Prevence může být lékem

Když analytici z Gartneru loni v létě oznámili "IDS je mrtvé, ať žije IPS", obchodníci se všude možně chopili nejno...


Když analytici z Gartneru loni v létě oznámili "IDS je mrtvé, ať žije IPS",
obchodníci se všude možně chopili nejnovějšího pojmu IPS (Intrusion Prevention
System, systém prevence narušení) a již se ho nepustili. Je to stejné jako VPN
šílenství propuknuvší před třemi lety, kdy každý produkt, který měl cokoliv
společného s virtualizací nebo soukromím, dostal nálepku VPN; nyní začaly trh
zaplavovat IPS produkty nejrůznějších tvarů, velikostí a názvů.
Naši kolegové z amerického NetworkWorldu ve svém prvním testu IPS zařízení
prověřovali po dobu 5 měsíců 10 produktů na aktivní distribuované síti, která
propojovala počítače v Los Angeles, San José a Tusconu, a snažili se odlišit
fakta od rétoriky. Zkoumali, co jsou tato zařízení schopna odhalit, jaké mají
možnosti a jak jsou flexibilní při blokování provozu či jakým způsobem jsou
systémy pro jejich správu schopny podporovat skutečné topologie sítí. Recenze
vám nabídnou velké množství údajů o funkcích a správě těchto produktů. Nicméně
vzhledem k tomu, že se zařízení se škodlivým provozem vypořádávají různými
způsoby, neprováděli testy jejich výkonu.
Mezi účastníky testu se zařadilo několik firem známých v oblasti bezpečnosti
včetně Check Pointu, Internet Security Systems, Netscreen Technologies (nyní
Jupiter Networks) a Top Layer Networks; a dále nováčci jako Captus Networks,
DeepNines Technologies, Lucid Security, StillSecure, TippingPoint Technologies
a Vsecure Technologies. Ti ale vesměs na rozdíl od uvedených ostřílených značek
na českém trhu nefigurují.
Zmíněné produkty spadají do jedné ze dvou obecných kategorií: rate-based nebo
content-based. Obě kategorie zařízení obecně vypadají jako firewall a také
disponují některými z jeho základních funkcí. Nicméně firewally blokují veškerý
provoz, vyjma takového, který mají důvod propustit, naopak IPS propouštějí
veškerý provoz, u něhož nemají důvod jej blokovat.
Na analýze provozu založené (rate-based) IPS produkty blokují provoz v
závislosti na zatížení: příliš mnoho paketů, příliš mnoho obsahu, příliš velké
množství chyb. Pokud se vyskytne nadměrné množství čehokoliv, vstoupí do hry
IPS a provoz zablokuje, omezí nebo jinak upraví. Nejužitečnější na analýze
provozu založené IPS systémy kombinují silné možnosti nastavení a celou řadu
technologií odezvy.
Zjistili jsme také odlišnosti v tom, co je považováno za nadměrný provoz a jak
s ním naložit. Nastavení IPS tak, aby popisovalo pojem "příliš mnoho", je
obtížné i pro zkušené profesionály v oblasti sítí, a mezi výrobci panují
neshody také v postupech, jak s takovým provozem naložit. Jelikož tyto IPS
systémy vyžadují časté dolaďování a úpravy nastavení, budou nejlépe využitelné
u webů s vysokým provozem nebo v prostředí aplikačních či poštovních serverů.
Na analýze obsahu založené (content-based) IPS produkty blokují provoz na
základě signatur útoků a anomálií protokolu. Červy, jako je např. Blaster a
MyDoom, které odpovídají signatuře, lze zablokovat. Pakety, které nedodržují
některé z mnoha RFC (Request for Comment) týkající se TCP/IP protokolu, jsou
zahozeny. Podezřelé chování, jako třeba skenování portů, aktivuje IPS.
Optimální na analýze obsahu založená IPS zařízení nabízejí celou škálu technik
pro zjištění škodlivého obsahu a také mnoho voleb, jak s útokem naložit, od
prostého zahození špatných paketů po zahazování budoucích paketů od stejného
útočníka. Zařízení lze využít hluboko uvnitř sítí jakožto doplněk firewallů a
nástroj k zajištění dodržování bezpečnostních politik.

