Kompleksowe zabezpieczenie sieci
2. SYSTEMY WYKRYWANIA WŁAMAŃ (IDS)
2.3. Architektury wdrażania systemów wykrywania włamań
Biorąc pod uwagę różne istniejące typy IDS-ów, również ich implementacja może się różnić w zależności od systemu i sieci. Wiadomo, że IDS oparty na sygnaturach skupia się na sygnaturach znanych ataków i podatności, korzystając z dużej bazy danych, aby skompilować swoje reguły i wykryć włamanie. Jednak taka implementacja może nie być odpowiednia dla sieci, którą administrujemy. Tutaj pierwszym krokiem jest zrozumienie potrzeb ochrony sieci i systemów, określenie ich głównych priorytetów i celów.
Z drugiej strony, system IDS oparty na anomaliach wykorzystuje normalny stan pracy sieci i systemów, aby odpowiednio zidentyfikować nienormalne zachowania i stwierdzić, czy są one rzeczywiście spowodowane włamaniem, czy też są to normalne zachowania sieci. Ponownie potrzebny jest wcześniejszy plan, w którym system i sieć muszą być udokumentowane i skonfigurowane w systemie IDS, aby mógł on rozpoznać wzorce zachowań.
Powszechnie, obecnie, spotyka się również IDS-y pracujące w oparciu o uczenie maszynowe. Tutaj po raz kolejny konieczne jest zebranie informacji o normalnym funkcjonowaniu sieci i jej systemów, dzięki czemu możliwe jest nauczenie maszyny o prawidłowych i normalnych stanach pracy, przed jej ostatecznym użyciem.
Podobnie jak implementacja firewalla, również implementacja IDS może być różna i może być zawarta na granicy lub wewnątrz sieci.
Najczęstszym wdrożeniem systemu IDS jest umieszczenie go na granicy sieci prywatnej i publicznej. Ponieważ jest to jeden z głównych punktów krytycznych sieci, jego monitorowanie i analiza jest kluczowa dla utrzymania dobrego poziomu bezpieczeństwa i zapobiegania nieautoryzowanemu dostępowi do sieci wewnętrznej i systemów (Rysunek 13). Umieszczając IDS w tym miejscu, cały ruch przychodzący i wychodzący jest monitorowany i kontrolowany, jednak wymaga to również większej mocy obliczeniowej i zdolności do radzenia sobie z dużą ilością ruchu. Ponieważ system kontroluje dostęp do sieci publicznej, niska wydajność systemu IDS będzie skutkować również niską wydajnością komunikacji z sieciami zewnętrznymi, zwykle z Internetem.
Rysunek 13 - Instalacja systemu IDS pomiędzy siecią wewnętrzną a zewnętrzną
Można również spotkać różne systemy IDS wdrożone na granicy segmentów sieci lub sieci LAN, monitorujące i analizujące ruch pomiędzy nimi. Taka implementacja jest zwykle spotykana w przypadku połączeń między sieciami korporacyjnymi i krytycznymi systemami, gdzie każdy segment może mieć swój dedykowany i specyficzny serwer IDS (rysunek 14).
Rysunek 14 - Instalacja systemu IDS na granicy segmentów sieci LAN
Podchodząc do IDS opartego na hostach, skupia się on na ochronie pojedynczego hosta. Ten typ architektury implementacji jest odpowiedni do ochrony konkretnych serwerów lub komputerów, które są łatwym celem ataków. Będąc host-based, instalacja agenta IDS odbywa się na samym serwerze lub komputerze, gdzie istnieje potrzeba, aby posiadał on dobrą moc obliczeniową i pamięciową. Taka architektura nie jest odpowiednia dla wszystkich urządzeń, ponieważ nie wszystkie są w stanie poradzić sobie z analizą dużego ruchu sieciowego i powinna być wdrażana tylko dla pojedynczych serwerów i krytycznych komputerów. Ponadto, zastosowanie architektury host-based wymaga istnienia dedykowanego serwera IDS, który komunikuje się z każdym z istniejących agentów IDS. W zależności od liczby monitorowanych hostów wzrośnie również ilość danych o ruchu sieciowym, co może spowodować zalanie sieci komunikacją IDS, obniżając jej wydajność.
Implementacja sieciowego systemu IDS przynosi bardziej efektywną analizę i monitoring, gdy sieć obejmuje większą liczbę hostów oraz gdy skupiamy się na infrastrukturze krytycznej z urządzeniami o mniejszej mocy obliczeniowej. Na podstawie samej analizy ruchu sieciowego, architektura sieciowa nie wymaga stosowania agentów IDS zaimplementowanych na hostach, a co za tym idzie, nie jest również generowany ruch komunikacyjny IDS w sieci. Ten typ architektury wykorzystuje jeden lub więcej dedykowanych serwerów, zainstalowanych wewnątrz sieci, które zbierają i analizują dane o ruchu sieciowym, identyfikując jego nieprawidłowe zachowanie lub nieprawidłowe wzorce na ruchu w celu wykrycia włamania ze strony nieautoryzowanych agentów.
Chociaż istnieją trzy główne architektury implementacji IDS, większość naukowców i badaczy w tej dziedzinie twierdzi, że najlepsze rozwiązanie IDS polega na połączeniu trzech poprzednich architektur. Wykorzystanie różnych typów i architektur implementacji przynosi wyższy współczynnik wykrywalności włamań, a w konsekwencji wyższy poziom bezpieczeństwa.
Ponadto połączenie HIDS i NIDS umożliwia monitorowanie całej sieci, ze szczególnym uwzględnieniem krytycznych serwerów lub komputerów, które przechowują lub dostarczają ważne dane i usługi użytkownikom sieci.