4. Klasyfikacja IDS według typów odpowiedzi
Gdy systemy IDS zdobędą już informacje o wydarzeniach w systemie i przeanalizują ją w celu znalezienia symptomów ataku, przychodzi czas na wygenerowanie odpowiedzi.
Odpowiedzi aktywne (Active Responses)
Aktywne odpowiedzi systemów IDS są to zautomatyzowane działania, podejmowane gdy wykryte zostaną określone typy włamań. Wyróżniamy trzy kategorie aktywnych odpowiedzi.
- Zbieranie dodatkowych informacji. Najbardziej łagodna, ale czasami najbardziej efektywna odpowiedź polega na zebraniu dodatkowych informacji o prawdopodobnym ataku. System zaczyna "nasłuchiwać" bardziej uważnie w poszukiwaniu informacji, która może przesądzić o podjęciu dalszej akcji. W przypadku systemów IDS może to oznaczać zwiększenie wrażliwości źródeł informacji, na przykład poprzez powiększenie liczby zapisywanych zdarzeń systemowych lub ustawienie monitoringu sieciowego na przechwytywanie wszystkich pakietów, a nie tylko tych kierowanych do określonej maszyny lub portu.
- Zmiana środowiska. Kolejna aktywna odpowiedź polega na zatrzymaniu ataku i zablokowaniu kolejnych działań ze strony atakującego. Systemy IDS nie mogą w sposób całkowicie skuteczny odciąć danej osobie dostęp do zasobów. Jednakże stosują blokadę adresu IP, z którego atak wydaje się przychodzić. Zablokowanie zdeterminowanego i wyedukowanego włamywacza jest niezwykle trudne, ale systemy IDS mogą zniechęcić zaawansowanych włamywaczy lub powstrzymać początkujących stosując następujące metody:
- Dołączanie pakietów TCP resetujących połączenie do danych wysyłanych przez atakującego, przerywając w ten sposób połączenie.
- Konfiguracja routerów i zapór ogniowych na ignorowanie pakietów przychodzących z określonego adresu IP.
- Konfiguracja routerów i zapór ogniowych na zablokowanie portów, protokołów lub usług używanych przez atakującego.
- W ekstremalnych sytuacjach konfiguracja routerów i zapór ogniowych na odcięcie wszystkich połączeń używających określonych interfejsów sieciowych.
- Podjęcie akcji przeciwko intruzowi. Niektórzy są zdania, że pierwszą czynnością w aktywnej odpowiedzi powinno być podjęcie stosownej akcji wymierzonej w intruza. Najbardziej agresywna forma tej odpowiedzi wiąże się z przypuszczeniem kontrataku lub aktywnym zbieraniem informacji o komputerze atakującego. Jakkolwiek wydaje się to być bardzo kuszące podejście, zdecydowanie nie jest jednak zalecane. Z powodu wątpliwej legalności takich działań ta metoda może wyrządzić nam więcej szkód, niż sam atak. Pierwszym powodem bardzo ostrożnego podejścia do tej opcji są, wątpliwości natury prawnej. Co więcej, ponieważ wielu atakujących używa fałszywych adresów IP w celu dokonania ataku na system, niesie to ze sobą ryzyko uszkodzenia zupełnie przypadkowych i niezaangażowanych komputerów w sieci. W końcu odwet taki może spowodować eskalację "przemocy", prowokując atakującego (który przykładowo pierwotnie miał jedynie zamiar obejrzenia naszej listy plików) do bardziej agresywnych zadań.
Odpowiedzi pasywne (Passive Responses)
Pasywne odpowiedzi w systemach IDS mają za zadanie dostarczać informacje operatorom systemu, zostawiając podejmowanie akcji na podstawie przekazanych informacji ludziom za to odpowiedzialnym. Wiele komercyjnych systemów IDS opiera się wyłącznie na metodzie odpowiedzi pasywnych.
- Alarmy i powiadomienia. Alarmy i powiadomienia są generowane przez systemy IDS w celu poinformowania operatorów o wykryciu ataku. Większość komercyjnych systemów IDS pozwala na bardzo swobodny wybór w określaniu jak i kiedy tworzone są alarmy oraz kto jest o nich informowany. Najbardziej popularnym rodzajem alarmu jest alarm na ekranie monitora lub wyskakujące okienko. Jest ono przedstawiane na konsoli IDS lub na innym systemie, który wybraliśmy podczas konfiguracji IDS. Informacja dostarczona w takiej wiadomości może być różnorodna - od suchego faktu, iż atak miał miejsce, aż po niezwykłą szczegółowość, z opisem adresu IP atakującego, zastosowanej metody ataku i wyrządzonych szkód. Kolejna opcja doceniana głównie przez duże i rozproszone organizacje polega na zdalnym powiadamianiu o zaistniałych alarmach. To pozwala organizacjom na takie skonfigurowanie systemu IDS, by alarmy wysyłane były na telefony komórkowe lub pagery noszone przez personel odpowiedzialny za bezpieczeństwo sieci. Niektóre produkty oferują również opcję powiadamiania o wydarzeniach pocztą elektroniczną. Nie jest to zalecane, gdyż atakujący monitorują czasem wiadomości e-mail i mogą nawet zablokować taką wiadomość.
- Pułapki SNMP. Niektóre komercyjne systemy IDS są zaprojektowane do przesyłania wygenerowanych alarmów do systemu zarządzającego siecią. Używają one pułapek SNMP (Simple Network Management Protocol) do wysyłania alarmów do centralnej konsoli zarządzającej, gdzie mogą one być następnie obsłużone przez personel nadzorujący. Powiązanych jest z tym wiele korzyści, przykładowo możliwość przystosowania całej infrastruktury sieciowej do odpowiedzi na wykryty atak, możliwość przeniesienia obciążenia systemu (związanego z wygenerowaniem aktywnej odpowiedzi) na system inny od atakowanego oraz możliwość użycia wspólnych kanałów komunikacyjnych.