Moderna in­trångs­de­tek­te­rings­sy­stem kom­plet­te­rar tra­di­tio­nel­la brand­väg­gar på ett effektivt sätt. De ana­ly­se­rar och övervakar kon­ti­nu­er­ligt system och hela nätverk i realtid, iden­ti­fi­e­rar po­ten­ti­el­la hot och meddelar ome­del­bart ad­mi­nist­ra­tö­rer­na. Det faktiska försvaret mot attacker utförs därefter med hjälp av yt­ter­li­ga­re pro­gram­va­ra.

Vad ligger bakom ett IDS (in­trångs­de­tek­te­rings­sy­stem)?

Även om moderna dator- och nät­verks­sä­ker­hets­sy­stem är avan­ce­ra­de blir cy­be­r­at­tac­ker­na också allt mer so­fisti­ke­ra­de. För att skydda känslig in­fra­struk­tur på ett effektivt sätt bör du överväga att använda flera sä­ker­hets­åt­gär­der. I detta sam­man­hang är ett in­trångs­de­tek­te­rings­sy­stem (IDS) ett först­klas­sigt kom­ple­ment till brand­väg­gen. Ett IDS är utmärkt för att tidigt upptäcka attacker och po­ten­ti­el­la hot och varnar ome­del­bart ad­mi­nist­ra­tö­rer som sedan kan vidta snabba för­svars­åt­gär­der. Viktigt är att ett in­trångs­de­tek­te­rings­sy­stem också kan iden­ti­fi­e­ra attacker som kan ha brutit igenom brand­väg­gens försvar.

Till skillnad från ex­em­pel­vis ett in­trångs­skydds­sy­stem skyddar ett IDS inte mot attacker i sig. Istället ana­ly­se­rar in­trångs­de­tek­te­rings­sy­ste­met all aktivitet i ett nätverk och jämför den med specifika mönster. När ovanliga ak­ti­vi­te­ter upptäcks varnar systemet an­vän­da­ren och ger de­tal­je­rad in­for­ma­tion om attackens ursprung och karaktär.

Tips

För mer in­for­ma­tion om skill­na­der­na mellan system för in­trångs­de­tek­te­ring och in­trångs­före­byg­gan­de, se vår separata artikel om detta ämne.

Vilka typer av in­trångs­de­tek­te­rings­sy­stem finns det?

In­trångs­de­tek­te­rings­sy­stem delas in i tre typer: värd­ba­se­ra­de (HIDS), nät­verks­ba­se­ra­de (NIDS) eller hy­brid­sy­stem som kom­bi­ne­rar HIDS- och NIDS-principer.

HIDS: Värd­ba­se­ra­de in­trångs­de­tek­te­rings­sy­stem

Det värd­ba­se­ra­de in­trångs­de­tek­te­rings­sy­ste­met är den äldsta formen av sä­ker­hets­sy­stem. Här in­stal­le­ras IDS direkt på mot­sva­ran­de system. Det ana­ly­se­rar data på både logg- och kärnnivå och un­der­sö­ker även andra system­fi­ler. För att kunna användas på fri­ståen­de ar­bets­sta­tio­ner är det värd­ba­se­ra­de in­trångs­de­tek­te­rings­sy­ste­met beroende av över­vak­nings­a­gen­ter som för­fil­tre­rar trafiken och skickar re­sul­ta­ten till en central server. Systemet är mycket noggrant och om­fat­tan­de, men kan vara sårbart för attacker som DoS och DDoS. Dessutom är det beroende av det specifika ope­ra­tiv­sy­ste­met.

NIDS: Nät­verks­ba­se­ra­de in­trångs­de­tek­te­rings­sy­stem

Ett nät­verks­ba­se­rat in­trångs­de­tek­te­rings­sy­stem un­der­sö­ker datapaket som utbyts inom ett nätverk och iden­ti­fi­e­rar ome­del­bart ovanliga eller onormala mönster för rap­por­te­ring. Det kan dock vara svårt att hantera stora da­ta­mäng­der, vilket kan över­be­las­ta in­trångs­de­tek­te­rings­sy­ste­met och hindra en smidig över­vak­ning.

Hy­brid­in­trångs­de­tek­te­rings­sy­stem

Idag väljer många le­ve­ran­tö­rer hy­brid­sy­stem för in­trångs­de­tek­te­ring som in­te­gre­rar båda metoderna. Dessa system består av värd­ba­se­ra­de sensorer, nät­verks­ba­se­ra­de sensorer och ett centralt för­valt­nings­la­ger där re­sul­ta­ten samlas för djup­gå­en­de analys och kontroll.

Syfte och fördelar med ett IDS

Ett in­trångs­de­tek­te­rings­sy­stem ska aldrig betraktas eller användas som er­sätt­ning för en brandvägg. Det är istället ett först­klas­sigt kom­ple­ment som, i kom­bi­na­tion med brand­väg­gen, iden­ti­fi­e­rar hot på ett mer effektivt sätt. Eftersom in­trångs­de­tek­te­rings­sy­ste­met kan analysera även det högsta lagret i OSI-modellen kan det upptäcka nya och tidigare okända fa­ro­käl­lor, även om brand­väg­gens skydd har brutits.

