Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Systémy pro detekci neoprávněného průniku Petr Panáček

Podobné prezentace


Prezentace na téma: "Systémy pro detekci neoprávněného průniku Petr Panáček"— Transkript prezentace:

1 Systémy pro detekci neoprávněného průniku Petr Panáček

2 strana 2 Obsah prezentace  Technologický úvod  IDS systémy firmy Cisco Systems  Dohled a správa IDS systémů  Doporučený design

3 strana 3 Technologický úvod  Intrusion Detection – schopnost odhalení neoprávněné, nesprávné nebo anomální aktivity (v počítačové síti nebo na serverech)  Intrusion Detection System - systém pro detekci neoprávněného průniku, kombinace HW, SW vybavení vhodně zakomponovaná do počítačové sítě  Signature – signatura, vzorek jehož výskyt (splnění množiny podmínek) indikuje pokus o neoprávněný průnik

4 strana 4 Dělení systémů pro detekci  Podle detekční metody  Podle určení  Host-based IDS – systém pro servery  Network-based IDS – systém pro síťové prostředí

5 strana 5 Host-based IDS senzory  softwarové produkty  monitoring  systémová volání, logy, chybová hlášení  zamknutí důležitých souborů  ochrana před útoky:  na OS a aplikace, Buffer Overflow  na Web server, na HTTPS  Chrání přístup ke zdrojům serveru před tím než může dojít k neautorizované aktivitě  chrání jen servery a koncové počítače  není podpora pro všechny OS – problém v heterogenních sítích

6 strana 6 Network-based IDS senzory  specializovaný HW (senzor)  síťové rozhraní v promiskuitním módu  monitoring všech paketů  ochrana celé sítě (segmentu)  přenosová rychlost monitorovacího rozhraní může být omezením  nemožnost detekovat útoky v kryptovaném provozu

7 strana Network- Based Host- Based + + Je schopen ověřit zda byl útok úspěšný či nikoliv Funkčnost není ovlivněna propustností nebo použitím enkrypce Je schopen zabránit útoku Je schopen ověřit zda byl útok úspěšný či nikoliv Funkčnost není ovlivněna propustností nebo použitím enkrypce Je schopen zabránit útoku Využívá zdroje serveru Možnost použití závisí na OS Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Využívá zdroje serveru Možnost použití závisí na OS Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Chrání všechny koncové stanice na monitorované síti Neovlivňuje výkon koncových stanic/serverů Je schopen detekovat DoS útoky Chrání všechny koncové stanice na monitorované síti Neovlivňuje výkon koncových stanic/serverů Je schopen detekovat DoS útoky Náročnější implementace v prostředí přepínané LAN Monitoring >1Gb/s zatím problémem Obecně neumí proaktivně zastavit útok Náročnější implementace v prostředí přepínané LAN Monitoring >1Gb/s zatím problémem Obecně neumí proaktivně zastavit útok Oba produkty se vzájemně doplňují Porovnání Host vs Network based IDS

8 strana 8 Dělení systémů pro detekci  podle detekční metody  Detekce vzoru  Stavová detekce vzoru  Dekódování protokolu  Heuristická analýza  Detekce anomálií

9 strana 9 Detekce vzoru  Porovnávání datových paketů s databází signatur známých útoků +jednoduchá +přesná +použitelná pro všechny protokoly - problematická detekce nových(modifikovaných) útoků -vysoká míra chybné pozitivní detekce -většinou inspekce jen v rámci jediného paketu – snadné vyhnutí se detekci

10 strana 10 Stavová detekce vzoru  Porovnávání datových toků s databází signatur známých útoků +jednoduchá modifikace předchozí metody +přesná detekce +použitelná pro všechny protokoly + je obtížnější se detekci vyhnout -problematická detekce nových(modifikovaných) útoků -vysoká míra chybné pozitivní detekce

11 strana 11 Dekódování protokolu  Detekce nesprávného chování protokolu (kontrola vůči RFC) +minimalizace míry chybné pozitivní detekce +přesná detekce +dobrá detekce modifikovaných útoků + spolehlivá reakce na porušení pravidel protokolu -vysoká míra chybné pozitivní detekce – RFC může být nejednoznačné -složitější a delší vývoj

12 strana 12 Heuristická analýza  Detekce založena na vyhodnocování (statistickém) typu datového provozu +některé druhy podezřelých aktivit lze detekovat jen touto metodou -algoritmus často vyžaduje ladění – nastavování prahových hodnot, aby se zabránilo vysoké míře chybné pozitivní detekce

13 strana 13 Analýza anomálií  Detekce datového provozu, který se vymyká „normálu“  Využití metod umělé inteligence +lze detekovat nové neznámé útoky +není potřeba vyvíjet nové signatury -neurčitý popis výsledku detekce -často příliš citlivá metoda -úspěšnost závisí na prostředí, ve kterém se systém učí co je „normální“  V praxi se zatím příliš nevyužívá

14 strana 14 Odezva na detekované útoky  Odpovědí IDS na detekovaný útok může (ale nutně nemusí) být:  reset podezřelého TCP spojení  zahájení filtrace nebezpečného provozu na směrovači nebo firewallu  záznam podezřelé aktivity do logu  IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků

15 strana 15 Solution Set Router Sensor Router Sensor Host Sensor Host Sensor Firewall Sensor Firewall Sensor Mgmt Network Sensor Network Sensor IDS na platformách Cisco Standard Edition Web Server Edition xxx Secure Command Line Secure Command Line Web UI Embedded Mgr Web UI Embedded Mgr CiscoWorks VMS Switch Sensor Switch Sensor Catalyst 6500 IDS Module Catalyst 6500 IDS Module E 515E

16 strana 16 Vícevrstvý model ochrany sítě  4. Linie: Cisco Host IDS  Detekuje a chrání před útoky na OS, služby, aplikace  Inspekce datového provozu po dekrypci  1. Linie: IOS router  Filtry, omezování šířky pásma  blokování nechtěných komunikací  2. Linie: PIX Firewall  provádí stavovou inspekci  inspekci příkazů  3. Linie: Cisco Network IDS  Monitoruje povolené komunikace  identifikuje podezřelé, útočné aktivity na OSI vrstvách 3-7  může resetovat, blokovat nebo zahazovat podezřelé pakety/komunikace

17 strana 17 Implementace a provoz IDS  zvolit IDS kombinující více metod detekce  kombinace ochrany serverů a celých síťových segmentů  pravidelné vyhodnocování informací o útocích  pravidelné ladění systému, úpravy prahových hodnot  doplňování databáze signatur

18 strana 18 Závěr  Systémy pro detekci (a prevenci) neoprávněného průniku jsou vhodným doplňkem k firewallové ochraně sítě  Kombinací síťových IDS a IDS pro servery dosáhneme vysokého stupně ochrany před neoprávněnými aktivitami  Správná funkčnost IDS musí být podpořena pravidelným vyhodnocování získaných informací a aktualizací systému


Stáhnout ppt "Systémy pro detekci neoprávněného průniku Petr Panáček"

Podobné prezentace


Reklamy Google