„Behatolásvédelem” változatai közötti eltérés
KGF (vitalap | szerkesztései) |
KGF (vitalap | szerkesztései) |
||
| 1. sor: | 1. sor: | ||
| − | Az informatikai biztonság területén '''behatolásvédelem'''ről beszélünk, mikor a rendszer olyan gyanús viselkedéseit igyekszünk megfigyelni és kiszűrni, melyek veszélyt jelenthetnek a tárolt adatok és a rendszer elemeinek bizalmasságára, sértetlenségére, rendelkezésre állására nézve. A cél tehát minden olyan folyamat észlelése, mely a rendszer biztonságos állapotát sértheti. | + | Az [[informatikai biztonság]] területén '''behatolásvédelem'''ről beszélünk, mikor a rendszer olyan gyanús viselkedéseit igyekszünk megfigyelni és kiszűrni, melyek veszélyt jelenthetnek a tárolt adatok és a rendszer elemeinek bizalmasságára, sértetlenségére, rendelkezésre állására nézve. A cél tehát minden olyan folyamat észlelése, mely a rendszer biztonságos állapotát sértheti. |
Eszköze lehet '''IDS''' (''intrusion detection system'') vagy '''IDPS''' (''intrusion detection and prevention system''). | Eszköze lehet '''IDS''' (''intrusion detection system'') vagy '''IDPS''' (''intrusion detection and prevention system''). | ||
| 35. sor: | 35. sor: | ||
== IDS == | == IDS == | ||
| − | Az IDS olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről. | + | Az '''IDS''' (''intrusion detection system'') olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről. |
| + | |||
| + | == IDPS == | ||
| + | |||
| + | Az '''IDPS''' (''intrusion detection and prevention system'') az IDS-hez képest annyival tud többet, hogy támadás esetén be is avatkozik | ||
| + | a kommunikációba, például lezárja a stream-et, kilövi a végpont csatlakozását (lekapcsolja a switch portot). Ezt jellemzően akkor tudja megtenni, ha | ||
| + | |||
| + | * in-line csatlakozik a hálózathoz, | ||
| + | * valamilyen agent segítségével képes a forgalom ACL-ben beavatkozást kikényszeríteni. | ||
| + | |||
| + | == Honeypot == | ||
| + | Másnéven ''Honeynet''. Egy olyan, szándékosan '''gyenge védelemmel''' ellátott rendszer, melynek célja, hogy magához vonzza a támadásokat. Jellemzően hibás szoftverek, alapértelmezett hozzáférések és gyenge jelszavak vannak a Honeypot kiszolgálókon, amelyek megkönnyítik a támadók betörését. A cél az, hogy naplózással, IDS segítségével minél több információt szerezzünk a támadásokról, illetve a támadók viselkedéséről. A szerzett információkat később feldolgozva pl. IDS szabályokat tudunk építeni más rendszereink hatékonyabb védelme érdekében. Kiváló módszer [[Vírusvédelem#0-day exploit|0-day exploitok]] gyűjtésére. | ||
| + | |||
| + | A Honeypot sebezhetősége miatt fontos, hogy mindig '''izolált''' környezetben legyen megvalósítva, másként a támadó a többi rendszert, a hálózat többi résztvevőjét támadhatja meg a Honeypot feltörése után. | ||
| + | |||
| + | [[Kategória: Informatikai biztonság]] | ||
A lap 2014. január 6., 17:16-kori változata
Az informatikai biztonság területén behatolásvédelemről beszélünk, mikor a rendszer olyan gyanús viselkedéseit igyekszünk megfigyelni és kiszűrni, melyek veszélyt jelenthetnek a tárolt adatok és a rendszer elemeinek bizalmasságára, sértetlenségére, rendelkezésre állására nézve. A cél tehát minden olyan folyamat észlelése, mely a rendszer biztonságos állapotát sértheti.
Eszköze lehet IDS (intrusion detection system) vagy IDPS (intrusion detection and prevention system).
Tartalomjegyzék |
Betörés
A behatolásvédelem feladata a betörések megakadályozása. A betörés egy olyan tevékenység, amely során egy adott személy vagy program (bot, script) nem engedélyezett hozzáférést szerez a védett rendszerhez és adatokhoz.
Mivel az informatikai biztonságban valamilyen vagyonelem (asset) védelmét kell biztosítani, ezért betörés esetén a rendszerhez való hozzáférésnél lényegesebb lehet, hogy milyen adatokat ért el a támadó. Hasonlóan betörésnek tekinthetők a szolgáltatás lassítására vagy megszakítására irányuló túlterheléses támadások is (DoS, DDoS).
