Documente Academic
Documente Profesional
Documente Cultură
PROIECT DE SPECIALITATE
(EXAMEN PENTRU OBȚINEREA CERTIFICATULUI DE
COMPENTENȚE PROFESIONALE)
NIVELUL 4 DE CALIFICARE
PROFIL: TEHNIC
CALIFICARE: TEHNICIAN OPERATOR TEHNICA DE
CALCUL
1
Securizarea rețelelor de
calculatoare prin
firewall, IPS și prin IDS
2
Cuprins: Pagina:
1. Argument; 4
2. Definiție; 6
3. Firewall; 7
3.1. Cum funcționează un firewall?; 7
3.2. Rolul unui paravan de protecţie Firewall; 8
3.3. Tipuri de firewall-uri; 8
3.4. Cum se activează Windows Firewall pe computer?; 10
3.5 Vulnerabilități; 11
4. Sistem de detectare a intruziunilor; 13
4.1. Categoria de detectare a intruziunilor; 13
4.1.1. Activitate analizată: 14
4.1.1.1. Sisteme de detectare a intruziunilor în rețea; 14
4.1.1.2. Sisteme de detectare a intruziunilor gazdă; 14
4.1.2. Metoda de detectare: 15
4.1.2.1. Bazat pe semnături; 15
4.1.2.2. Bazat pe anomalii; 15
4.2. Prevenirea intruziunii; 15
4.2.1. Clasificare; 16
4.2.2. Metodă de detectare; 17
4.3. Plasare IDS; 17
4.4. Limitări; 22
5. Sistem de prevenire a intruziunilor; 24
5.1. De ce ar trebui utilizate sistemele de prevenire a intruziunilor?; 24
5.2. Cum funcționează sistemele de prevenire a intruziunilor?; 24
5.3. Care este diferența dintre IDS și IPS?; 26
6.Bibliografie; 29
3
1.Argument:
În zilele noastre a apărut un concept care va revoluţiona progresul omenirii, având
din punct de vedere istoric însemnătatea pe care a avut-o revoluţia industrială.
Societatea informaţională poate fi găsită la intersecţia dintre ramurile ,altă dată
distincte, ale telecomunicaţiilor si calculatoarelor, grupate in jurul informaţiei
digitale. Privită separat, fiecare dintre aceste ramuri a contribuit în timpul ultimului
secol la o creştere a standardului nostru de viată, lăsând în urmă schimbări sociale
pe scară largă.
Se spune că un calculator este construit dintr-un ansamblu de două componente:
resurse fizice (hardware) şi de programe (software), care asigură prelucrarea
automată a datelor. Cu alte cuvinte este o maşină care uşurează activitatea umană.
Aici intervine factorul uman, omul fiind de fapt o a treia componentă. Cele trei
aspecte, uman, software şi hardware nu sunt independente. Perfecţionarea unuia
dintre aspecte determină şi progresul celorlalte două, chiar dacă nu în acelaşi ritm.
De perfecţionarea componentelor hardware si software se ocupă mulţi oameni cu
experienţă, însă de progresul factorului uman trebuie sa ne ocupăm noi înşine.
Calculatorul ne ajută să dăm viaţă ideilor – captează cuvinte, redă imagini,
controlează alte maşini. El este o extensie a posibilităţilor umane, care ne permite să
ne depăşim limitele. Acest proiect vine în întâmpinarea acestei idei, oferind o
posibilitate de a învăţa şi aprofunda cunoştinţele necesare oricărui tânăr din ziua de
azi.
Modul cum culegi, administrezi şi foloseşti informaţia fac din tine un câştigător sau
un înfrânt în viaţă, aşa subliniază Bill Gates rolul actual al sistemelor de calcul în
viaţa noastră, a tuturor.
Am ales această temă deoarece pentru a vedea/folosi informațiile obținute în urma
prelucrării datelor de către un calculator este nevoie de securizarea rețelelor de
calculatoare prin firewall/IPS și IDS.
Atât reţeaua, cât şi calculatoarele sunt vulnerabile în faţa atacurilor cibernetice. Se
poate asigura suplimentar prin setarea unei parole puternice sau prin sistemul de
autentificare în doi factori, însă doar aceste acţiuni nu sunt suficiente pentru a pune
la adăpost calculatoarele şi fişierele utilizatorului. Nu se poate beneficia de securitate
maximă dacă nu ai instalat un firewall. Complementar programelor de tip anti-virus,
anti-spyware, anti-malware, firewall-ul (paravanul de protecţie) are rolul de a
preveni accesul nedorit la calculator sau reţea.
