IDS si nacházejí místo mezi analytickými nástroji

Systémy detekce napadení sítě (IDS Intrusion Detection System) mohou být velmi užitečným doplňkem firemního bezpečn...


Systémy detekce napadení sítě (IDS Intrusion Detection System) mohou být velmi
užitečným doplňkem firemního bezpečnostního vybavení. Poskytují unikátní
přehled toho, co se děje ve vašich sítích, a nabízejí mocné forenzní nástroje,
jež pomáhají zjistit, jak a kdy na síť někdo útočil. IDS nejsou pro každou síť,
ale pokud jsou nasazeny na správném místě, v pravý čas a monitoruje je skutečný
profesionál na oblast síťové bezpečnosti, pak se jedná o ten správný produkt.
To jsou závěry, k nimž jsme se dobrali při našich testech pěti produktů, které
měly po dva měsíce na starosti reálný internetový provoz.
Stejně jako vloni jsme tyto produkty zkoušeli jako rozhraní pro připojení
několika "živých" sítí k internetu, přičemž tyto sítě samy o sobě nebyly před
útoky chráněny. Zatímco loni jsme se soustředili na jednoduchou detekci, letos
jsme naši pozornost zaměřili na specifické scénáře, s nimiž se firemní manažer
pro bezpečnost může setkat.
Zjistili jsme, že ačkoliv falešné poplachy stále představují problém, situace
se v této oblasti oproti předchozímu testu značně zlepšila a výrobci zvládají
záplavu falešných poplachů lépe.
O účast jsme požádali více významných výrobců, nakonec se zúčastnily testu
pouze firmy Cisco Systems, Internet Security Systems (ISS), Intrusion a NFR
Security. Celkově jsme zjistili, že různé produkty mají různé silné stránky, v
závislosti na vašich potřebách; např.:
ISS nabízí nejsilnější sadu nástrojů pro správu a analýzu.
Směrovače a přepínače firmy Cisco poskytují se svou těsnou integrací IDS a
senzory ohromnou flexibilitu, ale jejich správa všeobecně zaostává za
konkurencí.
NFR podává nejlepší výkon, pokud hodláte zapisovat mnoho vlastních signatur
útoků.
Výrobek firmy Intrusion je téměř stejně silný jako ISS, avšak má několik
citelných nedodělků a mezer.

Scénář č. 1
Co se stalo s Paulem?
Těsně po instalaci prvního testovaného zařízení byl napaden jeden z našich
počítačů s OS Windows 2000 (pojmenovaný Paul) a byl využit jako zombie pro
skenování dalších systémů. Chtěli jsme zjistit, kdo se do něj naboural a jak se
mu to podařilo.
Většina produktů rozlišuje mezi varovnými a forenzními nástroji. Forenzní
nástroje přitom umožňují ponořit se hluboko do podstaty problému.
Některé produkty jsou také velmi modální: můžete pracovat buď v režimu
varování, nebo ve forenzním režimu, přičemž mezi těmito dvěma mody jsou
bariéry. Do této kategorie spadají produkty firem Intrusion, NFR a Cisco.
(Cisco využívá nástroje Cisco Thread Response [CTR], jež získalo spolu s
akvizicí společnosti Psionics.) ISS a původní IDS Management Console firmy
Cisco nerozlišovaly mezi uvedenými dvěma typy analýzy.
Jelikož předmětný počítač byl napaden v pátek, měli bychom mít v pondělí, kdy
jsme se opět přihlásili, k dispozici jasné, zřetelné varovné hlášení.
Zjistili jsme ale, že tým společnosti Intrusion vyladil náš systém tak, že
mazal varovná hlášení po uplynutí tří dnů, takže jsme neviděli nic.
Přenastavili jsme limity a objevili zajímavý fakt: varování s vysokou prioritou
mohou zastarávat pomaleji než ta s nízkou prioritou. Nejde o nijak velkou
konkurenční výhodu, ale přesto se jedná o dobré znamení, že vývojáři na podobné
případy mysleli. Jakmile jsme však přepnuli zařízení firmy Intrusion do
forenzního režimu, několik chyb nám bohužel zabránilo ve využití možností této
funkce.

