Intrusion Detection and Prevention Systems (IDPS)
ตรวจจับการบุกรุกและระบบป้องกัน
Intrusion Detection and Prevention Principles
ตรวจจับการบุกรุกเป็นกระบวนการของการตรวจสอบเหตุการณ์ที่เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่ายและการวิเคราะห์พวกเขาสำหรับสัญญาณของเหตุการณ์ที่เกิดขึ้นเป็นไปได้ที่จะมีการละเมิดหรือภัยคุกคามที่เกิดขึ้นจากการละเมิดนโยบายรักษาความปลอดภัยคอมพิวเตอร์ได้รับการยอมรับนโยบายการใช้งานหรือการรักษาความปลอดภัยมาตรฐาน เหตุการณ์ที่เกิดขึ้นมีหลายสาเหตุเช่นมัลแวร์ (เช่นเวิร์ม, สปายแวร์), การโจมตีไม่ได้รับอนุญาตเข้าถึงระบบจากอินเทอร์เน็ตและได้รับอนุญาตจากผู้ใช้ระบบที่ผิดสิทธิ์ของพวกเขาหรือพยายามที่จะได้รับสิทธิประโยชน์เพิ่มเติมสำหรับการที่พวกเขาจะไม่ได้รับอนุญาต แม้ว่าเหตุการณ์ที่เกิดขึ้นจำนวนมากที่เป็นอันตรายในธรรมชาติอื่น ๆ อีกมากมายไม่ได้; สำหรับตัวอย่างเช่นคนที่อาจจะพิมพ์ผิดที่อยู่ของคอมพิวเตอร์และตั้งใจพยายามที่จะเชื่อมต่อกับระบบที่แตกต่างกันโดยไม่ต้องอนุมัติ
Intrusion Detection System (IDS) เป็นซอฟต์แวร์ที่โดยอัตโนมัติขั้นตอนการตรวจสอบการบุกรุกระบบป้องกันการบุกรุก (IPS) คือซอฟต์แวร์ที่มีความสามารถทั้งหมดของระบบตรวจจับการบุกรุกและยังสามารถพยายามที่จะหยุดเหตุการณ์ที่เป็นไปได้ ในส่วนนี้ให้ภาพรวมของเทคโนโลยี IDS และ IPS เป็นรากฐานสำหรับส่วนที่เหลือของสิ่งพิมพ์ ก่อนอธิบายถึงวิธีการ IDS และ IPS เทคโนโลยีสามารถนำมาใช้ ถัดไปจะอธิบายการทำงานที่สำคัญที่เทคโนโลยี IDS และ IPS ดำเนินการและวิธีการตรวจสอบว่าพวกเขาใช้ ในที่สุดก็ให้ภาพรวมของชั้นเรียนที่สำคัญของ IDS และ IPS เทคโนโลยี
Intrusion Detection System (IDS) เป็นซอฟต์แวร์ที่โดยอัตโนมัติขั้นตอนการตรวจสอบการบุกรุกระบบป้องกันการบุกรุก (IPS) คือซอฟต์แวร์ที่มีความสามารถทั้งหมดของระบบตรวจจับการบุกรุกและยังสามารถพยายามที่จะหยุดเหตุการณ์ที่เป็นไปได้ ในส่วนนี้ให้ภาพรวมของเทคโนโลยี IDS และ IPS เป็นรากฐานสำหรับส่วนที่เหลือของสิ่งพิมพ์ ก่อนอธิบายถึงวิธีการ IDS และ IPS เทคโนโลยีสามารถนำมาใช้ ถัดไปจะอธิบายการทำงานที่สำคัญที่เทคโนโลยี IDS และ IPS ดำเนินการและวิธีการตรวจสอบว่าพวกเขาใช้ ในที่สุดก็ให้ภาพรวมของชั้นเรียนที่สำคัญของ IDS และ IPS เทคโนโลยี
