Detekce průniku

Vypracování a dodržování bezpečnostní politiky je poměrně náročný úkol, což je dáno komplexností zpracovávaných zdrojů a především neustálou změnou jejich vlastností a parametrů. Nástroje pro vyhodnocování mají preventivní charakter - umožňují analyzovat rizika a přijímat opatření dříve, než dojde k napadení systému.

Systémy pro detekci průniku slouží ke zjišťování průniku do systémů a počítačových sítí a případnému zásahu proti útočníkům. Jejich význam je často zaměňován s významem firewallů, jejichž úkolem je naopak neoprávněnému průniku zabránit. Rozdíl je vidět i v architektuře obou systémů - zatímco firewall je typicky vstupním bodem do systému, IDS bývá rozmístěn po celé síti a jeho architektura je poněkud složitější.

Vedoucím výrobcem, který integruje obě tyto části detekce do jediného řešení pod názvem RealSecure, je firma Internet Security Systéme (ISS). Využívá tzv. senzorů na úrovni síťové komunikace, operačního systému a serveru k detekci neobvyklé aktivity, na kterou pak reaguje upozorněním správce (mailem, SMS), logováním uvedené aktivity a případně i jejím automatickým blokováním.

 

Druhy senzorů

Internet scanner je automatizovaný prostředek pro vyhodnocování zranitelnosti a dodržování bezpečnostní politiky počítačových sítí (network-based vulnerability assessment). Zkoumá nastavení síťových služeb, firewallů, web serverů, file serverů, poštovních serverů, směrovačů, RAS serverů, operačních systémů i dalších zařízení a vyhodnocuje slabiny, které mohou být využity pro získání neautorizovaného přístupu. Výsledkem jeho činnosti jsou jednak analýzy a různé typy reportů (technické, manažerské, určení trendů, přehledný inventář síťových komponent) a jednak konkrétní návrh opatření na eliminaci zjištěných slabin.
System scanner slouží k vyhodnocování zranitelnosti a dodržování bezpečnostní politiky na koncových systémech (host-based vulnerability assessment). Pomáhá specialistům IT identifikovat slabiny OS, dodává detailní doporučení jak případné slabiny odstranit, automaticky spravuje a implementuje firemní bezpečnostní politiku.
Database scanner vyhodnocuje zranitelnost a dodržování bezpečnostní politiky databázových systémů. Provádí detailní bezpečnostní analýzu z hlediska autorizace, autentizace a integrity dat, zřizuje bezpečnostní politiku, sleduje potenciální slabiny systémů: slabá hesla, uložené procedury, trojské koně, správu účtů, chybné konfigurace.
ISS manager
Software pro správu detekce průniku může být nahrazen moduly do systémů CA-Unicentr TNG, HP OpenView a Tivoli.
Základní funkce
  • správa událostí
  • konsolidace dat
  • centrální konfigurace senzorů
Příčiny vzniku zranitelných míst Nástroje k hodnocení zranitelnosti
  • Lidské chyby (missconfiguration)
  • Softwarové chyby
  • Povolené nepoužívané služby
  • Zastaralé standardy
  • Choulostivostna (D)DoS a jiné útoky
  • Vyhledání potencionálních slabin
  • Dokumentace a setřídění dle důležitosti
  • Porovnání s aktuální bezpečnostní politikou
  • Návrh odstranění zranitelnosti
  • Vlastní realizace změn
Nejčastější typy útoků Doporučení
  • Odmítnutí služby (DoS, DDoS)
  • Kompromitace dat (čtení, vytvoření, modifikace, smazání)
  • Dezinformace
  • Získání informací (bind, ftp, OS
  • Přístup ke speciálním souborům, databázím a OS
  • Získání privilegií (povýšení)
  • Pravidelné skenování na připravenost a odolnost systémů
  • Využití kombinace síťových a systémových detektorů průniku
  • Centrální správa a automatizace všech prvků IDS
  • Promítněte maximum své bezpečnostní politiky do nastavení
  • Pravidelný a bezproblémový update znalostní báze
  • Integrace s ostatními bezpečnostními produkty
  • Nastavte "nahrávání" průběhu útoku a dalších informací pro pozdější právní kroky