McAfee sleduje nezvané návštěvníky

Úspěšně čelit pokusu o prolomení bezpečnostních opatření vaší sítě znamená v první řadě být o této skuteč...


Úspěšně čelit pokusu o prolomení bezpečnostních opatření vaší sítě znamená v
první řadě být o této skutečnosti včas informován. McAfee IntruShield 2600,
další novinka produktové řady bezpečnostních řešení společnosti Network
Associates, je systémem detekce průniku do sítě (Intrusion Detection Systém,
IDS), který ke sběru a vyhodnocování informací ze senzorů rozmístěných na
různých bodech sítě používá centrální správcovskou konzoli.
IntruShield je účinným IDS systémem, který zvládá monitorovat velké objemy dat
i množství rozmanitých pokusů útočníků, kteří se snaží využít zranitelných míst
v zabezpečení sítě. Má ovšem i jistá omezení, ta se týkají zejména knihoven
vzorů známých útoků a grafického rozhraní, což by uživatelé uvažující o jeho
koupi měli vzít v úvahu.

Rozmístění hlídek
Senzor IntruShieldu 2600 funguje jako rozhraní mezi IDS a sítí, zatímco
software IntruShield Manager má na starosti správu systému. Senzor 2600 je
vybaven dvěma GbE (Gigabit Ethernet) detekčními porty, šesti 10/100 Mb/s
detekčními porty, třemi 10/100Mb/s response porty, dedikovaným 10/100Mb/s
portem pro out-of-band správu (přístup pro správce mimo přenosové pásmo
uživatelů) a sériovými a pomocnými konzolovými porty.
Fyzická instalace byla jednoduchá. Stačilo propojit span porty směrovače s GbE
porty senzoru, a hostitelský server pro software IntruShield Manager se
správním 10/100 Mb/s portem. Měli jsme trochu potíže s ustavením vztahu důvěry
mezi senzorem a softwarem pro správu, avšak po provedení updatu příslušné části
softwaru, jehož postup navrhla technická podpora společnosti Network
Associates, jsme systém rychle nakonfigurovali a začali monitorovat provoz sítě.
Podle uváděných specifikací měl IntruShield podporovat toky dat o přenosové
rychlosti až 600 Mb/s; v našem testu maximální rychlost o něco málo přesáhla
300 Mb/s a zpracování tohoto množství dat systém zvládl bez obtíží. Přehled a
kontrola výstražných hlášení vysílaných senzorem je díky softwaru IntruShield
Manager (dokáže spravovat a zobrazovat výstrahy až ze tří senzorů najednou)
jednoduchá a přehledná. Software standardním způsobem zobrazuje tabulkové
seznamy alarmů a výstražných hlášení, které jsou barevně označeny podle stupně
nebezpečí; udává také tabulky nejběžnějších typů bezpečnostních incidentů a
nejčastějších zdrojových a cílových adres.
Aby mohl být stav pohotovosti zrušen, musí správce každý alarm potvrdit a
odsouhlasit, což představuje téměř nadlidský úkol, vezmeme-li v úvahu, že jen
během jediného víkendu testování jich byly vygenerovány tisíce. Pokud však
uživatel v softwaru "uzamkne" přísun jednotlivých hlášení, položky na seznamech
se mohou třídit a filtrovat stejné typy incidentů mohou být kategorizovány a
potvrzovány v celých skupinách, čímž se celý proces značně urychlí. IntruShield
si také skvělé poradil se skenováním portů serverů místo aby generoval výstrahu
pro každý skenovaný port, nahlásil hromadný sken jako jediný incident.
V souhrnu je způsob zobrazování informací i postup jeho ovládání velmi
jednoduchý, celkový příznivý dojem však kazí dvě věci. Za prvé, zatímco
aplikace IntruShield Manager pohotově zobrazuje různé typy bezpečnostních
incidentů, k tomu, abychom si mohli prohlédnout obsah datových paketů, které
alarm vyvolaly, bylo zapotřebí přibližně osm až deset poklepů myší. Zběžný
pohled na obsah paketů správci obvykle odhalí, zda je incident nebezpečný či
nikoliv. Rozhraní pro správu by pro vytíženého správce sítě bylo uživatelsky
mnohem pohodlnější, kdyby bylo možné zkrátit tento proces na jedno či dvě
kliknutí.
A za druhé, pakety byly dekódovány pomocí k tomuto účelu běžně používané sady
open source softwaru Ethereal. Přitom problém nevidíme v tom, že systém používá
Ethereal (to ostatně dělá i mnoho dalších výrobců), ale v technické dokumentaci
o tom nebyla ani zmínka. Že je třeba použít Ethereal, jsme zjistili až při
pokusu prozkoumat obsah jednoho z paketů, a získání a kompilace tohoto programu
přinesla v danou chvíli značné zpoždění.

