Kaas­aeg­sed sis­se­tun­gi­jate tu­vas­ta­mise süsteemid täien­da­vad tõhusalt tra­dit­sioo­nilisi tulemüüre. Need ana­lüü­sivad ja jälgivad süsteeme ning kogu võrku pidevalt reaalajas, tu­vas­ta­des või­ma­likke ohte ja tea­vi­ta­des sellest vii­vi­ta­ma­tult ad­mi­nist­raa­to­reid. Rünnakute vastu kaits­takse seejärel täiendava tarkvara abil.

Mis on IDS (sis­se­tun­gi­jate tu­vas­ta­mise süsteem)?

Kuigi tä­na­päe­va­sed arvuti- ja võr­gu­tur­be­süs­tee­mid on arenenud, muutuvad ka kü­ber­rün­na­kud üha nu­ti­ka­maks. Tundliku inf­ra­struk­tuuri tõhusaks kaits­miseks tasub kaaluda mitme tur­va­meetme ka­su­ta­mist. Selles kon­teks­tis on sis­se­tun­gi­jate tu­vas­ta­mise süsteem (IDS) tulemüüri suu­re­pä­rane täiendus. IDS on eriti tugev rünnakute ja po­tent­siaal­sete ohtude varajasel avas­ta­misel, tea­vi­ta­des sellest kohe ad­mi­nist­raa­to­reid, kes saavad seejärel võtta kiireid kait­se­meet­meid. Oluline on see, et sis­se­tun­gi­jate tu­vas­ta­mise süsteem suudab tuvastada ka rünnakuid, mis on tu­le­mu­sena läbinud tulemüüri kait­se­meet­med.

Erinevalt näiteks sis­se­tun­gide tõ­kes­ta­mise süs­tee­mist ei kaitse sis­se­tun­gide avas­ta­mise süsteem ise rünnakute eest. Selle asemel analüüsib sis­se­tun­gide avas­ta­mise süsteem kogu võrgus toimuvat tegevust ja võrdleb seda kindlate must­ri­tega. Kui avas­ta­takse eba­ta­va­list tegevust, teavitab süsteem kasutajat ja annab ük­sik­as­ja­likku teavet rünnaku päritolu ja olemuse kohta.

Tip

Li­sa­tea­vet sis­se­tun­gi­jäl­gi­mise ja sis­se­tun­gi­tõ­kes­tus­süs­teemide eri­ne­vuste kohta leiate meie eraldi artiklist, mis käsitleb seda teemat.

Milliseid sis­se­tun­gi­jate avas­ta­mis­süs­teeme on olemas?

Sis­se­tun­gi­jate tu­vas­ta­mise süsteemid jagunevad kolme liiki: hos­ti­põ­hi­sed (HIDS), võr­gu­põ­hi­sed (NIDS) või hüb­riid­süs­tee­mid, mis ühendavad endas HIDS-i ja NIDS-i põ­hi­mõt­teid.

HIDS: Hos­ti­põ­hi­sed sis­se­tun­gi­jate tu­vas­ta­mise süsteemid

Hos­ti­põ­hine sis­se­tun­gi­jate tu­vas­ta­mise süsteem on vanim tur­va­süs­teemi vorm. Siin on IDS pai­gal­da­tud otse vastavale süs­tee­mile. See analüüsib andmeid nii logi- kui ka tuu­ma­ta­san­dil, uurides ka teisi süs­tee­mi­faile. Et või­mal­dada eral­di­seis­vate töö­jaamade ka­su­ta­mist, tugineb host-põhine sis­se­tun­gi­jate tu­vas­ta­mise süsteem sei­re­agen­ti­dele, mis eel­filt­ree­rivad liiklust ja saadavad tulemused kesk­ser­ve­risse. Kuigi see on väga täpne ja põhjalik, võib see olla haavatav rünnakute suhtes nagu DoS ja DDoS. Lisaks sõltub see konk­reet­sest ope­rat­sioo­ni­süs­tee­mist.

