Intrusion detection system

Intrusion detection system (IDS, tj. systém detekcie prienikov) je zariadenie alebo softvér, ktorého úlohou je monitorovanie sieťovej prevádzky alebo systémov a detekcia škodlivých aktivít. Akákoľvek podozrivá aktivita alebo narušenie sa zvyčajne nahlási buď správcovi, alebo sa zhromažďuje do centrálneho systému (SIEM). Takýto centrálny systém kombinuje výstupy z viacerých zdrojov a je schopný rozlíšiť škodlivú aktivitu od falošných poplachov.

Typy IDS siahajú od jednotlivých počítačov až po veľké siete. Najbežnejšími typmi sú network intrusion detection systems (NIDS) a host-based intrusion detection systems (HIDS). Systém, ktorý monitoruje dôležité súbory operačného systému (napr. špeciálne antivírové programy), je príkladom HIDS, zatiaľ čo systém, ktorý analyzuje sieťovú prevádzku (sieťové hardvérové zariadenie), je príkladom NIDS.

IDS je možné rozdeliť aj na základe použitej metódy rozpoznávania. Najbežnejšími metódami sú rozpoznávanie znakov (napr. malvér) a detekcia anomálií (detekcia odchýlok od modelu „dobrej“ prevádzky). Ďalším bežným variantom je detekcia založená na reputácii (rozpoznanie potenciálnej hrozby podľa skóre reputácie). Niektoré IDS majú schopnosť na zistené prieniky reagovať. Takéto systémy sa zvyčajne označujú ako intrusion prevention system (IPS). IPS môžu slúžiť aj na špecifické účely tým, že sa rozšíria o vlastné nástroje ako je napríklad použitie honeypotu na prilákanie a následnú charakterizáciu škodlivej prevádzky.

Porovnanie s firewallom[upraviť | upraviť zdroj]

Aj keď sa oba systémy (IDS a firewall) týkajú zabezpečenia siete, IDS sa od firewallu líši v tom, že tradičný sieťový firewall používa statický súbor pravidiel na povolenie alebo odmietnutie sieťových pripojení. Aby firewall zabránil prieniku do siete, obmedzuje prístup z vonku, nereaguje však na útok z vnútra. IDS ohlasuje podozrenie na vniknutie, keď už k nemu došlo a signalizuje alarm. IDS tiež sleduje útoky, ktoré pochádzajú z vnútra systému. Toto sa tradične dosahuje skúmaním sieťovej komunikácie, vzorov bežných počítačových útokov a podnikaním opatrení na varovanie používateľov. Systém, ktorý podozrivé spojenia ukončuje a vykonáva kontrolu prístupu ako firewall na aplikačnej vrstve, sa nazýva IPS.

Rozdelenie[upraviť | upraviť zdroj]

IDS možno rozdeliť podľa toho, kde prebieha detekcia (sieť alebo hostiteľ) alebo podľa použitej metódy detekcie (znaky alebo anomálie).

Analyzovaná aktivita[upraviť | upraviť zdroj]

Sieťovo orientované systémy (NIDS)[upraviť | upraviť zdroj]

Systémy NID sú umiestnené v rámci siete tak, aby monitorovali prevádzku do a zo všetkých zariadení v sieti a vykonávali analýzu prevádzky. Po identifikácii útoku alebo zachytení abnormálneho správania sa upovedomí správca systému. Príkladom NIDS by bola jeho inštalácia do podsiete, kde sú umiestnené firewally, aby sa zistilo, či sa niekto pokúša preniknúť do firewallu. Systémy NID sú tiež schopné porovnávať pakety pre špecifické postupnosti znakov (tzv. signatúry). Samotné NIDS vieme rozdeliť na: on-line a off-line NIDS, často označované ako inline a tap mode. On-line NIDS pracuje so sieťou v reálnom čase. Analyzuje ethernetové pakety a rozhoduje, či ide o útok alebo nie. Off-line NIDS sa zaoberá uloženými dátami a spätne vyhodnocuje, či išlo o útok alebo nie. NIDS je zväčša v sieti umiestnené tak, aby prevádzku kontrolovalo, ale nespomaľovalo. Deje sa to tak, že pri prechode hlavným switchom sa prevádzka zároveň kopíruje na port, kde je pripojený IDS a ten monitoruje sieťovú prevádzku, pričom informuje administrátora o potenciálnych hrozbách.

NIDS je možné kombinovať aj s inými technológiami za účelom zvýšenia jeho úspešnosti. Príkladom je IDS založené na umelej neurónovej sieti. Neurónové siete pomáhajú IDS pri predpovedaní útokov učením sa z chýb. Na základe výsledkov výskumu 24 sieťových útokov má takýto systém priemernú úspešnosť 99.9%

Počítačovo orientované systémy (HIDS)[upraviť | upraviť zdroj]

Systémy HID bežia na jednotlivých koncových zariadeniach v sieti (počítače, servery, smartfóny ...). HIDS monitoruje iba sieťovú prevádzku koncového zariadenia, a ak sa zistí podozrivá aktivita, systém upozorní používateľa alebo správcu. Vytvára snímku (snapshot) existujúcich systémových súborov a porovnáva ju s predchádzajúcou snímkou. Ak boli kritické systémové súbory upravené alebo odstránené, správcovi sa odošle výstraha, aby ich preskúmal.

Metódy detekcie[upraviť | upraviť zdroj]

Hľadanie signatúr[upraviť | upraviť zdroj]

Základnou metódou IDS je detekcia útokov hľadaním špecifických znakov, ako sú bajtové sekvencie v sieťovej prevádzke alebo známe škodlivé sekvencie inštrukcií (signatúry) používané malvérom. Hoci IDS na tejto báze dokáže ľahko odhaliť známe útoky, je ťažké odhaliť nové útoky, pre ktoré nie je k dispozícii žiadny vzor. Tieto signatúry pre IDS určuje jeho výrobca. Pravidelná aktualizácia databáz zraniteľností pre IDS je preto kľúčová.

