Spolo\u010dne s\u00a0ka\u017edodenn\u00fdm v\u00fdvojom nov\u00fdch sie\u0165ov\u00fdch technol\u00f3gi\u00ed vstupuj\u00fa do hry tie\u017e nov\u00e9 hrozby, ktor\u00e9 sa sna\u017eia tieto technol\u00f3gie po\u0161kodi\u0165. Dynamick\u00e1 povaha sie\u0165ov\u00fdch \u00fatokov si vy\u017eaduje dynamick\u00fa obranu hne\u010f na nieko\u013ek\u00fdch miestach.<\/p>\n
Syst\u00e9my pre spr\u00e1vu siete \u010dasto kr\u00e1t disponuj\u00fa mo\u017enos\u0165ou monitorovania sie\u0165ovej prev\u00e1dzky a\u00a0pod\u00e1vaj\u00fa tie\u017e jednotn\u00fd poh\u013ead do internej sie\u0165ovej infra\u0161trukt\u00fary, \u010do poskytuje sie\u0165ov\u00fdm administr\u00e1torom a\u00a0bezpe\u010dnostn\u00fdm technikom siln\u00fa zbra\u0148 v\u00a0boji proti z\u00e1\u0161kodn\u00edkom, ktor\u00fd chc\u00fa ich sie\u0165 po\u0161kodi\u0165.<\/p>\n
Pokia\u013e chc\u00fa v\u00a0dne\u0161nej dobe spr\u00e1vcovia siet\u00ed zabezpe\u010di\u0165 ich infra\u0161trukt\u00faru, mali by spoji\u0165 tzv. Defense-in-depth \/ Obranu do h\u013abky \/ a\u00a0osved\u010den\u00e9 postupy pri zabezpe\u010dovan\u00ed siete.<\/p>\n
<\/p>\n
Syst\u00e9my detekcie prieniku a\u00a0syst\u00e9my prevencie prieniku (IDS\/IPS) s\u00fa zariadenia, ktor\u00e9 dok\u00e1\u017eu odhali\u0165 naru\u0161enie bezpe\u010dnosti sie\u0165ovej infra\u0161trukt\u00fary a\u00a0to tak, \u017ee monitoruj\u00fa aktivity sie\u0165ov\u00fdch zariaden\u00ed alebo opera\u010dn\u00fdch syst\u00e9mov. Pokia\u013e sa vyskytne anom\u00e1lia pri behu syst\u00e9mu, IPS vykon\u00e1 potrebn\u00e9 kroky k\u00a0navr\u00e1teniu syst\u00e9mu do \u0161tandardn\u00e9ho stavu.<\/p>\n
Naru\u0161enie bezpe\u010dnosti obvykle prich\u00e1dza vo forme \u0161kodliv\u00fdch vstupov do cie\u013eovej aplik\u00e1cie alebo slu\u017eby (be\u017eiacej napr. na servery). \u00dato\u010dn\u00edk m\u00f4\u017ee takto z\u00edska\u0165 nie len pr\u00edstup do aplik\u00e1cie, ale tie\u017e kontrolu nad pracovnou stanicou alebo serverom. Po \u00faspe\u0161nom \u00fatoku na zranite\u013en\u00e9 miesta aplik\u00e1cie m\u00f4\u017ee \u00fato\u010dn\u00edk vypn\u00fa\u0165 slu\u017eby ktor\u00e9 dan\u00e1 aplik\u00e1cia poskytuje. \u00dato\u010dn\u00edci v\u0161ak \u010dasto kr\u00e1t nap\u00e1daj\u00fa syst\u00e9my preto, aby z\u00edskali pr\u00edstup k\u00a0pr\u00e1vam a\u00a0opr\u00e1vneniam ktor\u00e9 s\u00fa pre dan\u00fa aplik\u00e1ciu v\u00a0syst\u00e9me implicitne potrebn\u00e9.<\/p>\n
<\/p>\n
