IDPS

Un Sistem de Prevenire al Intruziunilor - Intrusion Prevention System /Intrusion Detection Prevention System (IPS/IDPS) - reprezinta un echipament de securitate al retelei care monitorizeaza activitatile retelei si/sau sistemelor si poate reactiona, in timp real, sa blocheze sau sa previna unele activitati malitioase. Tehnologia prevenirii intruziunilor este vazuta de catre unii ca o extensie a tehnologiei de detectie a intruziunilor, deoarece un IPS trebuie sa fie in acelasi timp si un foarte bun IDS pentru a asigura o rata scazuta de alarme false. Un IPS este, in mod obisnuit, conceput pentru a opera complet invizibil in retea. Produsele IPS nu au de obicei o adresa IP din reteaua protejata dar pot raspunde in mod direct oricarui tip de trafic prin diverse metode (terminarea conexiunilor, renuntarea la pachete, generarea de alerte, etc.) Desi unele IPS-uri au abilitatea de a implementa reguli de firewall aceasta este de obicei o functie aditionala si nu una din functiile de baza ale produsului. Mai mult, tehnologia IPS ofera o mai buna monitorizare a operatiilor unei retele furnizand informatii despre statiile active, incercarile de autentificare esuate, continut necorespunzator si alte functii ale nivelelor retea si aplicatie. Componente tipice Un exemplu tipic de IDPS la nivel de reţea este compus din senzori, unul sau mai multe servere de management, multiple console, şi, opţional, unul sau mai multe servere de baze de date (dacă esete acceptată utilizarea lor). Toate aceste componente sunt similare cu alte tipuri de tehnologii IDPS, cu excepţia senzorilor. Un senzor specific acestui tip de sistem monitorizează şi analizează activitatea de reţea pe unul sau mai multe segmente de reţea. Cardurile de reţea, ce vor realiza monitorizarea vor fi în modul promiscuu, ceea ce înseamnă că vor accepta toate pachetele de intrare pe care le văd, indiferent de destinaţiile lor. Majoritatea implementărilor folosesc mulţi senzori, ajungându-se la implementari mari cu sute de senzori. Senzorii sunt disponibile în două formate: De tip appliance. Acest tip este compus din hardware specializat şi software de tip senzor. Hardware-ul este de obicei optimizat pentru utilizarea senzorului, incluzând interfeţe de reţea specializate şi driver de captare eficientă a pachetelor, procesoare specializate sau alte componente hardware care ajută la analiză. Este utilizat de cele mai multe ori un sistem de operare personalizat ce nu este destinat a fi accesat direct de către administrator; De tip software. Unii vendorii vând senzori compuşi doar din produse software. Administratorii îi pot instala doar pe host-uri ce îndeplinesc anumite cerinţe. Senzorul software poate include un sistem de operare specific, sau poate fi instalat într-unul standard ca orice altă aplicaţie. Arhitectura de reţea şi locaţiile senzorilor Organizaţiile ar trebui să ia în considerare utilizarea reţelelor de management pentru implementarea IDPS-urilor la nivel reţea dacă este posibil. În cazul în care un IDPS este implementat fără o reţea de management separată, organizaţiile trebuie să decidă dacă este nevoie sau nu de un VLAN pentru a proteja comunicaţiile interne. În plus faţă de alegerea reţelei pentru componente, administratorii trebuie să decidăunde să fie amplasaţi senzori.Aceştia pot fi utilizaţi într-unul din cele două moduri:  Inline. Un senzor inline este implementat astfel încât traficul de reţea ce este monitorizat trebuie să treacă prin el, la fel ca fluxul de trafic asociat cu un firewall. De fapt, unii astfel de senzori sunt nişte dispozitive hibride de tip firewall / IDPS Motivaţia principală pentru implementarea senzorilor inline este de a le permite 28 să oprească atacurile prin blocarea traficului în reţea. Senzori inline sunt de obicei plasaţi în locuri în care ar fi plasaţi firewall-uri sau alte dispozitive de securitate (la graniţa dintre reţelele interne, ce trebuie separate, şi cele externe). Senzori ce nu sunt hibrizi sunt de multe ori amplasaţi pe partea mai sigură a unei diviziuni de reţea pentru a avea mai puţin trafic de procesat şi pentru a reduce încărcătura unui firewall.Figura 1 prezintă o astfel de implementare.

