Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen.

Samankaltaiset esitykset


Esitys aiheesta: "IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen."— Esityksen transkriptio:

1 IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen

2 IDS eli Intrusion Detection System on järjestelmä, joka tunnistaa verkkoon tai verkkolaitteeseen kohdistuvat hyökkäykset. IDS voidaan jakaa kahteen osa-alueeseen: - Host-based ID - Network-based ID.

3 HOST-BASED ID: Perustuu menetelmään, jossa seurataan yksittäisen päätteen toimintaa ja liikennettä. Tarkistaa myös järjestelmän tiedostojen eheyttä ja seuraa mahdollisia epäilyttäviä tapahtumia. Host based ID perusohjelmaluokat: - Host Wrapper / Personal Firewall Tarkastelee verkossa liikkuvia paketteja, yhteysyrityksiä sekä kirjautumisyrityksiä. -Agent-based Tarkastelee yhteysyrityksiä ja muutoksia kriittisissä järjestelmätiedoissa. Tiedot kerätään erillisiltä päätteiltä palvelimelle.

4 NETWORK BASED ID: Menetelmä, jonka tehtävänä on tarkkailla vain verkkoliikennettä. Eriteltävissä kahteen tyyppin: Tietokanta- pohjaiset ja Toiminta-pohjaiset järjestelmät. Tietokantapohjaiset: Tarkastelee pakettiliikennettä erilaisten hyökkäystunniste (signature) -mallien avulla. Signature –tyypit: - String signature Tarkkailee pakettien sisältämiä tekstejä tai koodeja, jotka voivat mahdollisesti aiheuttaa haittaa kohteelle.

5 - Port signatures Tarkkailee epäilyttäviä yhteysyrityksiä hyvin tunnettuihin portteihin. - Header signatures Tarkastelee pakettien otsikoita (packet header) Tietokantapohjaisten järjestelmien heikkoutena on pidetty sitä että hyökkäysten havaitseminen perustuu entuudestaan tunnettujen hyökkäysten luettelointiin. Toisaalta tämän tyyppiset IDS:ät havaitsevat usein myös uudet ja entuudestaan tuntemattomat hyökkäykset, koska uudetkin hyökkäykset useimmiten perustuvat ainakin osin vanhoihin hyökkäyksiin. Tietokantapohjaiset IDS:ät ovat yleisimpiä luotettavuutensa vuoksi.

6 Tyypillinen NIDS järjestelmä Esimerkki 1. - Toimii kuin tavallinen 2. tason silta - Ei asetettua IP-osoitetta  näkymätön

7 Esimerkki 2.

8 TOIMINTAPOHJAISET JÄRJESTELMÄT Toimintapohjaisen järjestelmän toiminta perustuu verkkoliikenteen vertaamiseen ns normaaliin tai sallittuun liikeenteeseen. Järjestelmälle on siis ”opetettu” tarkkailtavan verkon normaalitilanteessa generoima liikenne. Järjestelmä varoittaa/reagoi kaikkeen poikkeavaan liikenteeseen. Ongelmia: Koska toiminta perustuu verkon liikenteen vertaamiseen, johonkin opetettuun tilanteeseen, syntyy tällöin paljon vääriä hälytyksiä ja haitallista toimintaa saattaa jäädä huomaamatta.

9 Toimintaperiaatteestaan huolimatta IDS:ien tehtävä on havainnoida ja hälyttää epänormaalista toiminnasta. Jos järjestelmä reagoi automaattisesti näihin havaintoihin esimerkiksi muuttamalla palomuurin asetuksia estääkseen havaitun epänormaalin liikenteen, kutsutaan järjestelmää IPS:ksi. Lähteet: www.sans.org www.securityfocus.com


Lataa ppt "IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen."

Samankaltaiset esitykset


Iklan oleh Google