Mūs­die­nī­gās iebrukuma at­klā­ša­nas sistēmas efektīvi papildina tra­di­cio­nā­los ugunsmū­rus. Tās ne­pār­trauk­ti analizē un uzrauga sistēmas un visus tīklus reālajā laikā, iden­ti­fi­cē­jot po­ten­ciā­los draudus un ne­ka­vē­jo­ties brīdinot ad­mi­nis­tra­to­rus. Fak­tis­kais aiz­sar­dzī­bas pasākumu īs­te­no­ša­na pret uz­bru­ku­miem tiek veikta, iz­man­to­jot papildu prog­ram­ma­tū­ru.

Kas slēpjas aiz IDS (iebrukuma at­klā­ša­nas sistēmas)?

Lai gan mūsdienu datoru un tīkla drošības sistēmas ir at­tīs­tī­tas, arī ki­be­ruz­bru­ku­mi kļūst arvien iz­smal­ci­nā­tā­ki. Lai efektīvi aiz­sar­gā­tu jutīgu in­fras­truk­tū­ru, ir vērts apsvērt vairāku drošības pasākumu iz­man­to­ša­nu. Šajā kontekstā iebrukuma at­klā­ša­nas sistēma (IDS) ir lielisks ugunsmūra pa­pil­di­nā­jums. IDS izceļas ar uzbrukumu un po­ten­ciā­lo draudu agrīnu atklāšanu, ne­ka­vē­jo­ties brīdinot ad­mi­nis­tra­to­rus, kuri savukārt var veikt ātras aiz­sar­dzī­bas darbības. Svarīgi, ka iebrukuma at­klā­ša­nas sistēma var iden­ti­fi­cēt arī uz­bru­ku­mus, kas, iespējams, ir pār­va­rē­ju­ši ugunsmūra aiz­sar­dzī­bu.

Atšķirībā, piemēram, no iebrukuma no­vēr­ša­nas sistēmas, IDS pati ne­aiz­sar­gā pret uz­bru­ku­miem. Tā vietā iebrukuma at­klā­ša­nas sistēma analizē visu darbību tīklā un salīdzina to ar kon­krē­tiem modeļiem. Ja tiek kon­sta­tē­ta neparasta darbība, sistēma brīdina lietotāju un sniedz de­ta­li­zē­tu in­for­mā­ci­ju par uzbrukuma izcelsmi un raksturu.

Tip

Lai uzzinātu vairāk par at­šķi­rī­bām starp iebrukuma at­klā­ša­nas un iebrukuma no­vēr­ša­nas sistēmām, skatiet mūsu atsevišķo rakstu par šo tēmu.

Kādi ir iebrukuma at­klā­ša­nas sistēmu veidi?

Iebrukuma at­klā­ša­nas sistēmas iedala trīs veidos: uz servera balstītās (HIDS), uz tīkla balstītās (NIDS) vai hibrīdās sistēmas, kas apvieno HIDS un NIDS principus.

HIDS: Uz serveri balstītas iebrukuma at­klā­ša­nas sistēmas

Uz servera balstītā iebrukuma at­klā­ša­nas sistēma ir senākā drošības sistēmas forma. Šajā gadījumā IDS tiek instalēta tieši at­tie­cī­ga­jā sistēmā. Tā analizē datus gan žurnāla, gan kodola līmenī, pārbaudot arī citus sistēmas failus. Lai no­dro­ši­nā­tu autonomu darbsta­ci­ju iz­man­to­ša­nu, uz servera bāzētā iebrukuma at­klā­ša­nas sistēma izmanto uz­rau­dzī­bas aģentus, kas iepriekš filtrē datplūsmu un nosūta re­zul­tā­tus cen­trā­la­jam serverim. Lai gan tā ir ļoti precīza un vi­s­ap­tve­ro­ša, tā var būt ne­aiz­sar­gā­ta pret tādiem uz­bru­ku­miem kā DoS un DDoS. Turklāt tā ir atkarīga no konkrētās ope­rē­tājsis­tē­mas.