4
Cu atât de multe puncte de acces prezente într-o rețea de afaceri tipică, este esențial
să aveți o modalitate de a monitoriza semne de încălcări potențiale, incidente și
amenințări iminente. Amenințările de rețea de astăzi devin din ce în ce mai
sofisticate și capabile să se infiltreze chiar și în cele mai robuste soluții de securitate.
5
2. Definiție;
6
3.Firewall;
Un firewall este un sistem conceput pentru a preveni accesul neautorizat la sau dintr-
o rețea privată. Puteți implementa un firewall sub formă de hardware sau software,
sau o combinație a ambelor. Firewall-urile împiedică utilizatorii de internet
neautorizați să accese rețelele private conectate la internet, în special
intranetele. Toate mesajele care intră sau ies din intranet (rețeaua locală la care
sunteți conectat) trebuie să treacă prin firewall, care examinează fiecare mesaj și le
blochează pe cele care nu îndeplinesc criteriile de securitate specificate.
7
3.2. Rolul unui paravan de protecţie Firewall;
Scopul folosirii unui firewall este de a impiedica atacuri asupra serviciilor tale. Pe
baza unor reguli prestabilite, firewall-ul analizează cu atenție și filtrează traficul
provenind din surse nesecurizate sau suspecte pentru a preveni atacurile. Firewall-ul
protejează traficul la punctul de intrare în computer, numit port, care este locul în
care se schimbă informații cu dispozitivele externe. De exemplu, „Adresa sursă
172.18.1.1 poate sa ajungă la destinația 172.18.2.1 prin portul 22.” Pentru a fi mai
clar, imaginează-ţi adresele IP ca fiind nişte case, iar numerele de port ca fiind
camerele din casă. Doar persoanele de încredere (adrese sursă) au voie să intre în
casă (adresa de destinație). În rest, toate celelalte sunt filtrate suplimentar, astfel
încât persoanele din casă să aibă acces doar la anumite camere (porturi de destinație),
în funcție de rolul pe care îl deţin, dacă sunt proprietari, copii sau un oaspete.
Proprietarului îi este permis să intre în orice cameră (orice port), în timp ce copiii și
oaspeții au permisiunea de a intra doar într-un anumit set de camere (porturi
specifice). Să presupunem că deţii o companie cu 100 de angajaţi şi tot atâtea
computere, care au acces la internet. Fără un firewall, toate cele 100 de computere
vor fi expuse direct dacă cineva ar încerca să testeze vulnerabilitatea reţelei
companiei tale. Odată instalat un firewall, regulile de securitate implementate prin
configurarea acestuia reduc vulnerabilităţile sistemului în ansamblul său. Acesta
este, în esență, scopul folosirii unui firewall.
3.3. Tipuri de firewall-uri;
Firewall-urile pot fi fie software, fie hardware, deși cel mai bine este să aveți
ambele. Un firewall software este un program instalat pe fiecare computer și
reglează traficul prin numere de port și aplicații, în timp ce un firewall fizic este un
echipament instalat între rețea și gateway.
Firewall-urile de filtrare a pachetelor, cel mai comun tip de firewall, examinează
pachetele și le interzic trecerea dacă nu corespund unui set de reguli de securitate
stabilit. Acest tip de firewall verifică adresele IP sursă și destinație ale
pachetului. Dacă pachetele se potrivesc cu cele ale unei reguli „permise” de pe
firewall, atunci este de încredere să intre în rețea.
Firewall-urile de filtrare a pachetelor sunt împărțite în două categorii: stateful și
apatridele. Paravanele de protecție fără stat examinează pachetele independent unul
de celălalt și nu au context, făcându-le ținte ușoare pentru hackeri. În contrast,
firewall-urile de stare își amintesc informațiile despre pachetele trecute anterior și
sunt considerate mult mai sigure.
8
Deși firewall-urile de filtrare a pachetelor pot fi eficiente, ele oferă în cele din urmă
o protecție foarte de bază și pot fi foarte limitate - de exemplu, nu pot stabili dacă
conținutul cererii trimise va afecta negativ aplicația pe care o atinge. Dacă o cerere
rău intenționată care a fost permisă de la o adresă sursă de încredere ar avea ca
rezultat, să zicem, ștergerea unei baze de date, firewall-ul nu ar avea cum să știe
asta. Firewall-urile de generație următoare și firewall-urile proxy sunt mai echipate
pentru a detecta astfel de amenințări.
