Hvad er et indtrængningsdetekteringssystem (IDS)?
Moderne systemer til detektering af indtrængen supplerer traditionelle firewalls på effektiv vis. De analyserer og overvåger løbende systemer og hele netværk i realtid, identificerer potentielle trusler og underretter straks administratorerne. Selve forsvaret mod angreb udføres derefter ved hjælp af yderligere software.
Hvad ligger der bag et IDS (indtrængningsdetekteringssystem)?
Selvom moderne computer- og netværkssikkerhedssystemer er avancerede, bliver cyberangrebene også stadig mere sofistikerede. For at beskytte følsom infrastruktur effektivt bør man overveje at anvende flere sikkerhedsforanstaltninger. I denne sammenhæng er et indtrængningsdetekteringssystem (IDS) et fremragende supplement til firewallen. Et IDS er særdeles effektivt til tidlig opdagelse af angreb og potentielle trusler og alarmerer straks administratorerne, som derefter kan iværksætte hurtige forsvarsforanstaltninger. Vigtigt er det, at et indtrængningsdetekteringssystem også kan identificere angreb, der muligvis har brudt igennem firewallens forsvar.
I modsætning til f.eks. et system til forebyggelse af indtrængen forsvarer et IDS ikke selv mod angreb. I stedet analyserer systemet til detektering af indtrængen al aktivitet på et netværk og sammenligner den med bestemte mønstre. Når der opdages usædvanlige aktiviteter, advarer systemet brugeren og giver detaljerede oplysninger om angrebets oprindelse og karakter.
For mere information om forskellene mellem systemer til detektering af indtrængen og systemer til forebyggelse af indtrængen henvises til vores separate artikel om dette emne.
Hvilke typer indbrudsdetekteringssystemer findes der?
Indtrængningsdetekteringssystemer inddeles i tre typer: værtsbaserede (HIDS), netværksbaserede (NIDS) eller hybridsystemer, der kombinerer principperne fra HIDS og NIDS.
HIDS: Værtsbaserede systemer til detektering af indtrængen
Det værtsbaserede indtrængningsdetekteringssystem er den ældste form for sikkerhedssystem. Her installeres IDS direkte på det pågældende system. Det analyserer data på både log- og kernelniveau og undersøger også andre systemfiler. For at imødekomme brugen af enkeltstående arbejdsstationer er det værtsbaserede indtrængningsdetekteringssystem afhængigt af overvågningsagenter, der forfiltrerer trafikken og sender resultaterne til en central server. Selvom det er meget nøjagtigt og omfattende, kan det være sårbart over for angreb som DoS og DDoS. Desuden er det afhængigt af det specifikke operativsystem.
NIDS: Netværksbaserede indtrængningsdetekteringssystemer
Et netværksbaseret indtrængningsdetekteringssystem analyserer datapakker, der udveksles inden for et netværk, og identificerer straks usædvanlige eller unormale mønstre med henblik på rapportering. Håndteringen af store datamængder kan dog være en udfordring, da det kan overbelaste indtrængningsdetekteringssystemet og forhindre en problemfri overvågning.
Hybride indtrængningsdetekteringssystemer
I dag vælger mange leverandører hybride indtrængningsdetekteringssystemer, der integrerer begge tilgange. Disse systemer består af værtsbaserede sensorer, netværksbaserede sensorer og et centralt administrationslag, hvor resultaterne samles med henblik på en grundig analyse og kontrol.
Formål og fordele ved et IDS
Et indtrængningsdetekteringssystem bør aldrig betragtes eller anvendes som en erstatning for en firewall. Det er derimod et fremragende supplement, der i kombination med firewallen identificerer trusler mere effektivt. Da indtrængningsdetekteringssystemet kan analysere selv det øverste lag i OSI-modellen, er det i stand til at afdække nye og hidtil ukendte trusselskilder, selv hvis firewallens forsvar er blevet brudt.
Sådan fungerer et indbrudsdetekteringssystem
Den hybride model er den mest udbredte type indtrængningsdetekteringssystem, idet den anvender både værts- og netværksbaserede tilgange. De indsamlede oplysninger analyseres i det centrale styringssystem ved hjælp af tre forskellige komponenter.
Datamonitor
Datamonitoren indsamler alle relevante data via sensorer og filtrerer dem ud fra deres relevans. Dette omfatter data fra værtsiden, herunder logfiler og systemoplysninger, samt datapakker, der transmitteres via netværket. IDS-systemet indsamler og strukturerer blandt andet kilde- og destinationsadresser samt andre vigtige attributter. Et afgørende krav er, at de indsamlede data stammer fra en pålidelig kilde eller direkte fra indtrængningsdetekteringssystemet for at sikre dataintegriteten og forhindre forudgående manipulation.
Analysator
Den anden komponent i indtrængningsdetekteringssystemet er analysatoren, som har til opgave at vurdere alle modtagne og forfiltrerede data ved hjælp af forskellige mønstre. Denne vurdering foregår i realtid, hvilket kan være særligt krævende for CPU’en og hovedhukommelsen. Tilstrækkelig kapacitet er afgørende for en hurtig og præcis analyse. Analysatoren anvender to forskellige metoder til dette formål:
- Detektion af misbrug: Ved detektion af misbrug gennemgår analysatoren de indkommende data for at finde genkendelige angrebsmønstre, der er gemt i en dedikeret database, som opdateres regelmæssigt. Når et angreb stemmer overens med en tidligere registreret signatur, kan det identificeres på et tidligt tidspunkt. Denne metode er dog ineffektiv til at opdage angreb, som systemet endnu ikke kender til.
- Detektion af afvigelser: Detektion af afvigelser indebærer en vurdering af hele systemet. Når en eller flere processer afviger fra de fastlagte normer, markeres sådanne afvigelser. Hvis CPU-belastningen for eksempel overskrider en specificeret tærskel, eller hvis der er en usædvanlig stigning i sideadgange, udløser det en alarm. Indtrængningsdetekteringssystemet kan også analysere den kronologiske rækkefølge af forskellige hændelser for at identificere ukendte angrebsmønstre. Det er dog vigtigt at bemærke, at der i nogle tilfælde også kan rapporteres om harmløse afvigelser.
Advarsel
Den tredje og sidste del af indtrængningsdetekteringssystemet er selve alarmeringen. Hvis der opdages et angreb eller i det mindste afvigelser, underretter systemet administratoren. Denne underretning kan ske via e-mail, via en lokal alarm eller via en besked på en smartphone eller tablet.
Hvad er ulemperne ved et indbrudsdetekteringssystem?
Selvom indtrængningsdetekteringssystemer øger sikkerheden, er de, som tidligere nævnt, ikke uden ulemper. Værtsbaserede IDS’er kan være sårbare over for DDoS-angreb, og netværksbaserede systemer kan have problemer i større netværkskonfigurationer, hvor de risikerer at overse datapakker. Afhængigt af konfigurationen kan detektering af afvigelser udløse falske alarmer. Desuden er alle IDS’er udelukkende designet til at opdage trusler, hvilket kræver yderligere software for at kunne forsvare sig effektivt mod angreb.
System til detektering af indtrængen og eksemplet med Snort
Et af de bedst kendte og mest populære systemer til detektering af indtrængen er Snort. Dette sikkerhedsværktøj, der blev udviklet af Martin Roesch tilbage i 1998, er ikke blot platformsuafhængigt og open source, men giver også brugerne omfattende forebyggende foranstaltninger som et system til forebyggelse af indtrængen. Programmet er tilgængeligt både gratis og i en betalt version, hvor man blandt andet får hurtigere adgang til opdateringer.