ISS učinila dobrý dojem
Poté jsme se obrátili k produktu společnosti ISS proventia A201. ISS
nerozlišuje mezi varovnými a forenzními nástroji, místo toho nabízí na stejná
data různé pohledy prostřednictvím nástroje pro správu a analýzu informací
SiteProtector, jenž je částí dodávaného balíku software. Jednou ze silných
funkcí je automatická sumarizace. Jednotlivé události jsou (kdykoliv je to
možné) řazeny do skupin, čímž se zmenšuje celková velikost záznamu. Snadno jsme
proto mohli potvrdit, že určitý počítač v naší síti byl napaden hackerem a kdy
se to stalo.
Od kroku "hacker napadl počítač" ke zjištění "jak se to stalo" stačí zkopírovat
IP adresu pravým tlačítkem myši, vložit ji na stejnou obrazovku a přepnout
pohled. Vyčkejte osm vteřin a dostanete odpověď. Zdá se to jednoduché, ale
ostře to kontrastuje s ostatními produkty, které nedisponují tak vyspělým
rozhraním pro třídění, analýzu a vyhledávání dat.
SiteProtector nyní nabízel krátký seznam událostí, z nichž šest bylo označeno
vysokou prioritou. Mocné forenzní schopnosti dovolují identifikovat útočníky a
také zjistit, co dalšího mohli dělat. Co je důležitější, prohlížeč událostí
dovoluje správcům sítě uložit nejzajímavější záznamy do složky incidentů a
rychle vygenerovat seznam analytických akcí pro každou z položek. Propojení
událostí a databáze X-Force, která obsahuje přesné vysvětlující odkazy a
informace o umístění záplat (patchů), nám ohromně pomohla při vystopování
problému.

NFR s problémy
Rozhraní NFR činí ohromný rozdíl mezi varovnými informacemi a forenzními
nástroji. Signatury rozhodují o tom, kdy zaslat varování, kdy zapsat údaje do
databáze nebo kdy je třeba učinit obojí. Nejdříve jsme na obrazovce začali s
varovnými hlášeními, setřídili jsme je podle IP adres a nezjistili jsme nic. Ve
výchozím nastavení je zobrazeno pouze 1 000 položek. Pokud zobrazení rozšíříte
na 20 000 položek, je třeba čekat 5 minut, než se údaje obnoví. Poté, co jsme
konečně ověřili, že produkt firmy NFR zaznamenal útok na počítač Paul, zbývalo
nám vyřešení obtížného problému: zjistit, jak k nabourání počítače došlo.
Odpověď je ale stručná na podobné otázky se NFR neptejte. V rámci filtrování
nelze tento produkt požádat o zobrazení všech varovných zpráv s danou cílovou
adresou. Lze zobrazit všechna varování v daném časovém rozmezí a setřídit je
podle cílové IP adresy, ale seznam nelze omezit na údaje, které opravdu
potřebujete. To je trochu zneklidňující, ale domnívali jsme se, že odpověď
nalezneme s pomocí forenzních nástrojů, které daný produkt nabízí. Ani to však
nebylo možné.
Skončili jsme s obrovským seznamem irelevantních varovných položek, jímž jsme
se museli probírat ručně, s pomocí poznámkového bloku a webového prohlížeče,
abychom zjistili, co se s počítačem Paul událo. V daném případě však navíc NFR
útok nezaznamenal.