Firewall-urile de generație următoare (NGFW) combină tehnologia firewall
tradițională cu funcționalități suplimentare, precum inspecția criptată a traficului,
sistemele de prevenire a intruziunilor, antivirus și multe altele. În special, include
inspecția profundă a pachetelor (DPI). În timp ce firewall-urile de bază privesc doar
anteturile pachetelor, inspecția profundă a pachetelor examinează datele din pachetul
în sine, permițând utilizatorilor să identifice, să clasifice sau să oprească mai eficient
pachetele cu date dăunătoare.
Firewall-urile proxy filtrează traficul de rețea la nivelul aplicației. Spre deosebire
de firewall-urile de bază, proxy-ul acționează ca intermediar între două sisteme
finale. Clientul trebuie să trimită o cerere către firewall, unde este apoi evaluată în
raport cu un set de reguli de securitate și apoi permisă sau blocată. În special,
firewall-urile proxy monitorizează traficul pentru protocoalele de nivel 7, cum ar fi
HTTP și FTP, și utilizează atât inspecția de pachete, cât și de stare, pentru a detecta
traficul rău intenționat.
Firewall-urile pentru traducerea adreselor de rețea (NAT) permit mai multor
dispozitive cu adrese de rețea independente să se conecteze la internet utilizând o
singură adresă IP, păstrând ascunse adresele IP individuale. Drept urmare, atacatorii
care scanează o rețea după adrese IP nu pot capta detalii specifice, oferind o
securitate mai mare împotriva atacurilor. Firewall-urile NAT sunt similare cu
firewall-urile proxy, deoarece acționează ca intermediar între un grup de computere
și traficul exterior.
Firewall-urile de inspecție multistrat (SMLI) filtrează pachetele din straturile de
rețea, transport și aplicație, comparându-le cu pachetele de încredere cunoscute. La
fel ca firewall-urile NGFW, SMLI examinează tot pachetul și le permite să treacă
numai dacă trec fiecare strat individual. Aceste firewall examinează pachetele pentru
a determina starea comunicării (deci numele) pentru a se asigura că toate
comunicările inițiate au loc numai cu surse de încredere.
9
3.4. Cum se activează Windows Firewall pe computer?
Windows vine cu firewall preinstalat, care poate fi activat foarte uşor din Control
Panel. Nu eşti sigur dacă Windows Firewall este activat? Urmează paşii de mai jos
pentru a verifica statusul şi a activa paravanul de protecţie.
Pasul 1:
Pasul 2:
10
Pasul 3:
Pasul 4:
3.5 Vulnerabilități;
11
a intruziunilor. Câteva exemple de amenințări moderne la care un firewall poate fi
vulnerabil sunt:
Atacuri din interior: organizațiile pot utiliza firewall-uri interne deasupra unui
firewall perimetral pentru a segmenta rețeaua și a oferi protecție internă. Dacă se
suspectează un atac, organizațiile pot audita sensibile folosind funcțiile
NGFW. Toate auditurile ar trebui să măsoare până la documentația de bază din
cadrul organizației care prezintă cele mai bune practici pentru utilizarea rețelei
organizației. Câteva exemple de comportament care ar putea indica o amenințare
din interior includ următoarele:
o transmiterea datelor sensibile în text simplu;
o acces la resurse în afara orelor de program;
o eșecul accesului la resurse sensibile de către utilizator;
o acces la resurse de rețea pentru utilizatorii terți;
Atacuri de negare a serviciului distribuite (DDos): Un atac DDoS este o
încercare rău intenționată de a perturba traficul normal al unei rețele vizate prin
copleșirea țintei sau a infrastructurii înconjurătoare cu o inundație de
trafic. Utilizează mai multe sisteme informatice compromise ca surse de trafic de
atac. Mașinile exploatate pot include computere și alte resurse în rețea, cum ar fi
dispozitive Internet of Things (IoT). Un atac DDoS este ca un blocaj de trafic
care împiedică sosirea traficului obișnuit la destinația dorită. Principala
preocupare în atenuarea unui atac DDoS este diferențierea dintre atac și trafic
normal. De multe ori, traficul în acest tip de atac poate proveni din surse aparent
legitime și necesită verificări încrucișate și audit de la mai multe componente de
securitate.
12
4. Sistem de detectare a intruziunilor:
Detectarea intruziunilor (ID) este procesul de monitorizare și identificare a
tentativelor de acces sau manipulare neautorizată a sistemului. Un sistem de
identificare colectează și analizează informații din diverse zone din cadrul unui
computer sau al unei rețele pentru a identifica posibile încălcări ale securității, care
includ atât intruziuni (atac din afara organizației), cât și utilizare abuzivă (atac din
interiorul organizației).
