Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuSeppo Melasniemi Muutettu yli 9 vuotta sitten
1
IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen
2
IDS eli Intrusion Detection System on järjestelmä, joka tunnistaa verkkoon tai verkkolaitteeseen kohdistuvat hyökkäykset. IDS voidaan jakaa kahteen osa-alueeseen: - Host-based ID - Network-based ID.
3
HOST-BASED ID: Perustuu menetelmään, jossa seurataan yksittäisen päätteen toimintaa ja liikennettä. Tarkistaa myös järjestelmän tiedostojen eheyttä ja seuraa mahdollisia epäilyttäviä tapahtumia. Host based ID perusohjelmaluokat: - Host Wrapper / Personal Firewall Tarkastelee verkossa liikkuvia paketteja, yhteysyrityksiä sekä kirjautumisyrityksiä. -Agent-based Tarkastelee yhteysyrityksiä ja muutoksia kriittisissä järjestelmätiedoissa. Tiedot kerätään erillisiltä päätteiltä palvelimelle.
4
NETWORK BASED ID: Menetelmä, jonka tehtävänä on tarkkailla vain verkkoliikennettä. Eriteltävissä kahteen tyyppin: Tietokanta- pohjaiset ja Toiminta-pohjaiset järjestelmät. Tietokantapohjaiset: Tarkastelee pakettiliikennettä erilaisten hyökkäystunniste (signature) -mallien avulla. Signature –tyypit: - String signature Tarkkailee pakettien sisältämiä tekstejä tai koodeja, jotka voivat mahdollisesti aiheuttaa haittaa kohteelle.
5
- Port signatures Tarkkailee epäilyttäviä yhteysyrityksiä hyvin tunnettuihin portteihin. - Header signatures Tarkastelee pakettien otsikoita (packet header) Tietokantapohjaisten järjestelmien heikkoutena on pidetty sitä että hyökkäysten havaitseminen perustuu entuudestaan tunnettujen hyökkäysten luettelointiin. Toisaalta tämän tyyppiset IDS:ät havaitsevat usein myös uudet ja entuudestaan tuntemattomat hyökkäykset, koska uudetkin hyökkäykset useimmiten perustuvat ainakin osin vanhoihin hyökkäyksiin. Tietokantapohjaiset IDS:ät ovat yleisimpiä luotettavuutensa vuoksi.
6
Tyypillinen NIDS järjestelmä Esimerkki 1. - Toimii kuin tavallinen 2. tason silta - Ei asetettua IP-osoitetta näkymätön
7
Esimerkki 2.
8
TOIMINTAPOHJAISET JÄRJESTELMÄT Toimintapohjaisen järjestelmän toiminta perustuu verkkoliikenteen vertaamiseen ns normaaliin tai sallittuun liikeenteeseen. Järjestelmälle on siis ”opetettu” tarkkailtavan verkon normaalitilanteessa generoima liikenne. Järjestelmä varoittaa/reagoi kaikkeen poikkeavaan liikenteeseen. Ongelmia: Koska toiminta perustuu verkon liikenteen vertaamiseen, johonkin opetettuun tilanteeseen, syntyy tällöin paljon vääriä hälytyksiä ja haitallista toimintaa saattaa jäädä huomaamatta.
9
Toimintaperiaatteestaan huolimatta IDS:ien tehtävä on havainnoida ja hälyttää epänormaalista toiminnasta. Jos järjestelmä reagoi automaattisesti näihin havaintoihin esimerkiksi muuttamalla palomuurin asetuksia estääkseen havaitun epänormaalin liikenteen, kutsutaan järjestelmää IPS:ksi. Lähteet: www.sans.org www.securityfocus.com
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.