เทคโนโลยี IDS และ IPS มีความสามารถหลายที่เหมือนกันและผู้ดูแลระบบจะสามารถปิดใช้งานคุณลักษณะการป้องกันในผลิตภัณฑ์ IPS, ทำให้พวกเขาทำงานเป็น IDSs ดังนั้นเพื่อความกะทัดรัดตรวจจับการบุกรุกระยะยาวและระบบป้องกัน (IDPS) จะถูกใช้ตลอดที่เหลือของคู่มือนี้เพื่ออ้างถึงทั้งสอง IDS และ IPS technologies.2 ข้อยกเว้นใด ๆ จะมีระบุไว้โดยเฉพาะ
Uses of IDPS Technologies การใช้เทคโนโลยี IDPS
IDPSs จะเน้นหลักในการระบุเหตุการณ์ที่เป็นไปได้ ตัวอย่างเช่น IDPS อาจจะตรวจสอบเมื่อมีการโจมตีการบุกรุกประสบความสำเร็จในระบบโดยช่องโหว่ในระบบ IDPSสามารถรายงานเหตุการณ์ที่เกิดขึ้นกับผู้ดูแลระบบการรักษาความปลอดภัยที่เริ่มต้นได้อย่างรวดเร็วสามารถตอบสนองต่อเหตุการณ์การกระทำเพื่อลดความเสียหายที่เกิดขึ้นจากเหตุการณ์ที่ไม่ได้คาดฝัน IDPS ยังสามารถบันทึกข้อมูลที่สามารถใช้โดย IDPSs หลายเหตุการณ์ที่เกิดขึ้น ยังสามารถกำหนดค่า ได้ตระหนักถึงการละเมิดนโยบายการรักษาความปลอดภัย ตัวอย่างเช่นบาง IDPSs สามารถกำหนดค่าด้วยการตั้งค่าไฟร์วอลล์ เหมือนช่วยให้พวกเขาเพื่อระบุเครือข่ายการจราจรที่ละเมิดการรักษาความปลอดภัยขององค์กรหรือนโยบายการใช้งานที่ยอมรับได้ นอกจากนี้บาง IDPSs สามารถตรวจสอบการถ่ายโอนแฟ้มและระบุคนที่อาจจะมีที่น่าสงสัยเช่นการคัดลอกฐานข้อมูลขนาดใหญ่ไปยังแล็ปท็อปของผู้ใช้
IDPSs หลายคนยังสามารถระบุกิจกรรมการลาดตระเวนซึ่งอาจบ่งชี้ว่าการโจมตีเป็นใกล้ ตัวอย่างเช่นบางเครื่องมือโจมตีและรูปแบบของมัลแวร์โดยเฉพาะอย่างยิ่งเวิร์ม, การทำกิจกรรมการลาดตระเวนเช่นโฮสต์และสแกนพอร์ตการกำหนดเป้าหมายสำหรับการโจมตีครั้งต่อไป IDPS อาจจะสามารถป้องกันการลาดตระเวนและแจ้งให้ผู้ดูแลการรักษาความปลอดภัยที่สามารถดำเนินการได้ถ้าจำเป็นในการปรับเปลี่ยนการควบคุมความปลอดภัยอื่น ๆ เพื่อป้องกันเหตุการณ์ที่เกี่ยวข้องกับ เนื่องจากกิจกรรมการลาดตระเวนเป็นบ่อยดังนั้นบนอินเทอร์เน็ต, การตรวจสอบการลาดตระเวนมักจะแสดงหลักในการป้องกันเครือข่ายภายใน
Key Functions of IDPS Technologiesการทำงานที่สำคัญของเทคโนโลยีIDPS
เทคโนโลยี IDPS มีหลายประเภท ซึ่งมีความแตกต่างหลักตามประเภทของเหตุการณ์ที่พวกเขาสามารถรับรู้และวิธีการที่พวกเขาใช้ในการระบุเหตุการณ์ที่เกิดขึ้นมี นอกจากนี้ในการตรวจสอบและวิเคราะห์เหตุการณ์เพื่อระบุกิจกรรมที่ไม่พึงปรารถนาทุกชนิดของเทคโนโลยีที่ผู้พลัดถิ่นมักจะทำหน้าที่ดังต่อไปนี้
