IDS systeemid - Sissejuhatus: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Aelliku (talk | contribs)
Aelliku (talk | contribs)
No edit summary
 
(One intermediate revision by the same user not shown)
Line 14: Line 14:
Tüüpiliselt mõeldakse tavakasutuses IDS lahenduste all just NIDS tüüpi lahendusi. Populaarsemate näidetena võib välja tuua Snort, Suricata ja Bro. Kursuse raames käib teoreetiline ja praktiline materjal Suricata kohta ning lihtsuse mõttes on edaspidi väljendi IDS all mõeldud just Suricatat ehk NIDS tüüpi lahendust.
Tüüpiliselt mõeldakse tavakasutuses IDS lahenduste all just NIDS tüüpi lahendusi. Populaarsemate näidetena võib välja tuua Snort, Suricata ja Bro. Kursuse raames käib teoreetiline ja praktiline materjal Suricata kohta ning lihtsuse mõttes on edaspidi väljendi IDS all mõeldud just Suricatat ehk NIDS tüüpi lahendust.


IDS poole suunatakse koopia võrguliiklusest mida seejärel IDS analüüsib paketi haaval reeglite kogumiku vastu. Leides vaste väljastatakse selle kohta vastav teade.
IDS jälgib võrgusegmenti. Selleks suunatakse koopia võrguliiklusest mille iga paketti IDS analüüsib paketi haaval reeglite kogumiku vastu. Leides vaste väljastatakse selle kohta vastav teade.


IPS ehk intrusion prevention system(sissetungi takistuse režiim) on spetsiaalne konfiguratsioon IDS puhul, kus võrguliiklust mitte ei kopeerita vaid suunatakse läbi lahenduse ja sellisel juhul on lahendus võimeline automaatselt liiklust blokeerida.
IPS ehk intrusion prevention system(sissetungi takistuse režiim) on spetsiaalne konfiguratsioon IDS puhul, kus võrguliiklust mitte ei kopeerita vaid suunatakse läbi lahenduse ehk ta täidab võrgulüüsi rolli. Nagu ka IDS puhul analüüsitakse kõigi pakettide päist ja sisu. Erinevuseks IDS tekib võimalus paketi vahelt ära korjata (drop packet). Tüüpiliselt on juurutatud kommutaatori või ruuterina, vahest ka tarkvara moodulina serveris.


Kuigi puhas IDS lahendus ei suuda automaatselt võrku kaitsta on IDS lahendustel vahest võimekus suhelda tulemüüriga ja luua seal vajalikke reegleid liikluse piiramiseks.


== Miks IDS kasutada? ==


==Võrgu kuulamine==
Tulemüürid on efektiivsed võrguliikluse filtreerimises, NAT ja liikluse suunamises. Tulemüürid aga teevad filtreerimise otsuseid ainult paketi päise puhul ehk kust IP ja pordi pealt tuleb ja kuhu IP ja pordi peale läheb.
 
IDS/IPS lahenduste puhul aga analüüsitakse ka paketi sisu. Ühesõnaga tulemüür lubaks paketi liikumise aga IDS/IPS näeks, et paketi sisus on midagi pahatahtliku.
 
== Paigutamine ==
Sõltuvalt asutuse suurusest ja nõutavast turvatasemest on taristus üks või mitu sensorit ja tihti ka keskkonsool. Kui pakett vastab reeglile, saadetakse keskkonsooli või otse administraatorile teade. Paketi sisu tavaliselt logitakse.
 
Kõige populaarsemad kohad kuhu IDS paigutada on: Perimeeter ehk tulemüürist sisse- või väljapoole, serverite võrgusegmendi ette ning suuremate võrkude puhul ka erinevate võrgusegmentide ette.
 
Tüüpiline paigutus väikse kuni keskmise suurusega ettevõtte puhul on perimeetri peale, tulemüürist sissepoole. Jälgitava liikluse hulk selles punktis on võimalikult suur, samas on tulemüür esmase filtreerimise teostanud ning seega vähendanud analüüsitava liikluse hulka. Samuti on perimeeter üks esimesi kohti kus tuvastada võrku sisenevat või sealt väljuvat pahatahtliku liiklust. Paljudel juhtudel on siiski ründajad välised ja seega liigub liiklus sisevõrgu ja välisvõrgu vahel.
 
=== Kuidas võrgu jälgimine toimub ===
*IDS ühendatakse võrguseadme seire liidesesse (aka monitoring interface, port mirroring jne.) ehk kõik seadet läbivad paketid kopeeritakse sinna liidesesse.
*Kasutatakse hubi. Palju neid tänapäeval ei kohta ning juhul kui kogu liiklus peab sealt läbi käima, siis võib tekkida probleeme jõudlusega. Kasulik juhul kui on vaja ühte seire liidest paljundada.
*Võrguharund(network tap) paigaldatakse huvi pakkuva liini külge ja IDS ühendatakse võrguharundi külge.
*Virtuaalkeskkondades kasutatakse ka SPAN tüüpi võrgu seadistust. VMWare keskkonnas tähendab see näiteks võrguliidese liitmist VLAN-i mille ID on 4096. VIrtualBoxi puhul piisab virtuaalmasina võrguliidese seadmisest valimatusse režiimi.
 
