Универзитет Сингидунум
Факултет за информатику и рачунарство

Рачунарске мреже

Младен Веиновић, Александар Јевремовић

7.2.5. Системи за откривање и спречавање напада


За разлику од фајервол система који своје одлуке о дозволи или забрани одређене мрежне комуникације базирају на статичним полисама, системи за спречавање напада (енгл. Intrusion Prevention System, IPS) су софистициранији и за извршавање свога задатка – спречавање упада на систем(е) који штити – користе детаљнију анализу (сличну фајервол системима треће генерације) а понекад и „интелигентне“ алгоритме који имају могућност да развију модел „нормалног“ понашања и да одбију све захтеве који не спадају под тај модел. Као и фајервол системи,IPS системи могу бити дизајнирани за заштиту једног рачунара (Host based IPS, HIPS) или целе мреже (Network based IPS, NIPS).

Осим потребе за одбраном од напада, у рачунарским мрежама постоји и потреба за утврђивањем да ли је до напада дошло и да ли је напад успешно обављен. Иакона први поглед ове потребе делују мање важно, треба узети у обзир да циљ напада не мора бити коначна акција на нападнутом рачунару већ и континуална измена података, саботирање обраде или коришћење ресурса. Са друге стране, успешни напади који омогућавају потпуну контролу нападнутог рачунара омогућавају такву измену лог фајлова и алата за увид у стање система након које више није могуће утврдити не само да је рачунар био нападнут већ и да је рачунар још увек под контролом нападача. На Униџ системима постоје тзв. рооткит алати који из лог фајлова уклањају све записе о активностима нападача а алате за увид у стање система (нпр. увид у листе процеса и фајлова на систему) замењују измењеним алатима који из приказа такође изостављају процесе и фајлове нападача. Рачунар на којем је инсталиран рооткит може годинама бити под контролом нападача (што отвара могућности сталног преузимања, измене или уклањања података и коришћења ресурса) а да надлежни администратор не добије ни најмањи наговештај да је рачунар под туђом контролом. Улога система за отркивање напада (енгл. Intrusion Detection System, IDS) система је да препозна успешно обављене нападе, о томе обавести администратора и евенутално уклони заостале компоненте напада. IDS системи се веома разликују и најчешће су строго везани за одређени оперативни систем или окружење. Систем рада ових система се креће од једноставне провере адекварних елемената система путем алата који се налазе ван домета нападача докоришћења „интелигентних“ алгоритама способних да развију модел нормалног понашања у систему и на основу њега препознају све акције корисника које одступају од тог модела. Питање које се поставља код IDS система јесте зашто се системи који имају могућност да утврде да је напад остварен не искористе превентивно. Одговор на ово питање лежи у области рада IDS система јер IDS системи најчешће не анализирају мрежни саобраћај већ интерне активности система до којих долази, осим код регуларног коришћења, тек када је напад остварен. Такође, IDS системи најчешће имају могућност да обуставе све активности на систему и обавесте о томе администратора уколико утврде да је напад остварен.

 
Internet marketing
Преузмите ПДФ целе књиге
Заштита у рачунарским мрежама
Овладајте Веб развојем и РНР програмирањем
Овладајте савременим базама података
Обратите се ауторима:
Ваша имејл адреса:
Ваше име:
Порука:
Безбедносни код:
Captcha
Research Gate
Слика [Chapter:Number]