IDS systeemid - Sissejuhatus

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

IDS ehk sissetungi tuvastuse süsteem on tehnoloogiline lahendus arvutivõrgu monitoorimiseks infoturbe tagamise eesmärgil. IDS lahendusi võib jagada kahte suurde gruppi: NIDS - Network intrusion detection system ehk võrgu põhine sissetungi tuvastuse süsteem HIDS - Host based intrusion detection system ehk seadme põhine sissetungi tuvastuse süsteem

HIDS

HIDS lahendused on vähem levinud kuid viimasel ajal on mõned antiviiruse tarkvarad hakanud seda ühe komponendinda kasutama. Avatud lähtekoodiga lahendustest on üks levinumaid OSSEC. HIDS lahenduste eesmärgiks on teatud kriitiliste süsteemi osade jälgimine. Nende hulka kuuluvad näiteks “RunOnce” registrivõtmed Windowsi puhul ja erinevad ajutiste failide kaustad ehk populaarsed kohad kas pahavara failide hoidmiseks või püsivuse tagamiseks. OSSEC puhul on võimalik defineerida poliitikad, et milliseid faile, kaustu ja registri võtmeid jälgida Käesoleva kursuse raamidest jääb nende lahenduste lähem tutvustus välja.

NIDS

Tüüpiliselt mõeldakse tavakasutuses IDS lahenduste all just NIDS tüüpi lahendusi. Populaarsemate näidetena võib välja tuua Snort, Suricata ja Bro. Kursuse raames käib teoreetiline ja praktiline materjal Suricata kohta ning lihtsuse mõttes on edaspidi väljendi IDS all mõeldud just Suricatat ehk NIDS tüüpi lahendust.

IDS poole suunatakse koopia võrguliiklusest mida seejärel IDS analüüsib paketi haaval reeglite kogumiku vastu. Leides vaste väljastatakse selle kohta vastav teade.

IPS ehk intrusion prevention system(sissetungi takistuse režiim) on spetsiaalne konfiguratsioon IDS puhul, kus võrguliiklust mitte ei kopeerita vaid suunatakse läbi lahenduse ja sellisel juhul on lahendus võimeline automaatselt liiklust blokeerida.


Võrgu kuulamine

IDS jaoks seadistatakse seadmele üks võrguliides valimatus(promiscuous) režiimis. Selle võrguliidese vastu suunatakse ka kogu võrgu liiklus. Sellises režiimis võrgu liides võtab valimatult vastu kõik paketid mis talle nähtavad on. Võrgu liikluse suunamiseks on kõige tavalisemalt kas võrgukommutaatoris üles seatud pordi peegeldamine(port mirroring) või on kasutatud mingit sorti tap lahendust. Virtuaalkeskkondades kasutatakse ka SPAN tüüpi võrgu seadistust. VMWare keskkonnas tähendab see näiteks võrguliidese liitmist VLAN-i mille ID on 4096. VIrtualBoxi puhul piisab virtuaalmasina võrguliidese seadmisest valimatusse režiimi. IDS protsess käivitatakse parameetriga mis deklareerib millise pordi pealt tulevat liiklust peab kuulama.

Joonis 1. Paketi liikumine. [Suricata arendajate dokumentatsioon]

Sokli tüüp IDS on võimalik seadistada kasutama kolme erinevat sokli tüüpi (järjestatud jõudluse järgi):

  • pcap
  • af_packet
  • pf_ring

Väiksema koormusega võrguliikluse sõlmes piisab pcap sokkli kasutamisest. Sellisel juhul eraldi seadistamist teha ei ole vaja. Suurte koormuste puhul on mõistlik seadistada Suricata kasutama pf_ring tüüpi võrgu soklit.

Kursuse avaleht

Sissetungi tuvastuse systeemid