NIDS: võr­gu­põ­hi­sed sis­se­tun­gi­jate tu­vas­ta­mise süsteemid

Võr­gu­põ­hine sis­se­tun­gi­jate tu­vas­ta­mise süsteem analüüsib võrgus va­he­ta­ta­vaid and­me­pa­kette, tu­vas­ta­des vii­vi­ta­ma­tult eba­ta­va­li­sed või eba­nor­maal­sed mustrid, millest seejärel tea­ta­takse. Suure and­me­hulga tööt­le­mine võib aga osutuda kee­ru­li­seks, mis võib sis­se­tun­gi­jate tu­vas­ta­mise süsteemi üle koormata ja takistada sujuvat seiret.

Hüb­riid­sed sis­se­tun­gi­jate tu­vas­ta­mise süsteemid

Tä­na­päe­val eelis­ta­vad paljud tarnijad hüb­riid­seid sis­se­tun­gi­jate tu­vas­ta­mise süsteeme, mis ühendavad mõlemat lä­he­ne­mis­viisi. Need süsteemid koosnevad ser­ve­ri­põ­his­test an­du­ri­test, võr­gu­põ­his­test an­du­ri­test ja keskse hal­dus­ta­san­dist, kuhu tulemused koon­da­takse põh­ja­likuks ana­lüü­siks ja juh­ti­miseks.

Sis­se­tun­gi­jate tu­vas­ta­mise süsteemi (IDS) eesmärk ja eelised

Sis­se­tun­gi­jate tu­vas­ta­mise süsteemi ei tohiks kunagi pidada ega kasutada tulemüüri asen­da­jana. Tegemist on hoopis es­ma­klas­si­lise täien­du­s­ega, mis koos tu­le­müüriga tuvastab ohte tõ­hu­sa­malt. Kuna sis­se­tun­gi­jate tu­vas­ta­mise süsteem suudab ana­lüü­sida isegi OSI-mudeli kõrgeimat kihti, on see võimeline avastama uusi ja varem tund­ma­tuid ohu­al­li­kaid isegi juhul, kui tulemüüri kait­se­meh­ha­nis­mid on läbitud.

Kuidas toimib sis­se­tun­gi­jate tu­vas­ta­mise süsteem

Hüb­riid­mu­del on levinuim sis­se­tun­gi­jate tu­vas­ta­mise süsteemi tüüp, mis kasutab nii hos­ti­põ­hi­seid kui ka võr­gu­põ­hi­seid lä­he­ne­mis­viise. Kogutud teavet ana­lüü­si­takse kesk­juh­ti­mis­süs­tee­mis, kasutades selleks kolme erinevat kom­po­nenti.

Andmete jälgija

Andmete jäl­gi­mis­süs­teem kogub andureid kasutades kõiki as­ja­ko­ha­seid andmeid ja filt­ree­rib neid as­ja­ko­ha­suse alusel. See hõlmab nii serveri poolelt pärit andmeid, seal­hul­gas logifaile ja süs­tee­mi­and­meid, kui ka võrgu kaudu edas­ta­ta­vaid and­me­pa­kette. Muu hulgas kogub ja süs­te­ma­ti­see­rib sis­se­tun­gi­jate tu­vas­ta­mise süsteem (IDS) lähte- ja sihtad­res­seid ning muid olulisi atribuute. Oluline nõue on, et kogutud andmed pä­rinek­sid usal­dus­väär­sest allikast või otse sis­se­tun­gi­jate tu­vas­ta­mise süs­tee­mist, et tagada andmete ter­vik­lik­kus ja vältida eelnevat ma­ni­pu­lee­ri­mist.