NIDS: Tīkla iebrukuma at­klā­ša­nas sistēmas

Tīkla iebrukuma at­klā­ša­nas sistēma analizē tīklā ap­mai­nī­tos datu paketes, ne­ka­vē­jo­ties iden­ti­fi­cē­jot ne­pa­ras­tas vai ne­pa­ras­tas tendences, par kurām tiek sniegts ziņojums. Tomēr liela datu apjoma apstrāde var būt sarežģīta, po­ten­ciā­li pār­slodzot iebrukuma at­klā­ša­nas sistēmu un traucējot ne­pār­trauk­tu uz­rau­dzī­bu.

Hibrīdās iebrukuma at­klā­ša­nas sistēmas

Mūsdienās daudzi pie­gā­dā­tā­ji izvēlas hibrīdas iebrukuma at­klā­ša­nas sistēmas, kurās ap­vie­no­tas abas pieejas. Šīs sistēmas sastāv no uz serveriem bal­stī­tiem sensoriem, uz tīklu bal­stī­tiem sensoriem un centrālās pār­val­dī­bas slāņa, kurā tiek apkopoti rezultāti pa­dzi­ļi­nā­tai analīzei un kontrolei.

IDS mērķis un priekš­ro­cī­bas

Iebrukuma at­klā­ša­nas sistēmu nekad nedrīkst uzskatīt par ugunsmūra aiz­stā­jē­ju vai izmantot šādā nolūkā. Tā drīzāk ir lielisks pa­pil­di­nā­jums, kas kopā ar ugunsmūri ļauj efektīvāk iden­ti­fi­cēt draudus. Tā kā iebrukuma at­klā­ša­nas sistēma spēj analizēt pat OSI modeļa augstāko slāni, tā spēj atklāt jaunus un iepriekš nezināmus ap­drau­dē­ju­ma avotus, pat ja ugunsmūra aiz­sar­dzī­ba ir pārvarēta.

Kā darbojas iebrukuma at­klā­ša­nas sistēma

Hibrīda modelis ir vi­s­iz­pla­tī­tā­kais iebrukuma at­klā­ša­nas sistēmu veids, kurā tiek iz­man­to­tas gan uz serveri, gan uz tīklu balstītas pieejas. Savāktā in­for­mā­ci­ja tiek analizēta cen­trā­la­jā pār­val­dī­bas sistēmā, iz­man­to­jot trīs at­šķi­rī­gas sa­stāv­da­ļas.

Datu monitors

Datu monitors ar sensoru palīdzību vāc visus at­bil­sto­šos datus un filtrē tos at­bil­sto­ši to no­zī­mī­gu­mam. Tas ietver datus no servera puses, tostarp žurnālu failus un sistēmas in­for­mā­ci­ju, kā arī datu paketes, kas tiek pār­rai­dī­tas tīklā. Starp citu, IDS apkopo un sis­te­ma­ti­zē avota un galamērķa adreses, kā arī citus būtiskus atribūtus. Būtiska prasība ir, lai vāktie dati nāktu no uzticama avota vai tieši no iebrukuma at­klā­ša­nas sistēmas, lai no­dro­ši­nā­tu datu in­teg­ri­tā­ti un novērstu ie­priek­šē­ju ma­ni­pu­lā­ci­ju.

