Βασικό σύστημα ανίχνευσης εισβολής

Βασικό σύστημα ανίχνευσης εισβολής

Κοιτάξτε αυτό το απόσπασμα του Ναύαρχου Grace Hopper



«Η ζωή ήταν απλούστερη πριν από τον Δεύτερο Παγκόσμιο Πόλεμο. Μετά από αυτό είχαμε συστήματα »

Λοιπόν, τι σημαίνει αυτό; Με την εφεύρεση συστημάτων (συστήματα υπολογιστών) ήρθε η αύξηση για διάφορες ανάγκες δικτύωσης, και με τη δικτύωση ήρθε η ιδέα της ανταλλαγής δεδομένων. Σήμερα σε αυτήν την εποχή της παγκοσμιοποίησης, με την ανάπτυξη της τεχνολογίας των πληροφοριών, καθώς και την ευκολία πρόσβασης και την ανάπτυξη εργαλείων ηλεκτρονικής εισβολής, έρχεται η ανάγκη για ασφάλεια σημαντικών δεδομένων. Τα τείχη προστασίας ενδέχεται να το παρέχουν, αλλά δεν ειδοποιούν ποτέ τον διαχειριστή για τυχόν επιθέσεις. Εκεί έρχεται η ανάγκη για ένα διαφορετικό σύστημα - ένα είδος συστήματος ανίχνευσης.






Ένα Σύστημα Ανίχνευσης Εισβολής είναι η απαιτούμενη λύση στο παραπάνω πρόβλημα. Είναι παρόμοιο με ένα σύστημα συναγερμού διαρρήκτη στο σπίτι σας ή σε οποιονδήποτε οργανισμό που ανιχνεύει την παρουσία ανεπιθύμητης παρέμβασης και ειδοποιεί τον διαχειριστή του συστήματος.

Είναι ένας τύπος λογισμικού που έχει σχεδιαστεί για να προειδοποιεί αυτόματα τους διαχειριστές όταν κάποιος προσπαθεί να παραβιάσει το σύστημα χρησιμοποιώντας κακόβουλες δραστηριότητες.



Τώρα πριν μάθετε για ένα Σύστημα ανίχνευσης εισβολής , ας έχουμε μια σύντομη ανάκληση για τα τείχη προστασίας.

Τα τείχη προστασίας είναι προγράμματα λογισμικού ή συσκευές υλικού που μπορούν να χρησιμοποιηθούν για την αποτροπή κακόβουλης επίθεσης στο σύστημα ή στο δίκτυο. Βασικά λειτουργούν ως φίλτρα που αποκλείουν κάθε είδους πληροφορία που μπορεί να προκαλέσει απειλή για το σύστημα ή το δίκτυο. Μπορούν είτε να παρακολουθούν λίγα περιεχόμενα του εισερχόμενου πακέτου είτε να παρακολουθούν ολόκληρο το πακέτο.


Ταξινόμηση του συστήματος ανίχνευσης εισβολής:

Με βάση τον τύπο των συστημάτων, το IDS προστατεύει:

  • Σύστημα ανίχνευσης εισβολής δικτύου : Αυτό το σύστημα παρακολουθεί την κίνηση σε μεμονωμένα δίκτυα ή υποδίκτυα αναλύοντας συνεχώς την κίνηση και συγκρίνοντάς την με τις γνωστές επιθέσεις στη βιβλιοθήκη. Εάν εντοπιστεί μια επίθεση, αποστέλλεται μια ειδοποίηση στον διαχειριστή του συστήματος. Τοποθετείται κυρίως σε σημαντικά σημεία του δικτύου, έτσι ώστε να μπορεί να παρακολουθεί την κίνηση που ταξιδεύει από και προς τις διάφορες συσκευές του δικτύου. Το IDS τοποθετείται κατά μήκος του ορίου δικτύου ή μεταξύ του δικτύου και του διακομιστή. Ένα πλεονέκτημα αυτού του συστήματος είναι ότι μπορεί να αναπτυχθεί εύκολα και με χαμηλό κόστος, χωρίς να χρειάζεται να φορτωθεί για κάθε σύστημα.
Σύστημα ανίχνευσης εισβολής δικτύου

