Behatolásvédelem

A IT Biztonság kurzus wikiből
A lap korábbi változatát látod, amilyen KGF (vitalap | szerkesztései) 2014. január 6., 17:16-kor történt szerkesztése után volt.

Az informatikai biztonság területén behatolásvédelemről beszélünk, mikor a rendszer olyan gyanús viselkedéseit igyekszünk megfigyelni és kiszűrni, melyek veszélyt jelenthetnek a tárolt adatok és a rendszer elemeinek bizalmasságára, sértetlenségére, rendelkezésre állására nézve. A cél tehát minden olyan folyamat észlelése, mely a rendszer biztonságos állapotát sértheti.

Eszköze lehet IDS (intrusion detection system) vagy IDPS (intrusion detection and prevention system).

Tartalomjegyzék

Betörés

A behatolásvédelem feladata a betörések megakadályozása. A betörés egy olyan tevékenység, amely során egy adott személy vagy program (bot, script) nem engedélyezett hozzáférést szerez a védett rendszerhez és adatokhoz.

Mivel az informatikai biztonságban valamilyen vagyonelem (asset) védelmét kell biztosítani, ezért betörés esetén a rendszerhez való hozzáférésnél lényegesebb lehet, hogy milyen adatokat ért el a támadó. Hasonlóan betörésnek tekinthetők a szolgáltatás lassítására vagy megszakítására irányuló túlterheléses támadások is (DoS, DDoS).

Támadások menete

  1. Külső felderítés
    Elsősorban olyan információk gyűjtése (pl. IP tartomány, a host milyen domainhez tartozik, ki a tartománynév tulajdonosa), melyek külső rendszerekből kinyerhetők, ezáltal észrevétlenül begyűjthetők. Bizonyos mélyebb vizsgálatok (pl. a domain, a lehetséges hostok feltérképezése) vagy aktív felderítések (pl. port scan) már érinthetik a célba vett rendszert.
  2. Belső felderítés
    Belső információk gyűjtése a hálózatról, rendszerről, melyek közös jellemzőként az emberi hiszékenységre alapoznak. Leggyakrabban felhasználóknak küldött válaszkérő vagy kártékony csatolmánnyal ellátott e-mailek, illetve social engineering.
  3. Betörés
    Behatolás a rendszerbe a felfedett sérülékenységek, kiskapuk kihasználásával.
  4. Jogosultság emelése
    A támadó megpróbál minél mélyebbre férkőzni a rendszerbe, minél több legálisnak látszó jogot (felhasználónevek, jelszavak) szerezni, minél több kihasználható sérülékenységet felderíteni a rendszerben a további betörések érdekében.
    Eközben igyekszik eltűntetni a betörés nyomait. Ha a rendszert teljes mértékben sikerül feltörni, vagyis a támadó korlátlan hozzáférésre tesz szert, végleg visszakövethetetlenné teheti saját tevékenységét. Léteztek vírusok és trójaiak, melyek a bejutás után kijavították a kihasznált gyengeségeket a rendszerben, hogy más ne férkőzhessen be ugyanazzal az eszközzel.
  5. További rendszerek feltörése és a haszon kiélvezése

Reakció egy eseményre

Négy esetet különböztethetünk meg az alapján, hogy egy behatolásvédelemért felelős rendszer (IDS) miként reagál egy potenciálisan veszélyes eseményre.

  • Positive (van riasztás)
    True positive
    Valós támadás, melyet az IDS (helyesen) jelez.
    False positive
    Olyan esemény, mely riasztást vált ki, de valójában nem történik támadás (hamis riasztás).
  • Negative (nincs riasztás)
    False negative
    Van támadás, de az IDS ezt nem érzékeli, nem riaszt.
    True negative
    Nincs támadás, és az IDS (helyesen) nem is riaszt.

A négy esetből nyilvánvalóan a true positive és true negative esetén beszélhetünk helyes működésről, vagyis a cél a másik kettő minimalizálása. A két téves eset közül úgy tűnhet, hogy csak a false negative, vagyis az észrevétlen támadás jelent veszélyt, hiszen ennek elkerülése az IDS célja. Hosszútávon viszont a nagy mennyiségű téves riasztás (false positive) a felhalmozódó jelentések nehéz kezelhetősége miatt okozhatja a valós védelem csökkenését.

IDS

Az IDS (intrusion detection system) olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről.

IDPS

Az IDPS (intrusion detection and prevention system) az IDS-hez képest annyival tud többet, hogy támadás esetén be is avatkozik a kommunikációba, például lezárja a stream-et, kilövi a végpont csatlakozását (lekapcsolja a switch portot). Ezt jellemzően akkor tudja megtenni, ha

  • in-line csatlakozik a hálózathoz,
  • valamilyen agent segítségével képes a forgalom ACL-ben beavatkozást kikényszeríteni.

Honeypot

Másnéven Honeynet. Egy olyan, szándékosan gyenge védelemmel ellátott rendszer, melynek célja, hogy magához vonzza a támadásokat. Jellemzően hibás szoftverek, alapértelmezett hozzáférések és gyenge jelszavak vannak a Honeypot kiszolgálókon, amelyek megkönnyítik a támadók betörését. A cél az, hogy naplózással, IDS segítségével minél több információt szerezzünk a támadásokról, illetve a támadók viselkedéséről. A szerzett információkat később feldolgozva pl. IDS szabályokat tudunk építeni más rendszereink hatékonyabb védelme érdekében. Kiváló módszer 0-day exploitok gyűjtésére.

A Honeypot sebezhetősége miatt fontos, hogy mindig izolált környezetben legyen megvalósítva, másként a támadó a többi rendszert, a hálózat többi résztvevőjét támadhatja meg a Honeypot feltörése után.

A lap eredeti címe: „http://ethical.inf.elte.hu/w/index.php5?title=Behatolásvédelem&oldid=118