Hur ett in­trångs­de­tek­te­rings­sy­stem fungerar

Hy­brid­mo­del­len är den van­li­gas­te typen av in­trångs­de­tek­te­rings­sy­stem och använder både värd- och nät­verks­ba­se­ra­de metoder. Den insamlade in­for­ma­tio­nen ut­vär­de­ras i det centrala han­te­rings­sy­ste­met med hjälp av tre olika kom­po­nen­ter.

Da­ta­mo­ni­tor

Da­ta­mo­ni­torn samlar in all relevant data via sensorer och filtrerar den utifrån dess relevans. Detta omfattar data från värdsidan, inklusive loggfiler och system­de­tal­jer, samt datapaket som överförs via nätverket. IDS samlar bland annat in och or­ga­ni­se­rar käll- och des­ti­na­tions­a­dres­ser samt andra viktiga attribut. Ett viktigt krav är att den insamlade datan kommer från en pålitlig källa eller direkt från in­trångs­de­tek­te­rings­sy­ste­met för att sä­ker­stäl­la da­tain­tegri­te­ten och förhindra tidigare ma­ni­pu­la­tion.

Ana­ly­sa­tor

Den andra kom­po­nen­ten i in­trångs­de­tek­te­rings­sy­ste­met är ana­ly­sa­torn, som ansvarar för att utvärdera all mottagen och för­fil­tre­rad data med hjälp av olika mönster. Denna ut­vär­de­ring sker i realtid, vilket kan vara särskilt krävande för CPU och hu­vud­min­ne. Till­räck­lig kapacitet är avgörande för en snabb och korrekt analys. Ana­ly­sa­torn använder två olika metoder för detta ändamål:

  • Misbruk­de­tek­te­ring: Vid misbruk­de­tek­te­ring granskar ana­ly­sa­torn in­kom­man­de data för att hitta kända at­tack­möns­ter som lagras i en särskild databas som upp­da­te­ras re­gel­bun­det. När en attack stämmer överens med en tidigare re­gi­stre­rad signatur kan den iden­ti­fie­ras i ett tidigt skede. Denna metod är dock in­ef­fek­tiv för att upptäcka attacker som ännu inte är kända för systemet.
  • De­tek­te­ring av av­vi­kel­ser: De­tek­te­ring av av­vi­kel­ser innebär att hela systemet ut­vär­de­ras. När en eller flera processer avviker från de fast­ställ­da normerna flaggas sådana av­vi­kel­ser. Om till exempel CPU-be­last­ning­en över­skri­der ett angivet trös­kel­vär­de eller om det sker en ovanlig ökning av sidåt­koms­ter, utlöses en varning. In­trångs­de­tek­te­rings­sy­ste­met kan också analysera den kro­no­lo­gis­ka ordningen av olika händelser för att iden­ti­fi­e­ra okända at­tack­möns­ter. Det är dock viktigt att notera att i vissa fall kan även ofarliga av­vi­kel­ser rap­por­te­ras.

Varning

Den tredje och sista kom­po­nen­ten i in­trångs­de­tek­te­rings­sy­ste­met är själva larmet. Om en attack eller åt­minsto­ne av­vi­kel­ser upptäcks in­for­me­rar systemet ad­mi­nist­ra­tö­ren. Denna avisering kan ske via e-post, via ett lokalt larm eller via ett med­de­lan­de på smart­te­le­fo­nen eller surf­plat­tan.

Vilka är nack­de­lar­na med ett in­trångs­de­tek­te­rings­sy­stem?

Även om in­trångs­de­tek­te­rings­sy­stem för­bätt­rar sä­ker­he­ten har de, som nämnts tidigare, också nackdelar. Värd­ba­se­ra­de IDS kan vara sårbara för DDoS-attacker, och nät­verks­ba­se­ra­de system kan ha problem i större nät­verks­kon­fi­gu­ra­tio­ner, vilket kan leda till att datapaket går förlorade. Ano­ma­li­de­tek­te­ring kan, beroende på kon­fi­gu­ra­tio­nen, utlösa falska larm. Dessutom är alla IDS ute­slu­tan­de utformade för hot­de­tek­te­ring, vilket kräver yt­ter­li­ga­re pro­gram­va­ra för effektivt försvar mot attacker.

In­trångs­de­tek­te­rings­sy­stem och exemplet Snort

Ett av de mest kända och populära systemen för in­trångs­de­tek­te­ring är Snort. Sä­ker­hets­verk­ty­get, som ut­veck­la­des av Martin Roesch redan 1998, är inte bara platt­form­so­be­ro­en­de och öppen källkod, utan erbjuder också an­vän­dar­na om­fat­tan­de fö­re­byg­gan­de åtgärder som ett system för in­trångs­skydd. Pro­gram­met finns till­gäng­ligt gratis och i en betald version där man till exempel får upp­da­te­ring­ar snabbare.

Gå till huvudmeny