Ana­lü­saa­tor

Sis­se­tun­gi­jate tu­vas­ta­mise süsteemi teine komponent on ana­lü­saa­tor, mille üles­an­deks on hinnata kõiki vas­tu­võe­tud ja eel­filt­ree­ri­tud andmeid erinevate mustrite abil. See hindamine toimub reaalajas, mis võib olla eriti koormav prot­ses­so­rile ja põ­hi­mä­lule. Piisav võimsus on kiire ja täpse analüüsi jaoks hä­da­va­ja­lik. Ana­lü­saa­tor kasutab selleks kahte erinevat meetodit:

  • Ebaõige ka­su­ta­mise tu­vas­ta­mine: Ebaõige ka­su­ta­mise tu­vas­ta­misel kont­rol­lib ana­lü­saa­tor sis­se­tu­le­vaid andmeid, otsides neist spet­siaal­ses and­me­baasis sal­ves­ta­tud ja re­gu­laar­selt uuen­da­ta­vaid tuntud rün­na­ku­mustreid. Kui rünnak vastab varem sal­ves­ta­tud sig­na­tuu­rile, on võimalik see varakult tuvastada. Siiski ei ole see meetod tõhus rünnakute tu­vas­ta­miseks, mida süsteem veel ei tunne.
  • Ano­maa­liate tu­vas­ta­mine: Ano­maa­liate tu­vas­ta­mine hõlmab kogu süsteemi hindamist. Kui üks või mitu protsessi kaldub keh­tes­ta­tud normidest kõrvale, mär­gi­takse sellised kõr­va­le­kal­ded ära. Näiteks kui CPU koormus ületab määratud künnise või kui le­he­kül­gede kü­las­tuste arv tõuseb eba­ta­va­li­selt, käivitub hoiatus. Sis­se­tun­gide tu­vas­ta­mise süsteem võib ana­lüü­sida ka erinevate sündmuste kro­no­loo­gi­list jär­je­korda, et tuvastada tund­ma­tuid rün­na­ku­mustreid. Siiski on oluline märkida, et mõnel juhul võidakse teatada ka ohututest kõr­va­le­kal­le­test.

Häire

Sis­se­tun­gi­jate tu­vas­ta­mise süsteemi kolmas ja viimane komponent on tegelik hoia­ta­mine. Kui tu­vas­ta­takse rünnak või vähemalt kõr­va­le­kal­ded, teavitab süsteem sellest ad­mi­nist­raa­to­rit. Tea­vi­ta­mine võib toimuda e-posti teel, kohaliku häire kaudu või nu­ti­te­le­foni või tah­vel­ar­vu­tisse saadetava sõnumiga.

Millised on sis­se­tun­gi­jate avas­ta­mis­süs­teemi puudused?

Kuigi sis­se­tun­gi­jate tu­vas­ta­mise süsteemid suu­ren­da­vad tur­va­li­sust, ei ole need, nagu eelnevalt mainitud, puu­dus­teta. Hos­ti­põ­hi­sed IDS-id võivad olla haa­va­ta­vad DDoS-rünnakute suhtes ning võr­gu­põ­hi­sed süsteemid võivad suu­re­ma­tes võr­gu­kesk­kon­da­des raskusi tekitada, mistõttu võivad and­me­pa­ke­tid jääda tu­vas­ta­mata. Ano­maa­liate tu­vas­ta­mine võib kon­fi­gu­rat­sioo­nist sõltuvalt põh­jus­tada va­le­häi­reid. Lisaks on kõik IDS-id mõeldud ainult ohtude tu­vas­ta­miseks, mistõttu on tõhusaks rünnakute tõrjeks vaja täien­da­vat tarkvara.

Sis­se­tun­gi­jate tu­vas­ta­mise süsteem ja Snorti näide

Üks tuntumaid ja po­pu­laar­se­maid sis­se­tun­gi­jate tu­vas­ta­mise süsteeme on Snort. See tur­va­töö­riist, mille töötas välja Martin Roesch juba 1998. aastal, on mitte ainult plat­vor­mi­ülene ja avatud läh­te­koo­diga, vaid pakub ka­su­ta­ja­tele ka ula­tus­likke en­ne­tus­meet­meid sis­se­tun­gi­jate tõ­kes­ta­mise süs­tee­mina. Programm on saadaval nii tasuta kui ka tasulise ver­sioo­nina, mille puhul pakutakse näiteks kiiremaid värs­ken­dusi.

Go to Main Menu