מה זה IDS? ומה זה IPS?
- פותח הנושא visioner
- פורסם בתאריך
OldBlueHat
New member
מעט על IDS
מע' IDS נועדו במקור לזהות ניסיונות חדירה. כפי ששמן מעיד Intrusion Detection System. מערכות אלה נחלקות לשני סוגים עיקריים: HIDS ו- NIDS. הראשון הן ר"ת של Host IDS, כלומר מיישמים אותו בקצה (בד"כ תחנה או שרת) ואילו השני ר"ת של Network IDS ואותו ניתן ליישם ברשת, בפירוול, בנתב וגם על תחנה או שרת. לשניהם חסרונות ויתרונות אשר אתייחס אליהן בהמשך. בגדול למערכות כאלה יתרונות חשובים: 1) לעזור לך לכתוב מדיניות אבטחה של הארגון 2) לעזור לך בטיפול לאחר שפרצו לך לרשת (Incident Handling) 3) ללמוד על טכניקות/התקפות חדשות 4) לזהות התקפות מבפנים ומבחוץ 5) למצוא באגים במוצרי אבטחה או לקנפג מחדש מוצרים כאלה 6) לזהות תופעות "מוזרות" ברשת מערכות כאלה אינן אוטומטיות לחלוטין ולהן לא מעט חסרונות: 1) לא יכולה לזהות התקפות לא ידועות - כיוון שזה לא בבסיס הנתונים שלהן 2) היישום של מערכות כאלה יכול להיות בעייתי ברשתות ממותגות, עמוסות ומהירות 3) מחירן הגבוה מונע מארגונים רבים לרכוש אותן 4) הן סובלות מהודעות שווא רבות (false positives, false negative) 5) מערכות אלה אינן מספקות הגנה (מוגבלת מאוד) על מנת למנוע את ההתקפה 6) מערכות אלה אינן מגנות מפני חולשות של פרוטוקולי רשת, שיטות אימות, הצפנות נתונים ועוד אילו פעולות יכולות מערכות אלו לנקוט בעת התקפה: 1) Session Logging - כלומר להקליט את כל התהליך מתחילתה 2) TCP Reset נקרא גם Kill Packet - המערכת שולחת מנת TCP עם דגל RST אל התוקף ו/או אל הנתקף על מנת להפסיק את התקשורת ביניהם. הערות: ההתקפה כבר בלאו הכי הגיעה לנתקף וכבר יכלה להסב נזק כך שייתכן שפעולה זו הייתה לשווא. שנית שיטה זו עובדת רק על פרוטוקול TCP (לא UDP). שלישית זה מחייב לדעת את ה-sequence number של המנה כאשר היא מגיעה לתחנה. 3) Firewall Signaling - הרעיון הוא שברגע התקפה המערכת תאותת להתקן אחר (פירוול למשל) על מנת שיבצע למשל קינפוג מחדש. הערות: שוב ייתכן ונזק כבר הוסב לנתקף. שנית אפשר לגרום להתקפת DOS ע"י IP Spoofing 4) Redirection - ניתן לשלוח את המנות למחשב אחר 5) לשלוח alerts באמצעות אימייל,snmp, Syslog וכו' 6) לשלוח event לקונסול ניהול ריכוזי 7) לבצע shutdown למימשק ממנו הגיע התוקף 8) לבצע drop למנות של התוקף מבלי ליידע אותו (Drop Packets Silently) הלכו לי האצבעות, עוד מעט אמשיך לכתוב ולדייק עוד יותר! שלכם בהוקרה, BlueHat
מע' IDS נועדו במקור לזהות ניסיונות חדירה. כפי ששמן מעיד Intrusion Detection System. מערכות אלה נחלקות לשני סוגים עיקריים: HIDS ו- NIDS. הראשון הן ר"ת של Host IDS, כלומר מיישמים אותו בקצה (בד"כ תחנה או שרת) ואילו השני ר"ת של Network IDS ואותו ניתן ליישם ברשת, בפירוול, בנתב וגם על תחנה או שרת. לשניהם חסרונות ויתרונות אשר אתייחס אליהן בהמשך. בגדול למערכות כאלה יתרונות חשובים: 1) לעזור לך לכתוב מדיניות אבטחה של הארגון 2) לעזור לך בטיפול לאחר שפרצו לך לרשת (Incident Handling) 3) ללמוד על טכניקות/התקפות חדשות 4) לזהות התקפות מבפנים ומבחוץ 5) למצוא באגים במוצרי אבטחה או לקנפג מחדש מוצרים כאלה 6) לזהות תופעות "מוזרות" ברשת מערכות כאלה אינן אוטומטיות לחלוטין ולהן לא מעט חסרונות: 1) לא יכולה לזהות התקפות לא ידועות - כיוון שזה לא בבסיס הנתונים שלהן 2) היישום של מערכות כאלה יכול להיות בעייתי ברשתות ממותגות, עמוסות ומהירות 3) מחירן הגבוה מונע מארגונים רבים לרכוש אותן 4) הן סובלות מהודעות שווא רבות (false positives, false negative) 5) מערכות אלה אינן מספקות הגנה (מוגבלת מאוד) על מנת למנוע את ההתקפה 6) מערכות אלה אינן מגנות מפני חולשות של פרוטוקולי רשת, שיטות אימות, הצפנות נתונים ועוד אילו פעולות יכולות מערכות אלו לנקוט בעת התקפה: 1) Session Logging - כלומר להקליט את כל התהליך מתחילתה 2) TCP Reset נקרא גם Kill Packet - המערכת שולחת מנת TCP עם דגל RST אל התוקף ו/או אל הנתקף על מנת להפסיק את התקשורת ביניהם. הערות: ההתקפה כבר בלאו הכי הגיעה לנתקף וכבר יכלה להסב נזק כך שייתכן שפעולה זו הייתה לשווא. שנית שיטה זו עובדת רק על פרוטוקול TCP (לא UDP). שלישית זה מחייב לדעת את ה-sequence number של המנה כאשר היא מגיעה לתחנה. 3) Firewall Signaling - הרעיון הוא שברגע התקפה המערכת תאותת להתקן אחר (פירוול למשל) על מנת שיבצע למשל קינפוג מחדש. הערות: שוב ייתכן ונזק כבר הוסב לנתקף. שנית אפשר לגרום להתקפת DOS ע"י IP Spoofing 4) Redirection - ניתן לשלוח את המנות למחשב אחר 5) לשלוח alerts באמצעות אימייל,snmp, Syslog וכו' 6) לשלוח event לקונסול ניהול ריכוזי 7) לבצע shutdown למימשק ממנו הגיע התוקף 8) לבצע drop למנות של התוקף מבלי ליידע אותו (Drop Packets Silently) הלכו לי האצבעות, עוד מעט אמשיך לכתוב ולדייק עוד יותר! שלכם בהוקרה, BlueHat
OldBlueHat
New member
המשך...
יתרונות וחסרונות של מערכות NIDS: יתרונות: 1) יכולת זיהוי ודיווח על התקפות המכוונות לרשת שלמה או לחלק מהרשת 2) אינו תלוי ב-OS מסוים כמו ה-HIDS 3) בד"כ הוא מותקן ב-Stealth Mode חסרונות: 1) מחייב ביצוע עידכונים שוטפים לחתימות 2) קושי בניתוח של מידע מוצפן 3) קושי בטיפול במנות בעת עומס ברשת 4) יישומו ברשת ממותגת מהווה אתגר לא פשוט 5) אינו מספק הגנה מפני התקפות 6) פרק הזמן שחולף מרגע ההתקפה עד לקבלת התראה יכול להיות ארוך מדי אם יגרם נזק 7) לא ניתן לאשרר את הצלחת ההתקפה HIDS כולל אפשרויות שאינן קיימות ב-NIDS למשל: מעקב על קבצי Log, רגיסטרי, מערכת הקבצים, תהליכים, קריאות למערכת, סיסמאות, הרשאות, ניצול משאבי מערכת, נסיונות כניסה למערכת ועוד. יתרונות HIDS: 1) יכולת לנתח מידע מוצפן כיוון שהיא נקודת הקצה 2) יכולת לזהות התקפות שאינן ניתנות לזיהוי ע"י ה-NIDS 3) פותר את בעית היישום ברשתות ממותגות 4) מוסיף נדבך נוסף לאבטחת הרשת (בנוסף ל-NIDS) 5) מאפשר לדעת אם ההתקפה הצליחה בסופו של דבר חסרונות HIDS: 1) מדובר בפתרון תוכנה וזה יכול להעמיס את המחשב 2) צריך להתקין בכל מקום אסטרטגי 3) חובה לבצע עידכוני חתימות 4) אינו מספק הגנה מפני התקפות 5) פרק הזמן שחולף מרגע ההתקפה עד לקבלת התראה יכול להיות ארוך מדי אם יגרם נזק 6) קושי בטיפול במנות בעת עומס ברשת
יתרונות וחסרונות של מערכות NIDS: יתרונות: 1) יכולת זיהוי ודיווח על התקפות המכוונות לרשת שלמה או לחלק מהרשת 2) אינו תלוי ב-OS מסוים כמו ה-HIDS 3) בד"כ הוא מותקן ב-Stealth Mode חסרונות: 1) מחייב ביצוע עידכונים שוטפים לחתימות 2) קושי בניתוח של מידע מוצפן 3) קושי בטיפול במנות בעת עומס ברשת 4) יישומו ברשת ממותגת מהווה אתגר לא פשוט 5) אינו מספק הגנה מפני התקפות 6) פרק הזמן שחולף מרגע ההתקפה עד לקבלת התראה יכול להיות ארוך מדי אם יגרם נזק 7) לא ניתן לאשרר את הצלחת ההתקפה HIDS כולל אפשרויות שאינן קיימות ב-NIDS למשל: מעקב על קבצי Log, רגיסטרי, מערכת הקבצים, תהליכים, קריאות למערכת, סיסמאות, הרשאות, ניצול משאבי מערכת, נסיונות כניסה למערכת ועוד. יתרונות HIDS: 1) יכולת לנתח מידע מוצפן כיוון שהיא נקודת הקצה 2) יכולת לזהות התקפות שאינן ניתנות לזיהוי ע"י ה-NIDS 3) פותר את בעית היישום ברשתות ממותגות 4) מוסיף נדבך נוסף לאבטחת הרשת (בנוסף ל-NIDS) 5) מאפשר לדעת אם ההתקפה הצליחה בסופו של דבר חסרונות HIDS: 1) מדובר בפתרון תוכנה וזה יכול להעמיס את המחשב 2) צריך להתקין בכל מקום אסטרטגי 3) חובה לבצע עידכוני חתימות 4) אינו מספק הגנה מפני התקפות 5) פרק הזמן שחולף מרגע ההתקפה עד לקבלת התראה יכול להיות ארוך מדי אם יגרם נזק 6) קושי בטיפול במנות בעת עומס ברשת
OldBlueHat
New member
המשך...
