Ljudi su najveći potencijal

Vojvođanski Bulevar 14/15, Pančevo

+381 65 8338 028

Sistemi za detekciju i prevenciju upada

11:53 Igor Franc 5 minuta

Statistika kaže da je prosečno vreme koje je potrebno da se otkrije da je napadač prisutan u poslovnom sistemu 256 dana. Možete samo zamisliti šta iskusan napadač može da uradi za to vreme. Takođe potrebno je reći i da je detekcija upada kritična stavka jer što se pre napadač detektuje to je manja šteta načinjena…

Statistika kaže da je prosečno vreme koje je potrebno da se otkrije da je napadač prisutan u poslovnom sistemu 256 dana. Možete samo zamisliti šta iskusan napadač može da uradi za to vreme. Takođe potrebno je reći i da je detekcija upada kritična stavka jer što se pre napadač detektuje to je manja šteta načinjena i obrnuto što se kasnije otkrije to su velike šanse da se šteta višestruko povećava. Kaže se da ukoliko je upad detektovan dovoljno brzo, napadač je identifikovan, pre nego što nastupi oštećenje sistema. Upravo o ovoj temi želim da malo pišem u ovom postu.

Sistem za detekciju upada

Nemojte misliti da je ovo neka posebno skupa i komplikovana tehnologija. Na tržištu postoje i besplatna rešenja u vidu SNORT-a kao i rešenja koja su komercijalna. Hajde za početak da vidimo šta je zapravo IDS i kakve vrste postoje.
IDS je sistem za detekciju upada koji se bazira na tome da prikuplja kopiju saobraćaja na određenom mestu u mrežu i na osnovu toga može da alarmira i obavesti određeno lice o tome da je potencijalni napada u toku. On to radi analizom prikupljenog saobraćaja vrlo slično antivirus programima. To znači da on zapravo ima bazu sa potpisima (singature) poznatih napada i ukoliko se određeni saobraćaj poklapa sa potpisom pretpostavlja da je napada u toku. Međutim isto kao i kod antivirusa nekada se pojavi napad čiji potpis nije poznat sistemu i u tom slučaju se prati ponašanja sistema tj. odstupanje od normalnog ponašanja sistema (baseline). E sad ako je to tak postavlja se osnovno pitanje šta je zapravo normalno ponašanje za vaš sistem. Na ovo pitanje vam niko ne može dati odgovor osim vas samih. Naime potrebno je da sistem nauči šta je normalan saobraćaj kroz određeni vremenski period što je minimalno 30-60 dana.

Mrežni i host baziran IDS

Potrebno je ovde napomenuti da postoji više vrsta IDS sistema od kojih se jedna vrsta koristi na svakom računaru (klijentu ili serveru) i druga koja se koristi u mreži. Poželjno je koristiti kombinacija obe vrste kako bi se dobili bolji rezultati detekcije.

Mrežni IDS (NIDS) se uglavnom koristi kada želite da detektujete anomalije u mrežnom saobraćaju dok se host baziran IDS (HIDS) koristi na taj način da se prate određeni fajlovi na samom hostu tj. serveru ili klijentu. Ovo se obično realizuje tako što prilikom instalacije ovakav sistem će napraviti HASH vrednosti fajlova za koje smatra da su kritični i svaka promena bilo kog od tih fajlova od strane bilo kog programa biće detektovana i neko će biti upozoren da je došlo do promene lokacije ili sadržine fajla. U slučaju da se radi od HIDS sistemu umesto senzora postoje agenti koji se instaliraju na svakom od računara.

Od čega se sastoji IDS?

IDS se sastoji od tri osnovne komponente:

baza potpisa (signatures)

senzora (kako se prikupljaju podaci, moguće je da jedan IDS ima više tačaka za prikupljanje na različitim lokacijama)

menadžment konzole (sistema za upravljanje IDS-om)

Šta je onda IPS?

IPS je sistem za prevenciju upada koji za razliku od IDS sistema ima i dodatne mogućnosti ali radi na vrlo sličan način. Naime IPS analizira pravi saobraćaj a ne kopiju kao što je slučaj sa IDS. Upravo to mu omogućava da reaguje na napad direktno a ne samo da alarmira kao što radi IDS. To znači da je on za razliku od IDS inline i sav saobraćaj prolazi kroz njega što mu i daje mogućnost da sam blokira potencijalno opasan saobraćaj bez potrebe za ljudskom intervencijom što je slučaj kod IDS sistema. Sa druge strane ovo je hardverski zahtevnije jer ovakav uređaj može postati i usko grlo jer bukvalno sav saobraćaj mora prolaziti kroz njega i biti analiziran pre nego što stigne u našu mrežu.

IPS ili IDS?

Na ovo pitanje nije lako dati odgovor ali postoji jedno pravilo koje važi među profesionalcima u ovoj oblasti koje kaže da svaki IPS sistem mora da provede neko vreme u režimu učenja odnosno IDS modu pa tek posle 30 ili više dana da se prebaci u režim IPS. Ovde je bitno istaći da svi IPS sistemi mogu da rade i u IDS režimu rada i da je za promenu režima potreban jedan klik.

Moja topla preporuka za korišćenje ovakvih sistema, jer postoji potpuno besplatno rešenje u vidu SNORT-a koje se može primeniti. Želim ovde da napomenem da je kod SNORT-a inicijalna konfiguracija mala komplikovanija za početnike pa će vam možda biti potrebno pomoć stručnjaka da bi se uređaj pustio u rad, posle toga sve ide lako. Takođe detekcija upada omogućava kolekciju informacija o tehnikama napada koje se mogu upotrebiti da se brzo ojača prevencija upada u sistem.