Mere prevencije i zaštite

U novije vreme pokazalo se da zaštita kontrolom pristupa, mrežnom barijerom i softverom za

sprečavanje infekcije zlonamernim programima (virusi, crvi, trojanski konji, špijunski programi) nije
dovoljna. Pojavljuje se potreba da se sistem odbrani i od napada koji su dobro maskirani i sakriveni i
koji su uspeli da prođu kroz sve ostale sisteme. Takođe, značajan je skup problema vezan za napade koji
potiču od ljudi koji rade iznutra i koji legalno koriste pojedine delove sistema (engl. insider). Oni
samostalno ili u saradnji sa nekim ko je izvan sistema, pokušavaju da ugroze sigurnost sistema iz
najrazličitijih motiva. Kao posledica ove potrebe, pojavili su se:

 sistemi za detekciju upada u mreže (engl. Intrusion Detection Systems, IDS) i

 sistemi za sprečavanje upada u mreže (engl. Intrusion Prevention Systems, IPS).

Upad može biti definisan kao bilo koji skup akcija koji pokušava da kompromituje integritet,
poverljivost ili raspoloživost resursa. Sistem za detekciju upada proverava dolazeći (engl. inbound) ili
odlazeći (engl. outbound) saobraćaj i identifikuje sumnjive uzorke koji mogu da indikuju napada na
mrežu ili računarski sistem ili da kompromituju sistem. Primeri upada mogu biti izvedeni uz korišćenje
dodatnih elemenata ili u celini sa: virusom, prekoračenjem bafera, odbijanjem usluge ili lažiranjem IP
adrese.

Problem poznat pod imenom prelivanje (prekoračenje) bafera jedan je od zanimljivih primera koji je sve
češće eksploatisan. On je najčešće posledica programerske greške. U okviru zloupotrebe ovog propusta,
može se koristiti dodatni kod koji je napravljen da pokrene posebne akcije koje će poslati instrukciju
napadnutom računaru da izvrši vrlo štetne akcije kao što su: uništavanje ili izmena podataka, otkrivanje
poverljivih informacija ili narušavanje funkcionisanja rada računara.

Jedan poseban slučaj opasnosti koja se pojavljuje je rootkit. Rootkit je skup alata ili alat koji se sastoji
od malih i korisnih programa koji omogućavaju napadaču da ima pristup „root“ korisniku tj. korisniku
sa najviše ovlašćenja u sistemu. Drugim rečima, rootkit je skup programa i koda koji omogućava
permanentno i konzistentno, neprimetno prisustvo na kompjuteru.

Podela IDS sistema

Sistemi za detekciju upada su klasifikovani na više načina, zavisno od kriterijuma za klasifikaciju: šta se
detektuje, gde je IDS sistem smešten, kada otkriva napad i kako reaguje na napad.

Kriterijum podele: šta se detektuje?

Jedna od najranijih podela je definisala dve kategorije:

 detekcija zloupotreba (engl. misuse intrusion detection) i

 detekcija anomalija (engl. anomaly intrusion detection).

Detekcija zloupotreba podrazumeva otkrivanje poznatih napada koje eksploatišu poznate slabosti tj.
ranjivosti sistema. Detekcija zloupotreba može biti veoma snažna za one tipove napada koji su
programirani u sistemi za detekciju upada.
 Skica sistema za detekciju zloupotreba

Detekcija anomalija se koncentriše na neuobičajenu aktivnost uopšte govoreći, koja može indicirati
upad. Ako se aktivnost korisnika, koju posmatramo, razlikuje od uobičajene aktivnosti tj. ima devijaciju
u odnosu na uobičajeno ponašanje, onda možemo reći da se dešava anomalija. Međutim, nemoguće je
da se predvide svi mogući napadi koji se mogu desiti – čak i pokušaj da se to uradi uzeo bi puno truda
bez značajnog rezultata.

Mana sistema sa detekcijom anomalija je relativno visok broj lažnih alarma, tj. ovakav sistem vrlo često
ukazuje na nepostojeći napad. Ovi sistemi koriste merenje aktivnosti i potrebno je da odluče da li je
neka aktivnost možda napad. Ovo podrazumeva postavljanje profila ponašanja: normalnog i
abnormalnog profila.

