Tehnike zaobilaženja IDS sustava                                 

Jedan od vrlo korisnih sigurnosnih alata je sustav IDS (eng. Intrusion detection system). IDS prikuplja i analizira mrežne pakete te na taj način otkriva napade. IDS sustav može otkrivati napade prepoznavanjem uzoraka nepoželjnog ponašanja ili proučavanjem nepravilnosti koje odudaraju od uobičajenog načina rada. Kod prvog načina otkrivanja napada potrebno je definirati pravila koja opisuju nepoželjno ponašanje. Pravila se sastoje od kombinacija mrežnih adresa, protokola i sadržaja paketa koji se smatraju sumnjivim. Zaobilaženjem sustava IDS, napadač želi izvesti svoj napad na nekom računalu bez da IDS otkrije napad i prijavi ga administratoru. Postoji nekoliko načina zaobilaženja: od onih najjednostavnijih koji onemogućavaju rad sustava IDS do onih složenijih poput fragmentacije paketa. Proizvođači sustava IDS pobrinuli su se da otežaju napadačima zaobilaženje tako da jednostavniji načini zaobilaženja nisu više mogući. Međutim, zbog loše postavljenog sustava IDS, napadač može zaobići IDS čak i korištenjem jednostavnih tehnika. U ovom dokumentu će se opisati tehnike zaobilaženja sustava IDS, od najjednostavnijih do složenih. Opisati će se neki alati koje napadači mogu iskoristiti kako bi zaobišli sustave IDS. Iste alate mogu koristiti administratori kako bi provjerili ispravan rad sustava IDS.

 

 

Sustav IDS (eng. Intrusion detection system) je jedan od često korištenih sigurnosnih alata. Ovi sustavi otkrivaju napade u mreži koju nadgledaju te upozoravaju administratora kako bi on mogao poduzeti odgovarajuće mjere. Napade otkrivaju promatrajući i analizirajući mrežne pakete. Ovisno o tome gdje se u mreži postavljaju dijele se na NIDS (eng. Network intrusion detection system) i HIDS (eng. Host-based intrusion detection system). NIDS nadgleda cijelu mrežu i sposoban je otkriti napad na bilo koje računalo u mreži. HIDS se mora postaviti na svako računalo u mreži, a nadgleda promet samo na tom računalu. Zbog toga, HIDS može uočiti samo napade na računalu na kojem se nalazi, ali za razliku od NIDS sustava, bolje razumije na što je napad usmjeren.

 

Sustavi IDS mogu otkrivati napade na dva načina: prepoznavanjem uzoraka nepoželjnog ponašanja i proučavanjem odstupanja od uobičajenog rada sustava. Za prvi način rada potrebno je unaprijed ustanoviti pravila koja određuju uzorke nepoželjnog ponašanja. Radi se o kombinacijama mrežnih adresa i priključnica, protokola i sadržaja paketa koji se smatraju sumnjivim. Sustavi IDS uspoređuju uhvaćene mrežne pakete s pravilima i ukoliko pronađu podudaranje, obavještavaju administratora o napadu. Za drugi način rada potrebno je definirati što je to normalno ponašanje sustava. Sustav IDS određeno vrijeme uči što je normalno ponašanje mreže. Nakon toga, ukoliko uoči drugačije ponašanje, zaključuje da je došlo do napada i obavještava administratora. Nedostatak ovog načina rada je veći broj lažno pozitivnih (eng. false positive) detekcija, ali prednost je što može uočiti i nove napade.

Zaobilaženje sustava IDS podrazumijeva skrivanje napada na neko računalo u mreži od IDS sustava. Najjednostavniji način zaobilaženja sustava IDS je izvođenje DoS (eng. Denial of Service) napada na njemu, čime se onemogućuje njegov rad. Nekada je dovoljno samo uzrokovati jako veliki broj lažnih alarma zbog čega će administratorima biti teško razlučiti pravi napad od lažnog.

Nešto složeniji načini zaobilaženja otežavaju usporedbu uzoraka u IDS-ovim pravilima. Primjerice, ako IDS provjerava postoji li u paketima niz znakova „etc/passwd“, napadač može tako oblikovati svoj napad da se koristi drugačiji niz znakova koji ima istu posljedicu, npr. „etc/./passwd“. Često korištene tehnike su zamjene znakova s drugačijim kodiranjem, a kao primjer se može uzeti Unicode format koji omogućuje različite prikaze istog znaka.

Možda najsloženije tehnike zaobilaženja sustava IDS uključuju fragmentiranje paketa. Napadač namjerno fragmentira paket u kojem se nalazi zloćudni kod tako da zavara IDS. Često se koriste mogućnosti protokola TCP (eng. Transmission Control Protocol) poput RST (eng. reset) zastavica, zaštitnih suma i zastavica hitnosti.

Napadači mogu koristiti gotove alate koji zaobilaze IDS sustave koristeći neku od jednostavnijih tehnika. Većina IDS sustava je zaštićena od ovih tehnika, ali uvijek postoji mogućnost da zbog loših postavki napadač uspije iskoristiti jednostavnu tehniku kako bi zavarao IDS. Zbog toga se administratorima preporuča provjera IDS sustava korištenjem ovih alata.

Cijeli dokument (u PDF obliku) "Tehnike zaobilaženja IDS sustava " preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr