IPS: Prevence proti narušení

Většina firem je v prostředí internetu ve stále větší míře vystavena rizikům spojeným se slabinami systémů a vzr...


Většina firem je v prostředí internetu ve stále větší míře vystavena rizikům
spojeným se slabinami systémů a vzrůstajícímu počtu útoků. Na pomoc jim
přicházejí nástroje, o nichž se začalo mluvit relativně nedávno systémy
zajišťující prevenci proti narušení, tedy Intrusion Prevention Systems (IPS).
IPS systémy mají za úkol zajistit aktivnější obranu před hrozbami internetu.
Monitorují síťový provoz a hledají anomálie či odchylky od běžného provozu
(včetně například útoků typu buffer overflow) a vyřazují pakety, které se k
těmto událostem vztahují eliminují tak útok vlastně dříve než může započít. Dá
se tedy říci, že aktivně blokují nelegitimní přenos a serverové požadavky
včetně známých a neznámých hrozeb (tj. takový přenos a požadavky, které jsou
označeny jako škodlivé) monitorováním odchylek od normálního chování systému
nebo na základě definovaných pravidel.
Výrobci v současnosti dodávají dva typy IPS systémů síťové (Network-based IPS,
NIPS) a hostované (Host-based IPS, HIPS). Novějším typem jsou systémy NIPS,
které představují typická in-line zařízení nasazená přímo v síti a sledující
odchylky od normální ho provozu. HIPS pracují na principu, kdy jsou na všech
serverech nainstalováni softwaroví agenti, kteří jsou spravováni z centrální
konzole. Oba typy se přitom vzájemně nevylučují a mohou být společně součástí
vícevrstvé bezpečnostní architektury, která zahrnuje i firewally a další typy
ochrany.

Nasazení in-line
Každý IPS je schopen poskytovat ochranu proti známým útokům použitím signatur
definujících specifické vzory spojené se známými červy jako Slammer nebo
Fizzer. Skutečná síla IPS však spočívá ve schopnosti ochrany proti hrozbám, pro
něž žádná signatura neexistuje. NIPS kontrolují síťový přenos pomocí sady
pravidel přijatelného a nepřijatelného chování definované správcem. HIPS, které
sídlí na serveru, pak používají jeden ze dvou následujících přístupů: Některé
opět využívají pravidel chování, na jejichž základě systém interpretuje a
blokuje příslušné aktivity. Existují však i produkty založené na principech
podobných umělé inteligenci, které se učí, jaké chování je možné považovat za
běžné.
Dosud existují určité nejasnosti ohledně toho, co se dnes vlastně rozumí pod
pojmem IPS. Experti z oblasti bezpečnosti se shodují na tom, že typický IPS
musí být nasazen in-line (tj. v cestě síťového přenosu). To znamená, že přes
něj pakety musejí projít, aby bylo možné předejít narušení.
Dalším předpokladem je, že u IPS se jedná o "permisivní" technologii, což
jinými slovy znamená, že IPS paket zadrží v případě, že k tomu má důvod,
defaultně se však chová tak, že nechá veškerý přenos projít. Naproti tomu
firewall je označován jako technologie "prohibitivní", neboť naopak nechá paket
projít pouze tehdy, když k tomu má důvod. I o firewallu lze říci, že jde v
podstatě o Intrusion Prevention systém. Avšak zmíněný rozdíl v orientaci těchto
technologií naznačuje, že se nejedná o totéž.
Vzhledem k odlišnosti obou technologií můžete firewall a IPS (nebo oba) použít
ve kterémkoliv bodě v síti. Na perimetru (obvodu) je logické očekávat, že bude
firewall disponovat vestavěným IPS. Avšak uvnitř, v jádru sítě může být in-line
IPS vestavěn do switchů a routerů.
V otázkách nutnosti investic do IPS může hrát roli několik faktorů. Z
krátkodobějšího hlediska lze jako kritérium použít tzv. "faktor strachu". Za
pádnější důvod pro nasazení IPS lze ale považovat snížení zátěže firemního
firewallu zablokováním tisíců útoků typu Code Red nebo MS-SQL Slammer, které
každou hodinu zpracovává, a s tím související zrychlení internetového připojení
a snazší analýzu logů webových serverů. Obecně by však mělo být nasazení IPS
zvažováno v rámci rozsáhlejšího bezpečnostního programu firmy na základě
tradiční analýzy návratnosti investic. V mnoha případech je dnes evidentní, že
nasazení firewallu na perimetru sítě není zcela dostačující z hlediska
zabezpečení moderní infrastruktury. Technologie jako IPS by měly být nasazeny
přímo v síti ve všech částech infrastruktury, nikoliv pouze na jejím okraji.
Díky nástupu systémů IPS se pod tlak dostaly dosud tradičně používané nástroje
pro detekci napadení (Intrusion Detection System, IDS), kterým je dnes
předpovídán rychlý konec. To vše bohužel souvisí spíše s nepochopením jejich
skutečné funkce, kdy jsou IDS zařazovány do stejné kategorie ochranných
prostředků jako IPS a firewally tedy mezi technologie pro ochranu firemní sítě.
IDS jsou navrženy jako pasivní senzory pro detekci útoků, narušení politik a
neadekvátních konfigurací. Samozřejmě je lze použít pro odpověď na otázky typu
"kdo se za poslední týden naboural do firemní sítě?", ale to je pouze jeden
aspekt. Své účely může IDS splnit v rukou zkušeného správce, který ví, pro
které specifické cíle a úkoly jej chce využít.
Podle názorů odborníků bude vývoj směřovat k tomu, že nástroje IPS, IDS i další
budou slučovány ve firewallech, z nichž se tak stanou univerzální bezpečnostní
systémy. IPS by se postupně měly stát součástí každého bezpečnostního IT
portfolia. Ačkoliv se tyto technologie zatím stále vyvíjejí a nejsou zcela
vyzrálé (což se časem může projevit např. ve škálovatelnosti), nevidí většina
analytiků důvod, proč s nasazením otálet.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.