Cisco: Lepší data
Nástroj dodávaný v rámci systému Cisco IDS Cisco Thread Response (dále jen CTR)
nabízí pohledy podle jednotlivých událostí, zdrojové a cílové adresy, ale
nemáte k dispozici možnost mezi těmito pohledy snadno přepínat. Lze odhalit
čas, kdy byl útok zahájen, a zjistit, odkud k němu došlo. Ale abyste se k
tomuto cíli dostali, musíte se pohybovat v rámci grafického uživatelského
rozhraní mnohem více, než je tomu u ostatních produktů. Nelze omezit zobrazení
na dané časové rozmezí (ačkoliv lze třídit události podle času) a nelze rychle
přiřadit odpovídající zdrojové a cílové adresy, neboť to předprogramované
pohledy nedovolují. Vzhledem k tomu, že CTR zobrazuje výhradně varovná hlášení,
máte po ruce pouze nejnovější údaje, takže pokud chcete provádět forenzní
dotazy, je třeba využít nástroje jiného, jímž je IDS Monitoring Center,
dodávaný jako součást širší platformy pro správu CiscoWorks. Jelikož je IDS
Monitoring Center starší než CTR, může rovněž posloužit jako all-in-one
rozhraní pro práci s varovnými hlášeními a provádění jejich forenzního zkoumání.
To, co lze udělat s rozhraním ISS rychle, trvá s oběma nástroji od firmy Cisco
podstatně déle. Rovněž výsledek se liší, protože CTR nepřikládá patřičnou váhu
údajům, které ISS naopak považuje za důležité. U CTR k tomuto jevu došlo, pokud
bylo zjištěno, že se útok nezdařil. Stručný seznam zpráv byl u produktu Cisco
ještě stručnější. Mírně lepší údaje nevyvážily frustraci z nutnosti přepínat
mezi grafickými rozhraními, používat poznámkový blok a pracně tápat, protože
není k dispozici žádný systém pro správu incidentů.

Scénář č. 2
A co tahle varování?
Protože jsme nechtěli opakovat loňskou zkušenost s falešnými poplachy, zabývali
jsme se otázkou vyladění. Jak snadno a rychle lze omezit směs falešných
varování? Manažeři bezpečnosti k tomuto problému přistupují dvěma způsoby.
Někteří z nich chtějí mít k dispozici veškerá varovná hlášení, ale chtějí je
třídit podle priority. Jiní chtějí bezcenné informace jednoduše zahazovat.
Vzhledem k tomu, že jsme provedli v rámci prvního scénáře spoustu analýz,
vytvořili jsme nyní jednoduchou úlohu: zajistit, aby se falešné varovné zprávy
již nikdy znovu neobjevily.

ISS částečný úspěch
ISS disponuje dvěma jednoduchými postupy pro filtrování událostí. V rámci
nastavení politiky každého jednotlivého senzoru je dobře ukrytá záložka, jež
zamezuje zobrazení těchto událostí v rámci IDS rozhraní. Je obtížné říci, zda
by tento postup fungoval v rámci rozsáhlé sítě. Každou kombinaci událostí a
cílové adresy je nutno zadat zvlášť, což znamená, že pokud se staráte o stovky
serverů, zahazování příslušných hlášení může zabrat dlouhou dobu. Nebo běžnější
příklad rozhodnete se, že daná událost není důležitá, a chcete ji deaktivovat.
Ale podobný přístup je nebezpečný, jelikož systémy nově připojené do sítě
nemusejí mít nainstalovány všechny potřebné záplaty a změny konfigurace.
Vyřešení našeho problému s možnostmi, jež má k dispozici ISS, by bylo u velkých
sítí extrémně zdlouhavé.
Bezpečnostním analytikům, kteří chtějí mít všechna data, ale nechtějí je vidět,
pokud o to výslovně nepožádají, nabízí ISS částečné řešení. Libovolnému
zobrazení událostí a forenzních údajů lze přiřadit filtr, který zabraňuje
zobrazení určitých záznamů, zdrojových a cílových adres.

Cisco složité řešení
IDS Management Console společnosti Cisco nabízí funkci filtrování specifických
signatur, ale složitým způsobem. Oceňujeme distribuovanou správu IDS, neboť
dovoluje vytvářet skupiny senzorů a následně aplikovat nastavení a jejich změny
na úrovni jednotlivých senzorů, jejich skupin nebo celé sítě. Na první pohled
se jedná o vyspělé a rozumné řešení. Avšak Cisco neumožňuje správu signatur na
úrovni skupin a na úrovni sítě. Pokud tedy chcete vytvořit filtr pro určité
události, je nutno procházet senzory jednotlivě a kopírovat shodné údaje.
Jestliže chcete jen oddělit užitečné informace od bezcenných, pak lze situaci
částečně řešit pomocí nástroje CTR. Ten nabízí řadu politik, jež je možné
využít ke zvýšení či snížení priority varovných hlášení. Avšak nastavení nové
politiky, která by říkala "tento poplach není relevantní", je obtížné.