Támadások menete
- Külső felderítés
- Elsősorban olyan információk gyűjtése (pl. IP tartomány, a host milyen domainhez tartozik, ki a tartománynév tulajdonosa), melyek külső rendszerekből kinyerhetők, ezáltal észrevétlenül begyűjthetők. Bizonyos mélyebb vizsgálatok (pl. a domain, a lehetséges hostok feltérképezése) vagy aktív felderítések (pl. port scan) már érinthetik a célba vett rendszert.
- Belső felderítés
- Belső információk gyűjtése a hálózatról, rendszerről, melyek közös jellemzőként az emberi hiszékenységre alapoznak. Leggyakrabban felhasználóknak küldött válaszkérő vagy kártékony csatolmánnyal ellátott e-mailek, illetve social engineering.
- Betörés
- Behatolás a rendszerbe a felfedett sérülékenységek, kiskapuk kihasználásával.
- Jogosultság emelése
- A támadó megpróbál minél mélyebbre férkőzni a rendszerbe, minél több legálisnak látszó jogot (felhasználónevek, jelszavak) szerezni, minél több kihasználható sérülékenységet felderíteni a rendszerben a további betörések érdekében.
- Eközben igyekszik eltűntetni a betörés nyomait. Ha a rendszert teljes mértékben sikerül feltörni, vagyis a támadó korlátlan hozzáférésre tesz szert, végleg visszakövethetetlenné teheti saját tevékenységét. Léteztek vírusok és trójaiak, melyek a bejutás után kijavították a kihasznált gyengeségeket a rendszerben, hogy más ne férkőzhessen be ugyanazzal az eszközzel.
- További rendszerek feltörése és a haszon kiélvezése
Reakció egy eseményre
Négy esetet különböztethetünk meg az alapján, hogy egy behatolásvédelemért felelős rendszer (IDS) miként reagál egy potenciálisan veszélyes eseményre.
- Positive (van riasztás)
- True positive
- Valós támadás, melyet az IDS (helyesen) jelez.
- False positive
- Olyan esemény, mely riasztást vált ki, de valójában nem történik támadás (hamis riasztás).
- Negative (nincs riasztás)
- False negative
- Van támadás, de az IDS ezt nem érzékeli, nem riaszt.
- True negative
- Nincs támadás, és az IDS (helyesen) nem is riaszt.
A négy esetből nyilvánvalóan a true positive és true negative esetén beszélhetünk helyes működésről, vagyis a cél a másik kettő minimalizálása. A két téves eset közül úgy tűnhet, hogy csak a false negative, vagyis az észrevétlen támadás jelent veszélyt, hiszen ennek elkerülése az IDS célja. Hosszútávon viszont a nagy mennyiségű téves riasztás (false positive) a felhalmozódó jelentések nehéz kezelhetősége miatt okozhatja a valós védelem csökkenését.
IDS
Az IDS (intrusion detection system) olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről.
IDPS
Az IDPS (intrusion detection and prevention system) az IDS-hez képest annyival tud többet, hogy támadás esetén be is avatkozik a kommunikációba, például lezárja a stream-et, kilövi a végpont csatlakozását (lekapcsolja a switch portot). Ezt jellemzően akkor tudja megtenni, ha
- in-line csatlakozik a hálózathoz,
- valamilyen agent segítségével képes a forgalom ACL-ben beavatkozást kikényszeríteni.
Honeypot
Másnéven Honeynet. Egy olyan, szándékosan gyenge védelemmel ellátott rendszer, melynek célja, hogy magához vonzza a támadásokat. Jellemzően hibás szoftverek, alapértelmezett hozzáférések és gyenge jelszavak vannak a Honeypot kiszolgálókon, amelyek megkönnyítik a támadók betörését. A cél az, hogy naplózással, IDS segítségével minél több információt szerezzünk a támadásokról, illetve a támadók viselkedéséről. A szerzett információkat később feldolgozva pl. IDS szabályokat tudunk építeni más rendszereink hatékonyabb védelme érdekében. Kiváló módszer 0-day exploitok gyűjtésére.
A Honeypot sebezhetősége miatt fontos, hogy mindig izolált környezetben legyen megvalósítva, másként a támadó a többi rendszert, a hálózat többi résztvevőjét támadhatja meg a Honeypot feltörése után.
