Intrusion Prevention System

IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System – systemy wykrywania i zapobiegania włamaniom) – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.

Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:

• analiza heurystyczna – polegająca na defragmentacji, łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe – np. protocol analysis (np. IBM ISS) czy preprocessing (Snort). W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.
• analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, budowana wraz z pojawianiem się nowych ataków i odpowiednio często aktualizowana.

Typowe elementy systemu IDS/IPS to:

• sonda (sensor) – element analizujący ruch sieciowy i wykrywający ataki,
• baza danych – zbierająca informacje o atakach z grupy sensorów,
• analizator logów – umożliwiający wizualizację i analizę logów z grupy sensorów.

W zależności od lokalizacji sensora oraz zakresu analizowanych zdarzeń wyróżnia się następujące rodzaje systemów IDS:

• hostowe – HIDS (ang. Host-based IDS) – działają jako aplikacja w jednym, ochranianym systemie operacyjnym, analizując zdarzenia pochodzące z logu systemowego oraz z lokalnych interfejsów sieciowych(inne języki).
• sieciowe – NIDS (ang. Network IDS) – analizujące ruch sieciowy dla wszystkich systemów w segmencie sieci, do którego są podłączone. NIDS potrafi rozpoznawać ataki skierowane przeciwko systemom, które nie mają zainstalowanych HIDS. Równocześnie jednak ma ograniczone zdolności analizowania ruchu przesyłanego w kanałach SSL lub zdarzeń zachodzących lokalnie w systemie (np. brak pamięci, ataki lokalne z konsoli).

Sieciowe systemy IPS mogą działać w następujących topologiach sieciowych:

• pasywna sonda – sonda podłączona do portu monitorującego przełącznika analizuje kopie wszystkich pakietów w danym segmencie sieci. Sonda w tej topologii ma ograniczone możliwości reagowania na ataki. Stosowane są dwie techniki blokowania ataków w topologii pasywnej – wysyłanie fałszywych pakietów TCP RST do obu stron komunikacji i zerwanie połączenia oraz dynamiczna rekonfiguracja zapory, z którą sonda może współpracować. W pierwszym przypadku blokowaniu może podlegać tylko ruch TCP, w drugim reakcja może być spóźniona.
• Inline – sonda umieszczona pomiędzy dwoma segmentami sieci, pozbawiona adresów IP i działająca w trybie przezroczystego mostu analizuje i bezpośrednio uczestniczy w przekazywaniu wszystkich pakietów w sieci. W tym trybie sonda ma możliwość blokowania 100% pakietów rozpoznanych jako niebezpieczne (fałszywe pakiety TCP RST nadal są wysyłane dla uniknięcia retransmisji). Działanie w tym trybie nakłada na oprogramowanie sondy znacznie wyższe wymagania co do wydajności i stabilności.

Darmowe:

• Snort (NIDS), ACID (analiza), Snortalog (analiza)
• Bro IDS(inne języki) (NIDS)
• Snort-Prelude (NIDS), Prelude-lml (HIDS), Prewikka (analiza)
• OSSEC(inne języki) (HIDS)
• GesWall
• Suricata(inne języki)

Komercyjne:

• IBM ISS Proventia (NIDS), Proventia Server (HIDS), Site Protector (zbieranie i analiza zdarzeń)
• 3COM Tipping Point
• Juniper IDP
• DefenseWall HIPS (dostępny także w polskiej wersji)
• Safe'n'Sec Pro (+Rootkit Detector)

• Klasyfikacja systemów IDS/IPS. ipsec.pl. [zarchiwizowane z tego adresu (2009-02-07)].