In che modo IDS identifica un computer?

3

Come fa un IDS a identificare un computer sulla rete. Voglio dire, gli IDS controllano effettivamente se un dispositivo è effettivamente ciò che afferma di essere? In caso affermativo, quali fattori controlla (MAC, ecc.)?

Ad es. se un dispositivo è stato bandito dalla rete a causa di attività dannose (il mio amico sostiene che quando ha provato lo spoofing ARP nel suo college, il suo laptop è stato bandito dalla rete e lui è stato catturato). In che modo IDS tiene traccia o identifica il dispositivo quando rientra nella rete?

    
posta Grim Reaper 19.12.2013 - 17:50
fonte

7 risposte

1

Prima di tutto renditi conto quando parli di un IDS stiamo parlando di un dispositivo passivo. Con un dispositivo passivo si registrano / avvisano normalmente e nient'altro. D'altro canto, se questo dispositivo era un IPS, è qui che si verifica il blocco attivo di "shunning" o qualsiasi altra cosa sia stata creata per farlo.

Proprio come le tecnologie anti-virus, esistono due tipi di tecnologie di rilevamento della rete basate sulla firma (ad esempio Snort) e basate su euristica (ad esempio Fireye kinda! ).

Per quanto riguarda il rilevamento di attività anomale al livello 2, è raro che IDS / IPS si occupi di questo. Ciò tuttavia non significa che qualcosa sulla rete possa monitorare questo invece. Quel qualcosa è solitamente una soluzione NAC (Network Access Control) (ad es. FreeNAC) ed è possibile che ci sia una suite di strumenti che può essere eseguita insieme a IPC / IDS e fa questo, ma come una parte diversa di un prodotto (vedi palo alto ).

Con tutto ciò che viene detto ai punti di contatto di Internet ci sono molti modi per imprimere passivamente le impronte digitali di un dispositivo in base al suo traffico. Infatti, Nessus lo fa davvero molto bene, e in aggiunta, se hai mai giocato con pOf, lo hai già fatto da solo. Cose come richieste web, tentativi di connessione smb e altri bit di traffico aiutano questi sistemi a mettere insieme un po 'di informazioni passivamente.

Vedi questa pagina di Nessus che spiega di più.

link

    
risposta data 23.02.2014 - 21:42
fonte
1

Questo post è vecchio, ma ho pensato a met metion se vuoi conoscere IDS / IPS in un ambiente più pratico. Scaricherei PfSense è piuttosto facile da configurare, e il modo migliore per farlo è usare cose come yersenia e tutti gli strumenti in Kali Linux e vedere come registra il traffico che gli dai. Anche Splunk è abbastanza decente, l'ho installato sulla DC nel mio laboratorio VM che uso per la ricerca e così via.

pfsense: link Splunk: link

    
risposta data 24.02.2014 - 15:40
fonte
0

Non è così. L'ID sta solo andando a cercare ciò che è nella sua serie di regole. Quindi vede il tentativo di spoofare ARP registrarlo e avvisare l'operatore. L'operatore rifiuta manualmente l'ip, blocca il mac, disabilita la porta dello switch, qualunque sia. La maggior parte dei sistemi IDS può anche essere programmata per le risposte attive, quindi quando IDS vede il tentativo di spoofare arp. Uno script si spegne dicendo allo switch / firewall di bloccare l'indirizzo ip / mac..etc. Conosco un paio di prodotti che tuttavia integrano le funzionalità di tracciamento dei dispositivi con IDS. Per tenere sotto controllo i dispositivi "cattivi".

    
risposta data 19.12.2013 - 22:48
fonte
0

Dipende da dove posizioni l'IDS nella rete.

utente - > IDS - > Proxy / Firewall - > Internet

L'IDS attiverà l'evento con l'indirizzo IP dell'utente specifico che ha effettuato l'attacco spoof dell'arp.

utente - > Proxy / Firewall - > IDS - > Internet

L'IDS attiverà l'evento con Proxy / Firewall come indirizzo IP sorgente

In breve finchè queste appliance mantengono i log, possono rintracciarti nella rete

    
risposta data 20.12.2013 - 02:29
fonte
0

IDS non tiene traccia del record degli indirizzi MAC. In IDS solo l'interno & esterno è configurato per differenziare tra interno e amp; traffico di rete esterno. IDS ha regole predefinite per lanciare il verdetto (in caso di IDS potrebbe essere log o avviso) contro qualsiasi attività di intrusione dall'interno all'esterno e dall'esterno all'interno. Considera lo scenario in una rete Il tuo sistema - > switch / hub (obsoleto) - > proxy / DNS - > firewall - > IDS / IPS - > gateway - > Internet Come stai dicendo al tuo amico di essere catturato durante lo spoofing dell'arp, a causa del meccanismo di prevenzione applicato all'interruttore che è il binding MAC. Usando i registri possono identificare & per conto di poter applicare l'elenco di controllo di accesso ip.

    
risposta data 20.12.2013 - 09:59
fonte
0

Nel caso del tuo amico probabilmente non è stato catturato da un IDS, avrebbe attivato un dispositivo di controllo dell'accesso alla rete, o molto probabilmente l'interruttore che era collegato era configurato per consentire solo un singolo indirizzo MAC per porta e la porta si spegne automaticamente quando tenta di utilizzare un indirizzo MAC diverso dal suo.

    
risposta data 20.12.2013 - 23:26
fonte
0

Dato che hai menzionato l'ID su rete, suppongo che fosse NIDS.
In realtà, la NIDS non identifica un computer. La sua funzione è rilevare il comportamento anomalo dal traffico di rete, quindi tiene traccia solo degli indirizzi IP. Nel caso in cui l'IP del computer cambi nel tempo, la NIDS non ha potuto fare a meno. Se distribuisci informazioni sulla sicurezza e amp; Gestione degli eventi, include molti strumenti come Asset Discovery / Management per identificare il computer e correlare gli eventi in contesti, in modo da poter controllare più facilmente il flusso di traffico e le attività del computer sulla rete.
Potresti ricevere maggiori informazioni su: link

    
risposta data 19.02.2014 - 04:26
fonte

Leggi altre domande sui tag