Ana­li­za­tors

Iebrukuma at­klā­ša­nas sistēmas otrais kom­po­nents ir ana­li­za­tors, kura uzdevums ir izvērtēt visus saņemtos un iepriekš filtrētos datus, iz­man­to­jot dažādus modeļus. Šī iz­vēr­tē­ša­na notiek reāllaikā, kas var radīt īpaši lielu slodzi pro­ce­so­ram un gal­ve­na­jai atmiņai. Lai no­dro­ši­nā­tu ātru un precīzu analīzi, ir ne­pie­cie­ša­ma pie­tie­ka­ma jauda. Šim nolūkam ana­li­za­tors izmanto divas at­šķi­rī­gas metodes:

  • Pārkāpumu atklāšana: Pārkāpumu at­klā­ša­nas procesā ana­li­za­tors rūpīgi pārbauda ienākošos datus, meklējot at­pa­zīs­ta­mus uzbrukumu modeļus, kas ir saglabāti īpašā datu bāzē, kura tiek regulāri at­jau­ni­nā­ta. Ja uzbrukums atbilst iepriekš re­ģis­trē­tai parakstai, to var iden­ti­fi­cēt jau agrīnā stadijā. Tomēr šī metode nav efektīva, lai atklātu uz­bru­ku­mus, kas sistēmai vēl nav zināmi.
  • Anomāliju atklāšana: Anomāliju atklāšana ietver visas sistēmas no­vēr­tē­ša­nu. Ja viens vai vairāki procesi atkāpjas no noteiktām normām, šādas ano­mā­li­jas tiek atzīmētas. Piemēram, ja procesora slodze pārsniedz noteiktu slieksni vai ja tiek novērots neparasts lapu ap­mek­lē­ju­mu pieaugums, tiek izraisīts brī­di­nā­jums. Iz­lau­ša­nās at­klā­ša­nas sistēma var arī analizēt dažādu notikumu hro­no­lo­ģis­ko secību, lai iden­ti­fi­cē­tu nezināmus uzbrukumu modeļus. Tomēr ir svarīgi atzīmēt, ka dažos gadījumos var tikt ziņots arī par ne­kai­tī­gām ano­mā­li­jām.

Brī­di­nā­ša­na

Iebrukuma at­klā­ša­nas sistēmas trešais un pēdējais kom­po­nents ir paša brī­di­nā­ju­ma sniegšana. Ja tiek kon­sta­tēts uzbrukums vai vismaz kādas novirzes, sistēma par to informē ad­mi­nis­tra­to­ru. Šo pa­zi­ņo­ju­mu var nosūtīt pa e-pastu, izraisot vietējo trauksmi vai nosūtot ziņojumu uz viedtāl­ru­ni vai plan­šetda­to­ru.

Kādi ir iebrukuma sig­na­li­zā­ci­jas sistēmas trūkumi?

Lai gan iebrukuma at­klā­ša­nas sistēmas uzlabo drošību, tām, kā jau minēts iepriekš, ir arī trūkumi. Uz serveri balstītās IDS var būt ne­aiz­sar­gā­tas pret DDoS uz­bru­ku­miem, savukārt tīkla sistēmām var rasties grūtības lielākās tīkla kon­fi­gu­rā­ci­jās, kā rezultātā tās var nepamanīt datu paketes. Atkarībā no kon­fi­gu­rā­ci­jas anomāliju atklāšana var izraisīt viltus trauksmes. Turklāt visas IDS ir pa­re­dzē­tas vienīgi draudu at­klā­ša­nai, tāpēc efektīvai aiz­sar­dzī­bai pret uz­bru­ku­miem ir ne­pie­cie­ša­ma papildu prog­ram­ma­tū­ra.

Iebrukuma at­klā­ša­nas sistēma un Snort piemērs

Viena no vislabāk zināmajām un po­pu­lā­rā­ka­jām iebrukuma at­klā­ša­nas sistēmām ir Snort. Šis drošības rīks, ko 1998. gadā iz­strā­dā­ja Martins Roeschs, ir ne tikai daudz­plat­for­mas un atvērtā koda, bet kā iebrukuma no­vēr­ša­nas sistēma lie­to­tā­jiem piedāvā arī plašus aiz­sar­dzī­bas pasākumus. Programma ir pieejama gan bez maksas, gan maksas versijā, kurā, piemēram, at­jau­ni­nā­ju­mi tiek no­dro­ši­nā­ti ātrāk.

Go to Main Menu