NFR má solidní filtrování
Filtrování u tohoto produktu fungovalo jak na úrovni senzorů, tak v rámci
grafického rozhraní. Filtry na úrovni senzorů dovolují blokovat data nejen pro
správu událostí, ale i pro forenzní operace. Stačí vybrat událost, definovat
příslušný filtr a aplikovat jej na jednotlivé senzory nebo na všechny senzory
současně. Jejich změna vyžaduje jediné klepnutí tlačítkem myši.
Produkt NFR však zklamal v oblasti filtrování varovných zpráv. Strávili jsme
dlouhou dobu blouděním v grafickém rozhraní a uživatelské dokumentaci, než jsme
konečně došli k závěru, že snaha o blokování poplašných zpráv v rámci
grafického rozhraní je zbytečná. Protože NFR zpracovává varování a forenzní
úlohy odděleně, není prakticky důvod filtrovat je v rámci rozhraní
zobrazujícího události. Jestliže vám stojí za to věnovat čas filtrování, je
lepší realizovat jej na úrovni událostí, kde máte filtry více pod kontrolou.

Výkonné senzory
Schopnosti nastavení se u produktu Intrusion liší v závislosti na tom, kde
chcete filtry aplikovat. V našem případě bylo vyladění na úrovni senzorů
efektivní, tudíž jsme použili tuto metodu. Editor politik běží v rámci
centrální konzoly pro správu a umožňuje vytvořit politiku, která se stará o
zahazování informací o IP adresách v příslušných případech. Po krátké
konzultaci s technickou podporou jsme vynutili změny na jednotlivých senzorech,
což výrazně omezilo záplavu varovných zpráv. Správa politik jednotlivých
senzorů je u produktu firmy Intrusion jednodušší, než tomu bylo před rokem, ale
filtrování je stále mnohem obtížnější, než je nutné.
Intrusion podporuje také filtrování čistě na základě IP adres, což ovšem
vyžaduje přímý přístup k senzoru prostřednictvím webového rozhraní, filtr nelze
nastavit centrálně. Tato funkce se může zdát podivná, ale v prostředí velké
firmy, kde přes více senzorů prochází vzájemně se prolínající provoz, by
schopnost blokovat celé rozsahy sítí byla užitečná.

Scénář č. 3
Vlastní varování
Ne každý správce sítě bude podobnou funkci potřebovat, ale my jsme chtěli
vyřešit specifický problém. Jeden červ, jenž se objevil během testování,
rozesílal data na zjištěné hostitelské počítače na internetu. Chtěli jsme tento
provoz zachytit, vytvořit příslušná varovná hlášení a s jejich pomocí odstranit
infekci naší sítě.
Cisco nabízelo metodu pro úpravu signatur, která nás ohromila nejvíce. Namísto
jejich prezentace v jednoduché textové formě nabízelo komplexní škálu enginů a
parametrů.
S pomocí průvodce nemusí správce znát všechny podrobnosti, takže jsme byli
schopni snadno vytvořit požadovanou signaturu. Ale nástroje firmy Cisco pro
tvorbu signatur fungují dobře pouze v některých běžných případech, zjistili
jsme, že existují typy signatur, které bychom vytvořit nemohli.
NFR nabízí silné vývojové prostředí pro svůj proprietární jazyk N-Code. Je tedy
zřejmé, že každý manažer pro bezpečnost bude tíhnout k příslušné sadě nástrojů.
NFR má k dispozici škálu signatur pro zachytávání provozu na základě určitých
politik, nikoliv na základě zjištění útoku. Nejprve jsme využili předem
připravenou signaturu, poté jsme se pokusili o vytvoření vlastního programu v
N-Code. N-Code je silný, ale použití existující signatury bylo mnohem snazší.
Splnění úkolu bylo poněkud frustrující v případě produktů Intrusion a ISS,
neboť klíčové signatury a technologie jsou skryty. ISS se snaží řešit problém
tak, že dává k dispozici jazyk Trons, který umožňuje přidávat ke stávající sadě
pravidel další signatury se syntaxí Snort. Editor politik u produktu firmy
Intrusion nabízí omezené grafické rozhraní pro tvorbu nových signatur. Naše
požadavky byly natolik jednoduché, že jsme s jeho pomocí byli schopni
vygenerovat příslušnou signaturu, aniž bychom byli nuceni se ponořit za rámec
tohoto grafického rozhraní.

