Vylepšené nástroje IDS

DEFINICE Systémy IDS s enginem pro pasivní identifikaci zjistí vlastnosti cílového počítače a poté již varují pouz...


DEFINICE
Systémy IDS s enginem pro pasivní identifikaci zjistí vlastnosti cílového
počítače a poté již varují pouze před takovými útoky, které jsou pro něj
potenciálně nebezpečné.
Systémy detekce napadení (IDS) jsou klíčovou součástí vícevrstevné bezpečnostní
architektury. Využívání síťových IDS však bylo dosud omezeno jejich
nedokonalými schopnostmi detekce a převahou falešných varování, která hlásí
útok, ačkoliv na cílovém systému neexistuje žádné zranitelné místo.
V důsledku toho mnoho administrátorů zpochybňovalo hodnotu stávajících
instalací IDS. Odpovědí na jejich pochyby má být nově se objevující generace
IDS produktů, využívajících funkci známou jako pasivní metoda identifikace
(passive fingerprinting).
Uvedená metoda sbírá údaje o cílových hostitelských systémech v rámci sítě. IDS
jejím prostřednictvím shromažďuje kritické údaje o operačním systému, o jeho
službách a v některých případech i o aplikacích běžících na daném počítači a
tyto informace následně využívá k omezení počtu falešných poplachů.

Databáze signatur
Jakmile IDS zjistí potenciálně škodlivý paket, porovná ho křížově s profilem
zranitelných míst cílového systému a zjistí, zda je tento systém zranitelný při
potenciálním útoku. Pokud tomu tak není, je varovné hlášení potlačeno. Takto
lze například potlačit varování ohledně Windows RPC útoku, je-li jeho cílem
linuxový server, který není zranitelný.
Pasivní metoda identifikace pracuje na základě porovnání informací získaných z
TCP a IP hlaviček odeslaných ze zdrojového počítače s databází signatur
obsahující podrobnosti o cílovém systému. Nejběžnějšími identifikátory jsou
window size, time-to-live, DF bit a celková délka paketu.
Window size (wSize) se odkazuje na velikost vyrovnávací paměti pro příchozí
pakety. Operační systém tento parametr obvykle nastavuje na začátku TCP
session. Většina unixových operačních systémů, jako je Linux nebo Solaris,
staticky udržují tuto hodnotu během celé session, avšak operační systémy
Windows příslušnou hodnotu v průběhu práce mění.
Time-to-live (TTL) je dalším parametrem poskytujícím užitečné informace o
hostitelském operačním systému. Operační systémy zapisují do IP hlaviček
odlišné výchozí hodnoty počtu skoků (hops), které může paket vykonat, než je
zahozen. Například TTL rovno 64 nasvědčuje tomu, že hostitelský počítač
pravděpodobně běží na Linuxu nebo FreeBSD, zatímco hodnota TTL rovná 128
naznačuje, že se jedná nejspíše o počítač s operačním systémem Windows.
Příznak DF (Dont Fragment) již není tak užitečným indikátorem jako předchozí
dva, neboť jej většina operačních systémů nastavuje na shodný výchozí stav. Lze
ho však použít jako výjimečný ukazatel, neboť pouze v několika operačních
systémech, například OpenBSD, je ponechá nenastaven.
Celková délka je hodnota určující délku paketu včetně IP hlavičky a režijních
dat pro přenos. Jedná se o cenný ukazatel, neboť některé operační systémy lze
určit podle celkové délky SYN a SYNACK paketů. Hodnoty pro jednotlivé
nejběžnější operační systémy vypadají následovně: Linux - 60, Solaris - 44,
Windows 2000 - 48.

Spolupráce
Žádný z uvedených parametrů nepomůže určit profil odesílatele sám o sobě.
Jakmile ale IDS vyhodnotí všechny uvedené indikátory oproti databázi operačních
systémů, často může přesně určit operační systém hostitelského počítače a
příslušné služby.
Například IDS engine zkoumající paket s TTL 64 zúží možnosti operačních systémů
na Linux a OpenBSD, z nichž oba využívají stejnou hodnotu TTL. Ale po ověření
wSize lze Linux a OpenBSD rozlišit. Kombinace indikačních parametrů tak nabízí
spolehlivou "signaturu" dotyčného operačního systému.
Prozkoumáním možné zranitelnosti cílového počítače ještě před vygenerováním
bezpečnostního varování lze dramaticky snížit počet falešných poplachů.
Výsledkem je tedy nová generace IDS produktů, které umožňují přesnější detekci.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.