Sistemi za detekciju i prevenciju upada
Statistika kaže da je prosečno vreme koje je potrebno da se otkrije da li je napadač prisutan u poslovnom sistemu 256 dana. Možete li samo zamisliti šta iskusan napadač može da uradi za to vreme. Takođe, potrebno je reći i da je detekcija upada kritična stavka, jer što se pre napadač detektuje to je manja šteta načinjena, što se kasnije otkrije to su velike šanse da se šteta višestruko povećava.
Statistika kaže da je prosečno vreme koje je potrebno da se otkrije da li je napadač prisutan u poslovnom sistemu 256 dana. Možete li samo zamisliti šta iskusan napadač može da uradi za to vreme. Takođe, potrebno je reći i da je detekcija upada kritična stavka, jer što se pre napadač detektuje to je manja šteta načinjena, što se kasnije otkrije to su velike šanse da se šteta višestruko povećava. Ukoliko je upad detektovan dovoljno brzo, napadač će biti identifikovan pre nego što nastupi oštećenje sistema. Upravo o ovoj temi želim da pišem u ovom članku.
Sistem za detekciju upada
Ovo nije skupa i komplikovana tehnologija. Na tržištu postoje i besplatna rešenja u vidu snort-a kao i rešenja koja su komercijalna. Poželjno je za početak da vidimo šta je zapravo IDS (Intrusion detection systems) i kakve vrste postoje.
IDS je sistem za detekciju upada koji se bazira na prikupljanju kopija saobraćaja na određenom mestu u mreži gde na osnovu toga može da upozori i obavesti određeno lice o tome da li je potencijalni napad u toku. On to radi analizom prikupljenog saobraćaja, slično antivirus programima. To znači da on zapravo ima bazu sa potpisima (eng. signature) poznatih napada i ukoliko se određeni saobraćaj poklapa sa potpisom pretpostavlja se da je napad u toku. Međutim, isto kao i kod antivirusa nekada se pojavljuje napad čiji potpis nije poznat sistemu i u tom slučaju se prati ponašanje sistema tj. odstupanje od normalnog ponašanja sistema (eng. baseline). Ukoliko je to slučaj postavlja se osnovno pitanje šta je zapravo normalno ponašanje za vaš sistem. Na ovo pitanje vam niko ne može dati odgovor osim vas samih. Naime, potrebno je da sistem nauči šta je normalan saobraćaj kroz određeni vremenski period što je minimalno od 30 do 60 dana.
Mrežni i IDS baziran na host-u
Potrebno je ovde napomenuti da postoji više modela IDS sistema od kojih se jedan model koristi na svakom računaru (klijentu ili serveru) i drugi koji se koristi u mreži. Poželjno je koristiti kombinaciju oba modela kako bi se dobili bolji rezultati detekcije.
Mrežni IDS ili NIDS (Network-based Intrusion Detection Systems) se uglavnom koristi kada želite da detektujete anomalije u mrežnom saobraćaju, dok se host baziran IDS-om ili HIDS-om koristi na taj način da se prate određeni fajlovi na samom host-u. Ovo se obično realizuje tako što prilikom instalacije ovakav sistem će napraviti heš (eng. hash) fajlove za koje se smatra da su kritični. Svaka promena bilo kog od tih fajlova od strane bilo kog programa biće detektovana i neko će biti upozoren da je došlo do promene lokacije ili sadržine fajla. U slučaju da se radi o HIDS sistemu, umesto senzora postoje agenti koji se instaliraju na svakom od računara.
Od čega se sastoji IDS?
IDS se sastoji od tri osnovne komponente:
- baza potpisa;
- senzora (kako se prikupljaju podaci, moguće je da jedan IDS ima više tačaka za prikupljanje na različitim lokacijama);
- menadžment konzole (sistema za upravljanje IDS-om).
Šta je onda IPS (Intrusion Prevention System)?
IPS je sistem za prevenciju upada koji za razliku od IDS sistema koji ima i dodatne mogućnosti, ali radi na vrlo sličan način. Naime, IPS analizira pravi saobraćaj, a ne kopiju kao što je slučaj sa IDS-om. Upravo to mu omogućava da reaguje na napad direktno, a ne samo da upozori kao što radi IDS. To znači da je on za razliku od IDS online i da sav saobraćaj prolazi kroz njega gde mu i daje mogućnost da sam blokira potencijalno opasan saobraćaj bez potrebe za ljudskom intervencijom što je slučaj kod IDS sistema. Sa druge strane ovo je hardverski zahtevnije jer ovakav uređaj može postati i usko grlo zato što sav saobraćaj mora proći kroz njega i biti analiziran pre nego što stigne u našu mrežu.
IPS ili IDS?
Na ovo pitanje nije lako dati odgovor, ali postoji jedno pravilo koje važi među profesionalcima u ovoj oblasti. Svaki IPS sistem mora da provede neko vreme u režimu učenja odnosno IDS modu gde se posle 30 ili više dana prebacuje u režim IPS. Ovde je bitno istaći da svi IPS sistemi mogu da rade i u IDS režimu gde je za promenu režima potreban jedan klik.
Moja preporuka je korišćenje ovakvih sistema, jer postoji potpuno besplatno rešenje u vidu snort-a koje se može primeniti. Želim ovde da napomenem da je kod snort-a inicijalna konfiguracija malo komplikovanija za početnike pa će vam možda biti potrebna pomoć stručnjaka da bi uređaj radio. Takođe, detekcija upada omogućava kolekciju informacija o tehnikama napada koje se mogu upotrebiti da se brzo ojača prevencija upada u sistem.