Scénář č. 4
Vyhledání červů
Jelikož v rámci naší testovací sítě úmyslně nebyly aplikovány všechny potřebné
záplaty, věděli jsme, že budeme silně zasaženi bezpečnostní chybou v Microsoft
RPC DCOM. Ale otázkou zůstávalo, kdo byl zasažen? V rámci rozsáhlé sítě by její
zodpovězení a rychlá aplikace oprav na dané počítače představovala vysoce
naléhavý bezpečnostní problém. Tyto systémy lze nalézt velmi snadno, neboť
začnou skenovat další sítě a vyhledávat systémy vhodné k infikování. K řešení
problému jsme využili forenzní funkce IDS.
U NFR je klíčem k úspěchu zjištění toho, co vlastně hledáme. Z doporučení CERT
jsme věděli, že se máme zaměřit na PING provoz, a s tím jsme se ponořili do
NFR. Náš první odhad, "ICMP Pingflood", nebyl správný, ale po několika
sekundách jsme se zaměřili na "IP Hostscan". NFR poskytl IP adresy, které jsme
potřebovali, ale to bylo prakticky vše. Například jsme nezjistili čísla portů,
na něž byl veden útok, což by bylo v jiných kontextech užitečné. Práce s
grafickým rozhraním NFR ve forenzním režimu je obtížná pokud chcete zobrazit
popis určité události, musíte přejít do jiné části.
Test také odhalil problém společný všem produktům nevidíte problematické
pakety. Nelze proto zkontrolovat signatury a zjistit, zda negenerují falešné
poplachy.
Forenzní nástroje produktu firmy Intrusion umožňují různé pohledy do databáze:
podle útočníka, podle cílového stroje, podle priority a podle skupiny signatur.
Začali jsme se skupinami signatur a poklepali na první úroveň stromu. Zobrazily
se jejich hlavní skupiny, spolu s počtem zaznamenaných událostí. Skupina,
kterou jsme hledali, byla na první pohled viditelná, byly v ní stovky tisíc
záznamů. Jedno další kliknutí a ICMP Ping Sweep a SMB Scan jsme měli opět jako
na dlani navíc jsme zjistili něco, co jsme se nedozvěděli u produktu NFR.
V tomto bodě Intrusion dále položky netřídí, čili pokud bychom měli k dispozici
výchozí konfiguraci, museli bychom setřídit dlouhé seznamy událostí. Ale
vytvoření nového stromu bylo rychlým řešením. Několika poklepáními myši lze
vytvořit novou sumarizační úroveň pod signaturou a zdrojovou IP adresou, čímž
jsme získali všechny potřebné informace.
Neměli jsme však k dispozici žádný způsob, jak tyto údaje jednoduše uložit do
tabulky.
Produkt firmy ISS nám nedovolil se rychle přesunout k požadované signatuře, ale
nabídl nám několik přednastavených voleb. První z nich, analýza událostí podle
útočníka, vytvořila jednu položku pro každý "útočící" stroj v síti. Setřídili
jsme seznam podle počtu událostí a infikované počítače se rázem ocitly na
vrcholu seznamu. ISS by umožnil seznam dále omezit na firemní IP adresy, ale
vzhledem k tomu, že jsme měli k dispozici více sítí, rozsahy adres nebyly
kompatibilní s grafickým rozhraním.
V seznamu útočníků jsme mohli zvolit funkci, kterou jsme si ze všech
testovaných produktů oblíbili nejvíce. Poklepáním na příslušný záznam pravým
tlačítkem myši se objevil seznam otázek, které by nás mohly zajímat. V našem
případě jsme chtěli zjistit, které události byly generovány příslušným
útočníkem. Zvolili jsme příslušný dotaz a po dvou sekundách jsme zjistili útok
červa. Další kliknutí, a měli jsme k dispozici další otázku: jaké jsou zdroje
této události. Po 10 sekundách jsme měli seznam po ruce. Zvolit příslušný
sloupec, zkopírovat, exportovat a jste hotovi. ISS to zvládnul skutečně
správným způsobem.
Cisco nenabízelo podobně rychlou odezvu, ale funkce byly obdobné. V zobrazení
událostí jsou základním paradigmatem přesunovatelné a rozšiřitelné sloupce.
Vyberte libovolný sloupec, který považujete za nejdůležitější, přetáhněte ho
doleva a IDS Management Center setřídí data podle tohoto sloupce a vytvoří
souhrn opakovaných položek spolu s jejich počtem. Tato funkce nabízí vynikající
pohled na dostupné informace a byla by dokonce lepší, než je tomu u ISS, nebýt
jedné chyby pokud přesunete sloupec, přijdete o pozici, na které jste se v jeho
rámci nacházeli.
Najdete něco zajímavého a chcete data znovu setřídit? Cisco to po přesunutí
sloupce udělá, ale ten nejzajímavější údaj se znovu ztratí v záplavě ostatních.
V tomto testu je jasným vítězem ISS, který nám dovolil rychle procházet data a
vyhledávat jednotlivé vzorce a problémy. Cisco a v menším rozsahu také
Intrusion nabízejí podobné funkce, ale mají se co učit, pokud se týče
flexibility a svobodné volby dostupné v rozhraní ISS.
V některých dotazech jsou Cisco a Intrusion dokonce pružnější než ISS, neboť se
můžete zaměřit na libovolný sloupec v rámci dostupného rozhraní, zatímco ISS
vás omezuje na nejběžnější možnosti. Avšak za celé dva měsíce, kdy jsme měli
možnost produkty zkoušet, jsme s ISS nenarazili.