IDS jaoks seadistatakse seadmele üks võrguliides valimatus(promiscuous) režiimis. Selle võrguliidese vastu suunatakse ka kogu võrgu liiklus. Sellises režiimis võrgu liides võtab valimatult vastu kõik paketid mis talle jälgitavad on. Seega kui liiklus peegeldatakse kommutaatorist on ka IDSile jälgitav kogu liiklus mis ka kommutaatorile.
 
Suricata protsess käivitatakse parameetriga mis deklareerib millise pordi pealt tulevat liiklust peab kuulama. Selleks on -i parameeter, näiteks suricata -c /etc/suricata/suricata.yaml -i eth1


IDS jaoks seadistatakse seadmele üks võrguliides valimatus(promiscuous) režiimis. Selle võrguliidese vastu suunatakse ka kogu võrgu liiklus. Sellises režiimis võrgu liides võtab valimatult vastu kõik paketid mis talle nähtavad on.
Võrgu liikluse suunamiseks on kõige tavalisemalt kas võrgukommutaatoris üles seatud pordi peegeldamine(port mirroring) või on kasutatud mingit sorti tap lahendust. Virtuaalkeskkondades kasutatakse ka SPAN tüüpi võrgu seadistust. VMWare keskkonnas tähendab see näiteks võrguliidese liitmist VLAN-i mille ID on 4096. VIrtualBoxi puhul piisab virtuaalmasina võrguliidese seadmisest valimatusse režiimi.
IDS protsess käivitatakse parameetriga mis deklareerib millise pordi pealt tulevat liiklust peab kuulama.


[[File:Suricata_pcap_auto_pipeline_v1.png]]


Joonis 1. Paketi liikumine. [[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Packet_Pipeline Suricata arendajate dokumentatsioon]]


Sokli tüüp
Sokli tüüp
Line 38: Line 54:


Väiksema koormusega võrguliikluse sõlmes piisab pcap sokkli kasutamisest. Sellisel juhul eraldi seadistamist teha ei ole vaja. Suurte koormuste puhul on mõistlik seadistada Suricata kasutama pf_ring tüüpi võrgu soklit.
Väiksema koormusega võrguliikluse sõlmes piisab pcap sokkli kasutamisest. Sellisel juhul eraldi seadistamist teha ei ole vaja. Suurte koormuste puhul on mõistlik seadistada Suricata kasutama pf_ring tüüpi võrgu soklit.
==Küsimused==
# HIDS ja NIDS vahe?
# Kuhu paigutatakse IDS lahendus, väikse kuni keskmise suurusega asutuse puhul, tüüpiliselt?
# Millises režiimis peab IDS lahenduse jaoks võrgu jälgimist teostava liides olema?
# Suurte koormuste puhul peaks kasutama millist võrgusoklit?


==Kursuse avaleht==
==Kursuse avaleht==
[[Sissetungi tuvastuse systeemid]]
[[Sissetungi tuvastuse systeemid]]

Latest revision as of 09:07, 6 June 2014

Sissejuhatus

IDS ehk sissetungi tuvastuse süsteem on tehnoloogiline lahendus arvutivõrgu monitoorimiseks infoturbe tagamise eesmärgil. IDS lahendusi võib jagada kahte suurde gruppi: NIDS - Network intrusion detection system ehk võrgu põhine sissetungi tuvastuse süsteem HIDS - Host based intrusion detection system ehk seadme põhine sissetungi tuvastuse süsteem

HIDS

HIDS lahendused on vähem levinud kuid viimasel ajal on mõned antiviiruse tarkvarad hakanud seda ühe komponendinda kasutama. Avatud lähtekoodiga lahendustest on üks levinumaid OSSEC. HIDS lahenduste eesmärgiks on teatud kriitiliste süsteemi osade jälgimine. Nende hulka kuuluvad näiteks “RunOnce” registrivõtmed Windowsi puhul ja erinevad ajutiste failide kaustad ehk populaarsed kohad kas pahavara failide hoidmiseks või püsivuse tagamiseks. OSSEC puhul on võimalik defineerida poliitikad, et milliseid faile, kaustu ja registri võtmeid jälgida Käesoleva kursuse raamidest jääb nende lahenduste lähem tutvustus välja.

NIDS

Tüüpiliselt mõeldakse tavakasutuses IDS lahenduste all just NIDS tüüpi lahendusi. Populaarsemate näidetena võib välja tuua Snort, Suricata ja Bro. Kursuse raames käib teoreetiline ja praktiline materjal Suricata kohta ning lihtsuse mõttes on edaspidi väljendi IDS all mõeldud just Suricatat ehk NIDS tüüpi lahendust.

IDS jälgib võrgusegmenti. Selleks suunatakse koopia võrguliiklusest mille iga paketti IDS analüüsib paketi haaval reeglite kogumiku vastu. Leides vaste väljastatakse selle kohta vastav teade.