Detekcia anomálií[upraviť | upraviť zdroj]

Takýto typ detekcie bol zavedený predovšetkým na detekciu neznámych útokov. Základom je použitie strojového učenia na vytvorenie modelu dôveryhodnej aktivity a následné porovnávanie nového správania s týmto modelom. Hoci tento prístup umožňuje detekciu predtým neznámych útokov, zvyšuje sa riziko falošného označenia. To znamená, že predtým neznáma legitímna aktivita môže byť tiež označená ako škodlivá.

Intrusion prevention system[upraviť | upraviť zdroj]

Intrusion prevention systems (IPS), tiež známe ako intrusion detection and prevetion systems (IDPS), sú zariadenia, ktoré monitorujú sieťové alebo systémové aktivity na výskyt škodlivých aktivít. Hlavnými funkciami týchto systémov sú identifikovať škodlivú aktivitu, zaznamenávať informácie o tejto aktivite, ohlásiť ju a pokúsiť sa ju zablokovať alebo zastaviť.

IPS sa považujú za rozšírenie IDS, pretože obe monitorujú sieťovú prevádzku a/alebo systémové aktivity a hľadajú škodlivé aktivity. Hlavnými rozdielmi sú, že IPS, na rozdiel od IDS, je schopné aktívne predísť alebo zablokovať detegovanú aktivitu.

Rozdelenie[upraviť | upraviť zdroj]

IPS možno rozdeliť do štyroch rôznych typov:

Network IPS (NIPS): monitoruje prevádzku celej siete analyzovaním aktivít sieťových protokolov.
Wireless IPS (WIPS): monitorujte prevádzku v bezdrôtovej sieti.
Network Behavior Analysis (NBA): skúma sieťovú prevádzku s cieľom identifikovať hrozby, ktoré vytvárajú nezvyčajné toky dát ako sú útoky DDoS, či určité formy malvéru.
Host-based IPS (HIPS): nainštalovaný softvér, ktorý monitoruje podozrivú aktivitu jedného zariadenia a predchádza možným útokom napríklad zabránením spustenia, či uloženia súboru, zablokovaním sieťovej prevádzky na zariadenie.

Metódy detekcie[upraviť | upraviť zdroj]

Väčšina IPS využíva jednu z týchto metód:

Detekcia signatúr: systém monitoruje pakety v sieti a porovnáva ich s vopred nakonfigurovanými a vopred určenými vzormi útokov - ich signatúrami.
Detekcia anomálií: systém monitoruje sieťovú prevádzku a porovnáva ju s určením modelom. Model určuje, čo je pre túto sieť „normálne“ – aké rozsahy portov a aké protokoly sa používajú. Môže však vyvolať falošný alarm a zablokovať aj legitímnu prevádzku v sieti.

Obmedzenia[upraviť | upraviť zdroj]

Šum môže výrazne obmedziť účinnosť detekcie. Chybné pakety generované softvérovými chybami, môžu zvýšiť frekvenciu falošných poplachov.
Mnohé útoky sú zamerané na špecifické verzie softvéru, ktoré sú zvyčajne zastarané. Na zmiernenie hrozieb je potrebná neustále sa meniaca databáza signatúr. Zastarané databázy môžu spôsobiť, že systém bude zraniteľný voči novším stratégiám.
Pri detekcii signatúr dôjde k oneskoreniu medzi objavením novej hrozby (zero-day zraniteľnosť) a nahraním jej znakov do IDS. Počas tohto oneskorenia nebude IDS schopný hrozbu identifikovať.
Nedokáže kompenzovať slabé mechanizmy identifikácie a autentifikácie alebo slabé miesta v sieťových protokoloch. Keď útočník získa prístup v dôsledku slabých autentifikačných mechanizmov, IPS nemôže zabrániť útočníkovi v prístupe.
Šifrované pakety väčšina IDS nespracuje. Šifrovaný paket teda môže umožniť prienik do siete. (na analýzu šifrovanej prevádzky je možné použiť napríklad technológiu HTTPS Proxy)
IDS poskytuje informácie na základe sieťovej adresy. Táto adresa však môže byť falošná.

Techniky na obchádzanie detekcie[upraviť | upraviť zdroj]

Existuje niekoľko techník, ktoré útočníci využívajú na obídenie IDS:

Fragmentácia: odosielaním fragmentovaných paketov môže útočník obísť rozpoznávanie signatúr.
Koordinované útoky: koordinované skenovanie siete, pri ktorom sa cieľové porty rozdelia medzi rôznych útočníkov. To sťažuje IDS detekciu toho, že prebieha sken siete.
Spoofing adries/proxying: útočníci môžu vďaka sfalšovaniu adries sťažiť schopnosť IDS odhaliť zdroj útoku.
Menenie vzorov: IDS sa pri detekcii útoku vo všeobecnosti spolieha na zhodu signatúr. Miernou zmenou údajov použitých pri útoku je možné vyhnúť sa detekcii. Napríklad server IMAP môže byť zraniteľný voči pretečeniu vyrovnávacej pamäte a IDS dokáže detegovať znaky útoku 10 bežných nástrojov na tento útok. Úpravou dát odosielaných útočným nástrojom tak, aby sa nepodobali údajom, ktoré IDS očakáva, je možné vyhnúť sa detekcii.

Zdroje[upraviť | upraviť zdroj]

Tento článok je čiastočný alebo úplný preklad článku Intrusion Detection System na anglickej Wikipédii.