IDS pot fi clasificate în funcție de locul în care are loc detectarea (rețea sau gazdă )
sau metoda de detectare utilizată (semnătură sau bazată pe anomalii).
13
4.1.1. Activitate analizată
4.1.1.1. Sisteme de detectare a intruziunilor în rețea
Sistemele de detectare a intruziunilor în rețea (NIDS) sunt plasate într-un punct sau
puncte strategice din rețea pentru a monitoriza traficul către și de la toate
dispozitivele din rețea. Realizează o analiză a trecerii traficului pe
întreaga subrețea și se potrivește traficului care este transmis pe subrețele cu
biblioteca de atacuri cunoscute. După identificarea unui atac sau simțirea unui
comportament anormal, alerta poate fi trimisă administratorului. Un exemplu de
NIDS ar fi instalarea acestuia pe subrețeaua în care se află firewall-urile pentru a
vedea dacă cineva încearcă să pătrundă în firewall. În mod ideal, cineva ar scana tot
traficul de intrare și de ieșire, totuși acest lucru ar putea crea un blocaj care ar afecta
viteza generală a rețelei. OPNET și NetSim sunt instrumente utilizate în mod
obișnuit pentru simularea sistemelor de detectare a intruziunilor în rețea. Sistemele
NID sunt, de asemenea, capabile să compare semnăturile pentru pachete similare
pentru a lega și renunța la pachetele detectate dăunătoare care au o semnătură care
se potrivește cu înregistrările din NIDS. Când clasificăm proiectarea NIDS în funcție
de proprietatea de interactivitate a sistemului, există două tipuri: NIDS on-line și off-
line, adesea denumite mod inline și respectiv tap. NIDS online se ocupă de rețea în
timp real. Acesta analizează pachetele Ethernet și aplică unele reguli, pentru a
decide dacă este un atac sau nu. NIDS off-line se ocupă de datele stocate și le trece
prin unele procese pentru a decide dacă este un atac sau nu.
NIDS pot fi, de asemenea, combinate cu alte tehnologii pentru a crește ratele de
detectare și predicție. IDS bazate pe rețeaua neuronală artificială sunt capabile să
analizeze volume imense de date, într-un mod inteligent, datorită structurii de auto-
organizare care permite INS IDS să recunoască mai eficient tiparele de
intruziune. Rețelele neuronale asistă IDS în prezicerea atacurilor învățând din
greșeli; INN IDS ajută la dezvoltarea unui sistem de avertizare timpurie, bazat pe
două straturi. Primul strat acceptă valori unice, în timp ce al doilea strat preia ca
intrare straturile primului; ciclul se repetă și permite sistemului să recunoască
automat noi modele neprevăzute în rețea. Acest sistem poate avea o rată medie de
detectare și clasificare de 99,9%, pe baza rezultatelor cercetării a 24 de atacuri de
rețea, împărțite în patru categorii: DOS, Probe, Remote-to-Local și user-to-root.
4.1.1.2. Sisteme de detectare a intruziunilor gazdă
Sistemele de detectare a intruziunilor de gazdă (HIDS) rulează pe gazde individuale
sau dispozitive din rețea. Un HIDS monitorizează pachetele de intrare și de ieșire
numai de pe dispozitiv și va avertiza utilizatorul sau administratorul dacă este
detectată activitate suspectă. Face un instantaneu al fișierelor de sistem existente și
îl potrivește cu instantaneul anterior. Dacă fișierele critice ale sistemului au fost
14
modificate sau șterse, o alertă este trimisă administratorului pentru investigare. Un
exemplu de utilizare HIDS poate fi văzut pe mașinile cu misiune critică, care nu se
așteaptă să își schimbe configurațiile.
4.1.2.Metoda de detectare
4.1.2.1.Bazat pe semnături
IDS bazate pe semnături se referă la detectarea atacurilor prin căutarea unor tipare
specifice, cum ar fi secvențe de octeți în traficul de rețea sau secvențe de instrucțiuni
rău intenționate cunoscute utilizate de malware. Această terminologie provine
din software-ul antivirus, care se referă la aceste modele detectate ca semnături. Deși
IDS bazate pe semnături pot detecta cu ușurință atacuri cunoscute, este dificil de
detectat atacuri noi, pentru care nu este disponibil niciun model.