IPS<\/strong> b\u00fdva \u010dasto kr\u00e1t zariadenie, ktor\u00e9 je v\u00a0sie\u0165ovej infra\u0161trukt\u00fare zaraden\u00e9 hne\u010f za firewall a\u00a0poskytuje tak doplnkov\u00fd stupe\u0148 ochrany pred vstupom \u0161kodliv\u00fdch d\u00e1t a\u00a0spr\u00e1v do syst\u00e9mu. Syst\u00e9my IDS<\/strong> s\u00fa syst\u00e9my pas\u00edvne, \u010do znamen\u00e1, \u017ee len na\u010d\u00favaj\u00fa sie\u0165ovej komunik\u00e1cii a\u00a0pokia\u013e sa vyskytne probl\u00e9m, alarmuj\u00fa administr\u00e1tora, tam v\u0161ak ich \u00faloha kon\u010d\u00ed. Syst\u00e9m IPS je naopak raden\u00fd priamo medzi odosielate\u013ea a\u00a0prij\u00edmate\u013ea sie\u0165ovej komunik\u00e1cie a\u00a0dok\u00e1\u017ee tak priamo a\u00a0akt\u00edvne skenova\u0165 tak\u00fato komunik\u00e1ciu, a\u00a0pokia\u013e sa vyskytne nejak\u00e1 anom\u00e1lia, ktor\u00e1 m\u00f4\u017ee by\u0165 vyhodnoten\u00e1 ako naru\u0161enie bezpe\u010dnosti, IPS za\u010dne kona\u0165.<\/p>\n <\/p>\n Medzi \u010dinnosti ktor\u00e9 IPS vykon\u00e1va pri odhalen\u00ed \u0161kodlivej komunik\u00e1cie patr\u00ed:<\/p>\n <\/p>\n Ke\u010f\u017ee IPS je zariadenie raden\u00e9 priamo do sie\u0165ovej komunik\u00e1cie a\u00a0svoju \u010dinnos\u0165 vykon\u00e1va v\u00a0re\u00e1lnom \u010dase, mus\u00ed pracova\u0165 r\u00fdchlo a\u00a0efekt\u00edvne, aby zbyto\u010dne neza\u0165a\u017eoval sie\u0165 a\u00a0nezni\u017eoval tak jej v\u00fdkon. IPS mus\u00ed by\u0165 tie\u017e schopn\u00e9 rozl\u00ed\u0161i\u0165, \u010di sa skuto\u010dne jedn\u00e1 o\u00a0\u0161kodliv\u00fa komunik\u00e1ciu, aby sa predi\u0161lo probl\u00e9mom pri komunik\u00e1cii sp\u00f4soben\u00fdmi pr\u00e1ve \u010dinnos\u0165ami ktor\u00e9 vykon\u00e1va IPS pri detekcii nechcenej komunik\u00e1cie.<\/p>\n <\/p>\n IPS vyu\u017e\u00edva mnoho met\u00f3d pre vyh\u013ead\u00e1vanie \u00fatokov na zranite\u013en\u00e9 miesta syst\u00e9mu. Spome\u0148me tie mechanizmy, ktor\u00e9 s\u00fa v\u00a0IPS\/IDS syst\u00e9moch pou\u017e\u00edvan\u00e9 naj\u010dastej\u0161ie.<\/p>\n Detek\u010dn\u00fd mechanizmus je zalo\u017een\u00fd na vyh\u013ead\u00e1van\u00ed fixn\u00fdch sekvenci\u00ed znakov v\u00a0pakete ktor\u00e9 s\u00fa typick\u00e9 pre niektor\u00e9 druhy sie\u0165ov\u00fdch \u00fatokov. Ako u\u017e samotn\u00fd n\u00e1zov detek\u010dn\u00e9ho mechanizmu nazna\u010duje, jedn\u00e1 sa o zna\u010dne nepru\u017en\u00fa, av\u0161ak jednoduch\u00fdm sp\u00f4sobom pou\u017eite\u013en\u00fa met\u00f3du. Syst\u00e9m IPS m\u00e1 v\u00a0tomto pr\u00edpade svoj vlastn\u00fd slovn\u00edk \u201ezna\u010diek\u201c, ktor\u00fd si postupne automaticky dop\u013a\u0148a. IPS monitoruje sie\u0165ov\u00fd tok a\u00a0pokia\u013e n\u00e1jde v\u00a0komunik\u00e1cii zna\u010dku, ktor\u00e1 je zhodn\u00e1 s\u00a0tou v\u00a0slovn\u00edku, vykon\u00e1 ur\u010dit\u00fa pr\u00edslu\u0161n\u00fa oper\u00e1ciu<\/p>\n V mnoh\u00fdch pr\u00edpadoch je vzorka porovnate\u013en\u00e1 len vtedy, ak je podozriv\u00fd paket priraden\u00fd konkr\u00e9tnej slu\u017ebe, pr\u00edpadne (pri po\u017eiadavke na vy\u0161\u0161iu presnos\u0165 detekcie) je paket cielen\u00fd na konkr\u00e9tny port, alebo prich\u00e1dzaj\u00faci z konkr\u00e9tneho zdrojov\u00e9ho portu. To umo\u017e\u0148uje zn\u00ed\u017ei\u0165 po\u010det vykonan\u00fdch kontrol nad ka\u017ed\u00fdm paketom, ale zvy\u0161uje to n\u00e1ro\u010dnos\u0165 detekcie pri protokoloch, ktor\u00e9 sa neodkazuj\u00fa na zn\u00e1me porty (napr. Tr\u00f3jske kone a nimi vyvolan\u00e9 toky \u00fadajov, ktor\u00e9 si aplik\u00e1cie zvy\u010dajne sami pres\u00favaj\u00fa pod\u013ea potreby).