Sistem de detectare a intruziunilor

Această intrare sau secțiune privind securitatea cibernetică nu menționează sursele necesare sau cei prezenți sunt insuficienți . Puteți îmbunătăți această intrare adăugând citate din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor .

În securitatea IT, sistemul de detectare a intruziunilor sau IDS este un software sau hardware dispozitiv (sau , uneori , o combinație a celor două, sub formă de pre-instalat și pre-configurat stand-alone sisteme) utilizate pentru a identifica accesul neautorizat la computere sau rețele locale . Intruziunile detectate pot fi cele produse de crackeri experți, de instrumente automate sau de utilizatori neexperimentați care utilizează programe semi-automate.

Descriere

ID-urile sunt folosite pentru a detecta toate atacurile asupra rețelelor și computerelor. Aceste atacuri includ atacuri asupra rețelelor de calculatoare prin exploatarea unui serviciu vulnerabil, atacuri prin trimiterea de date malformate și aplicații rău intenționate, încercări de accesare a gazdelor prin creșterea ilegală a privilegiilor utilizatorului, acces neautorizat la computere și fișiere și programe clasice rău intenționate, cum ar fi viruși , troieni și viermi .

Un IDS constă din patru componente:

• unul sau mai mulți senzori utilizați pentru a primi informații din rețea sau computere
• un motor care analizează datele preluate de la senzori și identifică orice defecte în securitatea IT.
• o consolă utilizată pentru a monitoriza starea rețelei și a computerelor
• o bază de date pe care se bazează motorul de analiză și unde sunt stocate o serie de reguli utilizate pentru identificarea încălcărilor de securitate. Există mai multe tipuri de IDS care diferă în funcție de sarcina lor specifică și de metodele utilizate pentru a detecta încălcările de securitate. Cel mai simplu IDS este un dispozitiv care integrează toate componentele într-un singur dispozitiv.

Prin urmare, un IDS constă dintr-un set de tehnici și metode dezvoltate ad-hoc pentru a detecta pachete de date suspecte la nivel de rețea , transport sau aplicație .

Există două categorii de bază: sisteme bazate pe semnături (semnătură) și sisteme bazate pe anomalii (anomalie). Tehnica bazată pe semnături este oarecum similară cu cea pentru detectarea virusului, care vă permite să blocați fișierele infectate și este cea mai utilizată tehnică. Sistemele bazate pe detectarea anomaliilor utilizează un set de reguli care fac posibilă distingerea a ceea ce este „normal” de ceea ce este „anormal”.

Este important să știți că un IDS nu poate bloca sau filtra pachetele de intrare și de ieșire și nici nu le poate modifica. Un IDS poate fi comparat cu o alarmă antiefracție în timp ce paravanul de protecție la ușa de securitate. IDS nu încearcă să blocheze nicio intruziune, care este responsabilitatea firewall-ului, ci încearcă să le detecteze acolo unde apar.

Activitățile și câmpurile de aplicare ale unui sistem de detectare a intruziunilor sunt variate, până la punctul în care sunt adesea gestionate de diferite programe, care împreună au grijă de încercările de atac sau scanare a unui sistem, furnizează mecanisme de notificare și reacție în funcție de evenimente și proactive capabil să blocheze comunicațiile cu IP de la care sosesc pachete ostile.

Mecanismele de detectare a activității suspecte sunt diferite, dar se concentrează în general pe:

• verificarea jurnalelor de sistem sau a programelor specifice pentru identificarea activității anormale;

• verificarea integrității fișierelor locale (modificările suspecte pot fi un simptom al unei încălcări);

• monitorizarea pachetelor destinate gazdei , atât pentru a reacționa la tiparele de atac cunoscute, cât și pentru a detecta o scanare a portului la distanță, în general prologul unei tentative de intruziune.

Identificarea încălcărilor și anomaliilor

Tehnicile de detectare a intruziunilor pot fi împărțite în detectarea abuzului , care utilizează modele de atac bine cunoscute sau slăbiciuni ale sistemului pentru identificarea intruziunilor și detectarea anomaliilor , care urmăresc să determine o posibilă abatere de la modelele stabilite de utilizare normală a sistemului. Un sistem de detectare a utilizării greșite , cunoscut și ca un sistem de detectare a intruziunilor bazat pe semnături , identifică intruziunile căutând modele în traficul de rețea sau date generate de aplicații.

