ויקיפדיה

מערכת לגילוי חדירות – הבדלי גרסאות

עיון אינטראקטיבי בהיסטוריה
→ העריכה הקודמתהעריכה הבאה ←
תוכן שנמחק תוכן שנוסף
חזותיקוד ויקי
אין תקציר עריכה
מ סקריפט החלפות (מסוי, קובצי)
שורה 1:
'''מערכת לגילוי חדירות''' (ב[[אנגלית]]: '''I'''ntrusion '''D'''etection '''S'''ystem בקיצור: '''IDS''') היא התקן או תוכנה המנטרת את המערכת או תעבורת רשתהרשת, חושפת ומתריעה על פעולות חשודות, ניסיונות גישה בלתי מורשים, התקפות על הרשת או יישום.כל פעולה אשר מנוגדת לחוקים שהוגדרו מראש.
 
כל פעולה המפרה את החוקים שנקבעו מדווחת למנהל המערכת ונרשמת במערכת מידע וניהול אירועים (SIEM) המבדילה בין אזעקות שווא לבין פעילות זדונית כגון: [[אימות זהות|נסיונות כניסה]] כושלים, שימוש יתר ב[[כרטיס אשראי]], הפעלת מערכות שלא לצורך, הוספת הרשאות יתר למשתמשים שונים ועוד.
המערכת חושפת ומתריאה (בזמן אמת ומאפשרת מעקב במועד מאוחר יותר לאחר שכבר קרו) על פעולות חשודות, נסיונות גישה בלתי מורשים, התקפות על הרשת או כל פעולה אשר מנוגדת לחוקים שהוגדרו מראש.
 
כל פעולה המפרה את החוקים שנקבעו מדווחת למנהל המערכת ונרשמת במערכת מידע וניהול אירועים (SIEM) המבדילה בין אזעקות שווא לבין פעילות זדונית כגון:
נסיונות כניסה כושלים, שימוש יתר בכרטיס אשראי, הפעלת מערכות שלא לצורך, הוספת הרשאות יתר למשתמשים שונים ועוד.
 
==איתור וניתוח==
שורה 10 ⟵ 7:
 
'''איתור:'''
* זיהוי חתימה - שיטה זו משמשת לאיתור התקפות על ידי חיפוש תבניות ספציפיות או על ידי הכרת דפוס הפעולה של הקובץ הזדוני בדומה לאנטיל[[אנטי וירוס]].
* זיהוי חריגים ([[זיהוי אנומליות]]) - שיטה זו משמשת לזיהוי התקפות לא ידועות. שיטה זו אינה מתבססת על הכרת דפוס פעולה ידוע מראש אלא מחפשת תבניות שונות במטרה לחשוף פעולות שלא זוהו בעבר.
 
'''ניתוח:'''
* מערכת איתור חדירה לרשת (NIDS - Network Intrusion Detection System) - ממוקמת בנקודה אסטרטגית, עוקבת אחר כל תעבורת הרשת ואינה מחפשת אחר שינויים בקבציבקובצי המחשב. תפקידה לאתר שינויים והתקפות בתעבורת הרשת כגון: עומס מסויימתמסוימת{{הבהרה}}, התקפות DDOS[[DDoS]] וכחו[[כוח ברוטלי]]. בסוף התהליך המערכת תפיק דו"ח אירועים ותשלח אל מנהל הרשת להמשך בדיקה.
* מערכת לגילוי חדירות מבוססת מחשב מארח (HIDS - Host Intrusion Detection System) - בוחנת שינויים בקבציבקובצי מערכת ההפעלה של מחשב או התקן בודד, עוקבת אחר אירועים ופעולות חשודות ומדווחת עליהם למנהל המערכת. המערכת מפיקה קובץ Image של תצורת המערכת הנוכחית ותשווה אותו אל מול הקובץ הקודם, במידה וקבציוקובצי מערכת שונו או נמחקו היא תדווח על כך.
 
==מערכת לגילוי חדירה בהשוואה לחומת אש==
* מערכת לגילוי חדירות (IDS) - המערכת עוקבת ובוחנת את כל הרשת, כאשר היא מזהה פעילות חשודה היא מתריאהמתריעה ומעבירה את המידע אל הגורמים הרלוונטיים. לעומת זאת [[חומת אש]] (Firewall) מזהה חדירות ומניעתן, היא נראית כלפי חוץ ומגבילה את הגישה אל הרשת בעת הצורך אך אינה מתריעה על התקפות מתוך הרשת.
בשני המקרים מדובר על יישומים או התקנים הקשוורים באבטחת הרשת אך בפועל הם שונים לגמרי:
* חומת אש (Firewall) - חומת האש היא סוג של מערכת לזיהוי חדירות ומניעתן, היא נראית כלפי חוץ ומגבילה את הגישה אל הרשת בעת הצורך אך אינה מתריאה על התקפות מתוך הרשת.
* מערכת לגילוי חדירות (IDS) - המערכת עוקבת ובוחנת את כל הרשת, כאשר היא מזהה פעילות חשודה היא מתריאה ומעבירה את המידע אל הגורמים הרלוונטיים.
 
==מגבלות==
* רעשים ברשת עשויים להגביל את אפקטיביות המערכת בגילוי אחר ניסיונות פריצה.
* למערכות IDS מספר גדול של אזעקות שווא כך שלעיתיםשלעתים הן מתעלמות מהתקפות אמיתיות.
* התקפות רבות מכוונות כנגד תוכנות מגרסה מסויימתמסוימת ולפעמים מיושנת, יש צורך בעדכון קבוע של חתימות וקבצים המותאמים לגרסאתלגרסת היישום.
* לרוב, מנות מוצפנות אינן מזוהות על ידי מערכות לגילוי חדירות והמערכת עשויה שלא להבחין בקבצים חשודים או בפעילות זדונית.
 
==התחמקות==
ישנן מספר שיטות שבעזרתן ניתן לחמוק מזיהוי:
* [[זיוף כתובות IP]] / שימוש ב[[פרוקסי]] - טכניקה זו עשויה להקשות על מנהל הרשת באיתור מקור ההתקפה וסימון כתובת ה-IP כחשודה.
* פיצול מנות / שליחת מנות חלקית - טכניקה זו עשויה לבלבל את המערכת ולגרום לה לחשוב שהקובץ אינו חשוד.
* הימנעות משימוש בהגדרות ברירת מחדל - המערכת עשויה לזהות קובץ זדוני שנוצר ב-Metasploit בפורט ברירת המחדל מספר 4444.
אוחזר מתוך "https://he.wikipedia.org/wiki/מערכת_לגילוי_חדירות"