<\/p>\n \u0160trukt\u00fara mechanizmu porovn\u00e1vania vzoriek je pribli\u017ene nasledovn\u00e1:<\/p>\n Ak je TCP paket typu IPv4, cie\u013eov\u00fd port je 2222 a \u00fadaje obsahuj\u00fa re\u0165azec znakov \u201cpqr\u201d spust\u00ed sa reakcia.<\/em><\/span><\/p>\n Tento pr\u00edklad detek\u010dn\u00e9ho mechanizmu zalo\u017een\u00e9ho na porovn\u00e1van\u00ed vzoriek je samozrejme ve\u013emi zjednodu\u0161en\u00fd. V skuto\u010dnosti sa do vzorky vklad\u00e1 i \u0161pecifick\u00fd \u0161tartovac\u00ed a ukon\u010dovac\u00ed bod pre detekciu v r\u00e1mci paketu, pr\u00edpadne s\u00fa \u0161pecifikovan\u00e9 TCP pr\u00edznaky pre pakety na ktor\u00e9 m\u00e1 by\u0165 bran\u00fd oh\u013ead.<\/p>\n <\/p>\n V\u00fdhody: <\/strong><\/p>\n Nev\u00fdhody: <\/strong><\/p>\n <\/p>\n Met\u00f3da \u0161tatistickej anal\u00fdzy odch\u00fdlok je zalo\u017een\u00e1 na vyh\u013ead\u00e1van\u00ed takej sie\u0165ovej prev\u00e1dzky, ktor\u00e1 je odli\u0161n\u00e1 od prev\u00e1dzky ozna\u010denej za \u201enorm\u00e1lnu\u201c. Pri tomto mechanizme <\/strong>detekcii, je najprv vytvoren\u00fd obraz norm\u00e1lneho prev\u00e1dzkov\u00e9ho stavu siete a\u00a0ten je potom periodicky porovn\u00e1van\u00fd s\u00a0aktu\u00e1lnym stavom siete. IPS takto dok\u00e1\u017ee detekova\u0165 anom\u00e1lie v\u00a0sie\u0165ovej komunik\u00e1cii a\u00a0vykona\u0165 pr\u00edslu\u0161n\u00e9 opatrenia pre ochr\u00e1nenie syst\u00e9mu. Najv\u00e4\u010d\u0161\u00edm probl\u00e9mom tejto metodiky je prvotn\u00e1 defin\u00edcia \u201enorm\u00e1lnej\u201c prev\u00e1dzky.<\/p>\n Niektor\u00e9 syst\u00e9my maj\u00fa pevne stanoven\u00e9 defin\u00edcie norm\u00e1lu a na z\u00e1klade toho m\u00f4\u017eu by\u0165 hodnoten\u00e9 heuristick\u00fdmi met\u00f3dami. Niektor\u00e9 syst\u00e9my s\u00fa vybudovan\u00e9 tak, aby sa po implement\u00e1cii postupne dostali do norm\u00e1lu, pri\u010dom ich v\u00fdhodou je, \u017ee s\u00fa schopn\u00e9 eliminova\u0165 mo\u017enos\u0165 nevhodnej klasifik\u00e1cie abnorm\u00e1lneho spr\u00e1vania za norm\u00e1lne.<\/p>\n Ak je vzorka sledovanej prev\u00e1dzky pova\u017eovan\u00e1\u00a0 za norm\u00e1lnu, syst\u00e9m mus\u00ed rozhodn\u00fa\u0165, ak\u00fdm sp\u00f4sobom rozl\u00ed\u0161i\u0165\u00a0 medzi povolen\u00fdmi odch\u00fdlkami a odch\u00fdlkami ktor\u00e9 nie s\u00fa povolen\u00e9, alebo ktor\u00e9 m\u00f4\u017eu predstavova\u0165 prebiehaj\u00faci \u00fatok. Aplik\u00e1cie v tejto oblasti s\u00fa preva\u017ene akademick\u00e9, i ke\u010f existuje aj nieko\u013eko komer\u010dn\u00fdch produktov, ktor\u00e9 pou\u017e\u00edvaj\u00fa met\u00f3du anal\u00fdzy odch\u00fdlok.