Aceste sisteme codifică și compară o serie de acțiuni de semnare ale diferitelor tipuri de scenarii de intruziune cunoscute. Aceste caracteristici pot fi, de exemplu, modificări ale proprietății unui fișier, anumite șiruri de caractere trimise către un server și așa mai departe. Principalele dezavantaje ale unor astfel de sisteme sunt că modelele de intruziune cunoscute necesită în mod normal să fie introduse manual în sistem, dar dezavantajul lor este mai presus de toate că sunt incapabile să detecteze orice tip de intruziune viitor (deci necunoscut) dacă nu este prezent în sistem. sistem. Marele beneficiu pe care îl au în schimb este acela de a genera un număr relativ scăzut de falsuri pozitive și de a fi în mod adecvat fiabile și rapide.

Pentru a depăși problema mutațiilor, au fost create sisteme de detectare a intruziunilor bazate pe anomalii , care analizează funcționarea sistemului în căutarea anomaliilor. Aceste sisteme utilizează profiluri ( modele ) ale utilizării normale a sistemului obținute din măsuri statistice și euristice asupra caracteristicilor acestuia, de exemplu, cpu-ul utilizat și activitățile I / O ale unui anumit utilizator sau program. Anomaliile sunt analizate și sistemul încearcă să definească dacă sunt periculoase pentru integritatea sistemului. Adesea, aceste sisteme se bazează pe tehnologii derivate din inteligența artificială, astfel încât să poată învăța din greșelile lor și să nu raporteze din nou anomalii identificate deja ca ne-maligne.

Aceste sisteme au un set de reguli care definesc starea normală a sistemului. Aceste reguli definesc caracteristici precum încărcarea rețelei, tipul de protocoale de rețea utilizate, serviciile active, tipul de pachete și multe altele. Aceste reguli sunt utilizate pentru a identifica anomaliile care sunt transmise analizorului care stabilește pericolul. Problemele majore legate de aceste sisteme sunt legate în principal de selectarea caracteristicilor sistemului care urmează să fie adoptat, acestea pot varia enorm în funcție de diferitele medii de calcul; în plus, unele intruziuni pot fi detectate numai prin studierea relațiilor dintre evenimente, deoarece evenimentul unic s-ar putea încadra corect în profiluri.

Analiza rețelei sau a gazdei

IDS-urile pot fi, de asemenea, împărțite în funcție de ceea ce analizează: există IDS-uri care analizează rețelele locale, cele care analizează gazde și IDS hibride care analizează rețeaua și gazdele.

• Un sistem de detectare a intruziunilor de rețea (sau Nids) analizează traficul de rețea pentru a identifica intruziunile, permițându-vă astfel să monitorizați nu doar o singură gazdă, ci o rețea completă. Este un sistem care citește (în jargon „sniffs”) traficul care trece pe un segment de rețea unde este atestat, căutând urme de atacuri. Funcționarea sa este reglementată pe baza a două principii: potrivirea semnăturilor cu care IDS captează traficul și îl compară cu o bază de date cu semnături de atac (baza de date actualizată constant de producătorul IDS) și analiza rețelei care intră în funcțiune la potrivirea semnăturilor eșuează și este capabil să detecteze anomalii în fluxurile de trafic și, prin urmare, să detecteze și atacuri care nu au fost încă descoperite ca atare. Un exemplu de sistem de detectare a intruziunilor în rețea este Snort , unul dintre cele mai cunoscute IDS.

• Un sistem de detectare a intruziunilor nodului de rețea (NNIDS) analizează traficul de rețea care trece pe un singur nod. Nu trebuie confundat cu sistemul de detectare a intruziunilor bazat pe gazdă , descris mai jos, care funcționează pe fișiere din sistem. Diferența dintre NNIDS și NIDS este că în NNIDS traficul analizat provine din singurul nod și nu din întreaga rețea. Un exemplu tipic de NNIDS este instalarea acestuia într-un dispozitiv VPN , astfel încât traficul să fie analizat odată ce a fost decriptat. .

• Un sistem de detectare a intruziunilor bazat pe gazdă constă dintr-un agent care analizează gazda pentru intruziuni. Intruziunile sunt detectate prin analizarea fișierelor jurnal de sistem, apeluri de sistem, modificări ale sistemului de fișiere al computerului (modificări în fișierul de parole, baza de date a utilizatorilor și gestionarea privilegiilor etc.) și alte componente ale computerului. Un exemplu de acest tip este Aide.

• Un sistem de detectare a intruziunilor hibrid combină cele două abordări. Informațiile preluate de agenții care rulează pe gazde sunt integrate cu informațiile preluate din rețeaua locală. Un exemplu de IDS hibrid este Prelude.

