תסתכל על הציטוט הזה של האדמירל גרייס הופר
'החיים היו פשוטים יותר לפני מלחמת העולם השנייה. אחרי זה היו לנו מערכות ”
אז מה זה בעצם אומר? עם המצאת מערכות (מערכות מחשב) עלה הגידול לצרכים שונים של רשת, ועם הרשת הגיע הרעיון של שיתוף נתונים. כיום בעידן זה של גלובליזציה, עם התפתחות טכנולוגיית המידע וכן קלות גישה ופיתוח כלי פריצה, מגיע הצורך באבטחה של נתונים חשובים. חומות אש יכולות לספק זאת, אך הן לעולם אינן מתריעות בפני המנהל על התקפות כלשהן. לשם מגיע הצורך במערכת אחרת - מעין מערכת זיהוי.
מערכת גילוי חדירה היא פיתרון נדרש לבעיה הנ'ל. זה דומה למערכת אזעקת פריצה בביתך או לכל ארגון שמזהה נוכחות של התערבות לא רצויה ומזהיר את מנהל המערכת.
זהו סוג של תוכנה שתוכננה להזהיר אוטומטית את המנהלים כאשר מישהו מנסה לפרוץ את המערכת באמצעות פעילויות זדוניות.
עכשיו לפני שנכיר א מערכת איתור חדירה בואו נזכר בקצרה על חומות אש.
חומות אש הן תוכנות או התקני חומרה אשר באמצעותם ניתן למנוע התקפה זדונית על המערכת או על הרשת. הם בעצם משמשים כמסננים החוסמים כל סוג של מידע העלול לגרום לאיום על המערכת או הרשת. הם יכולים לפקח על מעט תוכן של החבילה הנכנסת או לפקח על כל החבילה.
סיווג מערכת גילוי חדירה:
בהתבסס על סוג המערכות ש- IDS מגן עליהן:
- מערכת גילוי חדירת רשת : מערכת זו עוקבת אחר התנועה ברשתות או רשתות בודדות על ידי ניתוח רציף של התעבורה והשוואה עם ההתקפות הידועות בספריה. אם מתגלה התקפה, נשלחת התראה למנהל המערכת. הוא ממוקם בעיקר בנקודות חשובות ברשת, כך שהוא יכול לפקוח עין על התנועה שנוסעת אל המכשירים השונים ברשת וממנה. ה- IDS ממוקם לאורך גבול הרשת או בין הרשת לשרת. יתרון של מערכת זו הוא שניתן לפרוס אותה בקלות ובעלות נמוכה, מבלי שיהיה צורך לטעון אותה עבור כל מערכת.
מערכת גילוי חדירת רשת
- מערכת לגילוי פריצות מארח : מערכת כזו עובדת על מערכות בודדות בהן מפקחים כל הזמן על חיבור הרשת למערכת, כלומר נכנסות ויוצאות של מנות וגם נעשה ביקורת של קבצי מערכת ובמקרה של אי התאמה, מנהל המערכת מוזעק על אותו דבר. מערכת זו עוקבת אחר מערכת ההפעלה של המחשב. ה- IDS מותקן במחשב. היתרון של מערכת זו בכך שהיא יכולה לפקח במדויק על כל המערכת ואינה דורשת התקנה של חומרה אחרת.
מערכת לגילוי פריצות מארח
מבוסס על שיטת העבודה:
- מערכת איתור פריצות מבוסס חתימה : מערכת זו פועלת על פי עקרון ההתאמה. הנתונים מנותחים ומשווים את חתימת ההתקפות הידועות. במקרה של התאמה כלשהי, ניתנת התראה. יתרון של מערכת זו הוא שיש לה דיוק רב יותר והתראות סטנדרטיות המובנות למשתמש.