IPS ehk intrusion prevention system(sissetungi takistuse režiim) on spetsiaalne konfiguratsioon IDS puhul, kus võrguliiklust mitte ei kopeerita vaid suunatakse läbi lahenduse ehk ta täidab võrgulüüsi rolli. Nagu ka IDS puhul analüüsitakse kõigi pakettide päist ja sisu. Erinevuseks IDS tekib võimalus paketi vahelt ära korjata (drop packet). Tüüpiliselt on juurutatud kommutaatori või ruuterina, vahest ka tarkvara moodulina serveris.

Kuigi puhas IDS lahendus ei suuda automaatselt võrku kaitsta on IDS lahendustel vahest võimekus suhelda tulemüüriga ja luua seal vajalikke reegleid liikluse piiramiseks.

Miks IDS kasutada?

Tulemüürid on efektiivsed võrguliikluse filtreerimises, NAT ja liikluse suunamises. Tulemüürid aga teevad filtreerimise otsuseid ainult paketi päise puhul ehk kust IP ja pordi pealt tuleb ja kuhu IP ja pordi peale läheb.

IDS/IPS lahenduste puhul aga analüüsitakse ka paketi sisu. Ühesõnaga tulemüür lubaks paketi liikumise aga IDS/IPS näeks, et paketi sisus on midagi pahatahtliku.

Paigutamine

Sõltuvalt asutuse suurusest ja nõutavast turvatasemest on taristus üks või mitu sensorit ja tihti ka keskkonsool. Kui pakett vastab reeglile, saadetakse keskkonsooli või otse administraatorile teade. Paketi sisu tavaliselt logitakse.

Kõige populaarsemad kohad kuhu IDS paigutada on: Perimeeter ehk tulemüürist sisse- või väljapoole, serverite võrgusegmendi ette ning suuremate võrkude puhul ka erinevate võrgusegmentide ette.

Tüüpiline paigutus väikse kuni keskmise suurusega ettevõtte puhul on perimeetri peale, tulemüürist sissepoole. Jälgitava liikluse hulk selles punktis on võimalikult suur, samas on tulemüür esmase filtreerimise teostanud ning seega vähendanud analüüsitava liikluse hulka. Samuti on perimeeter üks esimesi kohti kus tuvastada võrku sisenevat või sealt väljuvat pahatahtliku liiklust. Paljudel juhtudel on siiski ründajad välised ja seega liigub liiklus sisevõrgu ja välisvõrgu vahel.

Kuidas võrgu jälgimine toimub

  • IDS ühendatakse võrguseadme seire liidesesse (aka monitoring interface, port mirroring jne.) ehk kõik seadet läbivad paketid kopeeritakse sinna liidesesse.
  • Kasutatakse hubi. Palju neid tänapäeval ei kohta ning juhul kui kogu liiklus peab sealt läbi käima, siis võib tekkida probleeme jõudlusega. Kasulik juhul kui on vaja ühte seire liidest paljundada.
  • Võrguharund(network tap) paigaldatakse huvi pakkuva liini külge ja IDS ühendatakse võrguharundi külge.
  • Virtuaalkeskkondades kasutatakse ka SPAN tüüpi võrgu seadistust. VMWare keskkonnas tähendab see näiteks võrguliidese liitmist VLAN-i mille ID on 4096. VIrtualBoxi puhul piisab virtuaalmasina võrguliidese seadmisest valimatusse režiimi.

IDS jaoks seadistatakse seadmele üks võrguliides valimatus(promiscuous) režiimis. Selle võrguliidese vastu suunatakse ka kogu võrgu liiklus. Sellises režiimis võrgu liides võtab valimatult vastu kõik paketid mis talle jälgitavad on. Seega kui liiklus peegeldatakse kommutaatorist on ka IDSile jälgitav kogu liiklus mis ka kommutaatorile.

Suricata protsess käivitatakse parameetriga mis deklareerib millise pordi pealt tulevat liiklust peab kuulama. Selleks on -i parameeter, näiteks suricata -c /etc/suricata/suricata.yaml -i eth1



Sokli tüüp IDS on võimalik seadistada kasutama kolme erinevat sokli tüüpi (järjestatud jõudluse järgi):

  • pcap
  • af_packet
  • pf_ring

Väiksema koormusega võrguliikluse sõlmes piisab pcap sokkli kasutamisest. Sellisel juhul eraldi seadistamist teha ei ole vaja. Suurte koormuste puhul on mõistlik seadistada Suricata kasutama pf_ring tüüpi võrgu soklit.

Küsimused

  1. HIDS ja NIDS vahe?
  2. Kuhu paigutatakse IDS lahendus, väikse kuni keskmise suurusega asutuse puhul, tüüpiliselt?
  3. Millises režiimis peab IDS lahenduse jaoks võrgu jälgimist teostava liides olema?
  4. Suurte koormuste puhul peaks kasutama millist võrgusoklit?

Kursuse avaleht

Sissetungi tuvastuse systeemid