ובכן כיצד אם כן מערכות אלה מזהות נסיונות חדירה? לפני כן אגדיר מה זה signature. מונח זה מתייחס לכך שאם תנאי אחד או יותר מתקיימים הם מציינים למערכת ניסיון חדירה. שיטה אחת לכך נקראת Pattern Matching הנקראת גם String Matching, שיטה פרימטיבית למדי, בשיטה זו מבצעים השוואה בין מחרוזת תווים (תבנית - pattern) לבין המנה החשודה. למשל כתובת ip, פרוטוקול תעבורה, פורט, דגלים, וכו'. אליה וקוץ בה. מצד אחד החתימה יכולה להיות מדויקת מאוד עבור מתקפה ספציפית ומכאן שאם תהיה התרעה לגביה היא תהיה מהימנה לחלוטין. אך מס, חסרונות מעיבים על כך: ניתן לזהות את המתקפה רק אם יש את החתימה שלה, שנית מספיק לשנות פרמטר אחד במנה או להשתמש בקידוד או הצפנה ואז החתימה כבר לא מתאימה, שלישית יש לעדכן את מסד החתימות באופן שוטף. בנוסף מכיוון שברשתות מהירות 100Mbit ומעלה יכולה להיות בעיה למערכת להתמודד עם כל כך הרבה בדיקות בשנייה. אם נכפול את מספר הבתים של החתימה במס' הבתים במנה ונכפול שוב במס' מנות בשניה ושוב נכפול במס' החתימות הקיימות נקבל מס' עצום של בדיקות בשנייה. על כן בד"כ לא כל מנה שעוברת נבדקת. אלא רק מנות שממלאות דרישות כפי שציינתי קודם (כדוגמה) כמובן שימצאו שיפורים לכך בין היתר ע"י ביצוע של מס' בדיקות במקביל בחומרה יעודית להתראות, ונשתמע מאוחר יותר - הגיע הזמן לעסוק בספורט שלכם בהוקרה, BlueHat
ובכן כיצד אם כן מערכות אלה מזהות נסיונות חדירה? לפני כן אגדיר מה זה signature. מונח זה מתייחס לכך שאם תנאי אחד או יותר מתקיימים הם מציינים למערכת ניסיון חדירה. שיטה אחת לכך נקראת Pattern Matching הנקראת גם String Matching, שיטה פרימטיבית למדי, בשיטה זו מבצעים השוואה בין מחרוזת תווים (תבנית - pattern) לבין המנה החשודה. למשל כתובת ip, פרוטוקול תעבורה, פורט, דגלים, וכו'. אליה וקוץ בה. מצד אחד החתימה יכולה להיות מדויקת מאוד עבור מתקפה ספציפית ומכאן שאם תהיה התרעה לגביה היא תהיה מהימנה לחלוטין. אך מס, חסרונות מעיבים על כך: ניתן לזהות את המתקפה רק אם יש את החתימה שלה, שנית מספיק לשנות פרמטר אחד במנה או להשתמש בקידוד או הצפנה ואז החתימה כבר לא מתאימה, שלישית יש לעדכן את מסד החתימות באופן שוטף. בנוסף מכיוון שברשתות מהירות 100Mbit ומעלה יכולה להיות בעיה למערכת להתמודד עם כל כך הרבה בדיקות בשנייה. אם נכפול את מספר הבתים של החתימה במס' הבתים במנה ונכפול שוב במס' מנות בשניה ושוב נכפול במס' החתימות הקיימות נקבל מס' עצום של בדיקות בשנייה. על כן בד"כ לא כל מנה שעוברת נבדקת. אלא רק מנות שממלאות דרישות כפי שציינתי קודם (כדוגמה) כמובן שימצאו שיפורים לכך בין היתר ע"י ביצוע של מס' בדיקות במקביל בחומרה יעודית להתראות, ונשתמע מאוחר יותר - הגיע הזמן לעסוק בספורט שלכם בהוקרה, BlueHat
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.