Network intrusion detection system

A NIDS – hálózat alapú illetéktelen hálózati behatolást jelző rendszer – a rosszindulatú hálózati forgalom figyelésére, szűrésére a hálózat védelmére informatikai védelmére szolgáló szoftver.

A hálózat alapú (Network-based) NIDS rendszereket a HIDS-ek és a számítógép hálózatok elterjedését követően egy évtizeddel kezdték kidolgozni. Az alapötlet a támadások forrásának a hálózatnak a megfigyelése. A HIDS rendszerek meglehetősen költségigényesek ezért olcsóbb a rosszindulatú behatolások megakadályozása mielőtt azok elérnék a hálózatba kötött gépeket. Az informatikai biztonság területén ekkor elterjedt a hadászatból évszázadok óta ismert körkörös védelem elve. A hálózatokat egy egy középkori erődre emlékeztetnek, a legegyszerűbb úgy védeni egy hálózatot, hogy nem engedünk be külső információt. Ez azonban lehetetlenné teszi az üzleti működést ezért dolgozták ki a NIDS rendszereket a rosszindulatú hálózati forgalom figyelésére, szűrésére.

Az elnevezéséből következik, hogy a NIDS a hálózatot figyeli a rendszert összekapcsoló kábeleke folyó forgalmat. Adott eljárási szabályok szerint ellenőriznie és értékelnie kell az adatforgalmat, figyelve a protokollokat, az adatok típusát, mennyiségét, forrását, célját, tartalmát, és szükség szerint a forgalom további jellemzőit is. Ráadásul, figyelembe véve a hálózatok sebességét, ezt az ellenőrzést gyorsan kell végezni. A NIDS-ek tipikusan a szervezet be és kimenő adatforgalmát figyelik annak a legfontosabb hálózati kapcsolatain, úgy mint az Internet, távoli munkahelyek, partnerek stb.

• Szolgáltatásmegtagadással járó támadások
• Portok feltérképezésének, figyelésének a kísérletei
• Rosszindulatú tartalom adatfeltöltéskor
• Sebezhetőségi szkennelés
• Trójaiak, vírusok, férgek
• Alagút típusú adatátvitel
• Nyers erőn alapuló támadások.

A HIDS is az IDS-ek eredeti koncepciójának megfelelően a következő logikai modulokból épül fel: szenzorok, elemző motor, szignatúra (lenyomat) adatbázis és felhasználói interfész és jelentéskészítő modul.

A szenzorok ebben az esetben speciálisan tervezett és kialakított adatforgalom-figyelő szoftverek. Ezek működésüket tekintve a csomag analizátorokhoz (sniffer) hasonlóan működnek. Logikailag minden egyes adatforgalom-figyelő egy hálózati kártyához kapcsolódik és meghatározza, hogy a kártya milyen csomagot engedjen át milyen csomag átengedését tagadja meg. Minden egyes csomagot legyúlnak az általuk figyelt hálózatról és elemzik azt.

Az elemző motor tevékenysége alapjaiban azonos a HIDS elemző motorjának tevékenységéhez, a legfontosabb különbség, hogy a NIDS elemző motorjának az előzményekre is emlékeznie kell, hogy a kártékony tevékenységet modellezni tudja.

A szignatúra (lenyomat) adatbázis általában sokkal nagyobb mint a HIDS esetén mivel a hálózat ellenőrzésekor a hálózaton megtalálható összes alkalmazást figyelni kell, és egyes minták mérete is sokkal nagyobb mivel a kártékony tevékenység általában időben lezajló tevékenység aminek az előzményeit is figyelni kell.

• Kevesebb rendszerre van szükség a teljes IDS védelemhez. Néhány jól elhelyezett NIDS szenzorokkal a teljes hálózati forgalom monitorozható. Kevesebb szenzor kevesebb karbantartást azaz alacsonyabb költséget jelent.
• A telepítési, üzemeltetési és frissítési költségek általában alacsonyabbak. Néhány NIDS estén a kevesebb rendszer működtetése olcsóbb, mint egy nagy hálózat több száz végpontjára telepített több száz HIDS üzemeltetése.
• Egy NIDS a teljes hálózati forgalmat figyeli és ezért összetett rendszerben támadások közötti összefüggésekre is képes figyelni. Jól elhelyezett szenzorok a teljes rendszert áttekintik és jelezik, hogy a támadás teljes körű, szervezett, vagy alkalmi, egy konkrét programra, gépre, gépcsoportra irányuló.

• Tehetetlen titkosított adatforgalommal szemben. Ha a hálózati adatforgalom titkosított két munkaállomás, vagy két alkalmazás között. A NIDS szenzor képtelen a forgalom ellenőrzésére. A titkosított adatforgalom terjedésével ez egy nagy kihívás a hálózatok biztonsági felügyelete számára.
• Nem látja azokat az adatokat amelyek nem haladnak át rajta. Egy-egy adatforgalom ellenőr (szenzor) csak azt az adatforgalmat monitorozza amelyik a hozzá kapcsolt hálózati kapcsolón áthalad. Ha szenzor egy külső kapcsolatot biztosító hálózati kapcsolót figyel egyáltalán nem látja a rendszer belső adatforgalmát.
• Nagyon nagy adatforgalmat nem képes kezelni. A hálózatok egyre gyorsabbak de az ellenőrzésnek valós időben kell megvalósulnia. Amikor az első NIDS-ek a piacra kerültek a átlagos hálózati sebesség 10 Mbps volt. Napjainkban általánossá váltak az 1 Gbps átviteli sebességű hálózatok. Ez az átviteli sebesség sokkal gyorsabb, és sokkal nagyobb teljesítményű IDS-eket igényel.
• Nem képes ellenőrizni a rendszer végpontjain található gépeket (hosts). A NIDS a hálózati forgalom figyelésére szolgál. Ezért nem látja a rendszer gépein lezajló folyamatokat.

• Schubert Tamás: Hálózati szolgáltatások tervezése és működtetése (magyar nyelven). Óbudai Egyetem, 2011. (Hozzáférés: 2012. március 6.)^{[halott link]}
• Snort®, egy nyílt forrás kódú network intrusion prevention and detection system (angol nyelven). Sourcefire, 1998-2011. (Hozzáférés: 2012. március 7.)