Biologie | Chimie | Didactica | Fizica | Geografie | Informatica | |
Istorie | Literatura | Matematica | Psihologie |
Detectarea intruziunilor
Detectarea intruziunilor reprezinta procesul de identificare a tentativelor de atac asupra unui calculator sau retele prin utilizarea de software specializat si/sau hardware.
Scopul principal al unui sistem de detectare a intruziunilor (IDS -Intrusion Detection System) este de a oferi posibilitatea de a monitoriza in timp real activitatea retelei si a calculatoarelor conectate la aceasta in vederea identificarii activitatilor neautorizate. În plus, IDS-urile pot oferi, aproape in timp real, un raspuns automat legat de activitatile neautorizate identificate, posibilitatea de a analiza activitatea curenta (zilnica) din retea in relatie cu activitatea trecuta cu scopul identificarii unor trenduri mai largi sau probleme9.
Primul scop al activitatii de detectare a intruziunilor este de a preveni consecintele cauzate de intruziuni prin implementarea unui program eficient de control al securitatii. Controalele sunt dezvoltate in conformitate cu politica de securitate, standardele si practicile in domeniu si prin folosirea unei tehnologii adecvate, care sustine si aplica politica de securitate a organizatiei.
Capacitatea de a identifica in timp real un atac este un avantaj deosebit oferit de IDS-uri. Este foarte important sa ai cunostinta ca este in derulare un atac asupra retelei pe care o administrezi si totodata sa fii capabil sa iei imediat masurile necesare. Pentru a realiza aceste deziderate este nevoie de un sistem "paznic' plasat in background care sa monitorizeze permanent activitatile device-urilor conectate la retea, sa interpreteze diferitele incidente si sa diagnosticheze atacurile.
Identificarea unei intruziuni poate fi facuta:
- in timpul derularii atacului, caz in care se urmareste blocarea acestuia;
- dupa finalizarea activitatii distructive, caz in care se procedeaza la evaluarea consecintelor acesteia si identificarea caii utilizate pentru penetrare.
Monitorizare: IDS examineaza si proceseaza informatii despre activitatea sistemului tinta. Multe din iesirile tehnice si operationale izvorasc din aceasta functie. De calitatea monitorizarii depinde si timpul necesar pentru detectarea intruziunii.
Raport: IDS ofera informatii despre sistemele monitorizate.
Raspuns: Sistemele de detectare a intruziunilor pot detecta incercarile initiate urmarind compromiterea confidentialitatii, integritatii si accesibilitatii datelor stocate intr-un calculator sau dintr-o retea.
Initiatorii atacurilor pot fi:
persoane din exteriorul retelei;
persoane autorizate din interior care folosesc incorect privilegiile pe care le au;
persoane neautorizate din interior care urmaresc sa obtina privilegii necuvenite.
Un sistem de detectare a intruziunilor reprezinta o parte a solutiei de securitate prevazute prin politica de securitate a organizatiei.
Ultima statistica realizata de FBI/CSI {Computer Security Institute) arata o crestere a utilizarii tehnologiei IDS de majoritatea celor intervievati, de la 35% in 1998 la 61% in 2001.
Politica de securitate va defini care date trebuie protejate, ce tip de IDS este necesar, unde va fi instalat, ce tipuri de atacuri va detecta si in functie de acesti parametri, ce gen de alerte sau raspunsuri va fi necesar sa ofere atunci cand un atac real este detectat. Sistemele de detectare a intruziunilor (IDS) analizeaza traficul in retea, cautand urmele atacurilor care ar putea periclita si distruge informatia pe calea conexiunilor la Internet. Sistemele IDS pot controla o gama larga de tipuri de atacuri, inclusiv DoS (Denial of Service) sau DdoS {Distributed Denial of Service), care de obicei tind sa blocheze activitatea organizatiei sau accesul clientilor la resursele necesare. Rolul sistemului IDS este acela de a semnala ori de cate ori detecteaza o incalcare a unui set de reguli si chiar de a opri un atac inainte ca acesta sa ajunga la resurse sau sa produca vreo deteriorare a acestora. Ele trebuie sa monitorizeze atat traficul care intra, cat si pe cel care iese din retea.
