„Behatolásvédelem” változatai közötti eltérés
KGF (vitalap | szerkesztései) |
KGF (vitalap | szerkesztései) (→IDS) |
||
| 35. sor: | 35. sor: | ||
== IDS == | == IDS == | ||
| − | Az '''IDS''' (''intrusion detection system'') olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről. | + | Az '''IDS''' (''intrusion detection system, illetéktelen behatolást jelző rendszer'') olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről. A felderítésben (''detektálásban'') segíti az üzemeltetők és az [[Informatikai biztonság|informatikai biztonsági]] személyzet munkáját. |
| + | |||
| + | Jellemzően két részből áll, van egy monitorozó alkalmazás és egy központi rendszer, amely az érkező riasztásokat és riportokat kezeli, naplózza, továbbítja. Ez jellemzően egy eszközben csoportosul, attól függetlenül, hogy az egyéb [[Informatikai biztonság|informatikai biztonságot]] érintő monitorozó rendszerek is képesek az IDS-ből kijövő adatokat kezelni. | ||
| + | |||
| + | Hasonló szerepet tölt be, mint a fizikai biztonsági rendszerekben a riasztók: jó esetben nem csak a világba üvölti a betörés tényét, hanem vagy egy szolgáltató céghez, vagy a rendőrséghez bekötve a megfelelő eljárást indítja el egy-egy esemény kapcsán. | ||
| + | |||
| + | Mint általában minden biztonsági kérdésben, az IDS-ek esetében is fontos, hogy semmilyen eszköz vagy rendszer sem jelenthet teljes védettséget, csak a ''kockázatok csökkentése'' az elérhető cél. | ||
| + | |||
| + | === Bevezetése, felépítése === | ||
| + | |||
| + | IDS bevezetése több módon és célból lehetséges. Mindegyiknél megegyezik, hogy pontos '''tervezést''' igényel, mert az IDS-nek rengeteg adatot kell kezelnie valós időben. Az IDS bevezetésénél három fő komponensét, funkcionális elemét kell megtervezni: | ||
| + | #Milyen információt és honnan fog megkapni a rendszer? | ||
| + | #;Szenzorok, vagy forgalomfigyelő (''traffic collector'') elemek | ||
| + | #:Ezek figyelik és gyűjtik azokat az aktivitásokat, illetve eseményeket, amelyeket az IDS feldolgoz. Ehhez szükség van valamilyen forrásra, melyet az IDS monitorozni tud. Ilyen lehet: | ||
| + | #:*Hálózati forgalom (csomagok megfigyelése, csomaglehallgató mechanizmus (''sniffer'')), ekkor ''[[Behatolásvédelem#NIDS|NIDS]]''-ről beszélünk; | ||
| + | #:*Host információk (CPU használat, futó folyamatok, I/O információk, naplófájlok, fájl használati minták stb.), ezt nevezzük ''[[Behatolásvédelem#HIDS|HIDS]]''-nek. | ||
| + | #:Az információ lehet valós idejű vagy batch jellegű. Természetesen minél közelebb kerülünk a valós idejű megjelenéshez és riasztásokhoz, annál hatékonyabb lehet a biztonsági rendszerünk. | ||
| + | #Milyen motort szeretnénk használni? | ||
| + | #;Elemző (analizáló) motor | ||
| + | #:Az IDS agya, mely képes a támadó tevékenységeket a valós adatoktól/forgalomtól megkülönböztetni. A forgalom és a kapott információk elemzése több módon lehetséges, ez a működés határozza meg az IDS-implementáció fő irányvonalát. Egy IDS az alkalmazott szűrési elv alapján lehet ''[[Behatolásvédelem#Szabály alapú IDS|szabály]]'' vagy ''[[Behatolásvédelem#Anomália alapú IDS|anomália alapú]]''. Egy kártékony vagy gyanús elem felismerése után riasztást adhat és/vagy beavatkozhat a futó folyamatokba (''IDPS''). | ||
| + | #Ki kapja meg a riasztásokat, és mit fog tenni ezután? | ||
| + | #;Felhasználói interfész és jelentéskészítő modul | ||
