Intrusion Prevention System

IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System) – systemy wykrywania i zapobiegania włamaniom) – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.

Zasada działania

Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:

  • analiza heurystyczna – polegająca na defragmentacji, łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe – np. protocol analysis (np. IBM ISS) czy preprocessing (Snort). W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.
  • analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, budowana wraz z pojawianiem się nowych ataków i odpowiednio często aktualizowana.

Elementy systemu IDS/IPS

Typowe elementy systemu IDS/IPS to:

  • sonda (sensor) – element analizujący ruch sieciowy i wykrywający ataki,
  • baza danych – zbierająca informacje o atakach z grupy sensorów,
  • analizator logów – umożliwiający wizualizację i analizę logów z grupy sensorów.

Architektura

W zależności od lokalizacji sensora oraz zakresu analizowanych zdarzeń wyróżnia się następujące rodzaje systemów IDS:

  • hostowe – HIDS (ang. Host-based IDS) – działają jako aplikacja w jednym, ochranianym systemie operacyjnym analizując zdarzenia pochodzące z logu systemowego oraz z lokalnych interfejsów sieciowych.
  • sieciowe – NIDS (ang. Network IDS) – analizujące ruch sieciowy dla wszystkich systemów w segmencie sieci, do którego są podłączone. NIDS potrafi rozpoznawać ataki skierowane przeciwko systemom, które nie mają zainstalowanych HIDS. Równocześnie jednak ma ograniczone zdolności analizowania ruchu przesyłanego w kanałach SSL lub zdarzeń zachodzących lokalnie w systemie (np. brak pamięci, ataki lokalne z konsoli).

Sieciowe systemy IPS mogą działać w następujących topologiach sieciowych:

  • pasywna sonda – sonda podłączona do portu monitorującego przełącznika analizuje kopie wszystkich pakietów w danym segmencie sieci. Sonda w tej topologii ma ograniczone możliwości reagowania na ataki. Stosowane są dwie techniki blokowania ataków w topologii pasywnej – wysyłanie fałszywych pakietów TCP RST do obu stron komunikacji i zerwanie połączenia oraz dynamiczna rekonfiguracja zapory, z którą sonda może współpracować. W pierwszym przypadku blokowaniu może podlegać tylko ruch TCP, w drugim reakcja może być spóźniona.
  • Inline – sonda umieszczona pomiędzy dwoma segmentami sieci, pozbawiona adresów IP i działająca w trybie przezroczystego mostu analizuje i bezpośrednio uczestniczy w przekazywaniu wszystkich pakietów w sieci. W tym trybie sonda ma możliwość blokowania 100% pakietów rozpoznanych jako niebezpieczne (fałszywe pakiety TCP RST nadal są wysyłane dla uniknięcia retransmisji). Działanie w tym trybie nakłada na oprogramowanie sondy znacznie wyższe wymagania co do wydajności i stabilności.

Przykłady systemów IPS

Darmowe:

  • Snort (NIDS), ACID (analiza), Snortalog (analiza)
  • Bro IDS (NIDS)
  • Snort-Prelude (NIDS), Prelude-lml (HIDS), Prewikka (analiza)
  • OSSEC (HIDS)
  • GesWall
  • Suricata

Komercyjne:

  • IBM ISS Proventia (NIDS), Proventia Server (HIDS), Site Protector (zbieranie i analiza zdarzeń)
  • 3COM Tipping Point
  • Juniper IDP
  • DefenseWall HIPS (dostępny także w polskiej wersji)
  • Safe'n'Sec Pro (+Rootkit Detector)

Linki zewnętrzne