A hálózat és adatvédelmi rendszerek legbonyolultabb és érdekesebb típusa az illetéktelen hálózati behatolást jelző rendszer (IDS, intrusion detection system). Az IDS legfontosabb célja és feladata, hogy azonosítsa a hálózatban a gyanús vagy kártékony aktivitásokat, észrevegyen minden olyan tevékenységet amely eltér a rendszerek normális működésétől. Naplózza, katalogizálja és osztályozza a rendszerfolyamatokat. És ha megoldható válaszol is azokra. Olyan mint a fizikai biztonsági rendszerekben a riasztók.
Alapvetően két fajtáját alkalmazzák:
A Host alapú IDS (HIDS): egy önálló rendszer tevékenységének a figyelésére szolgál. Ilyen egy levelezőrendszer egy webszerver vagy egy önálló számítógép. Csak a saját gazdájával foglalkozik nincs kapcsolata a környezetével.
A Hálózatalapú IDS (NIDS): egy számítógép-hálózat tevékenységét ellenőrzi. Általában a hálózati kapcsolókat figyeli, monitorozza. Tipikus esetben nem tudja, hogy a rendszerhez tartozó egységeken belül mi történik.
Története
Az IDS ötlete és a megoldás iránti igény az 1970-es évek elején jelent meg a biztonsági szempontokból kritikussá vált elektronikus hálózatok védelmére az USA kormányzatánál és a hadseregénél. [1] J.P.Anderson dolgozata vetette fel az illetéktelen behatolások, vagy a nem rendeltetés szerinti erőforrás felhasználásnak rendszeraudit fájlokkal történő megfigyelését. És az akkor használatos mainframe rendszerek nem rendeltetés szerinti használatát figyelő automatikus programok elkészítését és használatát.
Mivel Anderson munkássága idején még nem léteztek valós idejű, szerepkörökön alapú párhuzamos eljárások (programok). Az ötlet valódi megvalósítása csak 1986-ban sikerült. Ez volt az Intursion Detection Expert System (IDES). Erről az első publikáció 1987 februárjában jelent meg az IEEE Transactions on Software Engineering folyóiratban. Ez a publikáció lényegében a ma is használatos IDS modell leírását tartalmazta.
Az amerikai kormány megrendelésére a modell alapján működő rendszer kidolgozásával a Haystack Labs-ot bizták meg. Több változat készült a MIDAS illetve a NADIR rendszerek míg 1989-ben a Haystack Labs piacra dobta az első kereskedelemben kapható IDS rendszert a Stalkert. Ez egy Host alapú rendszer volt amelyik az ellenérzést ismert minták audit adatainak a gyanús folyamatokkal való összehasonlításával végezte.
Az 1990-es évek közepén a host alapú rendszereket felváltják a hálózat alapú IDS-ek. Az IDS-ek területén a legjelentősebb eredményeket a San Antonio-i WheelGroup volt. Az első kereskedelemben elérhető hálózatalapú IDS-e a NetRanger[2] volt. Ez a program a hálózati kapcsolókat figyelte és a kapcsolókon áthaladó forgalom figyelésével jelezte a szabálytalan felhasználást, a gyanús, vagy kártékony aktivitásokat. Hamarosan az első Internetes IDS-t is piacra dobta a Internet Security Systems. Ez az 1996-ban piacra került RealSecure[3] volt. Miután a Cisco felismerte az IDS-ek jelentőségét, 1998-ban felvásárolta a WheelGroup-ot.
Felépítése
Minden illetéktelen hálózati behatolást jelző rendszer tipikusan a következő funkcionális, elsősorban logikai és szoftver elemekből épül fel:
Szenzorok, vagy forgalomfigyelő (traffic collector) elemek. Ezek figyelik és gyűjtik azokat az aktivitásokat, illetve eseményeket, amelyeket az IDS feldolgoz. Egy host alapú illetéktelen hálózati behatolást jelző rendszeren (HIDS) ezek lehetnek naplófájlok, vagy/és audit bejegyzések, illetve egy egy konkrét alkalmazás be és kimenő adatai. Hálózatalapú illetéktelen hálózati behatolást jelző rendszer (NIDS) esetén ezek tipikusan a hálózati kapcsoló forgalmának másolásához kapcsolódó mechanizmus csomaglehallgató (sniffer).
Elemző motor. Ez a komponens végzi az összegyűjtött hálózati forgalmi adatok vizsgálatát összehasonlítását valamilyen feltételezett vagy ismert, gyanús vagy kártékony aktivitás adatbázisban tárolt mintájával. Ez a rendszer agya.
Szignatúra (lenyomat) adatbázis. A szignatúra adatbázis a már ismert, gyanús vagy kártékony aktivitások mintagyűjteménye.
Felhasználói interfész és jelentéskészítő modul. Ez az elem biztosítja az IDS és a felhasználók közötti emberi kapcsolatot. Riasztásokat ad lehetőséget adva az emberi beavatkozásra és jelentéseket készít más szóval naplózza az IDS tevékenységét.
A legtöbb IDS egy-egy konkrét környezet igényeire van hangolva. Bizonyos minták, minta csoportok kikapcsolhatók. Például egy tisztán UNIX alapon működő környezetben feleslegesek lehetnek a Windows alapú riasztások. Különböző hálózati eseményekhez azok veszélyességét figyelembe véve különböző riasztási szintek kapcsolhatók. A legtöbb IDS-ben arra is van lehetőség, hogy a rendszer különböző gépeit (hosts) különböző mintákhoz kapcsoljuk. Azaz ugyan annak a tevékenységnek a végzését az egyik gépnek megengedjük, más gépek esetében tiltsuk.
Tűzfal és/vagy IDS
Mind a két szoftver feladata hogy a hálózati biztonság támogatása, felmerül a kérdés, mi a különbség a tűzfal és az illetéktelen hálózati behatolást jelző rendszer között? Az IDS és a tűzfal között az alapvető funkcionális különbség, hogy a tűzfal feladata a külső behatolások figyelése és azoknak a megakadályozása. Az alkalmazásszintű tűzfal adott szabályok alapján korlátozza a külső behatolások lehetőségét, de nem foglalkozik a rendszerből kifelé irányuló üzenetekkel. Az IDS, minden gyanús utasítás észlelésekor működésbe lép és riaszt. Az IDS a rendszer belső támadásait is folyamatosan figyeli. A hagyományos módszerek minden esetben azonosak: a hálózati kommunikáció figyelése, az ismert támadásokat figyelő heurisztikus szabályok, sémák és szignók használata, és különböző riasztási eljárások alkalmazása.