Diferența dintre IDS și firewall

• Spre deosebire de firewall-ul care, cu o listă de control acces , definește un set de reguli pe care pachetele trebuie să le respecte pentru a intra sau a părăsi rețeaua locală, un IDS verifică starea pachetelor care rulează în interiorul rețelei locale, comparându-l cu situațiile periculoase care au apărut deja înainte sau cu situații anormale definite de administratorul de sistem.
• Un firewall poate bloca un pachet, dar un IDS acționează pasiv, adică atunci când detectează prezența unei anomalii generează o alarmă fără a-l bloca.
• IDS acționează, de asemenea, la nivelul gazdei unice, realizând 2 instantanee succesive ale sistemului și comparându-le pentru a evidenția situații anormale (de exemplu, creșterea privilegiilor de fișier, un utilizator simplu devine administrator sau un sistem de fișiere a fost schimbat)
• Dacă un atac a apărut în rețeaua locală, Lan , firewall-ul nu poate face nimic, doar IDS poate, prin analiza rețelei, să descopere situații anormale.
• IDS (singur) sau firewall-ul (singur) nu pot garanta securitatea sistemului; ambele trebuie combinate pentru a crește nivelul de securitate într-o rețea știind întotdeauna că securitatea nu este un produs, ci un proces de îmbunătățire continuă

Limitele IDS

• În intervalul de timp dintre actualizarea bazei de date și identificarea unui nou tip de atac, IDS bazat pe semnătură nu poate identifica atacul.
• Diverse erori de software și erori pot crea pachete corupte și pot declanșa falsuri pozitive.
• Erorile datorate punctelor slabe ale procesului de autentificare sau punctelor slabe ale protocoalelor utilizate nu sunt considerate anomalii: IDS consideră traficul normal dacă, datorită oricărei puncte slabe, un atacator reușește să se autentifice în rețea cu toate privilegiile care i-au fost atribuite.
• Un IDS nu scanează pachetele criptate.
• Unele IDS iau în considerare adresa sursă a pachetului în procesul de analiză. Dacă adresa din pachet nu este adresa reală a expeditorului, cum ar fi falsificarea IP , aceasta ar putea duce la negative negative, o situație cu risc ridicat.
• Este foarte dificil să se definească linia de bază a rețelei (adică situația considerată normală) dacă IDS se bazează pe anomalii. Acest lucru ar putea crea multe pozitive false sau negative negative (situație care trebuie evitată).

Tipologie

Sisteme pasive și sisteme active

ID-urile se încadrează în alte două categorii, ID-urile pasive și ID-urile active. Când primele IDS detectează o încălcare a securității IT, acestea notifică operatorul prin consolă și, în cele din urmă, îi trimit un e-mail. Pe lângă notificarea operatorului cu privire la o încălcare a securității, IDS-urile active iau măsuri adecvate pentru a elimina sau a izola în alt mod încălcarea IT.

În sistemele active, eliminarea încălcării se realizează de obicei prin reprogramarea listei de control a accesului firewall-ului pentru a împiedica accesul la adresele responsabile de atac. Acest tip de IDS trebuie programat cu atenție, deoarece identificarea falsă ar putea bloca un utilizator autorizat.

Paravanul de protecție nu poate bloca încălcările de securitate care apar din rețeaua locală. În acest scop au fost dezvoltate sisteme de prevenire a intruziunilor . Aceste componente conțin liste programate IDS care sunt utilizate pentru a decide dacă un program ar trebui să fie rulat sau nu. Aceste componente împiedică răspândirea viermilor sau a virușilor pe diferite computere, deoarece componenta împiedică activarea acestora.

IDS bazate pe reguli

Sunt sisteme care folosesc baze de date, biblioteci și semnături de atac (sau semnături) pentru a detecta intruziunile. Când traficul de rețea sau activitatea de rețea se potrivește cu o regulă bine cunoscută de IDS, aceasta semnalează o tentativă de intruziune. Principala limitare este că fiabilitatea acestui instrument depinde în totalitate de actualitatea cu care se actualizează baza de date de atac.

IDS bazate pe reguli funcționează în două moduri: unul preventiv și unul reactiv și sunt două moduri care schimbă momentul acțiunii și posibilitatea interacțiunii.

