Intrusion Prevention System
IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System) – systemy wykrywania i zapobiegania włamaniom) – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.
Zasada działania
Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:
- analiza heurystyczna – polegająca na defragmentacji, łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe – np. protocol analysis (np. IBM ISS) czy preprocessing (Snort). W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.
- analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, budowana wraz z pojawianiem się nowych ataków i odpowiednio często aktualizowana.
Elementy systemu IDS/IPS
Typowe elementy systemu IDS/IPS to:
- sonda (sensor) – element analizujący ruch sieciowy i wykrywający ataki,
- baza danych – zbierająca informacje o atakach z grupy sensorów,
- analizator logów – umożliwiający wizualizację i analizę logów z grupy sensorów.
Architektura
W zależności od lokalizacji sensora oraz zakresu analizowanych zdarzeń wyróżnia się następujące rodzaje systemów IDS:
- hostowe – HIDS (ang. Host-based IDS) – działają jako aplikacja w jednym, ochranianym systemie operacyjnym analizując zdarzenia pochodzące z logu systemowego oraz z lokalnych interfejsów sieciowych.
- sieciowe – NIDS (ang. Network IDS) – analizujące ruch sieciowy dla wszystkich systemów w segmencie sieci, do którego są podłączone. NIDS potrafi rozpoznawać ataki skierowane przeciwko systemom, które nie mają zainstalowanych HIDS. Równocześnie jednak ma ograniczone zdolności analizowania ruchu przesyłanego w kanałach SSL lub zdarzeń zachodzących lokalnie w systemie (np. brak pamięci, ataki lokalne z konsoli).
Sieciowe systemy IPS mogą działać w następujących topologiach sieciowych:
- pasywna sonda – sonda podłączona do portu monitorującego przełącznika analizuje kopie wszystkich pakietów w danym segmencie sieci. Sonda w tej topologii ma ograniczone możliwości reagowania na ataki. Stosowane są dwie techniki blokowania ataków w topologii pasywnej – wysyłanie fałszywych pakietów TCP RST do obu stron komunikacji i zerwanie połączenia oraz dynamiczna rekonfiguracja zapory, z którą sonda może współpracować. W pierwszym przypadku blokowaniu może podlegać tylko ruch TCP, w drugim reakcja może być spóźniona.
- Inline – sonda umieszczona pomiędzy dwoma segmentami sieci, pozbawiona adresów IP i działająca w trybie przezroczystego mostu analizuje i bezpośrednio uczestniczy w przekazywaniu wszystkich pakietów w sieci. W tym trybie sonda ma możliwość blokowania 100% pakietów rozpoznanych jako niebezpieczne (fałszywe pakiety TCP RST nadal są wysyłane dla uniknięcia retransmisji). Działanie w tym trybie nakłada na oprogramowanie sondy znacznie wyższe wymagania co do wydajności i stabilności.
Przykłady systemów IPS
Darmowe:
- Snort (NIDS), ACID (analiza), Snortalog (analiza)
- Bro IDS (NIDS)
- Snort-Prelude (NIDS), Prelude-lml (HIDS), Prewikka (analiza)
- OSSEC (HIDS)
- GesWall
- Suricata
Komercyjne:
- IBM ISS Proventia (NIDS), Proventia Server (HIDS), Site Protector (zbieranie i analiza zdarzeń)
- 3COM Tipping Point
- Juniper IDP
- DefenseWall HIPS (dostępny także w polskiej wersji)
- Safe'n'Sec Pro (+Rootkit Detector)
Linki zewnętrzne
- Klasyfikacja systemów IDS/IPS. ipsec.pl. [zarchiwizowane z tego adresu (2009-02-07)].