Συστήματα ανίχνευσης εισβολών σε δίκτυα. Μια εφαρμογή του λογισμικού SNORT στο περιβάλλον του δικτύου του ΤΕΙ Σερρών

Abstract

Με την εξάπλωση του διαδικτύου στον κόσμο αλλά και με τη δημιουργία φορητών συσκευών που μας προσφέρουν δυνατότητες σύνδεσης στο internet από οπουδήποτε, αυξάνονται ταυτόχρονα οι επιθέσεις που γίνονται τόσο σε άτομα αλλά και σε επιχειρήσεις. Είτε από μεμονωμένα άτομα είτε από οργανωμένες ομάδες χρησιμοποιώντας επιθέσεις πολλών ειδών όπως: • Τεχνικές προσωποποίησης(Impersonation attempts) • Σπάσιμο κωδικών(Password cracking) • Επιθέσεις πρωτοκόλλου(Protocol attacks) • Ξεχείλισμα buffer(Buffer overflows) • Εγκατάσταση rootkits(Installation of rootkits) • Εντολές απατεώνων(Rogue commands) • Εκμετάλλευση ευπαθειών λογισμικού(Software vulnerability exploits) • Κακόβουλος κώδικας, ιοί(Malicious code, viruses, worms, Trojans) • Παράνομη αλλαγή δεδομένων(Illegal data manipulation) • Μη εξουσιοδοτημένη πρόσβαση σε αρχεία(Unauthorized file access) • Επιθέσεις άρνησης εξυπηρέτησης(Denial of service (DOS) attacks)[15] αλλά και για διαφορετικούς λόγους όπως: • Οικονομικούς λόγους: Αν οι Hackers καταφέρουν και αποκτήσουν πρόσβαση σε κάποιο σύστημα, μπορούν να δουν πληροφορίες σχετικά με λογαριασμούς τραπεζών και συναλλαγές που έχουν τυχών γίνει από το συγκεκριμένο σύστημα. • Βιομηχανική κατασκοπεία: Σε κάποιες περιπτώσεις οι ανταγωνιστές θέλουν να έχουν πρόσβαση σε δεδομένα και μυστικά άλλων εταιριών και πληροφορίες πελατών. • Hactivism: Άνθρωποι που θέλουν να τραβήξουν τη προσοχή πάνω τους για διάφορους λόγους όπως πολιτικούς, τεχνολογικούς , θρησκευτικούς. • Διαμαρτυρία: Για να διαμαρτυρηθούν όπως τις συλλήψεις άλλων hackers. • Δυσαρέσκεια: Δυσαρεστημένοι υπάλληλοι ή πρώην υπάλληλοι που έχουν πρόσβαση σε ευαίσθητες πληροφορίες και καταφεύγουν σε τέτοιες μεθόδους όταν νιώθουν ότι έχουν αδικηθεί. • Δικαιώματα καύχησης(Bragging rights): Μπορεί να το κάνουν και για απλά διασκέδαση και για να καυχηθούν. Αυτού του είδους οι hacker είναι και ο αρχικός τύπος, αν και λιγότεροι σε πλήθος σε σχέση με παλιότερα αποτελούν ακόμα σοβαρό κίνδυνο. • Δοκιμές ασφαλείας: Κάποιος οργανισμός που θέλει να δώσει τονίσει κάποιο θέμα μπορεί να δημιουργήσει κάποια επίθεση για να δείξει στον οργανισμό τις υπάρχουσες ευπάθειες. Λόγω των πολλών επιθέσεων και των διαφόρων κινήτρων που μπορούν να έχουν οι επιτιθέμενοι, οι οργανισμοί χρειάζονται κάποιον τρόπο ώστε να αναγνωρίζονται οι επιθέσεις και να προλαμβάνονται τυχόν κλοπές πολύτιμων δεδομένων, πληροφοριών και επαγγελματικών μυστικών. Αυτό τον ρόλο αναλαμβάνουν τα συστήματα ανίχνευσης εισβολών. Με τον όρο ανίχνευση εισβολών εννοούμε την πράξη τις ανίχνευσης κακόβουλης ή ανεπιθύμητης κίνησης στο δίκτυο ή σε μια συσκευή. Ένα τέτοιο σύστημα μπορεί να είναι μια φυσική συσκευή η ακόμα και ένα είδος λογισμικού το οποίο παρακολουθεί την κίνηση στο δίκτυο και την ελέγχει για ανεπιθύμητη δραστηριότητα όπως και κακόβουλη κίνηση που παραβιάζει την πολιτική ασφαλείας της εταιρίας. Πολλά συστήματα αποθηκεύουν τα συμβάντα που εντοπίζουν σε αρχεία καταγραφών (logs) για να αξιολογηθούν αργότερα ή για να συνδυαστούν με άλλα συμβάντα ώστε να αναγνωριστεί και να παρθούν αποφάσεις σχετικά με την ασφάλεια στο δίκτυο. Μαζί με τα συστήματα ανίχνευσης εισβολών υπάρχουν και τα συστήματα αποτροπής τα οποία μπορούν να σταματήσουν την ανεπιθύμητη κίνηση η και επιθέσεις τη στιγμή που ανιχνευτούν.