informatyka@bhpex.pl

68 411 40 50

Cyber Security

Certyfikaty niekwalifikowane|VPN|Intrusion detection system|Elektroniczny podpis kwalifikowany|Wdrożenie Firewall|Intrusion prevention system|Certyfikaty SSL

Intrusion detection system

Systemy wykrywania IDS służą podniesieniu bezpieczeństwa sieci zarówno od wewnątrz (LAN) jak i od zewnątrz (WAN). Atutem systemów IDS jest to, że mogą posłużyć do analizy ruchu sieciowego.

Techniki detekcji stosowane w IDS:

  • Wykrywanie anomalii, które polega na wykrywaniu niestandardowych wzorców zachowań. Przechowywaniu podlega zbiór standardowych przypadków użycia systemu. Wszystkie zdarzenia odbiegające od tego wzorca są klasyfikowane jako potencjalnie niebezpieczne.
  • Wykrywanie sygnatur, którer polega na przechowywaniu zbioru wzorców zachowań niepożądanych, w celu wykrycia zbliżonych do nich aktywności intruzów. Te wzorce są sygnaturami.
  • Monitorowanie celu, które polega na tym, że system sprawdza czy określone pliki nie zostały zmodyfikowane w sposób nieuprawniony. Porównywanie plików odbywa się za pomocą haszowania (funkcji skrótu) i porównywania haszów.
  • Niewidzialne sondowanie, które polega na wykrywaniu intruzów, którzy atakują system długookresowo. W celu wykrycia podejrzanych zachowań, technika ta łączy ze sobą wykrywanie anomalii z wykrywaniem sygnatur.
  • Detekcja oparta o „garnek miodu”, która wykorzystuje podstawiony serwer. Umożliwia to odizolowanie ataków od rzeczywistych systemów. Umożliwia analizowanie rodzajów przychodzących ataków i szkodliwych wzorców ruchu. Metoda ta jest przydatna w celu określenia powszechnych ataków na zasoby sieciowe i wprowadzenie na tej podstawie poprawek niezbędnych dla ochrony tych zasobów.

 

Intrusion detection system

W firmie, która ma za cel bezpieczeństwo swoich danych biznesowych, IDS powinien być wdrożony jak najszybciej, aby uniknąć konsekwencji działania ataków na sieci przedsiębiorców. W dobie czyhających niebezpieczeństw w sieci Internet, powinna to być jedna z pierwszych decyzji projektowania sieci informatycznych. Zapraszamy do kontaktu, jeżeli potrzebujesz pomocy we wdrożeniu Intrusion Detection System.

Rodzaje alarmów generowanych przez system IDS:

Fałszywe alarmy

Dzielimy je na alarmy "fałszywe pozytywne", czyli normalny, zwyczajny ruchsieciowy, który powoduje uruchomienie akcji
związanej z sygnaturą oraz na alarmy "fałszywe negatywne", czyli niedozwolony ruch sieciowy, który nie uruchamia akcji powiązanej z sygnaturą, a prowadzony atak nie zostaje
wykryty.

Prawdziwe alarmy

Dzielimy je na alarmy "prawdziwe pozytywne", czyli niedozwolony ruch sieciowy, który uruchamia akcję powiązaną z sygnaturą a prowadzony atak zostaje
wykryty oraz na alarmy "prawdziwe negatywne", czyli zwyczajny ruch sieciowy, który nie powoduje uruchomienia akcji związanej z sygnaturą i normalny ruch nie powoduje alarmu.

Host-Based IDS (HIDS)

Systemy HIDS zbierają i analizują dane na komputerze (hoście), na którym jest zaimplementowany ten system. Zebrane dane można poddawać analizie lokalnie lub na komputerze dedykowanym do tego celu. Zastosowaniem HIDS może być implementacja, której zadaniem jest zbieranie logów systemowych i aplikacyjnych z innych komputerów. W przypadku dużych sieci rozwiązanie to jest nieefektywne i niewygodne. Jednym z sugerowanych systemów zbierającym logi jest np. IBM Tivoli.

Network-Based IDS (NIDS)

Działanie NIDS polega na weryfikacji pakietów przesyłanych w sieci komputerowej. Pakiety są poddawane analizie, a następnie klasyfikowane w aspekcie prawidłowości. Sieć komputerowa wyposażona w NIDS charakteryzuje się zwiększoną odpornością na ataki z zewnątrz. Ograniczeniem stosowania systemów NIDS są sieci, w których transmisja odbywa się w sposób szyfrowany lub transmisja jest zbyt szybka. Wtedy analiza przesyłanych treści staje się niepełna. Przykładem takiego rozwiązania IDS jest urządzenie Cisco IDS-4215. Rozwiązaniem eliminującym to ograniczenie jest zastosowanie systemu hybrydowego złożonego z HIDS i NIDS.