מערכת לגילוי חדירות

מערכת לגילוי חדירות (באנגלית: Intrusion Detection System בקיצור: IDS) היא התקן או תוכנה המנטרת את המערכת או תעבורת הרשת, חושפת ומתריעה על פעולות חשודות, ניסיונות גישה בלתי מורשים, התקפות על הרשת או כל פעולה אשר מנוגדת לחוקים שהוגדרו מראש.

כל פעולה המפרה את החוקים שנקבעו מדווחת למנהל המערכת ונרשמת במערכת מידע וניהול אירועים (SIEM) המבדילה בין אזעקות שווא לבין פעילות זדונית כגון: ניסיונות כניסה כושלים, שימוש יתר בכרטיס אשראי, הפעלת מערכות שלא לצורך, הוספת הרשאות יתר למשתמשים שונים ועוד.

איתור וניתוח[עריכת קוד מקור | עריכה]

למערכות IDS מספר שיטות לאיתור וניתוח תעבורת רשת:

איתור:

• זיהוי חתימה - שיטה זו משמשת לאיתור התקפות על ידי חיפוש תבניות ספציפיות או על ידי הכרת דפוס הפעולה של הקובץ הזדוני בדומה לאנטי וירוס.
• זיהוי חריגים (זיהוי אנומליות) - שיטה זו משמשת לזיהוי התקפות לא ידועות. שיטה זו אינה מתבססת על הכרת דפוס פעולה ידוע מראש אלא מחפשת תבניות שונות במטרה לחשוף פעולות שלא זוהו בעבר.

ניתוח:

• מערכת איתור חדירה לרשת (NIDS - Network Intrusion Detection System) - ממוקמת בנקודה אסטרטגית, עוקבת אחר כל תעבורת הרשת ואינה מחפשת אחר שינויים בקובצי המחשב. תפקידה לאתר שינויים והתקפות בתעבורת הרשת כגון: עומס בשעה לא סבירה, התקפות DDoS וכוח ברוטלי. בסוף התהליך המערכת תפיק דו"ח אירועים ותשלח אל מנהל הרשת להמשך בדיקה.
• מערכת לגילוי חדירות מבוססת מחשב מארח (HIDS - Host Intrusion Detection System) - בוחנת שינויים בקובצי מערכת ההפעלה של מחשב או התקן בודד, עוקבת אחר אירועים ופעולות חשודות ומדווחת עליהם למנהל המערכת. המערכת מפיקה קובץ Image של תצורת המערכת הנוכחית ותשווה אותו אל מול הקובץ הקודם, במידה וקובצי מערכת שונו או נמחקו היא תדווח על כך.

מערכת לגילוי חדירה בהשוואה לחומת אש[עריכת קוד מקור | עריכה]

מערכת לגילוי חדירות (IDS) עוקבת ובוחנת את כל הרשת, כאשר היא מזהה פעילות חשודה היא מתריעה ומעבירה את המידע אל הגורמים הרלוונטיים. לעומת זאת חומת אש (Firewall) מזהה חדירות ומונעת אותן, היא נראית כלפי חוץ, מגבילה את הגישה אל הרשת בעת הצורך אך אינה מתריעה על התקפות מתוך הרשת.

מגבלות[עריכת קוד מקור | עריכה]

• רעשים ברשת עשויים להגביל את אפקטיביות המערכת בגילוי אחר ניסיונות פריצה.
• למערכות IDS מספר גדול של אזעקות שווא כך שלעיתים הן מתעלמות מהתקפות אמיתיות.
• התקפות רבות מכוונות כנגד תוכנות מגרסה מסוימת ולפעמים מיושנת, יש צורך בעדכון קבוע של חתימות וקבצים המותאמים לגרסת היישום.
• לרוב, מנות מוצפנות אינן מזוהות על ידי מערכות לגילוי חדירות והמערכת עשויה שלא להבחין בקבצים חשודים או בפעילות זדונית.

התחמקות[עריכת קוד מקור | עריכה]

ישנן מספר שיטות שבעזרתן ניתן לחמוק מזיהוי:

• זיוף כתובות IP / שימוש בפרוקסי - טכניקה זו עשויה להקשות על מנהל הרשת באיתור מקור ההתקפה וסימון כתובת ה-IP כחשודה.
• פיצול מנות / שליחת מנות חלקית - טכניקה זו עשויה לבלבל את המערכת ולגרום לה לחשוב שהקובץ אינו חשוד.
• הימנעות משימוש בהגדרות ברירת מחדל - המערכת עשויה לזהות קובץ זדוני שנוצר ב-Metasploit בפורט ברירת המחדל מספר 4444.
• שינוי דפוסי פעולה - מערכות לגילוי חדירות, מתבססות על דפוסי פעולה קבועים וזיהוי חתימות של כלי התקפה רבים. במידה והמטען שנשלח על ידי כלי התקיפה יהיה שונה ממה שהמערכת לגילוי חדירות מצפה לקבל, יוכל התוקף לחמוק מגילוי.
• שימוש ברוחב פס נמוך.

מערכות לגילוי חדירות בקוד פתוח[עריכת קוד מקור | עריכה]

• ACARM-ng
• AIDE
• Bro NIDS
• Fail2ban
• Prelude Hybrid IDS
• Samhain
• OSSEC
• Snort
• Suricata

ראו גם[עריכת קוד מקור | עריכה]

• Burp Suite
• Iptables
• Wireshark
• רחרחן
• בדיקת חדירות
• מערכת למניעת חדירות

קישורים חיצוניים[עריכת קוד מקור | עריכה]

• חומת אש כמערכת לזיהוי ומניעת חדירות - אתר Trendmicro. (בעברית)
• התחמקות ממערכות לגילוי ומניעת חדירות - אתר Virus Bulletin. (באנגלית)
• מדריך למערכות גילוי ומניעת חדירות - אתר Nist.gov. (באנגלית)
• האתר הרשמי של Snort (באנגלית)
• עמוד מערכת Snort באתר Github (באנגלית)