Connect with us

technokrata

Behatolás-érzékelés – az internetes támadásokkal szembeni egyik legfontosabb eszköz

Dotkom

Behatolás-érzékelés – az internetes támadásokkal szembeni egyik legfontosabb eszköz

Mi a behatolás-érzékelés, hogyan működik, milyen típusai vannak? Erre igyekszik választ adni a cikk.

Behatolás-érzékelésnek a rosszindulatú vagy a jogtalan elektronikus tevékenység felismerésének folyamatát nevezzük. A hálózati védelem színterén az Internet-forgalom pillanatnyi tartalmának és tevékenységének rosszindulatú programkódok, illetve támadások felismerését célzó vizsgálata által a behatolás-érzékelő rendszerek (IDS) a védelem további rétegét képezik.

A behatolás-érzékelő rendszerek a háttérben folyamatosan futva figyelik a számítógép minden irányú hálózati forgalmát. Az IDS gyanús, rendellenes, vagy egy ismert veszélyével megegyező mintázatot mutató forgalom után nyomoz. Ha gyanús jeleket mutató tevékenységre bukkan, riasztja a felhasználót, illetve megteszi a megfelelő, előre meghatározott ellenintézkedést. A felhasználó beállíthatja azt a szintet és típust, amikor a gyanús viselkedés rosszindulatúnak minősül, és különféle szabályokat állíthat fel az egyes viselkedéstípusok kezeléséhez.

Az IDS-ek elsősorban felügyeleti termékek. Hasonlóan ahhoz, ahogy a lakást védő rendszer kamerák és más eszközök segítségével figyeli a gyanús tevékenységet, az IDS a lehetséges hálózati betörésekkor riasztja a védelem irányítóit.

Az érzékelés típusai

A hálózati behatolás-érzékelő rendszerek (Network-based Intrusion Detection Systems –
NIDS) – a hálózaton áthaladó valamennyi csomag jellemzőit vizsgálják. Egy tipikus hálózati IDS egy vagy több érzékelőből, valamint az érzékelőktől érkező adatok összegyűjtését és elemzését végző vezérlőből áll. Rendszerbe állítása egyszerűbb és jobban kezelhető, mint a kiszolgálói IDS megoldások, de némely NIDS a nagy hálózati forgalommal nem tud megbirkózni, ezért néhány támadás felett elsiklik, illetve kezelhetetlen mennyiségű téves riasztást vált ki, s így megnehezíti a valódi támadások észlelését. A ManHunt sebessége, valamint az IDS-események összevetésének és összegyűjtésének képessége révén megbirkózik ezekkel a problémákkal.

A kiszolgálói behatolás-érzékelő rendszerek (Host-based Intrusion Detection Systems – HIDS) – a kiszolgáló belsejében lezajló folyamatokat figyelik, és a naplófile-okat, illetve az adatokat ellenőrzik a gyanús tevékenység utáni nyomozásban. Egyes HIDS-ek önállóan működnek, míg más rendszerekben minden egyes kiszolgálói IDS a kiértékelő és válaszadó mechanizmust központosító vezérrendszernek jelent. Ez a nagy vállalati rendszerekben hasznos. Mint a kiszolgálói megoldások többségében, a platformok kérdéses rendelkezésre állása és lefedése nehezen kezelhető megoldássá teszi ezt, s emellett a csomag-felügyeleti képesség hiánya miatt a rendszerek védtelenek maradnak a hálózati támadásokkal szemben.

A hibrid behatolás-érzékelő rendszerek – a HIDS és az NIDS kombinációjából állnak. A hibrid IDS-ek rendszeralapúak és a támadásokat egyetlen kiszolgáló hálózati csomagforgalma alapján ismerik fel. A hibrid rendszerek (az NIDS-sel ellentétben) nem figyelnek meg minden egyes elhaladó csomagot, így bizonyos mértékben rontják a forgalomelemzés minőségét. A hibrid IDS-ek a rendszer eseményeinek, az adatoknak, a könyvtárrendszernek és a rendszerleíró adatbázisnak a megfigyelése révén járulékos védelmet biztosítanak. A platformok rendelkezésre állása és a rendszerbe állítás problémát jelent, nagy a rendszererőforrás-igényük, viszont a hálózati IDS-ekénél kisebb a hamis riasztások iránti érzékenységük.

