Sodobni sistemi za od­kri­va­nje vdorov učin­ko­vi­to do­pol­nju­je­jo tra­di­ci­o­nal­ne požarne zidove. Ne­pre­sta­no ana­li­zi­ra­jo in spre­mlja­jo sisteme ter celotna omrežja v realnem času, pri čemer pre­po­zna­va­jo morebitne grožnje in o tem takoj obvestijo skrbnike. Dejansko obrambo pred napadi nato izvede dodatna pro­gram­ska oprema.

Kaj se skriva za sistemom za od­kri­va­nje vdorov (IDS)?

Čeprav so sodobni ra­ču­nal­ni­ški in omrežni varnostni sistemi napredni, postajajo tudi ki­ber­net­ski napadi vedno bolj iz­naj­dlji­vi. Za učin­ko­vi­to zaščito ob­ču­tlji­ve in­fra­struk­tu­re raz­mi­sli­te o uporabi več var­no­stnih ukrepov. V tem kontekstu je sistem za od­kri­va­nje vdorov (IDS) odlična do­pol­ni­tev požarnega zidu. Sistem IDS odlično opravlja zgodnje od­kri­va­nje napadov in po­ten­ci­al­nih groženj ter takoj opozori skrbnike, ki lahko nato hitro sprejmejo obrambne ukrepe. Pomembno je, da sistem za od­kri­va­nje vdorov lahko prepozna tudi napade, ki so morda prebili obrambo požarnega zidu.

Za razliko od sistema za pre­pre­če­va­nje vdorov, na primer, sistem za od­kri­va­nje vdorov sam ne ščiti pred napadi. Namesto tega sistem za od­kri­va­nje vdorov analizira vso aktivnost v omrežju in jo primerja z do­lo­če­ni­mi vzorci. Ko zazna nenavadno aktivnost, sistem opozori upo­rab­ni­ka in mu posreduje podrobne in­for­ma­ci­je o izvoru in naravi napada.

Tip

Za več in­for­ma­cij o razlikah med sistemi za od­kri­va­nje vdorov in sistemi za pre­pre­če­va­nje vdorov si oglejte naš poseben članek na to temo.

Katere vrste sistemov za od­kri­va­nje vdorov obstajajo?

Sistemi za za­zna­va­nje vdorov se raz­vr­šča­jo v tri vrste: sisteme na go­sti­te­lju (HIDS), sisteme v omrežju (NIDS) ali hibridne sisteme, ki zdru­žu­je­jo načela sistemov HIDS in NIDS.

HIDS: Sistemi za od­kri­va­nje vdorov na go­sti­telj­skih napravah

Sistem za od­kri­va­nje vdorov na go­sti­telj­ski ravni je naj­sta­rej­ša oblika var­no­stne­ga sistema. V tem primeru je IDS nameščen ne­po­sre­dno na ustreznem sistemu. Analizira podatke na ravni dnevnikov in jedra ter pre­gle­du­je tudi druge sistemske datoteke. Da bi omogočil uporabo sa­mo­stoj­nih delovnih postaj, se sistem za od­kri­va­nje vdorov na go­sti­te­lju opira na nadzorne agente, ki predfil­tri­ra­jo promet in ugo­to­vi­tve pošiljajo na centralni strežnik. Čeprav je zelo natančen in celovit, je lahko ranljiv za napade, kot sta DoS in DDoS. Poleg tega je odvisen od kon­kre­tne­ga ope­ra­cij­ske­ga sistema.

NIDS: Omrežni sistemi za za­zna­va­nje vdorov

Omrežni sistem za od­kri­va­nje vdorov pre­gle­du­je po­dat­kov­ne pakete, ki se iz­me­nju­je­jo znotraj omrežja, ter takoj prepozna nenavadne ali ne­o­bi­čaj­ne vzorce in jih prijavi. Vendar pa je obdelava velikih količin podatkov lahko zahtevna, saj lahko pre­o­bre­me­ni sistem za od­kri­va­nje vdorov in ovira nemoteno spre­mlja­nje.

Hibridni sistemi za od­kri­va­nje vdorov

Danes se mnogi ponudniki odločajo za hibridne sisteme za za­zna­va­nje vdorov, ki zdru­žu­je­jo oba pristopa. Ti sistemi so se­sta­vlje­ni iz senzorjev na go­sti­te­ljih, senzorjev v omrežju in centralne upra­vlja­vske plasti, v kateri se zbirajo rezultati za podrobno analizo in nadzor.

Namen in prednosti sistema za od­kri­va­nje vdorov (IDS)

Sistem za za­zna­va­nje vdorov nikoli ne sme biti obrav­na­van ali upo­ra­bljan kot na­do­me­sti­lo za požarni zid. Gre namreč za odlično dopolnilo, ki v povezavi s požarnim zidom učin­ko­vi­te­je pre­po­zna­va grožnje. Ker sistem za za­zna­va­nje vdorov lahko analizira tudi najvišjo plast OSI-modela, je sposoben odkriti nove in doslej neznane vire ne­var­no­sti, tudi če je prišlo do preboja požarnega zidu.