Skica sistema za detekciju anomalija

Kriterijum podele: gde je sistem smešten?

Na osnovu domena ili područja u kome rade, odnosno na osnovu područja za koje su razvijeni, sistemi
za detekciju upada mogu biti podeljeni u tri grupe.

 Host bazirani IDS (engl. host based IDS, HIDS). Host bazirani napadi obično se trude da osvoje
pristup privilegovanim resursima na računaru. Mrežno bazirani napadi obično otežavaju legitimnim
korisncima da pristupe različitim mrežnim uslugama. Host bazirani sistemi za detekciju upada obično
skeniraju i analiziraju sistem, njegovu aktivnost i logove aplikacija. Oni, takođe, osmatraju stanje
sistema, izveštavajući o sumnjivim aktivnostima. Host bazirani sisemi koriste nadzorne logove sa:
 radnih stanica, servera, komutatora i logove specifične za određene proizvode. Najčešći problem sa
host baziranim sistemima je to što na analizu dobijaju samo one podatke koje su aplikacije već
upisale u logove, a takođe se može desiti da ne razumeju nameru neke akcije, tj. da akciju pogrešno
protumače.

 Mrežno bazirani IDS (engl. network based IDS, NIDS). Mrežno bazirani sistemi za detekciju upada
najčešće su bazirani na praćenju mrežnog saobraćaja koji teče kroz čvor – senzor. Ovi sistemi mogu
biti smešteni u rutere, pristupne tačke bežičnih mreža i druge mrežne komponente. Probleme
mrežnim sistemima za detekciju upada predstavljaju šifrovani saobraćaj, opterećenje mreže i
određivanje, tj. procenjivanje namere. Mrežno bazirani sistemi su u osnovi oslonjeni na prenosni
medijum (žični ili bežični). Neprimetni su i nezavisni o operativnom sistemu.

 Aplikativno bazirani IDS. Aplikacija najčešće odlučuje šta da raportira aplikativno baziranom
sistemu za detekciju upada. Aplikativno bazirani IDS su obično bazirani na polisama tj. politici
sigurnosti. Mana je ta što oni zahtevaju učešće aplikacije, a same aplikacije neće izveštavati o
događajima. Funkcije autorizacije, kao što su GAA-API, mogu pomoći da se reši ovaj problem.
Dobit je to što aplikacija razume objekte i entitete na koje se polise tj. politika sigurnosti odnosi.

Kriterijum podele: kada je napad otkriven?

Na osnovu trenutka u kome se napad detektuje, ovi sistemi se dele na sisteme koji napad detektuju:
 u realnom vremenu (engl. real time) i
 naknadno, tj. nakon dešavanja (engl. after the fact, post-mortem).

Kriterijum podele: reakcija na napad

Na osnovu tipa reakcije kada se napad desi, IDS sistemi se dele na pasivne i reaktivne.

 Pasivni sistemi za detekciju upada jednostavno detektuju i alarmiraju. Ako se otkrije sumnjiv ili
zlonameran saobraćaj ili ponašanje, generiše se alarm i šalje administratoru li korisniku, a do
njih je da li će preduzeti akciju da blokiraju aktivnost ili da odgovore na neki način.

 Reaktivni sistemi za detekciju upada ne samo da otkrivaju sumnjivi i zlonameran saobraćaj ili
ponašanje i alarmiraju administatora, već će preduzeti predefinisanu proaktivnu akciju da
odgovore na opasnost. Tipično, to može biti blokiranje daljeg mrežnog saobrćaja od izvorne IP
adrese ili korisnika ili zaustavljanje zlonamerne aktivnosti.

Faze odgovora na napad prema Bishopu su sledeće:

 priprema (engl. preparation),

 identifikacija (engl. identification),
 ogradjivanje – okruživanje (engl. containment),
 iskorenjivanje (engl. eradication),
 oporavak (engl. recovery),
 nastavak (engl. follow-up).