- Recording information related to observed events. บันทึกข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่สังเกต ข้อมูลจะถูกบันทึกไว้โดยปกติในประเทศและอาจถูกส่งไปยังระบบแยกเช่นเซิร์ฟเวอร์เข้าสู่ระบบรวมศูนย์ข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) โซลูชั่นและระบบการจัดการองค์กร
- Notifying security administrators of important observed events แจ้งผู้ดูแลระบบการรักษาความปลอดภัยของกิจกรรมการสังเกตที่สำคัญ ประกาศนี้เรียกว่าการแจ้งเตือนเกิดขึ้นผ่านวิธีการใด ๆ หลายแห่งรวมถึงต่อไปนี้ : อีเมลเพจข้อความบนอินเตอร์เฟซผู้พลัดถิ่น, การจัดการเครือข่าย Protocol (SNMP) ดัก syslog ข้อความและผู้ใช้กำหนดโปรแกรมและ สคริปต์ ข้อความแจ้งเตือนโดยปกติจะมีเพียงข้อมูลพื้นฐานเกี่ยวกับเหตุการณ์; ผู้ดูแลระบบจำเป็นต้องเข้าถึงผู้พลัดถิ่นสำหรับข้อมูลเพิ่มเติม
IDPSs ยังสามารถที่จะเปลี่ยนแปลงรายละเอียดการรักษาความปลอดภัยของพวกเขาเมื่อภัยคุกคามใหม่ที่ตรวจพบ ตัวอย่างเช่นผู้พลัดถิ่นอาจจะสามารถเก็บรวบรวมข้อมูลรายละเอียดเพิ่มเติมสำหรับการใช้งานโดยเฉพาะอย่างยิ่งหลังจากที่กิจกรรมที่เป็นอันตรายถูกตรวจพบภายในระยะเวลาที่ ผู้พลัดถิ่นอาจเปลี่ยนแปลงการตั้งค่าสำหรับการแจ้งเตือนเมื่อบางอย่างจะถูกเรียกหรือสิ่งที่มีความสำคัญควรจะกำหนดให้แจ้งเตือนที่ตามมาหลังจากที่เป็นภัยคุกคามโดยเฉพาะอย่างยิ่งมีการตรวจพบ
The IPS stops the attack itself IPS จะหยุดการโจมตีของตัวเอง ตัวอย่างของวิธีการนี้สามารถทำได้มีดังนี้
--ยุติการเชื่อมต่อเครือข่ายของผู้ใช้ที่กำลังถูกใช้สำหรับการโจมตี
--ปิดกั้นการเข้าถึงเป้าหมาย (หรืออื่น ๆ อาจจะเป็นเป้าหมายน่าจะ) จากบัญชีผู้ใช้ที่กระทำผิดที่อยู่ IP, หรือคุณลักษณะโจมตีอื่น ๆ
--ปิดกั้นการเข้าถึงโฮสต์ที่กำหนดเป้าหมายการให้บริการโปรแกรมประยุกต์หรือทรัพยากรอื่น ๆ ทั้งหมด
--ปิดกั้นการเข้าถึงเป้าหมาย (หรืออื่น ๆ อาจจะเป็นเป้าหมายน่าจะ) จากบัญชีผู้ใช้ที่กระทำผิดที่อยู่ IP, หรือคุณลักษณะโจมตีอื่น ๆ
--ปิดกั้นการเข้าถึงโฮสต์ที่กำหนดเป้าหมายการให้บริการโปรแกรมประยุกต์หรือทรัพยากรอื่น ๆ ทั้งหมด
The IPS changes the security environment IPS
