מערכת לגילוי חדירות – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
אין תקציר עריכה |
מ סקריפט החלפות (מסוי, קובצי) |
||
שורה 1:
'''מערכת לגילוי חדירות''' (ב[[אנגלית]]: '''I'''ntrusion '''D'''etection '''S'''ystem בקיצור: '''IDS''') היא התקן או תוכנה המנטרת את המערכת או תעבורת
כל פעולה המפרה את החוקים שנקבעו מדווחת למנהל המערכת ונרשמת במערכת מידע וניהול אירועים (SIEM) המבדילה בין אזעקות שווא לבין פעילות זדונית כגון: [[אימות זהות|נסיונות כניסה]] כושלים, שימוש יתר ב[[כרטיס אשראי]], הפעלת מערכות שלא לצורך, הוספת הרשאות יתר למשתמשים שונים ועוד.▼
▲כל פעולה המפרה את החוקים שנקבעו מדווחת למנהל המערכת ונרשמת במערכת מידע וניהול אירועים (SIEM) המבדילה בין אזעקות שווא לבין פעילות זדונית כגון:
==איתור וניתוח==
שורה 10 ⟵ 7:
'''איתור:'''
* זיהוי חתימה - שיטה זו משמשת לאיתור התקפות על ידי חיפוש תבניות ספציפיות או על ידי הכרת דפוס הפעולה של הקובץ הזדוני בדומה
* זיהוי חריגים ([[זיהוי אנומליות]]) - שיטה זו משמשת לזיהוי התקפות לא ידועות. שיטה זו אינה מתבססת על הכרת דפוס פעולה ידוע מראש אלא מחפשת תבניות שונות במטרה לחשוף פעולות שלא זוהו בעבר.
'''ניתוח:'''
* מערכת איתור חדירה לרשת (NIDS - Network Intrusion Detection System) - ממוקמת בנקודה אסטרטגית, עוקבת אחר כל תעבורת הרשת ואינה מחפשת אחר שינויים
* מערכת לגילוי חדירות מבוססת מחשב מארח (HIDS - Host Intrusion Detection System) - בוחנת שינויים
==מערכת לגילוי חדירה בהשוואה לחומת אש==
▲* מערכת לגילוי חדירות (IDS) - המערכת עוקבת ובוחנת את כל הרשת, כאשר היא מזהה פעילות חשודה היא מתריאה ומעבירה את המידע אל הגורמים הרלוונטיים.
==מגבלות==
* רעשים ברשת עשויים להגביל את אפקטיביות המערכת בגילוי אחר ניסיונות פריצה.
* למערכות IDS מספר גדול של אזעקות שווא כך
* התקפות רבות מכוונות כנגד תוכנות מגרסה
* לרוב, מנות מוצפנות אינן מזוהות על ידי מערכות לגילוי חדירות והמערכת עשויה שלא להבחין בקבצים חשודים או בפעילות זדונית.
==התחמקות==
ישנן מספר שיטות שבעזרתן ניתן לחמוק מזיהוי:
* [[זיוף כתובות IP]] / שימוש ב[[פרוקסי]] - טכניקה זו עשויה להקשות על מנהל הרשת באיתור מקור ההתקפה וסימון כתובת ה-IP כחשודה.
* פיצול מנות / שליחת מנות חלקית - טכניקה זו עשויה לבלבל את המערכת ולגרום לה לחשוב שהקובץ אינו חשוד.
* הימנעות משימוש בהגדרות ברירת מחדל - המערכת עשויה לזהות קובץ זדוני שנוצר ב-Metasploit בפורט ברירת המחדל מספר 4444.
|