Který IDS zvolit?
Pokud již víte, že IDS je právě to, co potřebujete, pak naším kandidátem je
ISS. Pokud se domníváte, že budete potřebovat vytvářet signatury, a hledáte
kombinaci zajištění příslušných politik a bezpečnosti, pak je NFR se svým
jazykem N-Code možným řešením. Pokud si ale myslíte, že signatury by měl
dodávat výrobce, ISS nabízí nejlepší správu údajů, které mohou generovat tisíce
systémů.
Nejste-li spokojeni s možnostmi ISS, Intrusion nabízí obdobnou produktovou
řadu, avšak s omezenými možnostmi v oblasti správy.
Cisco disponuje širokým potenciálem a enormním rozsahem, co se týče jeho
senzorů. Pokud tato firma zvládne s úspěchem integrovat do svých produktů CTR
technologii, pak se stane Cisco jasnou volbou. Ačkoliv je jeho webové rozhraní
relativně pomalé, některé funkce jsou navrženy skvěle. Stejně tak Intrusion má
solidní řešení, ale potřebuje jednotlivé prvky lépe integrovat do jednoho celku.

ISS Proventia A201
Mezi testovanými systémy pro detekci napadení sítě (Intrusion Detection System,
IDS) nás nejvíce zaujal a v našem hodnocení nejvíce zabodoval produkt
společnosti Internet Security Systems. Proventia A201 v doprovodu příslušného
softwaru nabízí nejsilnější sadu nástrojů pro správu a analýzu výbornou
navigaci v rámci forenzních funkcí, snadnou správu velkého počtu varovných
událostí nebo například rychlou analýzu.

Omezují IDS šířku pásma?
Neboť jsme instalovali senzory ve vzdálených lokalitách, obávali jsme se, že
senzory budou spotřebovávat dostupnou šířku pásma při komunikaci s řídicím
terminálem. Při výskytu infekce červem jsme měřili využití šířky pásma po dobu
12 hodin. Senzory monitorovaly agregovanou šířku pásma cca 3 Mb/s mezi oběma
sítěmi. Jediným, který vzbudil mírné obavy, byl produkt ISS, jenž spotřeboval
62 Kb/s.
Průměrná spotřebovaná šířka pásma (Kb/s)
ISS62
Cisco7
NFR5
Intrusio5