מערכת איתור פריצות מבוסס חתימה
- מערכת לגילוי חדירה מבוססת אנומליות : הוא מורכב ממודל סטטיסטי של תעבורת רשת רגילה המורכב מרוחב הפס בו משתמשים, הפרוטוקולים שהוגדרו עבור התעבורה, היציאות והתקנים המהווים חלק מהרשת. הוא עוקב באופן קבוע אחר תעבורת הרשת ומשווה אותה למודל הסטטיסטי. במקרה של חריגה או אי התאמה, המנהל יקבל התראה. יתרון של מערכת זו הוא שהיא יכולה לזהות התקפות חדשות וייחודיות.
מערכת לגילוי חדירה מבוססת אנומליות
בהתבסס על תפקודם:
- מערכת גילוי חדירה פסיבית : הוא פשוט מגלה את סוג הפעולה הזדונית ומעביר התראה למערכת או למנהל הרשת. (מה שראינו עד עכשיו!). הפעולה הנדרשת ננקטת על ידי מנהל המערכת.
מערכת גילוי חדירה פסיבית
- מערכת גילוי חדירה תגובתי : זה לא רק מזהה את האיום אלא גם מבצע פעולה ספציפית על ידי איפוס החיבור החשוד או חוסם את תעבורת הרשת מהמקור החשוד. זה ידוע גם בשם מערכת למניעת חדירה.
מאפיינים אופייניים של מערכת גילוי חדירה:
- הוא עוקב ומנתח את פעילויות המשתמש והמערכת.
- היא מבצעת ביקורת של קבצי המערכת ותצורות אחרות ומערכת ההפעלה.
- הוא מעריך את תקינות קבצי המערכת והנתונים
- הוא מבצע ניתוח של דפוסים על בסיס התקפות ידועות.
- הוא מזהה שגיאות בתצורת המערכת.
- זה מזהה ומזהיר אם המערכת נמצאת בסכנה.
תוכנת זיהוי פריצות חינם
מערכת גילוי חדירה לנחירות
אחת מתוכנות גילוי הפריצות הנפוצות ביותר היא תוכנת Snort. זו חדירת רשת תוכנת איתור פותח על ידי קובץ המקור. היא מבצעת ניתוח תעבורה וניתוח פרוטוקולים בזמן אמת, התאמת תבניות ואיתור של מתקפות מסוגים שונים.
מערכת גילוי חדירה לנחירות
מערכת איתור חדירה מבוססת נחרן מורכבת מהרכיבים הבאים:
רכיבי Snort IDS על ידי מערכת גילוי חדירה עם Snort
- מפענח מנות : זה לוקח חבילות מרשתות שונות ומכין אותן לעיבוד מקדים או לכל פעולה נוספת. זה בעצם מפענח את חבילות הרשת הקרובות.
- מעבד מקדים : הוא מכין ומשנה את מנות הנתונים וגם מבצע איחוי של מנות נתונים, מפענח את זרמי ה- TCP.
- מנוע גילוי : הוא מבצע איתור מנות על בסיס כללי נחר. אם חבילה כלשהי תואמת את הכללים, ננקטת פעולה מתאימה, אחרת היא הושמטה.
- מערכת רישום והתראות : החבילה שזוהתה מחוברת לקבצי מערכת או במקרה של איומים, המערכת מתריעה על כך.
- מודולי פלט : הם שולטים בסוג הפלט ממערכת הרישום וההתראות.
היתרונות של מערכות גילוי חדירה
- הרשת או המחשב מנוטרים ללא הרף על כל פלישה או התקפה.
- ניתן לשנות ולשנות את המערכת בהתאם לצרכים של לקוחות ספציפיים ויכולה לסייע בחוץ כמו גם באיומים פנימיים על המערכת והרשת.
- זה מונע למעשה כל נזק לרשת.
- הוא מספק ממשק ידידותי למשתמש המאפשר מערכות ניהול אבטחה קלות.
- ניתן לאתר ולדווח על כל שינוי בקבצים ובספריות במערכת.
החיסרון היחיד של מערכת איתור הפריצות הוא שהם לא יכולים לזהות את מקור ההתקפה ובכל מקרה של התקפה, הם פשוט נועלים את כל הרשת. אם יש לך שאלות נוספות בנושא מושג זה או בפרויקטים חשמליים ואלקטרוניים השאירו את ההערות למטה.
