Mi az a behatolás-érzékelő rendszer (IDS)?
A modern behatolás-érzékelő rendszerek hatékonyan kiegészítik a hagyományos tűzfalakat. Folyamatosan elemzik és figyelik a rendszereket és a teljes hálózatokat valós időben, azonosítják a potenciális fenyegetéseket, és azonnal értesítik az adminisztrátorokat. A támadások elleni tényleges védelmet ezután kiegészítő szoftverek végzik.
Mi áll az IDS (behatolás-érzékelő rendszer) mögött?
Bár a modern számítógépes és hálózati biztonsági rendszerek fejlettek, a kibertámadások is egyre kifinomultabbak. Az érzékeny infrastruktúra hatékony védelme érdekében érdemes több biztonsági intézkedést is alkalmazni. Ebben az összefüggésben a behatolás-érzékelő rendszer (IDS) kiváló kiegészítője a tűzfalnak. Az IDS kiválóan alkalmas a támadások és a potenciális fenyegetések korai felismerésére, és azonnal riasztja a rendszergazdákat, akik ezután gyors védekező intézkedéseket hozhatnak. Fontos, hogy a behatolás-érzékelő rendszer azoknak a támadásoknak is képes azonosítani, amelyek áttörték a tűzfal védelmét.
Az IDS, ellentétben például a behatolás-megelőző rendszerrel, nem védi magát a támadásoktól. Ehelyett a behatolás-érzékelő rendszer elemzi a hálózaton zajló összes tevékenységet, és összehasonlítja azokat meghatározott mintákkal. Ha szokatlan tevékenységet észlel, a rendszer figyelmezteti a felhasználót, és részletes információkat nyújt a támadás eredetéről és jellegéről.
A behatolás-érzékelő és a behatolás-megelőző rendszerek közötti különbségekről további információkat a témáról szóló külön cikkünkben talál.
Milyen típusú behatolás-érzékelő rendszerek léteznek?
A behatolás-érzékelő rendszerek három típusba sorolhatók: gazdagép-alapú (HIDS), hálózat-alapú (NIDS) vagy hibrid rendszerek, amelyek a HIDS és a NIDS elveit ötvözik.
HIDS: Gazdagép-alapú behatolás-érzékelő rendszerek
A gazdagép-alapú behatolás-érzékelő rendszer a legrégebbi típusú biztonsági rendszer. Itt az IDS közvetlenül a megfelelő rendszerre van telepítve. Elemezi az adatokat mind a napló, mind a rendszermag szintjén, és más rendszerfájlokat is vizsgál. Az önálló munkaállomások használatának lehetővé tétele érdekében a gazdagép-alapú behatolás-érzékelő rendszer monitoring ügynökökre támaszkodik, amelyek előszűrik a forgalmat, és az eredményeket egy központi szerverre küldik. Bár rendkívül pontos és átfogó, sebezhető lehet olyan támadásokkal szemben, mint a DoS és a DDoS. Ezenkívül függ a konkrét operációs rendszertől.
NIDS: Hálózati alapú behatolás-érzékelő rendszerek
A hálózati alapú behatolás-érzékelő rendszer megvizsgálja a hálózaton belül kicserélt adatcsomagokat, és azonnal azonosítja a szokatlan vagy rendellenes mintákat, hogy azokat jelentse. A nagy mennyiségű adat kezelése azonban kihívást jelenthet, mivel túlterhelheti a behatolás-érzékelő rendszert és akadályozhatja a zökkenőmentes figyelést.
Hibrid behatolás-érzékelő rendszerek
Manapság sok gyártó olyan hibrid behatolás-érzékelő rendszereket választ, amelyek mindkét megközelítést integrálják. Ezek a rendszerek gazdagép-alapú érzékelőkből, hálózat-alapú érzékelőkből és egy központi felügyeleti rétegből állnak, ahol az eredmények összefutnak a mélyreható elemzés és ellenőrzés céljából.
Az IDS célja és előnyei
A behatolás-érzékelő rendszert soha nem szabad tűzfal helyettesítőjeként tekinteni vagy használni. Ez inkább egy elsőrangú kiegészítő, amely a tűzfallal együtt hatékonyabban azonosítja a fenyegetéseket. Mivel a behatolás-érzékelő rendszer az OSI-modell legfelső rétegét is képes elemezni, új és korábban ismeretlen veszélyforrásokat is képes feltárni, még akkor is, ha a tűzfal védelmét áttörték.