การเปลี่ยนแปลงสภาพแวดล้อมการรักษาความปลอดภัย IPs ที่อาจมีการเปลี่ยนแปลงการกำหนดค่าของการควบคุมความปลอดภัยอื่น ๆ ที่จะทำลายการโจมตี ตัวอย่างทั่วไปเป็น reconfiguring อุปกรณ์เครือข่ายที่ (เช่นไฟร์วอลล์, router, switch) เพื่อป้องกันการเข้าถึงจากการโจมตีหรือการกำหนดเป้าหมายและการแก้ไขไฟร์วอลล์โฮสต์ที่อยู่บนพื้นฐานของเป้าหมายเพื่อป้องกันการโจมตีที่เข้ามา IPSs บางคนสามารถทำให้เกิดการแพทช์เพื่อนำไปใช้กับโฮสต์ถ้า IPS ตรวจพบว่าโฮสต์ที่มีช่องโหว่
Types of IDPS Technologies ประเภทของเทคโนโลยีIDPS
Network-Basedvเครือข่ายซึ่งตรวจสอบการจราจรของเครือข่ายสำหรับกลุ่มเครือข่ายโดยเฉพาะหรืออุปกรณ์และการวิเคราะห์เครือข่ายและกิจกรรมโปรโตคอลประยุกต์เพื่อระบุกิจกรรมที่น่าสงสัย มันสามารถระบุประเภทที่แตกต่างของกิจกรรมที่น่าสนใจ จะใช้งานมากที่สุดที่ขอบเขตระหว่างเครือข่ายเช่นในความใกล้ชิดกับขอบไฟร์วอลล์หรือเราเตอร์เซิร์ฟเวอร์เสมือนเครือข่ายส่วนตัว (VPN), เซิร์ฟเวอร์การเข้าถึงระยะไกลและเครือข่ายไร้สาย
Wirelessแบบไร้สายซึ่งตรวจสอบการจราจรของเครือข่ายไร้สายและการวิเคราะห์โปรโตคอลเครือข่ายไร้สายในการระบุกิจกรรมที่น่าสงสัยที่เกี่ยวข้องกับโปรโตคอลเอง มันไม่สามารถระบุกิจกรรมที่น่าสงสัยในการสมัครหรือสูงกว่าชั้นโปรโตคอลเครือข่าย (เช่น TCP, UDP) ว่าการจราจรของเครือข่ายไร้สายคือการถ่ายโอน จะใช้งานมากที่สุดอยู่ในช่วงของเครือข่ายไร้สายขององค์กรในการตรวจสอบ แต่ยังสามารถนำไปใช้กับสถานที่ที่มีเครือข่ายไร้สายไม่ได้รับอนุญาตอาจจะเกิดขึ้น
Network Behavior Analysis (NBA)
การวิเคราะห์พฤติกรรมของเครือข่าย (เอ็นบีเอ), ซึ่งจะตรวจสอบเครือข่ายการจราจรในการระบุภัยคุกคามที่ก่อให้เกิดกระแสการจราจรที่ผิดปกติเช่นการปฏิเสธการกระจายของการบริการโจมตี (DDoS), รูปแบบบางอย่างของมัลแวร์ (เช่นเวิร์มแบ็ค), และการละเมิดนโยบาย (เช่น ระบบของลูกค้าให้บริการเครือข่ายกับระบบอื่น ๆ ) ระบบเอ็นบีเอจะใช้งานบ่อยที่สุดในการตรวจสอบกระแสบนเครือข่ายภายในขององค์กรและจะยังใช้งานบางครั้งที่พวกเขาสามารถตรวจสอบกระแสระหว่างเครือข่ายขององค์กรและเครือข่ายภายนอก (เช่น, Internet, เครือข่ายพันธมิตรทางธุรกิจ')
Host-Based