4.1.2.2.Bazat pe anomalii
Sistemele de detectare a intruziunilor bazate pe anomalii au fost introduse în primul
rând pentru a detecta atacuri necunoscute, în parte datorită dezvoltării rapide a
malware-ului. Abordarea de bază este de a utiliza învățarea automată pentru a crea
un model de activitate de încredere și apoi a compara un nou comportament cu acest
model. Deoarece aceste modele pot fi instruite în funcție de aplicații și configurații
hardware, metoda bazată pe învățarea automată are o proprietate mai generalizată în
comparație cu IDS-urile tradiționale bazate pe semnături. Deși această abordare
permite detectarea atacurilor necunoscute anterior, poate suferi de falsuri pozitive:
activitatea legitimă necunoscută anterior poate fi de asemenea clasificată ca rău
intenționată. Majoritatea IDS-urilor existente suferă de consumul de timp în timpul
procesului de detectare care degradează performanța IDS-urilor. Algoritmul eficient
de selectare a caracteristicilor face procesul de clasificare utilizat la detectare mai
fiabil.
Noi tipuri de ceea ce s-ar putea numi sisteme de detectare a intruziunilor bazate pe
anomalii sunt privite de Gartner ca User and Entity Behavior Analytics (UEBA)(o
evoluție a categoriei de analiză a comportamentului utilizatorului ) și analiza
traficului de rețea (NTA). În special, NTA se ocupă de informații rău intenționate,
precum și de atacuri externe direcționate care au compromis un computer sau un
cont de utilizator. Gartner a remarcat faptul că unele organizații au optat pentru NTA
față de IDS mai tradiționale.
4.2. Prevenirea intruziunii;
Unele sisteme pot încerca să oprească o încercare de intruziune, dar acest lucru nu
este nici necesar, nici așteptat de la un sistem de monitorizare. Sistemele de detectare
și prevenire a intruziunilor (IDPS) sunt axate în primul rând pe identificarea
15
posibilelor incidente, înregistrarea informațiilor despre acestea și raportarea
încercărilor. În plus, organizațiile folosesc IDPS în alte scopuri, cum ar fi
identificarea problemelor legate de politicile de securitate, documentarea
amenințărilor existente și descurajarea persoanelor de a încălca politicile de
securitate. IDPS au devenit o completare necesară la infrastructura de securitate a
aproape oricărei organizații.
IDPS înregistrează de obicei informații legate de evenimente observate, notifică
administratorii de securitate cu privire la evenimentele observate importante și
produc rapoarte. Mulți IDPS pot răspunde, de asemenea, la o amenințare detectată
încercând să o împiedice să aibă succes. Folosesc mai multe tehnici de răspuns, care
implică IDPS oprirea atacului în sine, schimbarea mediului de securitate (de
exemplu, reconfigurarea unui firewall) sau schimbarea conținutului atacului.
Sistemele de prevenire a intruziunilor ( IPS ), cunoscute și sub denumirea
de sisteme de detectare și prevenire a intruziunilor ( IDPS ), sunt dispozitive
de securitate a rețelei care monitorizează activitățile de rețea sau de sistem pentru
activități dăunătoare. Principalele funcții ale sistemelor de prevenire a intruziunii
sunt identificarea activității rău intenționate, înregistrarea informațiilor despre
această activitate, raportarea acesteia și încercarea de blocare sau oprire.
Sistemele de prevenire a intruziunilor sunt considerate extensii ale sistemelor de
detectare a intruziunilor, deoarece ambele monitorizează traficul de rețea și / sau
activitățile sistemului pentru activități dăunătoare. Principalele diferențe sunt, spre
deosebire de sistemele de detectare a intruziunilor, sistemele de prevenire a
intruziunilor sunt plasate în linie și sunt capabile să prevină sau să blocheze activ
intruziunile care sunt detectate. IPS poate întreprinde acțiuni precum trimiterea unei
alarme, renunțarea la pachetele rău intenționate detectate, resetarea unei conexiuni
sau blocarea traficului de la adresa IP contravenientă. Un IPS poate, de asemenea,
să corecteze erorile de verificare a redundanței ciclice (CRC) , să defragmenteze
fluxurile de pachete, să atenueze problemele de secvențiere TCP și să curețe
nedoriteopțiuni de transport și strat de rețea.
4.2.1. Clasificare:
Sistemele de prevenire a intruziunilor pot fi clasificate în patru tipuri diferite:
Nu este neobișnuit ca numărul de atacuri reale să fie cu mult sub numărul de alarme
false. Numărul de atacuri reale este adesea atât de mic sub numărul de alarme false,
încât atacurile reale sunt adesea ratate și ignorate.