Primele IDS-uri au inceput sa fie utilizate in anii 1980 cand retelele nu prezentau extinderea, complexitatea si interconectarile care astazi le carac-terizeaza, intruziunile erau rare si de obicei detectarea intruziunii se realiza dupa producerea ei, informatiile colectate servind la prevenirea altor atacuri. in acest mediu de lucru, se proceda la verificarea jurnalelor de audit (audit logs) cu sopul identificarii activitatilor suspicioase.
IDS pot realiza si monitorizarea proprie (a propriului sistem). Pot realiza o statistica agregata care sa sublinieze gradul mediu de utilizare a computerului monitorizat. Aceste statistici pot folosi mai multe surse de informare, cum ar fi uzura procesorului, a memoriei etc. Astfel de statistici trebuie actualizate continuu, pentru a putea reflecta starea reala a computerului respectiv. Sunt corelate cu un model intern de statistica pentru a permite sistemului de detec-tare sa stabileasca daca o actiune reprezinta o potentiala intruziune. Acest mo-del intern fie descrie un scenariu tipic al intruziunii, fie se ghideaza dupa o imagine predefinita a unui sistem integru. Unele sisteme de detectare a intru-ziunilor pot chiar sa reconfigureze firewall-uri si routere, din mers, in timp real, oferind fie posibilitatea de a inchide conexiunea celui care incearca sa patrunda in sistem, fie statistici si date ale actiunii respective, pentru o analiza amanuntita.
De asemenea, sistemele de detectare a intruziunilor completeaza firewall-ul detectand incercarile de a exploata vulnerabilitatile acestuia, protejand insusi firewall-ul impotriva atacurilor prin identificarea acelor greseli de configurare a firewall-ului respectiv.
Metode de detectare a intruziunilor
Metoda profilelor si comportamentului normal
Metoda profilelor si anomaliei statistice (statistical anomaly) impune definiea profilului unui comportament normal al utilizatorilor si al conexiunilor la retea cu scopul de a se putea identifica abateri de la acestea. IDS detecteaza intruziunile cautand activitati care sunt diferite de cele normale pentru comportamentul utilizatorului sau sistemului.
Multi specialisti in securitate considera ca IDS-urile de acest tip le ofera posibilitatea de a detecta atacuri de tipuri noi, necunoscute pana in acel moment, spre deosebire de IDS-urile ce folosesc metoda tiparului bazate pe analiza semnaturii atacurilor produse in trecut.
Dezavantajul acestui tip de IDS consta in faptul ca produce de multe ori false alarme datorate naturii impredictibile a utilizatorilor sau retelei..
Definirea profilelor nu este usor de facut deoarece:
realizarea de profile pentru utilizatori presupune definirea unor estimari a ceea ce reprezinta un comportament normal;
informatiile folosite in crearea profilelor trebuie sa fie cat mai relevante.
Dupa crearea profilelor procesul de detectare a intruziunilor compara profilele cu observatiile comportamentului real. Acest mecanism este ilustrat in figura 4.11. Metoda tiparului
Majoritatea produselor comerciale se bazeaza pe examinarea traficului, cautand tipare ale unor atacuri. Aceasta inseamna ca IDS-ul este programat sa identifice fiecare tehnica cunoscuta de atac. Unele IDS-uri sunt formate din baze de date largi care contin mii de astfel de tipare.
Dezavantajele acestui tip de IDS constau in urmatoarele aspecte:
Nu
pot detecta un atac pentru care nu au un tipar retinut in baza de
date;
Hackerii
experimentati pot evita sau face indisponibil un astfel de
IDS;
Majoritatea tiparelor noi pentru upgrade sunt oferite de furnizorul
IDS-ul ui. De aceea capacitatea furnizorului de a oferi tipare pentru
noile atacuri descoperite este esentiala.
Sarcina auditorului va consta in a verifica daca:
Prin politica de securitate s-a prevazut utilizarea IDS-urilor;
Daca tipul de IDS ales corespunde cel mai bine nevoilor;
Modul in care s-a configurat IDS-ul si aceasta deoarece un IDS
poate 'inunda' si coplesi echipa tehnica a organizatiei cu un
numar enorm de alarme in cazul in care nu este optim configurat.
Copyright © 2024 - Toate drepturile rezervate