Dziś postaram się jak najbardziej szczegółowo i merytorycznie opisać Ci rodzaje i działanie IDS (Intrusion Detection System) oraz IPS (Intrusion Prevention system). Mam nadzieję, że – tak jak ja – już jesteś podekscytowany kolejną dawką wiedzy i będziesz dalej się rozwijał dzięki moim artykułom.
Wstęp
Wiem, że jest masa video, które poruszają te same tematy, lecz ja jestem jedną z tych osób, która teorię woli jednak przeczytać. Gdy oglądam jakieś video z teorią, wyłączam się, nie potrafię się na tym skupić i to nie działa. A jestem zdania, że w życiu nie ma czasu na jego marnowanie, jeśli wiesz, że coś nie działa.
Dlatego też piszę tu dla Ciebie, byś nie musiał oglądać tego samego filmiku siedem czy osiem razy, a abyś raz przeczytał i zapamiętał. Mam zamiar zrobić video szkolenia, ale w nich będzie sama praktyka, ponieważ moim zdaniem teoria nie wchodzi do głowy z video 😉
Ostatnio dowiedziałeś się co nieco o zaporze ogniowej (firewall). W dzisiejszych czasach to jest mus. Ale to nie wszystko, co możesz zaaplikować w swojej sieci, by podnieść jej bezpieczeństwo.
IDS – co to takiego?
Definicja Intrusion Detection System jest bardzo prosta. IDS ma za zadanie monitorować aktywność na systemach bądź w sieci i zapisywać w logach lub wysyłać notyfikacje do administratora. Lecz jest parę rodzajów IDS, więc się nie martw, jeszcze nie skończyłem artykułu 😉
Signature-Based IDS jest to rodzaj IDS, który ma zapisaną sygnaturę w pliku w formie listy z informacją, co jest niebezpiecznym zdarzeniem. Gdy IDS znajdzie aktywność taką samą, jaką ma zapisaną w pliku, wysyła wtedy notyfikację do administratora.
Dla przykładu możesz mieć w pliku informację, że wysyłanie wielu pakietów SYN do różnych portów z jednego IP jest zagrożeniem. Jednym z bonusów signature–based jest to, że jest mało false positive, czyli takich informacji, które uznane zostały przez system jako naruszenie, ale tak naprawdę nimi nie są.
Anomaly-Based IDS
Ten IDS reaguje na anomalie w systemie. Na początku zbiera sobie dane, zapisuje, jaka jest normalna aktywność, tworzy sobie swój baseline. A gdy coś wyjdzie poza normy, od razu zostaje Tobie zgłoszone.
Działa to na podstawie działań osoby na systemie. Jest inaczej nazywane behavior-based anomaly monitoring system. Benefitem w wypadku tego rozwiązania jest to, że nie musisz przygotowywać pliku z konfiguracją. System sam się uczy normalnej aktywności. Za to jest dużo false-positive. Ponieważ jeśli coś tylko odbiega od normy, zaraz zostaje zgłoszone.
Heuristic Analysis
Jest to rodzaj analizy, która rozpoznaje złośliwą aktywność według reguł przygotowanych przez vendora i przetrzymywanych w bazie. Są one później wykorzystywane przez software do detekcji zagrożeń.
Vendor tworzy reguły na podstawie swojego doświadczenia. Najlepszym przykładem są antywirusy. Działają w ten właśnie sposób: wirus jest odpalany w maszynie wirtualnej. Po czym rejestrowane są wszystkie kroki, jakie mają miejsce.
Typy IDS
Gdy wprowadzasz IDS, masz możliwość wyboru między dwoma typami: host-based IDS lub też network-based IDS. Od razu powiem, że należy implementować oba 😉
Host-based
HIDS jest instalowany na poszczególnych systemach. Monitoruje aktywność właśnie na nich poprzez monitorowanie aktywności w pamięci, plikach systemowych, logach czy połączeniach sieciowych. Taka implementacja ma swoje ograniczenia.
HIDS jest zainstalowany tylko na systemie i widzi tylko aktywność z tego systemu, nic poza tym. Czyli masz ograniczone pole działania i nie widzisz całości, co, jak wiesz, wiąże się z wieloma zagrożeniami, które możesz pominąć.
Network-based
Wersje sieciową można zainstalować na oddzielnym urządzeniu sieciowym lub też jako software na już istniejącym. NIDS analizuje cały ruch w sieci i gdy wykryje, że coś się święci, to wysyła alert do admina i zapisuje log. NIDS zbudowany z paru komponentów. Pierwszym jest sensor.