ซึ่งตรวจสอบลักษณะของโฮสต์เดียวและเหตุการณ์ที่เกิดขึ้นในพื้นที่ว่าสำหรับกิจกรรมที่น่าสงสัย ตัวอย่างของชนิดของลักษณะผู้พลัดถิ่นตามโฮสต์อาจจะมีการตรวจสอบเครือข่ายการจราจร (เฉพาะสำหรับโฮสต์ที่), ระบบล็อกกระบวนการทำงานและการจัดกิจกรรมการประยุกต์ใช้การเข้าถึงไฟล์และการแก้ไขและระบบและการประยุกต์ใช้เปลี่ยนแปลงการตั้งค่า IDPSs Host - based จะใช้งานมากที่สุดในครอบครัวที่สำคัญเช่นเซิร์ฟเวอร์ที่สาธารณชนสามารถเข้าถึงและเซิร์ฟเวอร์ที่มีข้อมูลสำคัญ
IDPS Technologies เทคโนโลยี IDP
ในส่วนนี้ให้ภาพรวมของผู้พลัดถิ่นเทคโนโลยี ข้อมูลที่นำเสนอในส่วนนี้จะนำไปใช้กับสินค้าทุกประเภทที่ผู้พลัดถิ่น; ข้อมูลเพิ่มเติมที่เฉพาะเจาะจงกับชนิดของสินค้าแต่ละรายการจะนำเสนอในมาตรา 4 ถึง 7 ในส่วนนี้จะครอบคลุมองค์ประกอบแรกที่สำคัญของเทคโนโลยีที่ผู้พลัดถิ่นและอธิบายถึงสถาปัตยกรรมที่ใช้โดยทั่วไปสำหรับการปรับใช้ส่วนประกอบ นอกจากนี้ยังให้คำอธิบายที่ระดับสูงของความสามารถในการรักษาความปลอดภัยของเทคโนโลยีรวมถึงวิธีการที่พวกเขาใช้เพื่อระบุกิจกรรมที่น่าสงสัย ส่วนที่เหลือของส่วนนี้อธิบายถึงความสามารถในการจัดการของเทคโนโลยีรวมถึงรายละเอียดคำแนะนำสำหรับการดำเนินงานและการดำเนินงาน
Security Capabilitiesความสามารถในการรักษาความปลอดภัย
- Information Gathering Capabilitiesนำเสนอข้อมูลความสามารถในการรวบรวมเทคโนโลยีเช่นการเก็บรวบรวมข้อมูลเกี่ยวกับโฮสต์หรือเครือข่ายจากการดำเนินกิจกรรมการสังเกต ตัวอย่างเช่นการระบุและโฮสต์ระบบปฏิบัติการและโปรแกรมประยุกต์ที่พวกเขาใช้และระบุลักษณะทั่วไปของเครือข่าย
- Logging Capabilities ความสามารถในการเข้าสู่ระบบ
- Detection Capabilitiesสามารถตรวจสอบ
- Prevention Capabilitiesความสามารถในการป้องกัน
- Networking Overview ภาพรวมของระบบเครือข่าย
TCP / IP ที่ใช้กันอย่างแพร่หลายทั่วโลกเพื่อให้เครือข่ายการสื่อสาร การสื่อสาร TCP / IP จะประกอบด้วยสี่ชั้นที่ทำงานร่วมกัน เมื่อผู้ใช้ต้องการที่จะถ่ายโอนข้อมูลข้ามเครือข่ายข้อมูลที่ถูกส่งผ่านจากชั้นสูงสุดที่ผ่านชั้นกลางถึงชั้นต่ำสุดที่มีชั้นการเพิ่มข้อมูลเพิ่มเติมในแต่ละ เลเยอร์ต่ำสุดจะส่งข้อมูลที่สะสมผ่านเครือข่ายทางกายภาพของข้อมูลที่มีการผ่านไปแล้วขึ้นผ่านชั้นไปยังปลายทาง เป็นหลักข้อมูลที่ผลิตโดยชั้นที่ห่อหุ้มในภาชนะขนาดใหญ่โดยชั้นด้านล่างสี่ชั้น TCP / IP จากสูงสุดไปต่ำสุด