Jak jsme testovali
Naše reálné testy vyždímaly ze systémů detekce napadení sítě maximum na celkem
třech lokalitách. Naším cílem bylo smísit prvky podnikových sítí umístěných ve
více lokalitách s neodmyslitelnou náhodnou povahou internetu a zjistit, jak si
testované produkty vedou a jakou podporu mohou profesionálním bezpečnostním
analytikům nabídnout.
Začali jsme instalací senzorů pro každý testovaný produkt ve dvou místech v
oblasti Los Angeles a San Jose. Na každém z nich viděl každý senzor stejný
síťový provoz ve stejném okamžiku, což nám umožnilo porovnat navzájem reakci
čtyř různých testovaných produktů na téže události. Použili jsme rovněž
hostitelské počítače HP ProLiant DL330 s neopatchovanými verzemi operačních
systémů Unix a Windows a také Cisco IOS "obětní beránky" jsme tedy měli. Začali
jsme bez jakýchkoliv záplat, ale byli jsme nuceni některé z nich aplikovat,
abychom zabránili ovládnutí během několika málo vteřin v době realizace našich
testů zuřila na internetu epidemie automaticky se šířících červů. Každý ze
systémů jsme monitorovali a operační systém jsme po jeho prolomení nebo
nabourání znovu nahráli s využitím softwaru Symantec Ghost. K zajištění
maximální dostupnosti jsme všechny senzory a hostitelské počítače připojili ke
zdroji nepřerušitelného napájení SmartUPS XL5000 firmy American Power
Conversion.
Doufali jsme, že se nám podaří reprodukovat prostředí při našich loňských
testech, kdy během několika měsíců testování došlo několikrát k proniknutí do
všech hostitelských počítačů. Jelikož se nejednalo o test výkonnosti,
zásobovali jsme každý ze senzorů běžným internetovým provozem o celkové
rychlosti cca 3 Mb/s.
Každý z výrobců dodal pro správu IDS svůj vlastní systém, který jsme použili v
našem operačním centru. Ve většině případů doplňovala systém pro správu také
klientská aplikace pro analýzu a forenzní výzkum.
Veškeré IDS senzory měly k dispozici nejméně dvě rozhraní jedno (či více) pro
detekci a další pro správu a podávání hlášení. Rozhraní pro správu na senzorech
v San Jose a Los Angeles jsme připojili k IP Security VPN spojující všechny tři
lokace, a to s využitím VPN zařízení od firmy Nokia. Tím jsme dosáhli
bezpečného chráněného spojení mezi senzory a systémy pro správu. Systémy pro
správu měly rovněž k dispozici přístup k internetu (avšak přes firewall
společnosti NetScreen), takže byly schopny stahovat aktualizované signatury a
opravy dle potřeby.
Vyzvali jsme jednotlivé výrobce, aby monitorovali a vyladili své senzory pro
použité hostitelské systémy a také ke snížení falešných poplachů a frekvence
jejich výskytu. K tomu měli k dispozici celkem 10 dní, po jejichž uplynutí jim
bylo v přístupu k zařízením zamezeno. Všichni výrobci se také rozhodli dát k
dispozici systémového inženýra, jenž pomáhal s konečnou instalací, vyladěním a
vyškolením testovacího týmu.
Testy jsme provozovali bez přerušení po dobu dvou měsíců.

