web-dev-qa-db-ja.com

IDSはどのようにしてコンピューターを識別しますか?

IDSはネットワーク上のコンピューターをどのように識別しますか。つまり、IDSは、デバイスが実際に主張どおりのものであるかどうかを実際にチェックするのでしょうか。もしそうなら、それはどのような要因をチェックしますか(MACなど)?

例:悪意のある活動のためにデバイスがネットワークから禁止された場合(私の友人は、大学でARPスプーフィングを試みたときに、ラップトップがネットワークから禁止され、捕まったと主張しています)。 IDSは、デバイスがネットワークに再入したときに、どのようにデバイスを追跡または識別しますか?

3
Grim Reaper

まず、IDSについて話すとき、パッシブデバイスについて話していることに気づきます。パッシブデバイスでは、通常、ログ/アラートのみを行います。一方、このデバイスがIPSの場合、アクティブな「回避」ブロッキングまたはその他の目的で実行される場所です。

アンチウイルステクノロジーと同様に、シグネチャベース(例:Snort)とヒューリスティックベース(例:Fireyekinda!)の2種類のネットワークセンシングテクノロジーがあります。

レイヤー2での異常なアクティビティの検出に関しては、IDS/IPSが通常これを処理することはまれです。ただし、これは、ネットワーク上の他の何かが代わりにこれを監視できることを意味するものではありません。その何かは通常NAC(ネットワークアクセスコントロール)ソリューション(例:FreeNAC)であり、IPC/IDSと一緒に実行され、これを実行するツールのスイートが製品の別の部分として存在する可能性があります(パロアルトを参照) )。

インターネットのタッチポイントで言われていることすべてを踏まえると、トラフィックに基づいてデバイスを受動的に指紋する方法はたくさんあります。実際、Nessusは実際にこれを非常にうまく行っており、さらに、pOfで遊んだことがある場合は、すでにこれを自分で行っています。 Webリクエスト、smb接続の試行、その他のトラフィックのビットなどは、これらのシステムがかなりの量の情報を受動的にまとめるのに役立ちます。

詳細については、このNessusページを参照してください。

http://www.tenable.com/blog/enhanced-operating-system-identification-with-nessus

1
dc5553

この投稿は古いですが、より実用的な環境でIDS/IPSについて学びたい場合は、idmetionを考えました。セットアップが非常に簡単なPfSenseをダウンロードします。そのための最良の方法は、YerseniaやKali Linuxのすべてのツールを使用して、指定したトラフィックをログに記録する方法を確認することです。また、Splunkはかなりまともです。私は、研究などに使用するvmwareラボのDCに設定しています。

pfsense: http://www.pfsense.org/ Splunk: http://www.splunk.com/

1
EnergyBrew

そうではありません。 IDSは、ルールセットに含まれるもののみを検索します。そのため、ARPスプーフィングの試みがログに記録され、オペレーターに警告します。オペレーターは手動でIPを回避し、Macをブロックし、スイッチポートを無効にします。ほとんどのIDSシステムは、アクティブな応答用にスクリプト化することもできるため、IDSがarpスプーフィングの試みを検出した場合。スクリプトが起動し、スイッチ/ファイアウォールにIP/MACアドレスなどをブロックするように指示します。ただし、デバイス追跡機能をIDSと統合している製品をいくつか知っています。 「悪い」デバイスを監視するため。

0
snorty

IDSをネットワークのどこに配置するかによって異なります。

ユーザー-> IDS->プロキシ/ファイアウォール->インターネット

IDSは、arpスプーフィング攻撃を行った特定のユーザーのIPアドレスを使用してイベントをトリガーします。

ユーザー->プロキシ/ファイアウォール-> IDS->インターネット

IDSは、送信元IPアドレスとしてプロキシ/ファイアウォールを使用してイベントをトリガーします

つまり、これらのアプライアンスがログを保持している限り、ネットワーク内でユーザーを追跡できます。

0
hoa

IDSはMACアドレスの記録を追跡しません。 IDSでは、内部と外部のネットワークトラフィックを区別するように、内部と外部のみが構成されています。 IDSには、内部から外部へ、および外部から内部への侵入アクティビティに対して判定を開始するための事前定義されたルールがあります(IDSの場合はログまたはアラートの場合があります)。ネットワークのシナリオを考えてみましょう。システム->スイッチ/ハブ(廃止)->プロキシ/ DNS->ファイアウォール-> IDS/IPS->ゲートウェイ->インターネットあなたが言っているように、あなたが言っているように、あなたの友人は、 MACバインディングであるスイッチに適用される防止メカニズム。ログを使用して、IPアクセス制御リストを適用できることを識別および代行できます。

0
P4cK3tHuNt3R

あなたの友人の場合、彼はおそらくIDSに捕らえられなかったでしょう、彼はネットワークアクセス制御デバイスをトリガーしたでしょう、あるいは彼が接続されたスイッチはポートとポートごとに単一のMACアドレスのみを許可するように構成されていたでしょう自分以外のMACアドレスを使おうとすると自動的にシャットダウンされました。

0
Chris

ネットワーク上のIDSについておっしゃっていたので、NIDSだったと思います。
実際、NIDSはコンピューターを識別しません。その機能はネットワークトラフィックからの異常な動作を検出することであるため、IPアドレスのみを追跡します。コンピュータのIPが時間の経過とともに変化する場合、NIDSは役に立ちませんでした。 Security Information&Events Managementを展開すると、Assets Discovery/Managementなどの多くのツールが含まれ、コンピューターを識別してイベントをコンテキストに関連付けることができるため、ネットワーク上のトラフィックの流れとコンピューターのアクティビティを簡単に監視できます。
詳細については、 http://www.alienvault.com をご覧ください。

0
incous