| + | #:Riasztások esetére meg kell határozni azokat a személyeket, akik az adott rendszerért felelősek, illetve azt a kommunikációs formát, amelyen keresztül az adott személyek vagy csoportok értesülnek az eseményről. A legjellemzőbb módszer az e-mail, amely valamilyen szolgáltatón keresztül SMS-ben is érkezhet, vagy akár direkt SMS küldéssel is továbbítható (szükséges egy közvetlen kapcsolat a mobilszolgáltatókkal). Amennyiben az eszköz lehetővé teszi, javasolt eszkalációs sort is megadni, azaz meghatározni, hogy ha a riasztást nem kezelik az előre kiszabott időn belül, akkor kit kell értesíteni a közvetlen felelősökön túl. | ||
| + | #:Fontos, hogy az IDS lényege a riasztás, így ha nincs kellő emberi háttér, akik lekezelnék a kapott riasztásokat (''incident response team''), azok hatástalanná és ezáltal haszontalanná, értelmetlenné válnak. A biztonsági rendszerek csak állandó felügyelet, folyamatos ellenőrzés és finomhangolás mellett működhetnek a célnak megfelelően. A biztonság állapotát hosszútávon '''fenn kell tartani'''. | ||
| + | #:Az utólagos vizsgálatok, fejlesztések érdekében a naplózásról sem szabad megfeledkezni. | ||
| + | |||
| + | Ezekhez a megvalósított IDS-ben még társulhat egy '''szignatúra (lenyomat) adatbázis''', mely a már ismert, gyanús vagy kártékony aktivitások mintagyűjteménye. Mivel a legtöbb IDS egy-egy konkrét környezet igényeire van hangolva, ezért bizonyos minták, minta csoportok a gyakorlatban kikapcsolhatók. Például egy tisztán UNIX alapon működő környezetben feleslegesek lehetnek a Windows alapú riasztások. Különböző hálózati eseményekhez azok veszélyességét figyelembe véve különböző riasztási szintek kapcsolhatók. A legtöbb IDS-ben arra is van lehetőség, hogy a rendszer különböző gépeihez különböző mintákat illesszünk. Azaz ha ugyanannak a tevékenységnek a végzését az egyik gépnek megengedjük, más gépek esetében tilthatjuk. | ||
| + | |||
| + | === Típusai === | ||
| + | ==== Hogyan ellenőriz? ==== | ||
| + | ===== Szabály alapú IDS ===== | ||
| + | ===== Anomália alapú IDS ===== | ||
| + | ==== Hol ellenőriz? ==== | ||
| + | ===== NIDS ===== | ||
| + | ===== HIDS ===== | ||
| + | ===== WIDS ===== | ||
| + | ==== Titkosított forgalom ==== | ||
== IDPS == | == IDPS == | ||
A lap 2014. január 8., 03:16-kori változata
Az informatikai biztonság területén behatolásvédelemről beszélünk, mikor a rendszer olyan gyanús viselkedéseit igyekszünk megfigyelni és kiszűrni, melyek veszélyt jelenthetnek a tárolt adatok és a rendszer elemeinek bizalmasságára, sértetlenségére, rendelkezésre állására nézve. A cél tehát minden olyan folyamat észlelése, mely a rendszer biztonságos állapotát sértheti.
Eszköze lehet IDS (intrusion detection system) vagy IDPS (intrusion detection and prevention system).
Tartalomjegyzék |
Betörés
A behatolásvédelem feladata a betörések megakadályozása. A betörés egy olyan tevékenység, amely során egy adott személy vagy program (bot, script) nem engedélyezett hozzáférést szerez a védett rendszerhez és adatokhoz.
Mivel az informatikai biztonságban valamilyen vagyonelem (asset) védelmét kell biztosítani, ezért betörés esetén a rendszerhez való hozzáférésnél lényegesebb lehet, hogy milyen adatokat ért el a támadó. Hasonlóan betörésnek tekinthetők a szolgáltatás lassítására vagy megszakítására irányuló túlterheléses támadások is (DoS, DDoS).
Támadások menete
- Külső felderítés
- Elsősorban olyan információk gyűjtése (pl. IP tartomány, a host milyen domainhez tartozik, ki a tartománynév tulajdonosa), melyek külső rendszerekből kinyerhetők, ezáltal észrevétlenül begyűjthetők. Bizonyos mélyebb vizsgálatok (pl. a domain, a lehetséges hostok feltérképezése) vagy aktív felderítések (pl. port scan) már érinthetik a célba vett rendszert.