Σύστημα ανίχνευσης εισβολής δικτύου

  • Σύστημα ανίχνευσης εισβολής κεντρικού υπολογιστή : Ένα τέτοιο σύστημα λειτουργεί σε μεμονωμένα συστήματα όπου η σύνδεση δικτύου με το σύστημα, δηλαδή τα εισερχόμενα και εξερχόμενα πακέτα παρακολουθούνται συνεχώς και επίσης γίνεται ο έλεγχος των αρχείων συστήματος και σε περίπτωση ασυμφωνίας, ο διαχειριστής του συστήματος ειδοποιείται για το ίδιο. Αυτό το σύστημα παρακολουθεί το λειτουργικό σύστημα του υπολογιστή. Το IDS είναι εγκατεστημένο στον υπολογιστή. Το πλεονέκτημα αυτού του συστήματος είναι ότι μπορεί να παρακολουθεί με ακρίβεια ολόκληρο το σύστημα και δεν απαιτεί εγκατάσταση άλλου υλικού.
Σύστημα ανίχνευσης εισβολής κεντρικού υπολογιστή

Σύστημα ανίχνευσης εισβολής κεντρικού υπολογιστή

Με βάση τη μέθοδο εργασίας:

  • Σύστημα εντοπισμού εισβολής βάσει υπογραφής : Αυτό το σύστημα λειτουργεί με βάση την αρχή της αντιστοίχισης. Τα δεδομένα αναλύονται και συγκρίνονται με την υπογραφή γνωστών επιθέσεων. Σε περίπτωση αντιστοίχισης, εκδίδεται ειδοποίηση. Ένα πλεονέκτημα αυτού του συστήματος είναι ότι έχει μεγαλύτερη ακρίβεια και τυπικούς συναγερμούς που κατανοεί ο χρήστης.
Σύστημα εντοπισμού εισβολής βάσει υπογραφής

Σύστημα εντοπισμού εισβολής βάσει υπογραφής

  • Σύστημα ανίχνευσης εισβολής που βασίζεται σε ανωμαλίες : Αποτελείται από ένα στατιστικό μοντέλο της κανονικής κίνησης δικτύου που αποτελείται από το εύρος ζώνης που χρησιμοποιείται, τα πρωτόκολλα που ορίζονται για την κίνηση, τις θύρες και τις συσκευές που αποτελούν μέρος του δικτύου. Παρακολουθεί τακτικά την κίνηση του δικτύου και τη συγκρίνει με το στατιστικό μοντέλο. Σε περίπτωση οποιασδήποτε ανωμαλίας ή ασυμφωνίας, ο διαχειριστής ειδοποιείται. Ένα πλεονέκτημα αυτού του συστήματος είναι ότι μπορεί να ανιχνεύσει νέες και μοναδικές επιθέσεις.
Σύστημα ανίχνευσης εισβολής με βάση την ανωμαλία

Σύστημα ανίχνευσης εισβολής που βασίζεται σε ανωμαλίες

Με βάση τη λειτουργία τους:

  • Σύστημα παθητικής ανίχνευσης εισβολής : Απλώς ανιχνεύει το είδος της λειτουργίας κακόβουλου λογισμικού και εκδίδει ειδοποίηση στο διαχειριστή του συστήματος ή του δικτύου. (Αυτό που βλέπουμε μέχρι τώρα!). Η απαιτούμενη ενέργεια λαμβάνεται στη συνέχεια από τον διαχειριστή.
Σύστημα παθητικής ανίχνευσης εισβολής

Σύστημα παθητικής ανίχνευσης εισβολής

  • Αντιδραστικό σύστημα ανίχνευσης εισβολής : Δεν ανιχνεύει μόνο την απειλή, αλλά εκτελεί επίσης συγκεκριμένη ενέργεια επαναφέροντας την ύποπτη σύνδεση ή αποκλείει την κίνηση του δικτύου από την ύποπτη πηγή. Είναι επίσης γνωστό ως Σύστημα πρόληψης εισβολής.