Multe atacuri sunt concepute pentru versiuni specifice de software care sunt de
obicei depășite. Este necesară o bibliotecă de semnături în continuă schimbare
pentru a atenua amenințările. Bazele de date cu semnături învechite pot lăsa IDS
vulnerabil la strategii mai noi.
18
Pentru IDS bazate pe semnături, va exista decalaj între o nouă descoperire a
amenințării și semnătura acesteia aplicată IDS. În acest timp de întârziere, IDS
nu va putea identifica amenințarea.
19
Atacuri coordonate, cu lățime de bandă redusă: coordonarea unei scanări între
numeroși atacatori (sau agenți) și alocarea diferitelor porturi sau gazde la
atacatori diferiți face dificilă identificarea IDS a pachetelor capturate și
deducerea că o scanare în rețea este în desfășurare.
20
Sistemul Multics de detectare și alertare a intruziunilor (MIDAS), un sistem expert
care utilizează P-BEST și Lisp , a fost dezvoltat în 1988 pe baza lucrărilor lui
Denning și Neumann. Haystack a fost, de asemenea, dezvoltat în acel an folosind
statistici pentru a reduce urmele de audit.
În 1986, Agenția Națională de Securitate a început un program de transfer de
cercetare IDS sub Rebecca Bace . Bace a publicat ulterior textul seminal pe această
temă, Intrusion Detection , în 2000.
Înțelepciunea și simțul (W&S) a fost un detector de anomalii bazat pe statistici
dezvoltat în 1989 la Laboratorul Național Los Alamos . W&S a creat reguli bazate
pe analize statistice, apoi a folosit acele reguli pentru detectarea anomaliilor.
În 1990, Mașina inductivă bazată pe timp (TIM) a făcut detectarea anomaliilor
utilizând învățarea inductivă a tiparelor de utilizator secvențiale în Common Lisp pe
un computer VAX 3500, Monitorul de securitate a rețelei (NSM) a efectuat mascare
pe matricile de acces pentru detectarea anomaliilor pe o stație de lucru Sun-3/50.
Asistentul ofițerului de securitate a informațiilor (ISOA) a fost un prototip din 1990
care a luat în considerare o varietate de strategii, inclusiv statistici, un verificator de
profil și un sistem expert. ComputerWatch de la AT&T Bell Labs a folosit statistici
și reguli pentru reducerea datelor de audit și detectarea intruziunilor.
Apoi, în 1991, cercetătorii de la Universitatea din California, Davis au creat un
prototip Distributed Intrusion Detection System (DIDS), care era și un sistem expert.
Network Anomaly Detection and Intrusion Reporter (NADIR), tot în 1991, a fost un
prototip IDS dezvoltat la Rețeaua Integrată de Calcul (ICN) a Laboratorului Național
Los Alamos și a fost puternic influențat de activitatea lui Denning și
Lunt. [47] NADIR a folosit un detector de anomalii bazat pe statistici și un sistem
expert.
Lawrence Berkeley National Laboratory a anunțat Bro în 1998, care a folosit propria
sa limbă regulă pentru analiza de pachete de la libpcap de date. Network Flight
Recorder (NFR) în 1999 a folosit și libpcap.
APE a fost dezvoltat ca un sniffer de pachete, folosind și libpcap, în noiembrie 1998
și a fost redenumit Snort o lună mai târziu. Snort a devenit de atunci cel mai mare
sistem IDS / IPS folosit din lume, cu peste 300.000 de utilizatori activi. Poate
monitoriza atât sistemele locale, cât și punctele de captare la distanță
folosind protocolul TZSP .
IDS-urile de analiză și exploatare a datelor de audit (ADAM) din 2001 au
folosit tcpdump pentru a construi profiluri de reguli pentru clasificări. În
2003, Yongguang Zhang și Wenke Lee susțin importanța IDS în rețelele cu noduri
mobile.
21
În 2015, Viegas și colegii săi propus un motor de detectare a intruziunilor bazat pe
anomalii, care vizează System-on-Chip (SoC) pentru aplicații în Internet of Things
(IoT), de exemplu. Propunerea aplică învățarea automată pentru detectarea
anomaliilor, oferind eficiență energetică implementării clasificatorilor Tree Tree,
Naive-Bayes și k-Near Neighbors într-un procesor Atom și implementării sale
prietenoase hardware într-un FPGA. În literatura de specialitate, aceasta a fost prima
lucrare care implementează fiecare clasificator în mod echivalent în software și
hardware și măsoară consumul său de energie pe ambele. În plus, a fost prima dată
când s-a măsurat consumul de energie pentru extragerea fiecărei caracteristici
utilizate pentru a face clasificarea pachetelor de rețea, implementată în software și
hardware.