- Belső felderítés
- Belső információk gyűjtése a hálózatról, rendszerről, melyek közös jellemzőként az emberi hiszékenységre alapoznak. Leggyakrabban felhasználóknak küldött válaszkérő vagy kártékony csatolmánnyal ellátott e-mailek, illetve social engineering.
- Betörés
- Behatolás a rendszerbe a felfedett sérülékenységek, kiskapuk kihasználásával.
- Jogosultság emelése
- A támadó megpróbál minél mélyebbre férkőzni a rendszerbe, minél több legálisnak látszó jogot (felhasználónevek, jelszavak) szerezni, minél több kihasználható sérülékenységet felderíteni a rendszerben a további betörések érdekében.
- Eközben igyekszik eltűntetni a betörés nyomait. Ha a rendszert teljes mértékben sikerül feltörni, vagyis a támadó korlátlan hozzáférésre tesz szert, végleg visszakövethetetlenné teheti saját tevékenységét. Léteztek vírusok és trójaiak, melyek a bejutás után kijavították a kihasznált gyengeségeket a rendszerben, hogy más ne férkőzhessen be ugyanazzal az eszközzel.
- További rendszerek feltörése és a haszon kiélvezése
Reakció egy eseményre
Négy esetet különböztethetünk meg az alapján, hogy egy behatolásvédelemért felelős rendszer (IDS) miként reagál egy potenciálisan veszélyes eseményre.
- Positive (van riasztás)
- True positive
- Valós támadás, melyet az IDS (helyesen) jelez.
- False positive
- Olyan esemény, mely riasztást vált ki, de valójában nem történik támadás (hamis riasztás).
- Negative (nincs riasztás)
- False negative
- Van támadás, de az IDS ezt nem érzékeli, nem riaszt.
- True negative
- Nincs támadás, és az IDS (helyesen) nem is riaszt.
A négy esetből nyilvánvalóan a true positive és true negative esetén beszélhetünk helyes működésről, vagyis a cél a másik kettő minimalizálása. A két téves eset közül úgy tűnhet, hogy csak a false negative, vagyis az észrevétlen támadás jelent veszélyt, hiszen ennek elkerülése az IDS célja. Hosszútávon viszont a nagy mennyiségű téves riasztás (false positive) a felhalmozódó jelentések nehéz kezelhetősége miatt okozhatja a valós védelem csökkenését.
IDS
Az IDS (intrusion detection system, illetéktelen behatolást jelző rendszer) olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről. A felderítésben (detektálásban) segíti az üzemeltetők és az informatikai biztonsági személyzet munkáját.
Jellemzően két részből áll, van egy monitorozó alkalmazás és egy központi rendszer, amely az érkező riasztásokat és riportokat kezeli, naplózza, továbbítja. Ez jellemzően egy eszközben csoportosul, attól függetlenül, hogy az egyéb informatikai biztonságot érintő monitorozó rendszerek is képesek az IDS-ből kijövő adatokat kezelni.
Hasonló szerepet tölt be, mint a fizikai biztonsági rendszerekben a riasztók: jó esetben nem csak a világba üvölti a betörés tényét, hanem vagy egy szolgáltató céghez, vagy a rendőrséghez bekötve a megfelelő eljárást indítja el egy-egy esemény kapcsán.
Mint általában minden biztonsági kérdésben, az IDS-ek esetében is fontos, hogy semmilyen eszköz vagy rendszer sem jelenthet teljes védettséget, csak a kockázatok csökkentése az elérhető cél.
Bevezetése, felépítése
IDS bevezetése több módon és célból lehetséges. Mindegyiknél megegyezik, hogy pontos tervezést igényel, mert az IDS-nek rengeteg adatot kell kezelnie valós időben. Az IDS bevezetésénél három fő komponensét, funkcionális elemét kell megtervezni:
- Milyen információt és honnan fog megkapni a rendszer?
- Szenzorok, vagy forgalomfigyelő (traffic collector) elemek
- Ezek figyelik és gyűjtik azokat az aktivitásokat, illetve eseményeket, amelyeket az IDS feldolgoz. Ehhez szükség van valamilyen forrásra, melyet az IDS monitorozni tud. Ilyen lehet:
- Az információ lehet valós idejű vagy batch jellegű. Természetesen minél közelebb kerülünk a valós idejű megjelenéshez és riasztásokhoz, annál hatékonyabb lehet a biztonsági rendszerünk.
- Milyen motort szeretnénk használni?