Hogyan működik egy behatolás-érzékelő rendszer?
A hibrid modell a legelterjedtebb típusú behatolás-érzékelő rendszer, amely mind a gazdagép-, mind a hálózatalapú megközelítést alkalmazza. Az összegyűjtött információkat a központi irányítási rendszer értékeli, három különálló komponens felhasználásával.
Adatfigyelő
Az adatmonitor érzékelők segítségével gyűjti össze az összes releváns adatot, majd azok relevanciája alapján szűri azokat. Ez magában foglalja a gazdagép oldaláról származó adatokat, beleértve a naplófájlokat és a rendszer adatait, valamint a hálózaton keresztül továbbított adatcsomagokat. Az IDS többek között összegyűjti és rendszerezi a forrás- és célcímeket, valamint egyéb kritikus attribútumokat. Alapvető követelmény, hogy az összegyűjtött adatok megbízható forrásból vagy közvetlenül a behatolás-érzékelő rendszerből származnak, hogy biztosítva legyen az adatok integritása és megakadályozható legyen azok előzetes manipulálása.
Elemző
A behatolás-érzékelő rendszer második komponense az elemző, amelynek feladata a beérkezett és előszűrt adatok különböző minták alapján történő értékelése. Ez az értékelés valós időben történik, ami különösen nagy terhelést jelenthet a CPU-ra és a fő memóriára. A gyors és pontos elemzéshez megfelelő kapacitásokra van szükség. Az elemző ehhez két különböző módszert alkalmaz:
- Visszaélések észlelése: A visszaélések észlelése során az elemző a beérkező adatokat egy speciális, rendszeresen frissített adatbázisban tárolt, felismert támadási minták alapján vizsgálja. Ha egy támadás egy korábban rögzített mintával egyezik, akkor azt már korai szakaszban fel lehet ismerni. Ez a módszer azonban nem hatékony olyan támadások észlelésére, amelyek még nem ismertek a rendszer számára.
- Anomália észlelés: Az anomália észlelés a teljes rendszer értékelését jelenti. Ha egy vagy több folyamat eltér a megállapított normáktól, az ilyen anomáliákat jelzi. Például, ha a CPU terhelése meghaladja a megadott küszöbértéket, vagy ha szokatlanul megnő a oldalhozzáférések száma, riasztás indul. A behatolás-érzékelő rendszer a különböző események időbeli sorrendjét is elemezheti az ismeretlen támadási minták azonosítása érdekében. Fontos azonban megjegyezni, hogy egyes esetekben ártalmatlan anomáliák is jelentkezhetnek.
Riasztás
A behatolás-érzékelő rendszer harmadik és utolsó eleme a tényleges riasztás. Ha támadást vagy legalábbis rendellenességeket észlel, a rendszer értesíti az adminisztrátort. Ez az értesítés e-mailben, helyi riasztással vagy okostelefonon vagy táblagépen megjelenő üzenet formájában történhet.
Melyek a behatolás-érzékelő rendszer hátrányai?
Bár a behatolásérzékelő rendszerek javítják a biztonságot, vannak hátrányaik is, ahogy azt korábban már említettük. A gazdagép-alapú IDS-ek sebezhetőek lehetnek a DDoS-támadásokkal szemben, a hálózat-alapú rendszerek pedig nagyobb hálózati konfigurációkban nehezen működnek, és előfordulhat, hogy adatcsomagokat veszítenek el. Az anomáliaérzékelés a konfigurációtól függően téves riasztásokat is kiválthat. Ráadásul az összes IDS kizárólag a fenyegetések észlelésére szolgál, így a hatékony támadások elleni védelemhez további szoftverekre van szükség.
Behatolás-érzékelő rendszer és a Snort példája
Az egyik legismertebb és legnépszerűbb behatolás-érzékelő rendszer a Snort. A Martin Roesch által 1998-ban kifejlesztett biztonsági eszköz nem csak platformfüggetlen és nyílt forráskódú, hanem behatolás-megelőző rendszerként kiterjedt megelőző intézkedéseket is biztosít a felhasználók számára. A program ingyenesen és fizetős változatban is elérhető, amelynek esetében például gyorsabban biztosítják a frissítéseket.