Kako deluje sistem za od­kri­va­nje vdorov

Hibridni model je naj­po­go­stej­ša oblika sistema za od­kri­va­nje vdorov, ki združuje pristope na ravni go­sti­te­lja in omrežja. Zbrane in­for­ma­ci­je se ana­li­zi­ra­jo v cen­tral­nem sistemu za upra­vlja­nje, ki uporablja tri različne kom­po­nen­te.

Nadzornik podatkov

Nadzorni sistem zbira vse ustrezne podatke prek senzorjev in jih filtrira glede na njihovo po­memb­nost. To vključuje podatke s strani go­sti­te­lja, vključno z dnev­ni­ški­mi da­to­te­ka­mi in po­drob­nost­mi o sistemu, ter po­dat­kov­ne pakete, ki se prenašajo po omrežju. Sistem za od­kri­va­nje vdorov med drugim zbira in ureja naslove po­ši­lja­te­ljev in pre­je­mni­kov ter druge ključne lastnosti. Ključna zahteva je, da zbrani podatki izvirajo iz za­ne­slji­ve­ga vira ali ne­po­sre­dno iz sistema za od­kri­va­nje vdorov, da se zagotovi ce­lo­vi­tost podatkov in prepreči njihova predhodna ma­ni­pu­la­ci­ja.

Ana­li­za­tor

Drugi sestavni del sistema za od­kri­va­nje vdorov je ana­li­za­tor, ki je odgovoren za oce­nje­va­nje vseh prejetih in predhodno fil­tri­ra­nih podatkov na podlagi različnih vzorcev. Ta ocena poteka v realnem času, kar lahko pred­sta­vlja posebno obre­me­ni­tev za procesor in glavni pomnilnik. Za hitro in natančno analizo so nujne ustrezne zmo­glji­vo­sti. Ana­li­za­tor v ta namen uporablja dve različni metodi:

  • Za­zna­va­nje zlorab: Pri za­zna­va­nju zlorab ana­li­za­tor natančno pre­gle­du­je vhodne podatke in išče pre­po­zna­ne vzorce napadov, shranjene v namenski bazi podatkov, ki se redno po­so­da­blja. Ko se napad ujema s prej za­be­le­že­nim podpisom, ga je mogoče pre­po­zna­ti že v zgodnji fazi. Vendar pa ta metoda ni učin­ko­vi­ta pri za­zna­va­nju napadov, ki jih sistem še ne pozna.
  • Za­zna­va­nje anomalij: Za­zna­va­nje anomalij vključuje oceno celotnega sistema. Ko eden ali več procesov odstopa od uve­lja­vlje­nih norm, se takšne anomalije označijo. Na primer, če obre­me­ni­tev pro­ce­sor­ja preseže določeno mejno vrednost ali če pride do ne­na­va­dne­ga porasta dostopov do strani, se sproži opozorilo. Sistem za od­kri­va­nje vdorov lahko analizira tudi kro­no­lo­ški vrstni red različnih dogodkov, da bi iden­ti­fi­ci­ral neznane vzorce napadov. Vendar je pomembno opozoriti, da se v nekaterih primerih lahko poroča tudi o ne­ško­dlji­vih ano­ma­li­jah.

Opozorilo

Tretji in zadnji del sistema za za­zna­va­nje vdorov je dejansko ob­ve­šča­nje. Če se zazna napad ali vsaj ne­pra­vil­no­sti, sistem o tem obvesti skrbnika. Obvestilo se lahko pošlje po ele­k­tron­ski pošti, prek lokalnega alarma ali prek sporočila na pametnem telefonu ali tablici.

Kakšne so slabosti sistema za od­kri­va­nje vdorov?

Čeprav sistemi za za­zna­va­nje vdorov iz­bolj­šu­je­jo varnost, imajo, kot je bilo že omenjeno, tudi svoje slabosti. IDS-ji, ki delujejo na go­sti­telj­skih ra­ču­nal­ni­kih, so lahko ranljivi za DDoS-napade, medtem ko imajo omrežni sistemi v večjih omrežnih okoljih lahko težave, zaradi česar lahko pride do izgube po­dat­kov­nih paketov. Za­zna­va­nje anomalij lahko, odvisno od kon­fi­gu­ra­ci­je, sproži lažne alarme. Poleg tega so vsi IDS-ji namenjeni izključno za­zna­va­nju groženj, zato je za učin­ko­vi­to obrambo pred napadi potrebna dodatna pro­gram­ska oprema.

Sistem za za­zna­va­nje vdorov in primer programa Snort

Eden najbolj znanih in pri­lju­blje­nih sistemov za od­kri­va­nje vdorov je Snort. To varnostno orodje, ki ga je leta 1998 razvil Martin Roesch, ni le več­plat­form­sko in od­pr­to­ko­dno, ampak upo­rab­ni­kom kot sistem za pre­pre­če­va­nje vdorov ponuja tudi obsežne zaščitne ukrepe. Program je na voljo brez­plač­no ter v plačljivi različici, za katero so na primer po­so­do­bi­tve na voljo hitreje.

Go to Main Menu