Application Layer ชั้นโปรแกรมที่ช่วยให้การประยุกต์ใช้ในการถ่ายโอนข้อมูลระหว่างแอพพลิเคชันเซิร์ฟเวอร์และไคลเอนต์ ตัวอย่างของโปรโตคอลชั้นโปรแกรมประยุกต์คือ Hypertext Transfer Protocol (HTTP) ซึ่งถ่ายโอนข้อมูลระหว่างเว็บเซิร์ฟเวอร์และเว็บเบราเซอร์
Components and Architecture องค์ประกอบและสถาปัตยกรรม
Typical Components ส่วนประกอบทั่วไป
เครื่องใช้ไฟฟ้าที่ใช้เซ็นเซอร์จะประกอบด้วยฮาร์ดแวร์และซอฟต์แวร์เฉพาะเซ็นเซอร์ ฮาร์ดแวร์ที่มีการเพิ่มประสิทธิภาพโดยทั่วไปสำหรับใช้เซ็นเซอร์รวมทั้งนิคส์ผู้เชี่ยวชาญและไดรเวอร์ NIC สำหรับการจับภาพที่มีประสิทธิภาพของแพ็คเก็ตและโปรเซสเซอร์เฉพาะหรือส่วนประกอบฮาร์ดแวร์อื่น ๆ ที่ช่วยในการวิเคราะห์ ทั้งหมดหรือบางส่วนของซอฟต์แวร์ IDPSอาจจะอยู่ในเฟิร์มให้มีประสิทธิภาพเพิ่มขึ้น
Network Architectures and Sensor Locations สถาปัตยกรรมเครือข่ายและสถานที่เซ็นเซอร์
องค์กรควรพิจารณาการใช้เครือข่ายการจัดการสำหรับเครือข่ายการใช้งานของพวกเขาเมื่อใดก็ตามที่เป็นไปได้ผู้พลัดถิ่น หากผู้พลัดถิ่นจะใช้งานได้โดยไม่ต้องเครือข่ายการจัดการแยกองค์กรควรพิจารณาหรือไม่ VLAN เป็นสิ่งจำเป็นเพื่อป้องกันการสื่อสารที่ IDPS
inline เซ็นเซอร์แบบอินไลน์จะใช้งานเพื่อให้การจราจรในเครือข่ายก็คือการตรวจสอบจะต้องผ่านมัน, มากเช่นการจราจรที่เกี่ยวข้องกับไฟร์วอลล์ ในความเป็นจริงบางเซ็นเซอร์แบบอินไลน์จะมีไฟร์วอลล์ไฮบริด / ผู้พลัดถิ่นอุปกรณ์ในขณะที่คนอื่นจะ IDPSs เพียงแรงจูงใจหลักสำหรับการปรับใช้เซ็นเซอร์เป็นผู้พลัดถิ่นในบรรทัดเพื่อให้พวกเขาเพื่อหยุดการโจมตีโดยการปิดกั้นการจราจรเครือข่าย
ตัวอย่าง Inline เครือข่ายที่ใช้สถาปัตยกรรมเซนเซอร์ IDPS
Passive เซ็นเซอร์แบบพาสซีฟจะใช้งานเพื่อที่จะตรวจสอบสำเนาของเครือข่ายการจราจรที่เกิดขึ้นจริงเป็นจริงการจราจรไม่ผ่านเซ็นเซอร์ เซ็นเซอร์ Passive คือใช้งานตามปกติเพื่อให้พวกเขาสามารถตรวจสอบสถานที่เครือข่ายที่สำคัญเช่นหน่วยงานระหว่างเครือข่ายและกลุ่มเครือข่ายที่สำคัญเช่นกิจกรรมบนเครือข่ายย่อยของเขตปลอดทหาร (DMZ) เซ็นเซอร์ passive สามารถตรวจสอบการจราจรผ่านทางวิธีการต่างๆรวมดังรูปต่อไปนี้
Passive Network-Based IDPS Sensor Architecture Example
Passive Network-Based IDPS Sensor Architecture Example
Host-Based IDPS Agent Deployment Architecture Example
ไม่มีความคิดเห็น:
แสดงความคิดเห็น