WebDAV systému uniká
Během více než jednoho týdne monitorování sítě se díky kombinovanému postupu
porovnávání signatur známých útoků a sledování aktivit na portech podařilo
systému IntruShield zachytit množství útoků a případů podezřelého chování
včetně několika, které unikly jinému systému IDS a jenž byl v tu dobu v
laboratoři Network Services Interoperability Lab na University of Florida také
napojen na síť. Jelikož se objevují stále nové typy útoků a způsoby využití
zranitelných míst sítí, tato mnohostranná metoda monitorování by měla v
budoucnu prokázat své výhody.
Na druhou stranu je velmi alarmující, že systému IntruShield zcela unikl
exploit, který se zcela běžně používá k útoku na sítě velkých institucí útok
WebDAV. Při tomto typu útoku jsou vysílány mimořádně dlouhé řetězce URL adres,
takže dojde k přetečení vyrovnávací paměti webového serveru a útočník získá
přístup k privilegovaným příkazům pro jeho správu.
Během prvního víkendu testování systém IDS laboratoře WebDAV útok zachytil,
IntruShield však nezobrazil ani jedno hlášení. Zajímalo nás, zda v rozpoznání
nebezpečného chování nezabránily testovanému systému nějaké zvláštní okolnosti,
a vyslali jsme dva pokusné WebDAV útoky na zabezpečené servery. IntruShield
však nezaznamenal ani jeden z nich.
Přestože při prohledávání datových přenosů podal IntruShield spolehlivý výkon,
skutečnost, že WebDAV systému unikl, nás poněkud znepokojila. Přesto však
schopnost systému nastavit různá pravidla pro různé porty potvrzuje, že jediný
senzor dokáže monitorovat rozmanité segmenty sítě ohrožené různými způsoby
napadení a vyžadující odlišné stupně i způsoby zabezpečení. Z celkového pohledu
je IntruShield 2600 kvalitním IDS systémem využitelným zejména ve firmách s
rozsáhlou síťovou infrastrukturou.

Jak jsme testovali
Test jsme prováděli v testovacím centru Network Services Interoperability Lab,
které provozuje University of Florida v Gainesville ve státě Florida. Senzor
IntruShieldu 2600 byl připojen přes Gigabit Ethernet na span port směrovače
Cisco 6509. Monitorovaný provoz sestával z provozu sítí Internet a Internet2
směřující na univerzitní síť po dobu více než jednoho týdne. IntruShield 2600
byl nakonfigurován na maximální počet alarmů, které během testu nebyly
filtrovány.
Software IntruShield Manager byl instalován na Windows 2000 Serveru s
procesorem Intel Xeon 2 GHz a 2 GB RAM. Server pro správu byl přímo propojen se
správním ethernetovým portem senzoru.

McAfee IntruShield 2600
+vysoký objem monitorovaných dat, stejné typy incidentů mohou být potvrzovány
po skupinách
-nezaznamenal útok typu WebDAV
Prodejce: DNS, www.dns.cz
Cena (bez DPH): 43 000 dolarů (včetně senzoru a softwaru IntruShield Manager)
Platformy: IntruShield Manager: Windows 2000 Server s MySQL databází









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.