Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Systémy pro detekci neoprávněného průniku Petr Panáček

ZveřejnilAnna Horáková

Podobné prezentace

Prezentace na téma: "Systémy pro detekci neoprávněného průniku Petr Panáček"— Transkript prezentace:

1 Systémy pro detekci neoprávněného průniku Petr Panáček E-mail: ppanacek@anect.com

2 13.4.2015 strana 2 Obsah prezentace  Technologický úvod  IDS systémy firmy Cisco Systems  Dohled a správa IDS systémů  Doporučený design

3 13.4.2015 strana 3 Technologický úvod  Intrusion Detection – schopnost odhalení neoprávněné, nesprávné nebo anomální aktivity (v počítačové síti nebo na serverech)  Intrusion Detection System - systém pro detekci neoprávněného průniku, kombinace HW, SW vybavení vhodně zakomponovaná do počítačové sítě  Signature – signatura, vzorek jehož výskyt (splnění množiny podmínek) indikuje pokus o neoprávněný průnik

4 13.4.2015 strana 4 Dělení systémů pro detekci  Podle detekční metody  Podle určení  Host-based IDS – systém pro servery  Network-based IDS – systém pro síťové prostředí

5 13.4.2015 strana 5 Host-based IDS senzory  softwarové produkty  monitoring  systémová volání, logy, chybová hlášení  zamknutí důležitých souborů  ochrana před útoky:  na OS a aplikace, Buffer Overflow  na Web server, na HTTPS  Chrání přístup ke zdrojům serveru před tím než může dojít k neautorizované aktivitě  chrání jen servery a koncové počítače  není podpora pro všechny OS – problém v heterogenních sítích

6 13.4.2015 strana 6 Network-based IDS senzory  specializovaný HW (senzor)  síťové rozhraní v promiskuitním módu  monitoring všech paketů  ochrana celé sítě (segmentu)  přenosová rychlost monitorovacího rozhraní může být omezením  nemožnost detekovat útoky v kryptovaném provozu

7 13.4.2015 strana 7 - - Network- Based Host- Based + + Je schopen ověřit zda byl útok úspěšný či nikoliv Funkčnost není ovlivněna propustností nebo použitím enkrypce Je schopen zabránit útoku Je schopen ověřit zda byl útok úspěšný či nikoliv Funkčnost není ovlivněna propustností nebo použitím enkrypce Je schopen zabránit útoku Využívá zdroje serveru Možnost použití závisí na OS Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Využívá zdroje serveru Možnost použití závisí na OS Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Chrání všechny koncové stanice na monitorované síti Neovlivňuje výkon koncových stanic/serverů Je schopen detekovat DoS útoky Chrání všechny koncové stanice na monitorované síti Neovlivňuje výkon koncových stanic/serverů Je schopen detekovat DoS útoky Náročnější implementace v prostředí přepínané LAN Monitoring >1Gb/s zatím problémem Obecně neumí proaktivně zastavit útok Náročnější implementace v prostředí přepínané LAN Monitoring >1Gb/s zatím problémem Obecně neumí proaktivně zastavit útok Oba produkty se vzájemně doplňují Porovnání Host vs Network based IDS

8 13.4.2015 strana 8 Dělení systémů pro detekci  podle detekční metody  Detekce vzoru  Stavová detekce vzoru  Dekódování protokolu  Heuristická analýza  Detekce anomálií

9 13.4.2015 strana 9 Detekce vzoru  Porovnávání datových paketů s databází signatur známých útoků +jednoduchá +přesná +použitelná pro všechny protokoly - problematická detekce nových(modifikovaných) útoků -vysoká míra chybné pozitivní detekce -většinou inspekce jen v rámci jediného paketu – snadné vyhnutí se detekci

10 13.4.2015 strana 10 Stavová detekce vzoru  Porovnávání datových toků s databází signatur známých útoků +jednoduchá modifikace předchozí metody +přesná detekce +použitelná pro všechny protokoly + je obtížnější se detekci vyhnout -problematická detekce nových(modifikovaných) útoků -vysoká míra chybné pozitivní detekce

11 13.4.2015 strana 11 Dekódování protokolu  Detekce nesprávného chování protokolu (kontrola vůči RFC) +minimalizace míry chybné pozitivní detekce +přesná detekce +dobrá detekce modifikovaných útoků + spolehlivá reakce na porušení pravidel protokolu -vysoká míra chybné pozitivní detekce – RFC může být nejednoznačné -složitější a delší vývoj

12 13.4.2015 strana 12 Heuristická analýza  Detekce založena na vyhodnocování (statistickém) typu datového provozu +některé druhy podezřelých aktivit lze detekovat jen touto metodou -algoritmus často vyžaduje ladění – nastavování prahových hodnot, aby se zabránilo vysoké míře chybné pozitivní detekce

13 13.4.2015 strana 13 Analýza anomálií  Detekce datového provozu, který se vymyká „normálu“  Využití metod umělé inteligence +lze detekovat nové neznámé útoky +není potřeba vyvíjet nové signatury -neurčitý popis výsledku detekce -často příliš citlivá metoda -úspěšnost závisí na prostředí, ve kterém se systém učí co je „normální“  V praxi se zatím příliš nevyužívá

14 13.4.2015 strana 14 Odezva na detekované útoky  Odpovědí IDS na detekovaný útok může (ale nutně nemusí) být:  reset podezřelého TCP spojení  zahájení filtrace nebezpečného provozu na směrovači nebo firewallu  záznam podezřelé aktivity do logu  IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků

15 13.4.2015 strana 15 Solution Set Router Sensor Router Sensor Host Sensor Host Sensor Firewall Sensor Firewall Sensor Mgmt Network Sensor Network Sensor IDS na platformách Cisco 4210 4235 4250 Standard Edition Web Server Edition 1700 2600 3600 7xxx Secure Command Line Secure Command Line Web UI Embedded Mgr Web UI Embedded Mgr CiscoWorks VMS Switch Sensor Switch Sensor Catalyst 6500 IDS Module Catalyst 6500 IDS Module 3700 501 506E 515E 525 535

16 13.4.2015 strana 16 Vícevrstvý model ochrany sítě  4. Linie: Cisco Host IDS  Detekuje a chrání před útoky na OS, služby, aplikace  Inspekce datového provozu po dekrypci  1. Linie: IOS router  Filtry, omezování šířky pásma  blokování nechtěných komunikací  2. Linie: PIX Firewall  provádí stavovou inspekci  inspekci příkazů  3. Linie: Cisco Network IDS  Monitoruje povolené komunikace  identifikuje podezřelé, útočné aktivity na OSI vrstvách 3-7  může resetovat, blokovat nebo zahazovat podezřelé pakety/komunikace

17 13.4.2015 strana 17 Implementace a provoz IDS  zvolit IDS kombinující více metod detekce  kombinace ochrany serverů a celých síťových segmentů  pravidelné vyhodnocování informací o útocích  pravidelné ladění systému, úpravy prahových hodnot  doplňování databáze signatur

18 13.4.2015 strana 18 Závěr  Systémy pro detekci (a prevenci) neoprávněného průniku jsou vhodným doplňkem k firewallové ochraně sítě  Kombinací síťových IDS a IDS pro servery dosáhneme vysokého stupně ochrany před neoprávněnými aktivitami  Správná funkčnost IDS musí být podpořena pravidelným vyhodnocování získaných informací a aktualizací systému

Stáhnout ppt "Systémy pro detekci neoprávněného průniku Petr Panáček"

Podobné prezentace

© 2000 VEMA počítače a projektování spol. s r. o..

© 2000 VEMA počítače a projektování spol. s r. o..
Brána firewall a její využití

Brána firewall a její využití
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.

Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
Podpůrná prezentace k semestrálnímu projektu:

Podpůrná prezentace k semestrálnímu projektu:
Vypracoval: Jiří Hlaváček

Vypracoval: Jiří Hlaváček
Základy databázových systémů

Základy databázových systémů
Počítačové sítě Úvodní přednáška Cíl předmětu – seznámit se s principy datové komunikace – seznámit se s principy distribučních systémů – seznámit se s.

Počítačové sítě Úvodní přednáška Cíl předmětu – seznámit se s principy datové komunikace – seznámit se s principy distribučních systémů – seznámit se s.
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.

1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.

1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Návrh počítačové sítě malé firmy

Návrh počítačové sítě malé firmy
Slide 1 A Free sample background from www.awesomebackgrounds.com © 2003 By Default! Jiří Kůsa Testování propustnosti síťového firewallu.

Slide 1 A Free sample background from © 2003 By Default! Jiří Kůsa Testování propustnosti síťového firewallu.
UČÍME V PROSTORU Název předmětu: Název a ID tématu: Zpracoval(a): Elektronické počítače Počítačové sítě (EL41) Ing. Stanislav Hanulík ELEKTROTECHNIKA.

UČÍME V PROSTORU Název předmětu: Název a ID tématu: Zpracoval(a): Elektronické počítače Počítačové sítě (EL41) Ing. Stanislav Hanulík ELEKTROTECHNIKA.
Protokol TCP/IP a OSI model

Protokol TCP/IP a OSI model
CCNA 2 3. Network Upgrade. CCNA2: 3. Network upgrade 1. krok: Analýza současného stavu  počet uživatelů  vybavení  předpokládaný růst sítě  internetové.

CCNA 2 3. Network Upgrade. CCNA2: 3. Network upgrade 1. krok: Analýza současného stavu  počet uživatelů  vybavení  předpokládaný růst sítě  internetové.
Počítačové sítě. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačová síť.

Počítačové sítě. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačová síť.
Systémy pro podporu managementu 2

Systémy pro podporu managementu 2
CZ.1.07/1.4.00/21.2791 VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.

CZ.1.07/1.4.00/ VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
8. dubna 2013ISSS - Portál interních identit, Z. Motl1 Portál interních identit jako nadstavba identity managementu Mgr. Boleslav Bobčík, T-Systems Czech.

8. dubna 2013ISSS - Portál interních identit, Z. Motl1 Portál interních identit jako nadstavba identity managementu Mgr. Boleslav Bobčík, T-Systems Czech.
27.3.2006ePraha - MepNet1 Neveřejná datová síť MePNet Ing. Zdeněk Záhora Magistrát hl. m. Prahy, odbor informatiky.

ePraha - MepNet1 Neveřejná datová síť MePNet Ing. Zdeněk Záhora Magistrát hl. m. Prahy, odbor informatiky.
Tomáš Urych, ESO9 Intranet a.s.

Tomáš Urych, ESO9 Intranet a.s.

Podobné prezentace

Reklamy Google