz operátora. Jedná se o systémy, které jak detekují útoky, tak se jim snaží předcházet.

IDS není

Srovnání s firewally

Ačkoli se oba vztahují k zabezpečení sítě, IDS se liší od firewallu v tom, že firewall se snaží zabránit proniknutí omezením přístupu mezi sítěmi, ale nesignalizuje útok zevnitř sítě. IDS hodnotí podezření na narušení, jakmile k němu dojde signalizuje alarm. IDS také hlídá útoky, které by pocházely zevnitř systému. Toto je dosaženo zkoumáním síťové komunikace, identifikováním heuristik a vzorů (často známé jako podpisy) na běžné počítačové útoky a uvědomění operátora. Systém, který ukončuje spojení se nazývá systémem prevence proniknutí (IPS) a je to forma firewallu na aplikační vrstvě.

Statistické anomálie a IDS zaměřené na podpisy

IDS používají jednu ze dvou detekčních metod:

IDS zaměřené na statistické anomálie
IDS zaměřené na statistické anomálie stanovují základní výkon na základě ohodnocení běžného síťového provozu. Poté testuje aktuální síťovou aktivu porovnáním se stanoveným základem za účelem zjistit, jestli spadá do parametrů základu. Pokud do těchto parametrů nespadá, spustí se alarm.
IDS zaměřené na charakteristiky
Síťový provoz je zkoumán na předem nastavené a určené vzory útoku známé jako charakteristiky. Dnes má mnoho útoků rozdílné charakteristiky. V dobré bezpečnostní praxi musí byt neustále aktualizovaná databáze těchto charakteristik kvůli snížení nových hrozeb.

Omezení

Šum
Šum může vážně omezit účinnost IDS. Špatné pakety generované z chyby v softwaru, poškozují data v DNS, a místní pakety, které unikly mohou vytvořit značně vysoké riziko falešného poplachu.
Příliš málo útoků
Není neobvyklé pro mnoho skutečných útoků, že jsou velmi nízko pod laťkou falešných alarmů, a tak jsou často přehlíženy a ignorovány.
Aktualizace charakteristik
Mnoho útoků je zaměřeno na specifické verze neaktualizovaného softwaru. Pro snížení hrozeb je nutné stále aktualizovat jejich knihovnu. Zastaralé databáze mohou zanechat IDS zranitelné vůči novým strategiím.

Obcházecí techniky IDS

Tyto techniky obcházejí detekci tím, že vytvářejí rozdílné stavy na IDS a na cílovém počítači. Protivník toho dosahuje buď manipulací útoku samotného nebo síťového provozu, který útok obsahuje.

Obtížně detekovatelné aktivity

Následky útoku mohou vyvolat i další účinky, které způsobí divné chování systému. Sledování takových účinků je ale obtížně.

Příklady

  • problémy s hardwarem nebo softwarem, např. shozený server, neběžící démon, nečekané pokusy o restart systému, změny v nastavení systémových hodin
  • problémy se systémovými zdroji, např. přeplnění souborového systému, abnormální zatížení procesoru
  • podivné zprávy od systémových démonů, např. démoni neběží nebo jsou narušené
  • problémy s výkonem systému, např. dlouhé odezvy serveru
  • chování uživatelského procesu, např. nečekaný přístup k systémovým zdrojům

Externí odkazy