- Elemző (analizáló) motor
- Az IDS agya, mely képes a támadó tevékenységeket a valós adatoktól/forgalomtól megkülönböztetni. A forgalom és a kapott információk elemzése több módon lehetséges, ez a működés határozza meg az IDS-implementáció fő irányvonalát. Egy IDS az alkalmazott szűrési elv alapján lehet szabály vagy anomália alapú. Egy kártékony vagy gyanús elem felismerése után riasztást adhat és/vagy beavatkozhat a futó folyamatokba (IDPS).
- Ki kapja meg a riasztásokat, és mit fog tenni ezután?
- Felhasználói interfész és jelentéskészítő modul
- Riasztások esetére meg kell határozni azokat a személyeket, akik az adott rendszerért felelősek, illetve azt a kommunikációs formát, amelyen keresztül az adott személyek vagy csoportok értesülnek az eseményről. A legjellemzőbb módszer az e-mail, amely valamilyen szolgáltatón keresztül SMS-ben is érkezhet, vagy akár direkt SMS küldéssel is továbbítható (szükséges egy közvetlen kapcsolat a mobilszolgáltatókkal). Amennyiben az eszköz lehetővé teszi, javasolt eszkalációs sort is megadni, azaz meghatározni, hogy ha a riasztást nem kezelik az előre kiszabott időn belül, akkor kit kell értesíteni a közvetlen felelősökön túl.
- Fontos, hogy az IDS lényege a riasztás, így ha nincs kellő emberi háttér, akik lekezelnék a kapott riasztásokat (incident response team), azok hatástalanná és ezáltal haszontalanná, értelmetlenné válnak. A biztonsági rendszerek csak állandó felügyelet, folyamatos ellenőrzés és finomhangolás mellett működhetnek a célnak megfelelően. A biztonság állapotát hosszútávon fenn kell tartani.
- Az utólagos vizsgálatok, fejlesztések érdekében a naplózásról sem szabad megfeledkezni.
Ezekhez a megvalósított IDS-ben még társulhat egy szignatúra (lenyomat) adatbázis, mely a már ismert, gyanús vagy kártékony aktivitások mintagyűjteménye. Mivel a legtöbb IDS egy-egy konkrét környezet igényeire van hangolva, ezért bizonyos minták, minta csoportok a gyakorlatban kikapcsolhatók. Például egy tisztán UNIX alapon működő környezetben feleslegesek lehetnek a Windows alapú riasztások. Különböző hálózati eseményekhez azok veszélyességét figyelembe véve különböző riasztási szintek kapcsolhatók. A legtöbb IDS-ben arra is van lehetőség, hogy a rendszer különböző gépeihez különböző mintákat illesszünk. Azaz ha ugyanannak a tevékenységnek a végzését az egyik gépnek megengedjük, más gépek esetében tilthatjuk.
Típusai
Hogyan ellenőriz?
Szabály alapú IDS
Anomália alapú IDS
Hol ellenőriz?
NIDS
HIDS
WIDS
Titkosított forgalom
IDPS
Az IDPS (intrusion detection and prevention system) az IDS-hez képest annyival tud többet, hogy támadás esetén be is avatkozik a kommunikációba, például lezárja a stream-et, kilövi a végpont csatlakozását (lekapcsolja a switch portot). Ezt jellemzően akkor tudja megtenni, ha
- in-line csatlakozik a hálózathoz,
- valamilyen agent segítségével képes a forgalom ACL-ben beavatkozást kikényszeríteni.
Honeypot
Másnéven Honeynet. Egy olyan, szándékosan gyenge védelemmel ellátott rendszer, melynek célja, hogy magához vonzza a támadásokat. Jellemzően hibás szoftverek, alapértelmezett hozzáférések és gyenge jelszavak vannak a Honeypot kiszolgálókon, amelyek megkönnyítik a támadók betörését. A cél az, hogy naplózással, IDS segítségével minél több információt szerezzünk a támadásokról, illetve a támadók viselkedéséről. A szerzett információkat később feldolgozva pl. IDS szabályokat tudunk építeni más rendszereink hatékonyabb védelme érdekében. Kiváló módszer 0-day exploitok gyűjtésére.
A Honeypot sebezhetősége miatt fontos, hogy mindig izolált környezetben legyen megvalósítva, másként a támadó a többi rendszert, a hálózat többi résztvevőjét támadhatja meg a Honeypot feltörése után.