Prima abordare, de tip reactiv, permite finalizarea perfectă a procesului de înregistrare: sistemul avertizează că a avut loc un atac, chiar dacă au trecut câteva minute de la eveniment, notificând operatorul prin consolă sau trimitând un e-mail . În caz contrar, abordarea preventivă răspunde în timp real la atacul în curs, permițându-i urmărirea originii. În plus față de notificarea administratorului cu privire la încălcare, el poate lua măsuri contrare pentru a elimina sau a izola în alt mod încălcarea.

Aceste două metode au marea problemă a generării de fals pozitivi (activități anormale care nu sunt intruzive, dar care sunt raportate ca atare) și false negative (toate activitățile care sunt anormale și care nu sunt detectate și raportate). Utilizarea unei singure metode nu poate oferi securitate totală; situația cea mai gravă apare în cazul falselor negative, deoarece poate compromite serios securitatea sistemului, dar și o prezență excesivă a falsului pozitiv poate duce la imposibilitatea de a utiliza computerul din cauza unui exces de avertismente de intruziune nefondate.

ID-urile aplicației

Securitatea aplicației este diferită de securitatea rețelei și a gazdei. Aplicațiile se pot schimba, dar obiectivul atacatorului este întotdeauna același: accesarea unei baze de date. Majoritatea aplicațiilor IDS au trei componente: prima este un senzor bazat pe rețea sau pe gazdă , o rețea de senzori este conectată la portul de analiză al unui comutator, configurat pentru a analiza întregul trafic al unei baze de date. În schimb, un senzor gazdă este instalat direct pe serverul de aplicații. Senzorii colectează tranzacțiile în SQL, le interpretează și determină dacă traficul examinat ar trebui să genereze o alarmă. Dacă da, alarma este transmisă celei de-a doua componente structurale: serverul de consolă . Acest server stochează evenimentele înregistrate de senzori și este nodul central pentru operațiuni legate de gestionarea lor, cum ar fi definirea politicii și actualizările. A treia și ultima componentă este un server web simplu de la care administratorii pot modifica configurațiile IDS, monitoriza evenimentele în timp real și pot produce rapoarte.

Lista celor mai cunoscute programe pentru activități de detectare a intruziunilor

• Analizoare jurnal : sunt programe care monitorizează intrările din fișierele jurnal de sistem și pot fi configurate pentru a efectua anumite operațiuni în prezența anumitor linii jurnal. Este important ca aceștia să acționeze în timp real, deoarece după o intruziune una dintre primele ocupații ale unui cracker este de a șterge orice urmă lăsată pe diferitele bușteni. Unele produse care au fost dezvoltate în această categorie sunt:
  • Swatch : monitorizează toate tipurile de fișiere în timp real
  • Logsurfer : are caracteristici similare cu Swatch, dar are unele îmbunătățiri, inclusiv capacitatea de a corela ieșirile diferitelor jurnale și propune un fișier de configurare mai complex
  • LogWatch : instalat implicit pe unele distribuții Linux
  • Verificare jurnal

• Verificatoare de integritate a fișierelor : ajută la identificarea manipulărilor și, în general, la înregistrarea modificărilor la data creării sau modificării unui fișier, modificări ale permisiunilor, atributelor sau conținutului fișierelor de configurare, binare ale comenzilor mai mult sau mai puțin obișnuite, texte de jurnal etc. Diferitele produse din această categorie sunt:
  • Tripwire : este unul dintre primele, cele mai avansate și utilizate sisteme de verificare a integrității.
  • Aide : alternativă complet gratuită la Tripwire
  • Integritate
  • Chkrootkit

• Detectoare de scanări de port : acestea sunt sisteme pentru identificarea și, prin urmare, pentru a ști înainte de a fi atacat care IP-uri la distanță colectează informații pe sistemele lor. În această categorie avem:
  • ScanLogD : rulează ca un demon, monitorizând constant conexiunile la porturile TCP locale
  • PortSentry : Oferă posibilitatea de a bloca toate accesele de la adrese care efectuează scanări sau acțiuni ostile.

Elemente conexe

• Paravan de protecție
• Sistem de prevenire a intruziunilor
• Sistem de detectare a intruziunilor în rețea
• Sistem de detectare a intruziunilor bazat pe gazdă
• Management de securitate
• Securitate IT

linkuri externe

• ( EN ) Sistem de detectare a intruziunilor , în Encyclopedia Britannica , Encyclopædia Britannica, Inc.
• ( RO ) Ce este sistemul de detectare a intruziunilor , pe webopedia.com .
• Software-ul (EN) Intrusion Detection Detection (IDS) , pe alienvault.com.
• Intrusion Detection System (IDS) , pe it.ccm.net .

Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT