www.grise.pl

Sieci > Bezpieczeństwo > Rozwiązania firmy Cisco > Intrusion Detection System

Sposoby wykrywania włamań  Cisco Intrusion Detection System 


4.3 Intrusion Detection System

Ataki przeprowadzane w sieci Internet często trafiają na pierwsze strony gazet. Powody ataków są różne – wymuszenia, oszustwa, szpiegostwo, sabotaż lub zwykła ciekawość. Aby zapobiegać atakom stosuje się różne rozwiązania. Wykorzystuje się do tego celu ściany ogniowe, szyfrowanie i uwierzytelnianie, listy dostępu. Środki te zapewniają pewien poziom bezpieczeństwa, posiadają jednak pewne ograniczenia, które wykorzystywane są do przeprowadzania ataków. Z tego właśnie powodu powstały systemy wykrywania włamań (ang. Intrusion Detection System - IDS).

4.3.1 Sposoby wykrywania włamań

IDS analizuje dane w czasie rzeczywistym, aby wykryć i zatrzymać nadużycie lub atak w momencie, kiedy się pojawi. Wszelkie próby nadużyć i ataków są rejestrowane. W praktyce wykrywanie włamań realizowane jest w różny sposób. IDS oparty na hostach (ang. host-based IDS) wykorzystuje kluczowe sieciowe serwery oraz inne systemy przechowujące cenne informacje. Agenci wykorzystują zasoby systemowe (dysk twardy, pamięć RAM, czas procesora), aby analizować system operacyjny i wykonywane operacje. Zbierane informacje porównywane są ze zbiorem reguł w celu wykrycia ewentualnego ataku. Wykrywanie ataków w taki sposób sprawdza się przy ograniczonej liczbie kluczowych systemów i nie daje łatwo się skalować. Rysunek 4.15 ilustruje taki sposób działania IDS.

Rysunek 4.15 Agenci IDS umieszczeni na hostach

Inny sposób działania realizowany jest przez systemy IDS oparte na sieci (ang. network-based IDS). W rozwiązaniu tym monitorowane są wybrane fragmenty sieci. Wykorzystywane są czujniki, które podglądają ruch w sieci oraz konsola administracyjna, która zbiera informacje i pozwala na zarządzanie czujnikami. Czujniki analizują przesyłane dane i w momencie wykrycia ataku wykonują określone działania:
 - rejestracja zdarzenia,
 - wysłanie komunikatu na konsolę zarządzającą,
 - zresetowanie połączenia,
 - poinformowanie rutera o konieczności zablokowaniu połączenia z określonego komputera lub sieci.
Sposób działania ilustruje rysunek 4.16.

Rysunek 4.16 Czujniki IDS podłączone do sieci

Zbiory reguł wykorzystywane przez IDS mogą opierać się na profilach (ang. profile-based detection) lub na sygnaturach (ang. signature-based detection). W pierwszym przypadku tworzony jest profil aktywności sieciowej użytkownika i IDS reaguje w przypadku jego naruszenia. Sposób ten nie jest najlepszym rozwiązaniem, ponieważ użytkownicy często zmieniają sposób korzystania z sieci. Zupełnie inaczej jest to realizowane w przypadku sygnatur. Działanie w ten sposób przypomina funkcjonowanie programów antywirusowych. Każdy typ ataku posiada swoją sygnaturę i w ten sposób jest rozpoznawany przez IDS.

4.3.2 Cisco Intrusion Detection System

IDS (ang. Intrusion Detection System) firmy Cisco oferuje pełne i wszechstronne zabezpieczenie przed nieautoryzowanym dostępem i atakami. System składa się z dwóch komponentów: czujników (ang. Cisco IDS Sensor) i konsoli zarządzania (ang. Cisco IDS Management Console). Wykorzystywane są różne techniki wykrywania ataków oparte na sygnaturach, analizie protokołów, algorytmach heurystycznych i wykrywaniu anomalii. W ten sposób Cisco IDS realizuje ochronę przed znanymi i nieznanymi typami ataków.

Cisco IDS Host Sensor

Rozwiązanie to zapewnia bezpieczeństwo serwerom. System ten wykorzystuje agentów (ang. Cisco Host Sensor Agent), którzy są instalowani na serwerach. Wszyscy agenci są centralnie administrowani przez konsolę zarządzającą (ang. Cisco IDS Host Sensor Console). Standardowi agenci są dostępni dla:
 - Windows 2000 Server i Advanced Server,
 - Windows NT v4.0 Server i Enterprise Server (SP 4 lub nowszy),
 - Solaris 2.6 SPARC architecture 4u (32-bit kernel),
 - Solaris 7 SPARC architecture 4u (32- and 64-bit kernel),
 - Solaris 8 SPARC architecture 4u (32- and 64-bit kernel).
Jest też specjalna grupa agentów obsługująca dodatkowo serwery WWW:
 - Microsoft IIS v4.0 i v5.0,
 - Apache v1.3.6 do v1.3.24 dla Solaris SPARC (Apache dla Windows NT/2000 i LINUX nie jest wspierany),
 - Planet Web Server v4.0, v4.1 i v6 dla Solaris SPARC,
 - Netscape Enterprise Server v3.6 dla Solaris SPARC.

Cisco IDS 4200 Series Sensor

Rodzina czujników IDS firmy Cisco jest przeznaczona do różnych rodzajów sieci. Czujniki te potrafią analizować dane z wydajnością od 45 Mbps do 1 Gbps. Rozpoznawane ataki [1]:
 - blokada usług (DoS),
 - robaki lub wirusy,
 - ataki na CGI, WWW,
 - przepełnienie bufora,
 - ataki na RPC (ang. Remote Procedure Call),
 - ataki wykorzystujące fragmentację pakietów IP,
 - ataki na ICMP,
 - ataki na SMTP, Sendmail, IMAP, POP,
 - ataki na FTP, SSH, Telnet, rlogin,
 - ataki na DNS,
 - przejmowanie sesji TCP,
 - ataki na NetBIOS,
 - ataki na NTP.

Integracja z innymi urządzeniami Cisco

Zabezpieczanie sieci musi być rozwiązaniem kompleksowym. Z tego powodu IDS może współpracować z czujnikami umieszczonymi w różnych urządzeniach sieciowych:
 - Switch Sensor (Catalyst 6500 IDS Module),
 - Router Sensor (Cisco IOS routers),
 - Firewall Sensor (Cisco PIX 500 Series Firewalls).



Wstecz  Spis treści  Dalej