Detekce napadení počítačového systému

DEFINICE Detekce napadení spočívá v rozpoznání situace, kdy dochází k nesprávnému nebo neoprávněnému používán...


DEFINICE
Detekce napadení spočívá v rozpoznání situace, kdy dochází k nesprávnému nebo
neoprávněnému používání systému nebo sítě. Systém detekce napadení (Intrusion
Detection System IDS) monitoruje systémové a síťové zdroje a probíhající
aktivity a na základě informací nasbíraných z těchto zdrojů podá v případě
identifikace pravděpodobného útoku hlášení odpovědným pracovníkům.
Pete Loshin Jestliže lze funkci firewallu přirovnat k hlídači před dveřmi
kanceláře, který kontroluje důvěryhodnost každého návštěvníka, jenž přichází a
odchází, pak systém detekce napadení je totéž, jako síť senzorů, které oznámí,
že někdo vnikl dovnitř, na jakém místě se právě nachází a co tam dělá.
Firewally pracují pouze na vstupu do sítě a kontrolují pakety přicházející a
odcházející po síti. Stane-li se, že někdo překoná firewall, pak má možnost
volného pohybu v celé síti. A to je důvod, proč je systém identifikace napadení
IDS tak důležitý. Existuje řada metod, jak odhalit narušitele. Mnozí odborníci
doporučují použít kombinaci několika z nich a nespoléhat na jediný mechanismus.
U hostitele Možná nejznámější IDS je Tripwire, program napsaný v roce 1992
dvěma programátory, Eugene Spaffordem a Gene Kimem. Tripwire je příkladem
metody detekce napadení pomocí agenta hostitele. Program je instalován v
prostředí hostitele a kontroluje, jestli někde v systému nedošlo ke změnám a
ověřuje, jestli při nich nedošlo k modifikaci klíčových souborů.
Vlastní agent je instalován na původní konfiguraci systému hostitele. Zde
nejprve zaznamená důležité atributy systémových souborů a poté všechny jejich
úpravy. Potom periodicky porovnává aktuální stav souborů proti uloženým
atributům a podá zprávu o zjištěných podezřelých změnách.
Další metoda detekce napadení hostitele spočívá v monitorování všech paketů ve
chvílích, kdy přicházejí nebo odcházejí z prostředí hostitele systém tak v
podstatě přebírá roli osobního firewallu. Příjem podezřelého paketu aktivuje
alarm. Mezi další produkty detekce napadení hostitele patří Intruder Alert od
Symantecu nebo Centrax od CyberSafe.
Systémy detekce napadení založené na sledování provozu sítě prozkoumávají
všechny pakety v segmentu sítě a označí ty podezřelé. Síťový IDS hledá příznaky
napadení podezřelé pakety, které vykazují známky potenciálního narušení
bezpečí. Tyto příznaky bývá možné vysledovat z aktuálního obsahu paketů a jsou
kontrolovány porovnáním proti známým vzorkům napadení. Systém může například
vyhledávat vzorky, které odpovídají pokusům o modifikaci systémových souborů.
Jiné metody zjišťování útoků na síť se zakládají na sledování konkrétního
využití protokolů. Útočníci často zjistí slabé místo v síti tím, že vysondují
aktivní, ale chabě udržovaný webový, souborový nebo jiný server. Tyto příznaky
útoku na určitý port se dají identifikovat tak, že se hlídají pokusy o
připojení k síťovým portům spojeným s nabídkou služeb, neboť takovéto porty
bývají obvykle zranitelné.
Další možností jsou napadení prostřednictvím zdeformovaných nebo nelogických
záhlaví paketů TCP/IP. Útočník může například zkusit poslat paket, který
simultánně požaduje zavřít i otevřít připojení TCP; takový paket může způsobit
odmítnutí služby některým systémům. Komerční systémy detekce pracující v síti
jsou například Secure Intrusion Detection System (dříve známý jako Cisco
NetRanger) od společnosti Cisco, RealSecure od Internet Security System a
NetProwler od Symantecu.

Jak na ně vyzrát
Systémy detekce napadení mohou být také rozděleny do kategorií podle toho, zda
jsou založeny na znalostech (knowledge based) nebo na detekci chování systému
(behavior based). Většina komerčně nabízených systémů pracuje na základě
znalostí, kdy systém porovnává příznaky známých útoků se změnami v systému nebo
s toky paketů v síti. Tyto systémy jsou spolehlivé a generují jen málo
falešných poplachů, ale dokáží detekovat napadení pouze na základě útoků, které
znají. Často jsou bezmocné v případě neznámých nových útoků, proto se musejí
průběžně aktualizovat novými znalostmi o aktuálních typech nebezpečí. IDS
založený na detekci chování systému hlídá činnosti a zkouší identifikovat útoky
tím, že monitoruje všechny akce v systému nebo v síti a označí činnost, která
se zdá být nepatřičnou. Taková činnost může vyvolat poplach a často je to planý
poplach. Ačkoli jsou plané poplachy v tomto typu systémů IDS celkem běžné,
systém zase dokáže běžně odhalit zcela nový a dosud neidentifikovaný útok.
Dalším nástrojem pro detekci napadení je tzv. "honeypot" (hrnec medu), což je
naprosto oddělený systém vytvořený s cílem nalákat útočníky. Manažer jedné
prominentní webové stránky se nám svěřil, že používá honeypot na všechny
příchozí požadavky. Případné útoky na honeypot budí zdání úspěšně provedených
útoků, což poskytuje čas správcům sítě, aby mobilizovali, registrovali a
vysledovali útočníka, aniž by přitom odhalili své skutečně používané systémy.

Plánování
Zavedení systému identifikace napadení vyžaduje pečlivé plánování. Stejně jako
v případě systému detekce virů je nutné nejprve systém detekce napadení
hostitele instalovat do původních konfigurací systémů. Není-li tato podmínka
dodržena, musíte vždy počítat s rizikem, že systém již mohl být napaden před
instalací systému IDS. Ještě důležitější je zavést přesný postup při řešení
útoku. Není vždycky nejlepší jen vytáhnout kolík ze zásuvky, když zjistíte, že
je systém napaden.
V závislosti na tom, jaké systémy nebo sítě byly napadeny, a co chcete, aby se
stalo útočníkům, bývá často výhodnější ponechat útočníky v systému a
kontaktovat strážce zákona, aby se pokusili je chytit. Takové rozhodnutí nesmí
být ukvapené; musíte mít dopředu připravenou sadu standardních odpovědí a
postupů. Vaším zájmem je držet útočníky zpátky, ale zároveň je chcete odhalit,
pokud se jim útok povede.

Systémy detekce napadení
Zkratka ID znamená slovní spojení intrusion detection, což je technika pro
odhalení neoprávněné, nesprávné, nebo anomální aktivity v počítačových
systémech. Systémy ID, které operují v prostředí hostitele a detekují
nepřátelskou činnost, se nazývají systémy detekce napadení hostitele (host
based ID systems). ID systémy, které operují v toku dat v síti, se nazývají
systémy detekce napadení sítě (network based ID systems). Oba systémy se mohou
(a je to vhodné) používat společně.
1 0967 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.