Figura 1  Pasiv. Un senzor pasiv monitorizează o copie a traficului real de reţea. Senzori pasivi sunt de obicei implementaţi astfel încât să poată monitoriza locaţiile cheie ale unei reţele (diviziunile dintre reţelele) şi segmente de reţea cheie(activitatea într-o zonă demilitarizată - DMZ). Senzori pasivi pot monitoriza traficul, prin diverse metode,după cum urmează: o Port de tip spanning. Multe switch-uri au un port de tip spanning; reprezintă un port care poate vedea tot traficul de reţea ce trece prin switch. Conectarea unui senzor la un astfel de port poate permite monitorizarea traficului din reţea.Deşi această metodă de monitorizare este relativ uşor şi ieftin de implementat,ea poate fi problematică. În cazul în care un switch este configurat sau reconfigurat incorect, portul de tip spanning ar putea să nu vadă tot traficul. O altă problemă cu aceste porturi este că utilizarea lor duce la un consum mare de resurse; atunci când un switch are de prelucrat un flux foarte mare de trafic, este posibil ca portul să nu vadă tot traficul, existând posibilitatea chiar să fie închis. De asemenea, multe switch-uri dispun doar de un singur port de acest tip, iar în cele mai multe cazuri trebuie conectate multe dispozitive de genul uneltelor de monitorizare, analiză şi diagnosticare a traficului sau alte tipuri de senzori IDPS ce trebuie să analizeze acelaşi trafic. o Network Tap. Reprezintă o conexiune directă între un senzor şi reţeaua fizică de trafic.Este oferit astfel senzorului o copie a tot traficului de reţea transportat de dispozitivele fizice.Instalarea, în general, implică o perioadă de nefuncţionare a reţelei, iar eventuale probleme cu această metodă ar putea cauza perioade de nefuncţionare suplimentare. De asemenea, spre deosebire de porturile de tip spanning, ce sunt de obicei, deja prezente într-o organizatie, aceste interceptoare trebuie să fie achiziţionate şi incluse ca add-ons la reţea.

o IDS4de tip Load Balancer. Reprezintă un dispozitiv care agreghează şi direcţionează traficul de reţea către sisteme de monitorizare, inclusiv către senzori IDPS. Poate primi copii ale traficului de reţea de la unul sau mai multe porturi de tip spanning sau interceptoare de reţea, agregând traficul din diferite reţele (ex: reasamblează o sesiune care a fost împărţită între două reţele). Copii ale traficului sunt trimise apoi către unul sau mai multe dispozitive de ascultare, pe baza unui set de reguli stabilite de către un administrator. Regulile precizează ce tip de trafic direcţionează către fiecare dispozitiv de ascultare. Configuraţiile comune includ următoarele: putea fi făcut pentru disponibilitate ridicată sau pentru a avea mai multe tipuri de senzori ce efectuează o analiză concomitentă ale aceleaşi activităţi. funcţie de volum. Acest lucru se face se realizează pentru a efectua o echilibrarea a sarcinilor, astfel încât nici un senzor să nu fie supraîncărcat. adrese IP, protocoale sau alte caracteristici. Acest lucru ar putea fi făcută pentru echilibrarea a sarcinii, având de exemplu un senzor dedicat activitătii web şi un alt senzor ce monitorizează toate celelalte activităţi. Divizarea traficului ar putea fi făcută pentru a efectua o analiză mai detaliată a anumitor tipuri de trafic (ex: activităţi ce implică cele mai importante hosturi).

