Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów
Open Source Security Information Management – system wykrywania intruzów Grzegorz Gałęzowski
linux@softwarae.com.pl
Motto NSA – agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo systemów teleinformatycznych, brzmi „Ufamy Bogu – wszystko inne sprawdzamy”. Większość administratorów ślepo wierzy w produkty i usługi pochodzące od dużych i renomowanych producentów. Często jednak takie myślenie jest weryfikowane przez mniej lub bardziej uzdolnionych włamywaczy.
K
ażdą stosowaną instalację informatyczną, należy testować i monitorować, głównie po to, by uprzedzić potencjalnych intruzów. Lepiej jest wykryć niebezpieczeństwo samemu, niż czekać, aż zrobią to hakerzy. Co powinno być monitorowane i testowane? Głównie wartości, które powinny podlegać ochronie, które najprościej i najbezpieczniej określić na podstawie Polityki Bezpieczeństwa. Podstawowe założenie to nie wpuścić wroga do naszego systemu teleinformatycznego.
cia zmiany stanu systemu lub sieci komputerowej. Przy wykryciu zmian IDS, może wysłać wiadomość alarmową lub podjąć zdefiniowane działania, aby odpowiednio ochronić sieć. Wyróżniamy dwa główne rodzaje systemów IDS: • •
oparte na serwerze (ang. Host-based); oparte na sieci komputerowej (ang. Network-based).
Pierwszy typ charakteryzuje się tym, że skanuje logi systemowe i otwarte połączenia sieciowe. Może także skanować Czym monitorować? dysk twardy komputera w poszukiwaniu anomalii. Rozwiązań może być bardzo wiele. Każdy wybiera to, w czym Drugi typ polega głównie na nasłuchiwaniu sieci i wyłanajlepiej się czuje i co w trakcie eksploatacji jest najtańsze. pywaniu zdarzeń w niej zachodzących. W miarę czasu używania przeważają koszty (głównie godziSystemy IDS dostarczają szeregu różnych usług: ny pracy administratora) przeznaczone na pielęgnację systemu, na wprowadzane modyfikacje itp. Dlatego do monitorowania na- • Identyfikują ruch sieciowy; leży wybrać dostosowany do naszych wymagań system IDS. • Alarmowanie poprzez wysyłanie komunikatów do administratora; Czym jest IDS • Zmiana konfiguracji systemu, wiele systemów IDS udoIDS (ang. Intrusion Detection System – System Występnia zmianę konfiguracji systemu w przypadku przekrywania Włamań) jest systemem, zdolnym do wykryprowadzonego ataku.
2
styczeń 2009