<\/p>\n Podkateg\u00f3riou tohoto typu detekcie s\u00fa met\u00f3dy zalo\u017een\u00e9 na detekcii profilov (profile-based analysis)<\/strong>. Tieto syst\u00e9my maj\u00fa hl\u00e1senia zalo\u017een\u00e9 na zmen\u00e1ch sp\u00f4sobu ak\u00fdm prebieha interakcia pou\u017e\u00edvate\u013eov a siete. Druhy tejto interakcie sp\u00f4sobuj\u00fa mnoh\u00e9 podobn\u00e9 limit\u00e1cie a na z\u00e1klade t\u00fdchto zmien je mo\u017en\u00e9 odvodi\u0165 a definova\u0165 jednotliv\u00e9 profily.<\/p>\n Zauj\u00edmav\u00e9 fakty m\u00f4\u017eu by\u0165 odvoden\u00e9 z trendov\u00fdch \u00fadajov, pri\u010dom tieto s\u00fa schopn\u00e9 odhali\u0165 prebiehaj\u00faci\u00a0 \u00fatok na z\u00e1klade uveden\u00e9ho algoritmu.<\/p>\n Inform\u00e1cie, ktor\u00e9 tieto syst\u00e9my poskytuj\u00fa s\u00fa v\u0161ak vo v\u0161eobecnosti ve\u013emi ne\u0161pecifick\u00e9 a ak maj\u00fa by\u0165 uveden\u00e9 do spr\u00e1vneho kontextu, je nutn\u00e9 v\u017edy ich \u010fal\u0161ie do\u0161etrenie.<\/p>\n V niektor\u00fdch pr\u00edpadoch s\u00fa hranice medzi jednotliv\u00fdmi metodikami rozostret\u00e9, preto\u017ee mnoh\u00e9 prostriedky pre dek\u00f3dovanie protokolov upozor\u0148uj\u00fa pou\u017e\u00edvate\u013ea na pr\u00edtomnos\u0165 poru\u0161enia pravidiel protokolu, ktor\u00e9 nemusia priamo s\u00favisie\u0165 s konkr\u00e9tnym typom \u00fatoku, av\u0161ak sa zdaj\u00fa by\u0165 \u201eneobvykl\u00e9\u201c (napr. detekcia mo\u017en\u00e9ho prete\u010denia z\u00e1sobn\u00edka). V takomto pr\u00edpade detek\u010dn\u00e9 prostriedky udr\u017euj\u00fa datab\u00e1zu atrib\u00fatov syst\u00e9mu pre detekciu anom\u00e1li\u00ed.<\/p>\n <\/p>\n V\u00fdhody: <\/strong><\/p>\n <\/p>\n Nev\u00fdhody: <\/strong><\/p>\n <\/p>\n Algoritmus dek\u00f3dovania protokolov je v mnoh\u00fdch oh\u013eadoch inteligentnej\u0161\u00edm roz\u0161\u00edren\u00edm stavov\u00e9ho porovn\u00e1vania vzoriek.<\/p>\n T\u00e1to trieda signat\u00far je implementovan\u00e1 pomocou detekcie protokolu. Akon\u00e1hle je identifikovan\u00fd protokol, IDS vyh\u013ead\u00e1 pr\u00edpadn\u00e9 priestupky vo\u010di pravidl\u00e1m, ktor\u00e9 s\u00fa definovan\u00e9 v konkr\u00e9tnom RFC.<\/p>\n V niektor\u00fdch pr\u00edpadoch s\u00fa tieto poru\u0161enia pravidiel n\u00e1jden\u00e9 pomocou porovn\u00e1vania vzoriek priamo v r\u00e1mci \u0161pecifick\u00e9ho po\u013ea protokolu, ale niektor\u00e9 si vy\u017eaduj\u00fa pokro\u010dilej\u0161ie techniky ktor\u00e9 opisuj\u00fa premenn\u00e9 spolu s\u00a0 d\u013a\u017ekou\u00a0 po\u013ea, pr\u00edpadne i s po\u010dtom argumentov.<\/p>\n Je potrebn\u00e9 si uvedomi\u0165, \u017ee porovn\u00e1vanie vzoriek a dek\u00f3dovanie protokolov sa navz\u00e1jom nevylu\u010duj\u00fa.