Uzbrukumu atklāšanas sistēma (IDS/IPS)

Kas ir Ielaušanās Atklāšanas (IA) Sistēmas (IAS)?

Ielaušanās Atklāšanas Sistēmas caurskata pa tām sūtītos datus. IA sistēmām ir noteikta ielaušanās parakstu (fingerprint/signature) datubāze, kur, salīdzinot šos parakstus ar izsūtītajiem datiem, to sakrišanas gadījumā iespējams konstatēt ielaušanos vai ielaušanās mēģinājumu. Šādā gadījumā IAS izsūta paziņojumu un/vai liedz pieeju turpmāk izmantot resursus.

Ir trīs galvenie IA sistēmu veidi. Pirmie divi tiek izmantoti plaši, trešais kā jauna veida sistēma tikko parādās tirgū un pagaidām vēl nav tik populāra.

  • Tīkla IAS

    Pārbauda pilnīgi visus tai cauri izsūtītos datus. Darbība ir sadalīta vairākos posmos - pirmajā posmā tiek pārbaudīts, vai dati nav viltoti, pieder izsūtītājam un vai tajos nav uzbrukuma paraksti. Ja nekas netiek konstatēts, datiem tiek "dota atļauja" turpināt ceļu. Taču, ja datu izcelsme/saturs ir apšaubāmi, tie tiek padoti apstrādei otrajā posmā, kur tiek pieņemts lēmums - paziņot administratoram/aizliegt šos datus utml.
    Tā kā Tīkla IAS pareizāk ir novietot aiz ugunssienas - tad Tīkla IAS pārbauda tikai tos datus, kurus ugunssiena ir atļāvusi (Lielākajā daļā gadījumu tie ir pieprasījumi uz publiskajiem resursiem (web/mail u.c. servisiem) un dinamiski atļautajām sesijām, kuras tika pieprasītas no privātā tīkla lietotājiem. Nedrīkst aizmirst, ka Tīkla IAS reaģē uz jebko, kas izskatās pēc uzbrukuma, tādējādi rodas nepatiesi uzbrukuma brīdinājumi (false positives), kā arī otrādi - pilnīgi parasti dati var tikt uztverti kā aizdomīgi (false negatives).

  • Resursdatora IAS

    Pārbauda tikai jau esošus uzskaites žurnālus (log data/log files). Protams, šāda IAS nav tik efektīga kā Tīkla IAS, jo ielaušanās mēģinājumi tiek konstatēti tikai tad, kad tie notiek vai ir jau notikuši. Atkarībā no Resursdatora IA sistēmas veida uzskaites dati var tikt pārbaudīti reālajā laikā vai ieturot noteiktu laika intervālu. Arī šajā IAS veidā tiek izmantota parakstu datubāze. Jo sarežģītākas pakāpes Resursdatora IAS, jo plašākas novērošanas iespējas tā paredz. Piemēram, ļoti sarežģītām Resursdatora IAS ir iespējams precīzi norādīt, kādi procesi drīkst eksistēt, kādi ne, norādīt pārbaudes pēc prorgammatūras pārbaudes-summām (checksums), norādīt, kādus portus uztver Resursdators utml.

  • Steka IAS

    Jaunākā no IAS sistēmām krasi atšķiras katram ražotājam. Šīm sistēmām nav ieviests noteikts standarts, pēc kura tās darbojas, katrs ražotājs maina un papildina darbības principus. Jauninājuma darbošanās princips: paketes, ceļojot pa ISO OSI modeli uz augšu, tiek apstrādātas, pirms to izdara pati operētājsistēma - tādējādi, ja tiek konstatēts uzbrukums tieši IAS operētājsistēmai, IAS spēj aizliegt paketēm sasniegt operētājsistēmu, un jebkāda kaitējuma iespēja tiek izslēgta. Tiek izmantotas arī parakstu datubāzes, kā arī algoritmi, kas tuvi pseidomākslīgajam intelektam.

Tīkla IAS galvenās priekšrocības:

  • Pakešu analīze.

    Tīkla IAS pārbauda visu pakešu iesākumu (header), kā arī daļu no satura atkarībā no izmantojamā Aplikācijas protokola. Salīdzinot šo informāciju ar parakstu datubāzi, tiek noteikts, vai dati ir 'labi' vai 'slikti'.

  • Pierādījumi

    Tīkla IAS izmanto reāla laika uzbrukumu norises gaitas uzskaiti katalogā (datubāzē), tādējādi uzbrucējs nevar noslēpt savas pēdas. Šie dati (pierādījumi) no datubāzes var būt noderīgi tiesā, ja tiek izvirzīta apsūdzība uzbrucējam.

  • Uzbrukumu novēršana reālajā laikā

    IAS atklāj ielaušanās mēģinājumus reālajā laikā, brīdī, kad tie notiek, dati par mēģinājumu uzreiz tiek nosūtīti uz katalogu (datubāzi) un tiek izsaukta trauksme.

  • Ļaunprātīgu mēģinājumu atklāšana

    Tā kā IAS var tikt novietota pirms ugunssienas (vai arī apvienota ar ugunssienu, vispirms datus apstrādājot IAS, pēc tam ugunssienai), tad IAS ir iespēja vērot pilnīgi visas paketes/datus, kas plūst tai cauri, tādējādi iegūstot datus par pilnīgi visiem uzbrukumu mēģinājumiem. Ja IAS atrastos aiz ugunssienas, "ugunssiena" bloķētu uzbrukumus, kurus tai ir paredzēts bloķēt, un IAS sasniegtu tikai tie uzbrukumi, kas izlaisti cauri ugunssienai, piemēram, uzbrukumi Web serverim.

Resursdatora IAS galvenās priekšrocības:

  • Uzbrukumu noteikšanas precizitāte

    Tīkla IAS reaģē uz jebko, kas izskatās pēc uzbrukuma, tādējādi var rasties diezgan daudz nepatiesu uzbrukumu brīdinājumu (false positives), taču Resursdatora IAS reaģētu tikai tad, kad tā konstatētu ielaušanos vai konkrētu mēģinājumu.

  • Sistēmas aktivitāšu novērošana

    Resursdatora IAS ir iespēja novērot procesus uz attiecīgā Resursdatora, piemēram, pieslēgšanos un atslēgšanos no sistēmas, lietotāju pievienošanu/dzēšanu, uzskaites datņu neparedzētas izmaiņas u.tml.

  • Uzskaite

    Kaut arī Resursdatora IAS ielaušanās mēģinājumu analīze tiek veikta no uzskaites datiem, atkarībā no IAS programmatūras ražotāja analīze pārsvarā notiek reizi N minūtēs. Ielaušanās gadījumā iebrucējam neatliktu pietiekami daudz laika, lai noslēptu visas pēdas.

  • Nav nepieciešama atsevišķa aparatūra

    Resursdatora IAS nav nepieciešama atsevišķa aparatūra, jo tā tiek uzstādīta tieši uz jau esoša tīkla resursdatora (web serveriem, pasta serveriem u.c.).