Systémy detekce napadení

Mnozí výrobci vychvalují systémy detekce napadení IDS (intrusion detection system) jako zázračný prostředek v boji pr...


Mnozí výrobci vychvalují systémy detekce napadení IDS (intrusion detection
system) jako zázračný prostředek v boji proti hackerům. Kdy se však jejich
nasazení skutečně vyplatí, jak bývají tyto systémy vybaveny a jak to všechno
funguje v reálných podmínkách?
Je známým pravidlem, že každé zesílení firewallu ovlivňuje negativně datový
provoz s destinacemi mimo interní síť. To vzbuzuje zájem o možnost kombinovat
firewally se systémy detekce napadení, které pomohou zachovat požadované
bezpečnostní parametry sítě při menším omezení běžného provozu. Systémy IDS
mají za cíl identifikovat zásahy způsobené nabouráním do sítí i serverů a
upozornit na veškeré neobvyklé, potenciálně nebezpečné činnosti.
Systémy pro detekci napadení lze rozlišovat podle toho, zda sbírají data přímo
ze sítě, nebo z hostitelských počítačů. Síťové IDS lze umístit relativně rychle
a většinou bez úprav aplikací na důležité body v síti. Tento koncept má však
problémy vyplývající z rostoucího využívání šifrovaných síťových spojení, což
brání v přístupu k datům. Alternativou jsou systémy IDS založené na využívání
hostitelských počítačů. Na těch je nainstalován specializovaný agentský
software, který zachycuje síťová data z různých vrstev komunikačních protokolů.
Předností těchto systémů založených na agentech je "blízkost" k vlastním
serverům, které vyžadují ochranu. Kromě sledování toku dat v síti poskytují
navíc průběžná hlášení o činnostech v operačním systému, o instalovaných
službách a aplikacích.

Hledání anomálií
Klasické systémy IDS využívající hostitelů jsou obvykle založeny na
vyhodnocování logových souborů, vyhledávání přihlašovacích (log-in) akcí a
kontrole souborů a adresářů z hlediska změn.
Použité metody vyhledávání se zaměřují především na to, jak poznat zneužití a
nepřípustné anomálie. Relativně jistá je taková identifikace zneužití, kterou
lze zjistit prostřednictvím analýzy přihlašování, případně taková, jež využívá
vyhledávání známých příznaků například v síťových datech. Přitom se však dají
vypátrat pouze již známé vzorky zásahů, protože se hledají jejich historicky
ověřené specifické rysy, například určité znakové řetězce v souborech.
Rozeznání anomálií naproti tomu slouží k objevování vztahů nebo procesů, které
se liší od normálního stavu. Tento typ identifikace se může opírat o
kvantitativní analýzy, například zjištění počtu spojení se síťovými porty
systému, které se uskutečnily nad stanovenou mezní hodnotou za určitou časovou
jednotku. Dále se dají statistickým srovnáváním po delší časové období
vyhodnocovat odchylky od normálního uživatelského a systémového chování, čímž
lze klasifikovat podezřelé skryté činnosti. Přístup, který jde ještě dál,
využívají tzv. stavově orientované systémy. Ty zkoumají jednotlivé činnosti a
stavové změny v systému, které nejsou samy o sobě problematické z hlediska
bezpečnosti, ale mohou podat důležité informace v případě postupně se
rozvíjejících zásahů.

Okolí systému
Zásadní roli při vytváření kombinovaných bezpečnostních systémů hraje
samozřejmě prostředí jejich nasazení a to je většinou spoluurčováno těsným
rozpočtem. Snem každého pracovníka zodpovědného za firemní IT je takový systém,
který dohlíží nad vším bez jakékoliv další podpory.
Většině požadavků na bezpečnost může dostát vyškolený lidský dozor používající
inteligentní IDS. V každém případě však musí odborný personál správně
vyhodnotit varovná a výstražná hlášení a reagovat na ně. Většina IDS produktů
nabízí sympatické nástroje pro správu a konfiguraci. Stálý optimální účinek lze
očekávat jen tehdy, bude--li možné systém plynule přizpůsobovat neustále se
měnícím bezpečnostním požadavkům a reálným podmínkám provozu.
V prostředí s četnými kontrolními body v široce rozvětvených sítích se k
zajištění dostatečné ochrany doporučuje vytvořit zvláštní tým pro monitorovací
činnost. To znamená, že na vhodném místě se budou centrálně shromažďovat došlá
data i hlášení a zvláště vyčlenění pracovníci je budou průběžně vyhodnocovat.
Vybudování rozsáhlých monitorovacích struktur však v mnoha firmách naráží na
nedostatek lidských zdrojů. V takových případech se nabízí využití externích
partnerů tzv. MSS (manager security services). Ti mohou vedle úplného sběru dat
poskytnout i jejich fundované vyhodnocení.

Další růst
Nabídka IDS v poslední době díky produktům nových i renomovaných výrobců
výrazně vzrostla. Známý je například velmi výkonný systém Network Flight
Recorder nebo Secure Intrusion Detection System (od Cisca), který je navržen
speciálně pro sběr dat v prostředích se síťovými produkty firmy Cisco. Dalším
rozšířeným produktem je Realsecure (od ISS). Vyznačuje se použitím agentů,
kteří pracují v heterogenních sítích a v serverových systémech na různých
úrovních. Vedle těchto komerčních řešení jsou k dispozici i open source
produkty. Svou kvalitou přitom vyhoví i náročným požadavkům. Nejznámější jsou
Snort jako IDS na bázi sítě a Aide jako řešení s hostitelským počítačem.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.