Sensor to kawałek oprogramowania albo sprzętu, który jest umieszczony w każdym segmencie. Zbiera tam dane i przesyła ruch do analizy przez silnik lub do kolektora. Kolektor zbiera ruch i przesyła do silnika analizy. Wygląda skomplikowanie, ale polega to na zebraniu tematu i przesłaniu w odpowiednie miejsce do sprawdzenia.
Następny jest silnik analizy: jest on odpowiedzialny za odebranie pakietów z sensora bądź też kolektora i za przeprowadzenie analizy. Porównuje on pakiety z bazą danych znanych podejrzanych ruchów sieciowych. Ostatnia jest konsola, do której są wysyłane raporty.
Klasy IDS Passive/Inline
Pasywny IDS wygląda dokładnie tak, jak przytaczałem go w przykładach powyżej – zapisuje logi plus wysyła notyfikację do admina o alercie. Zbierane są dane i do niego przesyłane. Pamiętaj, pasywny nic nie robi, tylko wysyła alerty. Inline za to jest ustawiony na drodze pakietu.
Pakiet musi więc przelecieć przez niego, zanim osiągnie cel. Inline może przejąć ster i zablokować ruch, choć normalnie robi to IPS (ale o tym zaraz). Dodatkowym benefitem w tym wypadku jest to, że gdy padnie inline, ruch nie będzie przekazywany do czasu jego naprawy. A w wypadku passive nie ma takiej opcji, bo ruch jest zbierany.
Kiedy konfigurujesz IDS, to konfigurujesz zasady, które będą wyłapywane jako podejrzane. Na przykład stworzysz regułę, która wyłapuje, kto pinguje wewnętrzne zasoby z adresu 192.168.1.0.
Nie wiem, czy już zwróciłeś uwagę, ale z artykułu na artykuł zagęszczamy urządzenia, sprzęty i konfiguracje w naszej sieci. Nie powiedziałem Ci jeszcze, że ktoś musi obsługiwać te sprzęty.
Pamiętaj, sam nie dasz wszystkiego rady zrobić, na pewno coś przeoczysz. Im więcej jest sprzętu, tym musi być więcej wykwalifikowanych osób, które mogą się tym zająć.
IPS
IPS to prawie to samo, co wyżej opisany IDS. Zbiera, loguje i wysyła notyfikacje, ale dodatkowo wykonuje akcje, by uchronić środowisko (tym razem nienaturalne 😉 Kiedyś nazywano go aktywnym IDS.
HIPS i NIPS
Są dwa główne rodzaje IPS. Pierwszy jest zlokalizowany w systemie i nazywa się host-based intrusion prevention system. Jest on odpowiedzialny za monitorowanie aktywności na jednym systemie. Przegląda logi i, jeśli znajdzie coś niepokojącego, to wykonuje akcje.
Drugim zaś jest network IPS – jest on odpowiedzialny za monitorowanie aktywności sieciowej, ale nie tylko na danym systemie. I w tym wypadku, jeśli coś zostanie wykryte, zostanie wykonana akcja, np. blokady pakietu.
Honeypot i Honeynet
Honeypot to system przygotowany dla napastnika do włamania. Stawia się takie cacuszko z podpiętym IDS, który wszystko loguje. Musisz pamiętać, że to nie może być łatwy po otwierany system (czyli taki z kiepskimi konfiguracjami, do którego łatwo się dostać), bo zaraz każdy się zorientuje, co to jest. Musi być to ładnie zabezpieczone. By na jakiś czas odsunąć napastnika od produkcji 😉
A Ty będziesz w stanie prześledzić jego działania i dowiesz się, jak się bronić przed jego i tego typu atakami. Kolejnym tematem jest honeynet. Tu robisz podobnie. Tylko cała sieć jest przygotowana po to, aby napastnik myślał, że jest w produkcji. Działał swobodnie, podczas gdy Ty analizujesz jego działania.
Podsumowanie
W dzisiejszym artykule poznałeś różnego rodzaju firewall. Wiesz, już czym jest IPS i iDS. Wiesz również, do czego się je wykorzystuje. A dodatkowo poznałeś honey pot oraz honey net może jeszcze nie wiesz jak je przygotować dla swojej organizacji, ale masz już podstawową wiedzę czym są.
Pozdrawiam – Pusz ????
The form you have selected does not exist.