Τυπικά χαρακτηριστικά ενός συστήματος ανίχνευσης εισβολής:

  • Παρακολουθεί και αναλύει τις δραστηριότητες του χρήστη και του συστήματος.
  • Εκτελεί έλεγχο των αρχείων συστήματος και άλλων διαμορφώσεων και του λειτουργικού συστήματος.
  • Αξιολογεί την ακεραιότητα των αρχείων συστήματος και δεδομένων
  • Διεξάγει μια ανάλυση των προτύπων που βασίζονται σε γνωστές επιθέσεις.
  • Ανιχνεύει σφάλματα στη διαμόρφωση του συστήματος.
  • Ανιχνεύει και προειδοποιεί εάν το σύστημα βρίσκεται σε κίνδυνο.

Δωρεάν λογισμικό ανίχνευσης εισβολής

Σύστημα ανίχνευσης εισβολής Snort

Ένα από τα πιο ευρέως χρησιμοποιούμενα προγράμματα ανίχνευσης εισβολής είναι το λογισμικό Snort. Είναι μια εισβολή δικτύου Λογισμικό ανίχνευσης αναπτύχθηκε από το αρχείο προέλευσης. Εκτελεί ανάλυση κίνησης σε πραγματικό χρόνο και ανάλυση πρωτοκόλλου, αντιστοίχιση προτύπων και ανίχνευση διαφόρων ειδών επιθέσεων.

Σύστημα ανίχνευσης εισβολής Snort

Σύστημα ανίχνευσης εισβολής Snort

Ένα σύστημα ανίχνευσης εισβολής βασισμένο σε Snort αποτελείται από τα ακόλουθα στοιχεία:

Συστατικά του Snort IDS από Σύστημα ανίχνευσης εισβολής με Snort

Συστατικά του Snort IDS από Σύστημα ανίχνευσης εισβολής με Snort

  • Ένας αποκωδικοποιητής πακέτων : Παίρνει πακέτα από διαφορετικά δίκτυα και τα προετοιμάζει για προεπεξεργασία ή οποιαδήποτε περαιτέρω ενέργεια. Βασικά αποκωδικοποιεί τα επόμενα πακέτα δικτύου.
  • Ένας προεπεξεργαστής : Προετοιμάζει και τροποποιεί τα πακέτα δεδομένων και εκτελεί επίσης ανασυγκρότηση πακέτων δεδομένων, αποκωδικοποιεί τις ροές TCP.
  • Μια μηχανή ανίχνευσης : Εκτελεί ανίχνευση πακέτων με βάση τους κανόνες Snort. Εάν κάποιο πακέτο ταιριάζει με τους κανόνες, λαμβάνεται η κατάλληλη ενέργεια, αλλιώς θα πέσει.
  • Σύστημα καταγραφής και ειδοποίησης : Το πακέτο που εντοπίστηκε είτε είναι συνδεδεμένο σε αρχεία συστήματος είτε σε περίπτωση απειλών, το σύστημα ειδοποιείται.
  • Ενότητες εξόδου : Ελέγχουν τον τύπο εξόδου από το σύστημα καταγραφής και ειδοποίησης.

Πλεονεκτήματα των συστημάτων ανίχνευσης εισβολής

  • Το δίκτυο ή ο υπολογιστής παρακολουθείται συνεχώς για οποιαδήποτε εισβολή ή επίθεση.
  • Το σύστημα μπορεί να τροποποιηθεί και να αλλάξει σύμφωνα με τις ανάγκες συγκεκριμένων πελατών και μπορεί να βοηθήσει εκτός και εσωτερικές απειλές για το σύστημα και το δίκτυο.
  • Αποτρέπει αποτελεσματικά οποιαδήποτε ζημιά στο δίκτυο.
  • Παρέχει φιλική προς το χρήστη διεπαφή που επιτρέπει εύκολη διαχείριση συστημάτων ασφαλείας.
  • Τυχόν αλλαγές σε αρχεία και καταλόγους στο σύστημα μπορούν εύκολα να εντοπιστούν και να αναφερθούν.

Ένα μόνο μειονέκτημα του συστήματος εντοπισμού εισβολής είναι ότι δεν μπορούν να ανιχνεύσουν την πηγή της επίθεσης και σε κάθε περίπτωση επίθεσης, κλειδώνουν απλώς ολόκληρο το δίκτυο. Αν υπάρχουν περισσότερες ερωτήσεις σχετικά με αυτήν την ιδέα ή για τα ηλεκτρικά και ηλεκτρονικά έργα αφήστε τα σχόλια παρακάτω.