Divizarea traficului între mai mulţi senzori poate determina o reducere a preciziei de detecţie în cazul în care evenimentele legate sau porţiuni ale unui singur eveniment sunt văzute de senzori diferiţi. De exemplu, să presupunem că doi senzori observă etape diferite ale unui atac; în cazul în care fiecare pas este considerat benign luat izolat, dar luaţi împreună, în ordine sunt rău intenţionate, atunci atacul s-ar putea să nu fie recunoscut. Pentru a putea folosi un senzor în prevenţia intruziunilor acesta trebuie utilizat în mod inline, nu pasiv. Pentru că tehnicile pasive monitorizează doar o copie a traficului, ele nu oferă nici o metodă de încredere prin care să oprească traficul îna a ajunge la destinaţie. În unele cazuri, un senzor pasiv poate plasa pachete într-o reţea în încercarea de a perturbă o conexiune, dar astfel de metode sunt, în general, mai puţin eficiente decât metodele inline. Tipurile de evenimente cel mai frecvent detectate de senzori sunt: nivelul aplicaţie al stivei TCP.(ex: banner grabbing, buffer overflow, format string attacks, password guessing , transmisie de malware). Sunt analizate majoritatea protocoalelor speficice nivelului aplicaţie. Includem aici: DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name Server) , Finger, FTP (File Transfer Protocol), IMAP( Internet Message Access Protocol ), IRC( Internet Relay Chat ), NFS( Network File System), POP( Post Office Protocol ), HTTP6, RPC( Remote Call Procedura), SIP( Session Initiation Protocol), SMB( Server Message Bloc), SMTP( Simple Mail Transfer Protocol), SNMP( Simple Network Management Protocol), Telnet şi TFTP( Trivial File Transfer Protocol ), precum şi protocoalele specific bazelor de date, aplicaţii de mesagerie instant şi software-uri peer-to-peer de partajare de fişiere; lor, fragmentare neobşinuită a pachetelor, inundaţii(floods) cu SYN). Protocoalele cel mai des analizate sunt TCP şi UDP; reţea (adrese IP false, valorile ilegale în header-ul IP). Protocoalele cel mai des analizate sunt IPv4, ICMP, şi IGMP. Multe produse oferă suport şi pentru analiza IPv6.Nivelul de analiză IPv6 diferă de la un produs la altul.Unele nu oferă nici un suport IPv6 sau doar alertează administratorii de prezenţa activităţii IPv6. Altele pot face o procesare de bază a activităţii IPv6 şi a traficului IPv6 tunelat, cum ar fi înregistrare adreseleor IP sursă şi destinaţie, precum şi extragerea încărcăturii utile (ex: HTTP, SMTP) pentru o analiză în profunzime. Unele produse pot face o analiză completă a protocolului IPv6, cum ar fi confirmarea validităţii opţiunilor IPv6, pentru identificarea utilizarării anormale a protocolului; : protocoale de tunelare, backdoors, host-uri ce rulează aplicaţii/servicii neautorizate). Acestea sunt, de obicei, detectate prin analiza protocoalelor de tip stateful, care poate determina dacă activitatea dintr-o conexiune este în concordanţă cu protocolul utilizat, sau prin metode de detectare a anomaliilor ce pot identifica modificări ale fluxurilor de reţea şi porturile deschise; a de site-uri web nepotrivite, utilizarea aplicaţiilor interzise). Unele tipuri de încălcări ale politicii de securitate pot fi detectate prin IDPS-uri, permiţând administratorilor să precizeze caracteristicile activităţilor care nu ar trebui permise, cum ar fi numere de porturi TCP/ UDP, adrese IP, nume de site-uri web, precum şi alte date ce pot fi identificate prin examinarea traficului de reţea

Bibliografie: https://corisweb.stsisp.ro/instrumente/ids_ips http://stst.elia.pub.ro/PS/2013/PS2013toamna/442A_OPREA_Florentin-Alin.pdf