IDS/IPS: systemy wykrywania i zapobiegania włamaniom do sieci komputerowych

Abstract

Zostały zaprezentowane systemy: IDS (ang. Intrusion Detection System) i IPS (Intrusion Prevention System). Systemy te są wykorzystywane do wykrywania odpowiednio włamań (IDS) i zapobiegania włamaniom (IPS). Technologie te są wdrażane w routerze Cisco 3845 pracującym na styku sieci LAN i WAN w sieci komputerowej PIAP-LAN - jako element oprogramowania routera. Korzystanie z sygnatur firmy Cisco wymaga posiadania aktualnego wsparcia dla stosowanego routera. Omówiono architekturę systemów IDS oraz IPS. Architektura ta oparta jest na rozwiązaniach: hostowe HIDS (tzw. host-based IDS) oraz rozwiązanie sieciowe NIDS (Network IDS). W zakresie topologii, systemy IPS dzielą się na rozwiązania sieciowe, a w tym bazujące na sondzie pasywnej podłączonej do portu monitorującego przełącznika, analizującej wszystkie pakiety w danym segmencie sieci oraz inline – z sondą umieszczoną pomiędzy dwoma segmentami sieci, pozbawioną adresów IP i działającą w trybie przezroczystego mostu przekazującego wszystkie pakiety w sieci. Obie stosowane topologie sieciowe mogą współpracować w środowiskach określonych architekturą HIDS oraz NIDS. Zostały omówiono cechy i parametry systemów IDS i IPS. Przedstawiono również metody i narzędzia przeznaczone do konfiguracji obu systemów ochrony przed włamaniami.