Co IDS zvládnou a co nikoliv
Systémy detekce napadení sítě jako třída produktů se nedávno ocitly pod palbou
kritiky, vydatně podpořené sérií zpráv společnosti Gartner, z nichž jedna byla
nazvána "Detekce vniknutí je mrtva ať žije prevence vniknutí". V další z nich
"Životní cyklus nadnesené reklamy v oblasti informační bezpečnosti, 2003" tvrdí
Gartner, že "systémy detekce napadení jsou selháním trhu." Možná se vzhledem k
těmto a podobným titulkům divíte, proč jsme tento test vůbec realizovali.
Analýzy společnosti Gartner jsou bohužel hlubokým nepochopením toho, k čemu
jsou IDS dobré a komu jsou určeny. Mnozí správci sítí a analytici Gartner Group
umístili IDS do jednoho pytle s firewally, technologií navrženou k ochraně
sítí. Ale to není účel IDS. IDS je pro bezpečnostního analytika tím, čím je
analyzátor protokolů pro správce sítě: nástrojem, který slouží k nahlédnutí do
sítě a k pochopení toho, co se v ní děje s ohledem na bezpečnost. Házet IDS a
firewally na jednu hromadu je zhruba stejně správné, jako zaměňovat 100Mb/s
přepínače a protokolové analyzátory. Zmatek u Gartner Group je znásoben snahou
dodavatelů IPS (Intrusion Prevention Systems) o vytvoření vlastního segmentu
trhu, postaveného na falešných představách o IDS. Správci sítí, kteří nakoupili
IDS a očekávali od nich, že magicky vyřeší problém zabezpečení jejich sítě,
byli zklamáni, neboť k tomuto účelu IDS vůbec neslouží.
Ale spíše než se zabývat tím, čím IDS nejsou, je lépe říci, čím IDS jsou. IDS
systémy jsou navrženy jako pasivní senzory sloužící k detekci útoků, narušení
politik, špatného chování a špatné bezpečnostní konfigurace.
Jak poznamenává Gary Goloms, který se dlouhou dobu zabývá danou problematikou,
IDS mohou poskytnout zpětnou kontrolu o bezpečnostní situaci a implementaci v
rámci firemní sítě. "IDS slouží jedinému účelu jsou zde a dohlížejí na to, zda
se někdo nedostane dovnitř i přes bezpečnostní opatření," říká. "A zde máte
onen míč s falší: Poté, co jsou instalovány všechny obranné technologie (jako
jsou firewally, antivirový software a VPN), útočníci se přes ně stále
dostávají! Ať již kvůli zranitelnému návrhu sítě, zranitelným aplikacím nebo
nevědomě chybně nakonfigurovaným zařízením, pořád jsou schopni se přes ně
dostat."
Dodavatelé, jako je NFR Security, propagují IDS nejen jako nástroje sloužící k
detekci narušení sítě, ale také ke zjištění porušování bezpečnostních politik,
jako jsou příliš krátká hesla, FTP přenášející nesprávné soubory, nebo provoz
mezi dvěma zařízeními, jež by mezi sebou neměla komunikovat. Jsme v situaci,
kdy nasazení IDS je nejvhodnější tehdy, pokud máte k dispozici zkušené
bezpečnostní analytiky, kteří s jejich pomocí mohou zvládnout specifické cíle a
úkoly. I když lze IDS využít k zodpovězení otázky, kdo se minulý týden naboural
do mého systému, toto je jen jeden dílek skládanky. Ačkoliv výrobci by rádi
prodávali IDS jako produkty vhodné pro síťové manažery všech úrovní, toto
očekávání je nereálné. Opět porovnejme IDS s analyzátorem protokolů. Jakákoliv
střední či velká firma nějaký potřebuje, ale ne u každého se předpokládá, že s
ním bude umět zacházet. Dodavatelé učinili významný pokrok při minimalizaci
nepřesností generované IDS produkty a pokusili se je zpřístupnit pro využití
zaměstnanci s různými úrovněmi zkušeností.
Rozhodnout, zda se pro vás IDS hodí, či nikoliv, je obtížné. Úspěšná
implementace IDS závisí na těchto kritických faktorech:
Povědomí o bezpečnostních politikách:
IDS nejsou schopny detekovat podezřelé chování, pokud není definováno, co je a
co není na síti povoleno. Pokud nedokážete stanovit bezpečnostní politiku pro
svou síť, pak vám IDS neřeknou nic o jejím porušení.
Povědomí o síti:
IDS produkty odvádějí mizernou práci, pokud se týče automatické klasifikace
útoků na základě systému, na který je útok prováděn. Klasickým příkladem je
Windows-only útok na Unixový webový server. Aby vám údaje poskytované IDS byly
užitečné, musíte vědět, jaká zařízení na síti máte, co je normální a jak vypadá
běžný provoz.
IDS architektura:
Umístění a využití IDS v libovolné firmě je vysoce proměnlivým uměním. Aby IDS
byly užitečné, je třeba je implementovat tak, aby vracel užitečné informace.
Což znamená, že je třeba navrhnout umístění senzorů a detekční technologie na
základě znalosti bezpečnostní politiky a síťových prostředků. IDS prostě nelze
libovolně zapojit kamkoliv na síť, stejně jako nelze kamkoliv zapojit router,
firewall nebo VPN.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.