A csalit használó behatolás-érzékelő rendszerek (más néven mézesbödönök, honeypotok) – a hálózati infrastruktúrán belül további védelmi szintet biztosítanak. A csalizó IDS-ek által szolgáltatott adatok többnyire hasznosabbak, hiszen a téves riasztás és a téves áteresztés itt lényegesen kevesebb. Ezeket a rendszereket úgy tekinthetjük, mint egy egyetlen rendszerből, vagy eszközök hálózatából álló „beállítás után elfelejtendő” behatolás-érzékelő, amelynek egyetlen feladata az, hogy rögzítse a jogosulatlan tevékenységet. Ez azt jelenti, hogy a csalizó rendszerbe érkező, vagy abból kijövő összes csomag természeténél fogva gyanús. Ezzel a módszerrel sokkal egyszerűbbé válik az adatrögzítési és -elemzési eljárás, és értékes információkat kaphatunk a támadó indítékairól.

Hogyan történik a behatolás érzékelése?

Az IDS-ek számos eljárást használnak a rosszindulatú tevékenység felderítésére. A három legelterjedtebb ezek közül az ismertetőjegyeken alapuló felismerés, a protokoll-rendellenesség és a normálistól eltérő viselkedés felismerése.

A protokoll-rendellenesség felismerése – A protokoll-rendellenességek felismerése az alkalmazásprotokoll rétegében történik. Az adatforgalom szerkezetére és tartalmára összpontosít. Sok támadás éri a telnet, a HTTP, az RPC, az SMTP és az rlogin protokollt. Ha a protokollszabályok közvetlenül az érzékelőkben kerülnek modellezésre, egyszerűen felismerhető a szabályokat áthágó, például váratlan adat, többlet- vagy érvénytelen karakterek formájában jelentkező forgalom. Pontosan így történik egyes támadások felismerése. Például a protokollsértésre épülő IDS észleli a Code Redet, mivel ez a fajta támadás az RFC-ben lefektetetthez képest megsérti a HTTP-protokollt. A támadás egy GET kérelmet használ küldésre, és az áldozatul esett szerveren rosszindulatú programot hajt végre. Bár az ilyesfajta támadás az ismertetőjegyekre épülő rendszereken tovább terjed, az IDS protokollsértésként felismeri és jelzi a rendszergazdának, aki így több órával, néha több nappal előbb tud reagálni az új veszélyre, mint ahogy a támadás ismertetőjegye elkészül és eljut a rendszerbe.

Az ismertetőjegyeken alapuló felismerés – A ma kapható kereskedelmi behatolás-érzékelő termékek többsége egy, a hálózati forgalomban felbukkanó támadások sajátos jegyeit kereső rendszerre épül. Ez azt jelenti, hogy az IDS gyártójának valamennyi fajta támadáshoz külön-külön ismertetőjegyet kell előállítania, hogy az felismerhető legyen. Ehhez viszont a támadásnak már ismert típusúnak kell lennie. Szinte mindegyik IDS egy nagy ismertetőjegy-gyűjtemény köré épül, és megpróbálja összehasonlítani az összes csomagot a gyűjteményben szereplő összes ismertetőjeggyel.

A normálistól eltérő viselkedés felismerése – A behatolás-érzékelés kevéssé elterjedt módja a statisztikai eltérések felismerésének képességén alapul. A statisztikai eltérések felismerésének alapját a bizonyos rendszerstatisztikákból képzett „alapvonal” vagy a rendszer által folyamatosan nyomon követett viselkedésminták adják. Az ezekben a mintákban jelentkező változásokat használják a támadás jelzésére. Ilyen például a túlzott mértékű vagy a szokatlan órákban történő használat, illetve a felhasználói folyamatok által keltett rendszerhívások változásának észlelése. Ennek a szemléletnek az előnye a rendellenességek anélkül történő felismerésében nyilvánul meg, hogy értelmezni kellene a rendellenességek mögött megbúvó okot, azonban a rendszer szabályszerű használatából eredően is igen sok téves riasztás keletkezhet.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek