Přechod od IDS k IPS

Výhody přechodu od systému IDS k intrusion prevention řešení převažují nad stinnými stránkami. Projekt řízení...


Výhody přechodu od systému IDS k intrusion prevention řešení převažují nad
stinnými stránkami.

Projekt řízení životního cyklu produktů (PLM), o němž jsem se zmiňoval ve svém
posledním příspěvku, probíhá v poklidu, neboť tým pověřený jeho řízením
vyhodnocuje vklad každého zúčastněného do takzvané hodnotící dokumentace.
Využívám této příležitosti, abych spustil projekt, v jehož rámci bychom měli
přejít z našeho současného intrusion detection systému (IDS) k intrusion
prevention systému (IPS). Promýšlel jsem to už nějakou dobu, ale zatím jsem
váhal, protože jakmile jednou mé oddělení příslušné zařízení zabuduje do cesty
přenosu dat (tedy v podobě in-line), staneme se dalším hrbolkem v příslušném
spoji, a tím pro nás vzniknou určité povinnosti a zodpovědnost vzhledem k
dostupnosti sítě.

IDS vs. IPS
Jak mnozí z vás asi vědí, IDS je typicky umístěn na monitorovacím portu, někdy
označovaném jako span port (ve světě Cisca), a v normálním stavu je pasivní.
IDS zařízení je nasazeno v tzv. "promiskuitním" módu, naslouchá procházejícímu
síťovému provozu, a když se vyskytne něco abnormálního, posílá výstrahy
upozorňující na podezřelé aktivity podle toho, jak je to interně nadefinováno
pomocí nakonfigurovaných pravidel.
Vezměte tentýž IDS senzor a umístěte jej in-line tak, že přes něj musí projít
veškerý síťový provoz a máte IPS. Takže ve své podstatě není IPS nic víc než
IDS, které má nějakou dodatečnou funkcionalitu a je umístěno na jiném místě v
síti. Pravidla, signatury, varovná hlášení a reporting jsou typicky všechny
stejné. Dokonce i Snort, což je volně dostupný IDS, má svůj vlastní termín
(Snort in-line) pro to, co je v zásadě už systémem typu intrusion prevention.
Mé úvahy o přesunu k IPS jsou docela přímočaré. Mám jenom několik podřízených,
a ti zabředli do různých projektů a denních aktivit z oblasti bezpečnosti. Rád
bych měl na plný úvazek člověka, který by monitoroval IDS a reagoval na
události, ale to si v současné nemohu dovolit. Doposud na červy a další
podezřelé aktivity reagujeme až poté, co k něčemu dojde, a to tak, že buď
nastavíme pravidla pro firewall, nebo si prohlédneme všechny zasažené desktopy.
Ale nemůžeme spoléhat ani na naši antivirovou infrastrukturu. Nedávno se jeden
červ, W32/PrsKey-A, šířil v naší síti po několik dní, než výrobce našeho
antiviru konečně vytvořil potřebnou signaturu a k tomu navíc došlo teprve poté,
co jsme mu poslali infikovaný soubor pro jeho vyhodnocení.
Vedlejším efektem však bylo to, že jsme byli schopní provést své vlastní
otestování kódu červa a jeho dopadu na naši síť. Prostřednictvím tohoto
vyhodnocení jsme byli schopni určit soubory a nastavení registrů, které červ
modifikoval, vektor, jenž použil při své propagaci, a konečně i porty, které
využíval pro otevření takzvaného zadního kanálu. Vytvoření signatury v našem
IDS by nám umožnilo detekovat přítomnost červa, avšak pokud bychom nebyli
ochotni generovat pakety pro zrušení TCP spojení, nebyli bychom schopni
zabránit červu v dalším postupu. Ukončení spojení TCP mohou být v rámci IDS
využita k tomu, aby zabránila zlomyslným aktivitám. Avšak podle mých zkušeností
jsou stále nebezpečnou záležitostí, neboť mohou být jednoduše zneužita a mohou
negativně ovlivnit výkon celého IDS. Na druhé straně IPS, umístěné in-line, by
nám dovolilo zavést specifická pravidla, aby byl škodlivý kód skutečně
zablokován.

Vynucování, hlášení
Kromě zmírnění rizik spojených s napadením škodlivým kódem může IPS pomoci také
při vynucování politiky takzvaného přijatelného využití (Acceptable-Use Policy,
AUP). V současnosti naše AUP brání zaměstnancům, aby používali aplikace pro
peer-to-peer sdílení souborů, jako jsou Napster, Kazaa nebo BitTorrent. Máme
také politiky proti takovým nástrojům, jako je Skype, což je volně dostupná
internetová telefonní služba, která spotřebuje obrovskou část dostupné šířky
pásma.
S pomocí IDS můžeme detekovat používání těchto aplikací a můžeme blokovat
některé z asociovaných portů a destinací na našem firewallu. Nicméně některé z
nástrojů nám neumožňují pouze přenastavit pravidla na firewallu, a tak aplikaci
zablokovat. Pro některé z aplikací potřebujeme kontrolovat provoz a pravidla
blokování stanovit na základě aktuálního zatížení portů a destinací TCP/IP
pakety.
Právě zde přichází IPS jako na zavolanou. Můžeme zavádět pravidla pro blokování
neautorizovaných aplikací a stejně tak můžeme sbírat statistiky a podávat
zprávy o tom, kolik provozu je neautorizovanými aplikacemi vytvářeno. Je
samozřejmě skvělé mít k dispozici tento druh dat, abychom jej mohli v případě
potřeby poskytnout našemu CIO. Šéfové informatiky mají rádi v ruce informace o
tom, že řekněme 60 % síťového provozu se vztahuje k porušování AUP. Tento druh
informací umožňuje dosáhnout výborné návratnosti investic, což je na poli
informační bezpečnosti vždycky výzva.
Samozřejmě, že intrusion prevention není úplně bez nedostatků. Vzhledem k
umístění v režimu in-line totiž IPS zařízení, které se porouchá, v podstatě
blokuje síťový provoz. Proto je důležité, abychom zvolili IPS, které má
schopnost zůstat při selhání zavřené, což znamená, že sebou nechá veškerý
provoz projít (zavřené je ve smyslu stavu elektronického obvodu hluboko v srdci
jsem stále inženýr). Nevýhodou je z pohledu manažera bezpečnosti i to, že byste
tak neměli žádnou ochranu před škodlivými aktivitami, pokud by nefungující IPS
zařízení dovolilo, aby veškerý provoz, tedy dobrý i špatný, prošel skrz.
Ovšem někdy se musíte kousnout do jazyka, abyste uspokojili síťové inženýry a
šéfy dalších IT oddělení. Jsem ochotný raději přijmout riziko, že se na krátký
časový interval zcela otevřeme, než abych čelil omezení příjmů a produktivity,
které by bylo důsledkem toho, že tisíce zaměstnanců nemůže dělat svoji práci.
Nicméně si ponechávám právo později změnit názor.
Pošilháváme po produktech společností Juniper Network a Sourcefire. V této fázi
nás láká spíše Juniper, protože už používáme firewally této společnosti a máme
s ní slušné vztahy, co se týče podpory. Dodatečnou výhodou by mohlo být to, že
možná budeme schopni vystačit si s jedinou konzolí pro správu jak firewallů,
tak IPS. Tím posledním, co nyní potřebuji, je totiž další správní konzole.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.