4.4.Limitări:
Nu este neobișnuit ca numărul de atacuri reale să fie cu mult sub numărul de alarme
false . Numărul de atacuri reale este adesea atât de mic sub numărul de alarme false,
încât atacurile reale sunt adesea ratate și ignorate.
Multe atacuri sunt concepute pentru versiuni specifice de software care sunt de
obicei depășite. Este necesară o bibliotecă de semnături în continuă schimbare pentru
a atenua amenințările. Bazele de date cu semnături învechite pot lăsa IDS vulnerabil
la strategii mai noi.
22
Software-ul de detectare a intruziunilor oferă informații bazate pe adresa de rețea
care este asociată cu pachetul IP care este trimis în rețea. Acest lucru este benefic
dacă adresa de rețea conținută în pachetul IP este corectă. Cu toate acestea, adresa
conținută în pachetul IP ar putea fi falsificată sau amestecată.
23
5.Sistem de prevenire a intruziunilor:
Un sistem de prevenire a intruziunilor (IPS) este o formă de securitate a rețelei care
funcționează pentru a detecta și preveni amenințările identificate. Sistemele de
prevenire a intruziunilor vă monitorizează continuu rețeaua, căutând eventuale
incidente periculoase și captând informații despre acestea. IPS raportează aceste
evenimente administratorilor de sistem și ia măsuri preventive, cum ar fi închiderea
punctelor de acces și configurarea firewall-urilor pentru a preveni atacurile
viitoare. Soluțiile IPS pot fi, de asemenea, utilizate pentru a identifica problemele
legate de politicile de securitate corporative, descurajând angajații și oaspeții rețelei
să încalce regulile pe care le conțin aceste politici.
Cu atât de multe puncte de acces prezente într-o rețea de afaceri tipică, este esențial
să aveți o modalitate de a monitoriza semne de potențiale încălcări, incidente și
amenințări iminente. Amenințările de rețea de astăzi devin din ce în ce mai
sofisticate și capabile să se infiltreze chiar și în cele mai robuste soluții de securitate.
5.1. De ce ar trebui utilizate sistemele de prevenire a intruziunilor?
Tehnologiile IPS pot detecta sau preveni atacurile de securitate a rețelei, cum ar fi
atacurile cu forță brută, atacurile Denial of Service (DoS) și exploatările de
vulnerabilitate. O vulnerabilitate este o slăbiciune a unui sistem software și un
exploit este un atac care valorifică această vulnerabilitate pentru a obține controlul
unui sistem. Când este anunțat un exploit, există adesea o fereastră de oportunitate
pentru atacatori de a exploata această vulnerabilitate înainte de aplicarea patch-ului
de securitate. Un sistem de prevenire a intruziunilor poate fi utilizat în aceste cazuri
pentru a bloca rapid aceste atacuri. Deoarece tehnologiile IPS urmăresc fluxurile de
pachete, acestea pot fi, de asemenea, utilizate pentru a impune utilizarea
protocoalelor securizate și a refuza utilizarea protocoalelor nesigure, cum ar fi
versiunile anterioare de SSL sau protocoalele care utilizează cifrări slabe.
5.2. Cum funcționează sistemele de prevenire a intruziunilor?
Un IPS este de obicei implementat „în linie” acolo unde se află pe calea de
comunicație directă între sursă și destinație, unde poate analiza „în timp real” tot
fluxul de trafic de rețea de-a lungul acelei căi și poate lua măsuri preventive
automatizate. Un IPS poate fi implementat ca cel mai bun tip de rasă, IPS
independent sau aceeași capacitate poate fi activată în funcția IPS consolidată într-
un firewall de generație următoare (NGFW). Un IPS folosește semnături care pot fi
atât vulnerabilitate, fie exploatare specifice pentru a identifica traficul rău
24
intenționat. De obicei, acestea sunt fie detectare bazată pe semnături, fie detectare
statistică bazată pe anomalii pentru identificarea activității rău intenționate.
Odată ce IPS identifică traficul rău intenționat care poate fi exploatabil în rețea,
acesta implementează ceea ce este cunoscut sub numele de patch virtual pentru
protecție. Patch-ul virtual, acționează ca o măsură de siguranță împotriva
amenințărilor care exploatează vulnerabilitățile cunoscute și necunoscute. Patch-ul
virtual funcționează prin implementarea straturilor de politici și reguli de securitate
care împiedică și interceptează un exploit să ia căi de rețea către și de la o
vulnerabilitate, oferind astfel acoperire împotriva vulnerabilității respective la
nivelul rețelei, mai degrabă decât la nivelul gazdei.
