IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen
IDS eli Intrusion Detection System on järjestelmä, joka tunnistaa verkkoon tai verkkolaitteeseen kohdistuvat hyökkäykset. IDS voidaan jakaa kahteen osa-alueeseen: - Host-based ID - Network-based ID.
HOST-BASED ID: Perustuu menetelmään, jossa seurataan yksittäisen päätteen toimintaa ja liikennettä. Tarkistaa myös järjestelmän tiedostojen eheyttä ja seuraa mahdollisia epäilyttäviä tapahtumia. Host based ID perusohjelmaluokat: - Host Wrapper / Personal Firewall Tarkastelee verkossa liikkuvia paketteja, yhteysyrityksiä sekä kirjautumisyrityksiä. -Agent-based Tarkastelee yhteysyrityksiä ja muutoksia kriittisissä järjestelmätiedoissa. Tiedot kerätään erillisiltä päätteiltä palvelimelle.
NETWORK BASED ID: Menetelmä, jonka tehtävänä on tarkkailla vain verkkoliikennettä. Eriteltävissä kahteen tyyppin: Tietokanta- pohjaiset ja Toiminta-pohjaiset järjestelmät. Tietokantapohjaiset: Tarkastelee pakettiliikennettä erilaisten hyökkäystunniste (signature) -mallien avulla. Signature –tyypit: - String signature Tarkkailee pakettien sisältämiä tekstejä tai koodeja, jotka voivat mahdollisesti aiheuttaa haittaa kohteelle.
- Port signatures Tarkkailee epäilyttäviä yhteysyrityksiä hyvin tunnettuihin portteihin. - Header signatures Tarkastelee pakettien otsikoita (packet header) Tietokantapohjaisten järjestelmien heikkoutena on pidetty sitä että hyökkäysten havaitseminen perustuu entuudestaan tunnettujen hyökkäysten luettelointiin. Toisaalta tämän tyyppiset IDS:ät havaitsevat usein myös uudet ja entuudestaan tuntemattomat hyökkäykset, koska uudetkin hyökkäykset useimmiten perustuvat ainakin osin vanhoihin hyökkäyksiin. Tietokantapohjaiset IDS:ät ovat yleisimpiä luotettavuutensa vuoksi.
Tyypillinen NIDS järjestelmä Esimerkki 1. - Toimii kuin tavallinen 2. tason silta - Ei asetettua IP-osoitetta näkymätön
Esimerkki 2.
TOIMINTAPOHJAISET JÄRJESTELMÄT Toimintapohjaisen järjestelmän toiminta perustuu verkkoliikenteen vertaamiseen ns normaaliin tai sallittuun liikeenteeseen. Järjestelmälle on siis ”opetettu” tarkkailtavan verkon normaalitilanteessa generoima liikenne. Järjestelmä varoittaa/reagoi kaikkeen poikkeavaan liikenteeseen. Ongelmia: Koska toiminta perustuu verkon liikenteen vertaamiseen, johonkin opetettuun tilanteeseen, syntyy tällöin paljon vääriä hälytyksiä ja haitallista toimintaa saattaa jäädä huomaamatta.
Toimintaperiaatteestaan huolimatta IDS:ien tehtävä on havainnoida ja hälyttää epänormaalista toiminnasta. Jos järjestelmä reagoi automaattisesti näihin havaintoihin esimerkiksi muuttamalla palomuurin asetuksia estääkseen havaitun epänormaalin liikenteen, kutsutaan järjestelmää IPS:ksi. Lähteet: