IDS
Alt for mange firmaer bekymrer sig for lidt om deres systemer og netværk. Det fremgår med al ønskelig tydelighed af de seneste virusangreb, hvor der blev udnyttet sikkerhedshuller, som havde været kendt i op til flere måneder før virusangrebene fandt sted. Samtidig er der blevet flere avancerede muligheder for angreb, og det er blevet lettere for personer uden teknisk erfaring at foretage angreb eller udvikle virus, da der i dag findes programmer på nettet, hvor man kan skabe en virus med et par museklik.
For at beskytte computere og netværk bør man blandt andet bruge et antivirus-produkt og en firewall, men derudover kan man bruge mange andre sikkerhedsforanstaltninger som VPN, adgangskontrol og Intrusion Detection System (IDS). I denne artikel kigger vi nærmere på IDS-teknologien, som har været kendt i flere år, men kun bruges af meget få firmaer i Danmark.
IDS er systemer, der kan bruges til at administrere sikkerheden på computere og netværk, og skal betragtes som et supplement til eksisterende sikkerhedsløsninger og ikke som en erstatning. Et IDS indsamler og analyserer information fra flere forskellige områder på computeren og netværket for at identificere mulige sårbarheder, der kan forringe sikkerheden. Det gælder både indtrængen udefra og internt misbrug.
To typer
IDS bruger scanning (vulnerability assesment), som er en teknologi udviklet specielt til at beskytte sikkerheden af et system eller netværk. Et IDS omfatter blandt andet følgende ting:
- Overvågning og analyse af brugere og systemaktiviteter.
- Analyse af systemkonfigurationer og sårbarheder.
- Vurdere integritet af system og filer.
- Evnen til at genkende mønstre for de mest almindelige angreb.
- Analyse af unormale aktivitetsmønstre.
- Opsporing af brud på sikkerhedspolitikken.
Et ID-system kan være værtsbaseret eller netværksbaseret. Begge typer indsamler data, analyserer den indsamlede data og vurderer derefter, om der skal ske en handling, for eksempel at stoppe for den pågældende datastrøm.
Værtsbaseret IDS kan opfattes som en passiv komponent, der er placeret på en fast vært, eksempelvis en webserver. Her inspiceres alle områder i systemet for at detektere brud på sikkerhedspolitikken. Det kan blandt andet være upassende opsætning af konfigurationsfiler i et system eller et password, som er for let at gætte.
Netværksbaseret IDS betragtes som den aktive komponent, der simulerer angreb, og derefter ser på hvordan systemet eller netværket reagerer.
Analyse metoder
Sikkerhedsprodukter benytter oftest en ud af tre flere forskellige analyse-metoder: Signaturbaseret analyse, adaptiv analyse eller protokolanalyse.
Signaturbaseret analyse benyttes blandt andet af de fleste antivirus-produkter, og analysen foregår ved at datastrømmen i et netværk sammenlignes med en database, der indeholder signaturer på alle kendte angrebstyper. Signaturbaseret analyse foregår på bitniveau, hvilket vil sige, at hvis en virus' bitmønster ændres en lille smule, så vil denne virus-variant ikke blive opdaget. Fordelene ved denne form for analyse er, at alle datastrømme analyseres, mens ulemperne er, at der kræves mange ressourcer og mange opdateringer af databasen.
Adaptiv analyse går ud på, at sikkerhedsproduktet tillærer sig et normalbillede af systemet eller netværket. Ulempen ved denne form for analyse er, at hvis man eksempelvis ændrer brugen af systemet, så skal der tillæres et nyt normalbillede. Der er meget få produkter, der benytter adaptiv analyse.
Protokolanalyse foregår analysering af datastrømme, der sammenlignes med en database, der indholder alle de kendte protokoller for eksempel HTTP eller SMTP. Denne analyse detekterer angreb efter type eller metode og altså ikke efter bitmønster. Derfor kan virus-varianter opdages, men det kræver at databasen indeholder information om den anvendte protokol.
Et ID-system benytter både signaturbaseret analyse og protokolanalyse, og derfor vil systemet opfange flere angreb og virusser end et system, der kun bruger en af analysemetoderne.
Supplement
Et ID-system består af prober og agenter, som placeres på strategiske punkter i et netværk. En probe er hardwarebaseret og foretager en overvågning af det segment, hvor den er placeret, og rapporterer, hvis der er datastrømme eller handlinger, der ser mistænkelige ud. En agent er softwarebaseret og foretager en analyse af datastrømme og handlinger på netværket og kan sætte stop for eventuelle angreb.
I en IDS-implementering bør prober placeres lige bagved en firewall på den interne side af netværket, mens agenter bør placeres på webservere og mailservere. Derudover kan der placeres en agent på en autentifikationsserver. Agenter kan også bruges på bærbare pc'er og hjemmearbejdspladser.
Det er vigtigt at huske, at et ID-system ikke kan erstatte hverken firewalls eller antivirus-produkter, men at systemet skal bruges som et supplement til de eksisterende sikkerhedsløsninger og som en hjælp til IT-administratorer. Samtidig kan ID-systemet ikke erstatte sikkerhedspolitikker, uddannelse af interne brugere og IT-administratorer.