Sistemele de prevenire a intruziunilor funcționează prin scanarea întregului trafic de
rețea. Există o serie de amenințări diferite pe care un IPS este conceput să le prevină.
IPS efectuează inspecția în timp real a pachetelor, inspectând profund fiecare pachet
care călătorește prin rețea. Dacă sunt detectate pachete rău intenționate sau suspecte,
IPS va efectua una dintre următoarele acțiuni:
Încheiați sesiunea TCP care a fost exploatată și blocați adresa IP sursă care a ofensat
sau contul de utilizator să acceseze orice aplicație, gazdă țintă sau alte resurse de
rețea fără etică.
Reprogramați sau reconfigurați paravanul de protecție pentru a preveni un atac
similar care să apară în viitor.
25
Eliminați sau înlocuiți orice conținut rău intenționat care rămâne în rețea în urma
unui atac. Acest lucru se face prin reambalarea încărcăturilor utile, eliminarea
informațiilor antetului și eliminarea oricăror atașamente infectate de pe serverele de
fișiere sau e-mail.
5.3. Care este diferența dintre IDS și IPS?
Implementările timpurii ale tehnologiei au fost implementate în modul detectare pe
dispozitivele de securitate dedicate. Pe măsură ce tehnologia s-a maturizat și s-a
mutat în dispozitivele integrate de generație următoare Firewall sau UTM, acțiunea
implicită este setată pentru a preveni traficul rău intenționat.
În unele cazuri, decizia de a detecta și accepta sau preveni traficul se bazează pe
încrederea în protecția IPS specifică. Atunci când există o încredere mai mică într-o
protecție IPS, atunci există o probabilitate mai mare de fals pozitiv. Un fals pozitiv
este atunci când IDS identifică o activitate ca un atac, dar activitatea este un
comportament acceptabil. Din acest motiv, multe tehnologii IPS au, de asemenea,
capacitatea de a captura secvențe de pachete din evenimentul de atac. Acestea pot fi
apoi analizate pentru a determina dacă a existat o amenințare reală și pentru a
îmbunătăți în continuare protecția IPS.
IPS a fost evoluția sistemului de detectare a intruziunilor (IDS). Tehnologia IDS
folosește același concept de identificare a traficului și unele dintre tehnicile similare,
cu diferența majoră fiind că IPS sunt implementate „în linie” și IDS sunt
implementate „off-line” sau la robinet unde încă inspectează o copie a întregului
trafic sau flux, dar nu poate lua nicio măsură preventivă. IDS sunt implementate doar
pentru a monitoriza și a oferi analize și vizibilitate asupra amenințărilor din rețea.
26
Poți înlocui firewall-ul de la windows(doar dezactivat) cu unul din programele
terță cunoscute care oferă un control avansat și nu sunt „iubitoare” de pop-
upuri.Majoritatea programelor îți vor arăta o fereastră ce va conține 2
butoane:Deny și Allow.Această fereastră va apărea de obicei când o aplicație va
dori să se conecteze într-un anumit mod la internet.Totuși, multe dintre aplicațiile
cunoscute(Skype, Ym) nu vor fi luate ca o amenințare, iar cele care au fost luate nu
vor mai fi după ce ai setat Allow de exemplu.
2.Comodo firewall
27
3.Online Armor free
28
6.Biblografie:
https://www.fortinet.com/resources/cyberglossary/what-is-an-ips
https://en.wikipedia.org/wiki/Security_information_and_event_management
https://en.wikipedia.org/wiki/Intrusion_detection_system
https://www.checkpoint.com/cyber-hub/network-security/what-is-ips/
https://searchsecurity.techtarget.com/definition/firewall
https://www.forcepoint.com/cyber-edu/intrusion-prevention-system-ips
https://www.checkpoint.com/cyber-hub/network-security/what-is-an-intrusion-
detection-system-ids/
https://www.checkpoint.com/cyber-hub/network-security/what-is-firewall/
https://searchsecurity.techtarget.com/definition/firewall
https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-
system-ips
https://resources.infosecinstitute.com/topic/network-design-firewall-idsips/
https://en.wikipedia.org/wiki/Firewall_(computing)
https://kb.iu.edu/d/aoru
https://code-it.ro/cele-mai-bune-programe-firewall/
29