<\/p>\n Pre ilustr\u00e1ciu met\u00f3dy je mo\u017en\u00e9 op\u00e4\u0165 pou\u017ei\u0165 pr\u00edklad \u201epqr\u201c \u00fatoku:<\/p>\n Nech z\u00e1kladn\u00fdm protokolom ktor\u00fd je pri \u00fatoku pou\u017eit\u00fd bude fikt\u00edvny BGS protokol a z\u00e1rove\u0148 je predpokladan\u00e1 pr\u00edtomnos\u0165 nepovolen\u00e9ho argumentu \u201cpqr\u201c v poli \u201eType\u201c, protokolu BGS. Pre skomplikovanie pr\u00edpadu je e\u0161te mo\u017en\u00e9 uva\u017eova\u0165, \u017ee po\u013eu \u201eType\u201c predch\u00e1dza pole \u201eBGS Options\u201c s premenlivou d\u013a\u017ekou.\u00a0 Re\u00e1lnymi hodnotami m\u00f4\u017eu by\u0165 napr\u00edklad \u201eopqrs\u201c alebo \u201epqrst\u201c.<\/em><\/span><\/p>\n Pou\u017eitie be\u017en\u00e9ho algoritmu porovn\u00e1vania vzoriek povedie k vygenerovaniu falo\u0161n\u00e9ho hl\u00e1senia, preto\u017ee v\u0161etky hodnoty obsahuj\u00fa sledovan\u00fa vzorku. Navy\u0161e \u2013 vzh\u013eadom na to, \u017ee d\u013a\u017eka po\u013ea m\u00f4\u017ee by\u0165 r\u00f4zna, nie je mo\u017en\u00e9 obmedzi\u0165 falo\u0161n\u00e9 hl\u00e1senia limit\u00e1ciou za\u010diatku a konca sledovanej vzorky.<\/em><\/span><\/p>\n Jedin\u00fdm sp\u00f4sobom, ako sa uisti\u0165, \u017ee re\u0165azec \u201cpqr\u201c bol odovzdan\u00fd prostredn\u00edctvom argumentu BGS \u201eType\u201c je \u00fapln\u00e9 dek\u00f3dovanie protokolu.<\/em><\/span><\/p>\n <\/p>\n V\u00fdhody: <\/strong><\/p>\n Nev\u00fdhody: <\/strong><\/p>\n <\/p>\n K\u013e\u00fa\u010dov\u00fdm predpokladom efekt\u00edvnej \u010dinnosti IDS\/IPS je z\u00edskanie relevantn\u00fdch inform\u00e1ci\u00ed zo zdrojov rozmiestnen\u00fdch v monitorovanom prostred\u00ed. N\u00e1vrh architekt\u00fary IDS\/IPS je teda z\u00e1visl\u00fd predov\u0161etk\u00fdm na spr\u00e1vnom vyzna\u010den\u00ed sledovanej sie\u0165ovej prev\u00e1dzky.<\/p>\n Touto \u010das\u0165ou seri\u00e1lu o\u00a0sie\u0165ovej bezpe\u010dnosti sme chceli poskytn\u00fa\u0165 poh\u013ead na syst\u00e9my prevencie a\u00a0detekciu prieniku, ktor\u00e9 pom\u00e1haj\u00fa chr\u00e1ni\u0165 intern\u00e9 siete ka\u017edej v\u00e4\u010d\u0161ej spolo\u010dnosti. Sie\u0165ov\u00e9 technol\u00f3gie a\u00a0bezpe\u010dnos\u0165 je skuto\u010dne rozsiahla t\u00e9ma, tak\u017ee \u010fal\u0161ia \u010das\u0165 \u201eSpustite sie\u0165\u201c v\u00a0porad\u00ed u\u017e 4. pr\u00edde \u010doskoro.<\/p>\n <\/p>\n Prv\u00e1 \u010das\u0165: \u00a0\u00a0„Spustite sie\u0165!“ – bezpe\u010dnos\u0165 a in\u00e9 pojmy<\/a><\/p>\n\n
<\/h2>\n
Detek\u010dn\u00e9 mechanizmy<\/strong><\/h2>\n
\n<\/h2>\n
Porovn\u00e1vanie vzoriek (signature based) <\/strong><\/h3>\n
\n
\n
Anal\u00fdza odch\u00fdlok (anomaly based) <\/strong><\/h3>\n
\n
\n
<\/h3>\n
<\/h3>\n
Dek\u00f3dovanie protokolov <\/strong><\/h3>\n
\n
\n