IPS analyzující provoz
Na naší aktivní síti provozované mezi třemi lokalitami jsme nasadili čtveřici
na analýze provozu založených IPS produktů Captus IPS 4100 od firmy Captus
Networks, Sleuth9 od DeepNines Technologies, Attack Mitigator IPS společnosti
Top Layer Networks a NetProtect LG100 firmy Vsecure Technologies.
Kritéria testování těchto zařízení odpovídala následujícím požadavkům:
Jakým způsobem umožňuje produkt definovat provoz, který chceme kontrolovat, a
jak lze nastavit limity?
Jaké možnosti máme při stanovení politik pro případ překročení limitů? Jak
dobře nastavené politiky fungují?
Jaké možnosti správy zařízení nabízí?
Jsou zahrnuty i základní na obsahu založené a firewallové funkce?

Jak zjistit útočníka
Na analýze provozu založená IPS zařízení musejí poskytovat detailní kontrolu
nad tokem dat. Při jeho vyladění je nutné sdělit mu, který provoz má hledat a
jaké jsou limity, které se ho týkají. Odhalili jsme velké rozdíly mezi
schopnostmi jednotlivých produktů a mezi úrovní znalostí o vlastní síti, která
je nutná k jejich využití.
Všechna čtyři zařízení umožňují nastavení serverů a aplikací, které mají
chránit, obvykle pomocí kombinace zdrojových a cílových IP adres, spolu se
zdrojovým a cílovým portem a protokolem. Ve většině případů bude buď zdrojová,
nebo cílová adresa nahrazena zástupným znakem. Například můžete omezit dotazy
na svůj DNS server na tisíc dotazů za sekundu. Jednoduchá pravidla týkající se
šířky pásma a omezení počtu připojení (často uváděná pod názvem Ochrana před
útokem SYN flood) lze realizovat pomocí libovolného na analýze provozu
založeného IPS zařízení.
Co se týče složitější kontroly provozu, má navrch produkt Attack Mitigator.
Zatímco ostatní zařízení jsou schopna odhalit zahlcení provozem nebo požadavky
na připojení, Attack Mitigator je schopen říci, zda počet připojení ke
chráněnému serveru zvolna narůstá. Podobná technika narušení, která je u DoS
útoků běžná, může pozornosti konkurenčních produktů uniknout.
Obdobnou, nikoliv však natolik propracovanou funkci obsahuje NetProtect LG100
od Vsecure. U něj lze nadefinovat ochranu před spojením flood pro určitou
službu na daném serveru, nicméně nelze stanovit, kolik připojení má daná služba
podporovat. Na výběr máte pouze jednu ze čtyř hodnot "citlivosti": malá, nízká,
střední nebo vysoká. Bohužel ani grafické rozhraní Vsecure, ani dokumentace k
němu neposkytují dostatečné vysvětlení těchto hodnot. NetProtect detekuje
narůstající počet nečinných připojení z jednoho zdroje, ale už neodhalí
sofistikovanější útoky, jež pomalu odesílají malé části dat nebo pocházejí z
velkého počtu systémů současně.
Další druhy omezujících technologií, nabízených testovanými produkty, mohou být
užitečné v prostředích, v nichž je známo rozložení a parametry provozu.
Například Captus IPS4100XT se rozhoduje na základě průměrné velikosti paketů,
zatímco Vsecure detekuje složení protokolů (TCP vs. UDP vs. ICMP) a umí
zablokovat připojení, pokud stav neodpovídá nastaveným parametrům. Jedná se o
zajímavý nápad, nicméně zjištění údajů nutných pro aplikaci těchto kontrolních
prvků představuje obtížný úkol.
U některých zařízení jsme narazili na problémy s návrhem produktu. Ten
nejzávažnější jsme zaznamenali u funkce pro adaptivní filtrování nazvané "spike
protection" obsažené v produktu Sleuth9. Inženýři DeepNines nám nebyli ochotni
sdělit, jak přesně tento algoritmus funguje, nicméně informovali nás, že k
filtrování provozu dochází automaticky, pokud zatížení systému přesáhne
historické úrovně. Čili pokud máte záložní server, který využíváte vždy v noci,
může se stát, že Sleuth9 začne zahazovat pakety. Ještě horší je, že danou
funkci nelze nastavit ani vypnout.
Jakmile IPS zjistí, že dochází ke zkoumání systému nebo k útoku, objeví se
hlavní problém: Co s tím hodláte dělat? U jistých druhů útoku, jako je
skenování portů nebo aktivity červa Code Red, je jasnou volbou zahození
příslušných paketů.
Captus IPS 4000 nabízí nejsofistikovanější sadu voleb pro filtrování. Pokud
zjistíte například přetížení FTP serveru, lze zpočátku například na jednu
minutu omezit tok dat. Pokud přetížení trvá, lze klientovi, který jej
způsobuje, zamezit v přístupu. Po dalších několika minutách můžete např.
odeslat varovné hlášení. Celkově firma Captus nabízí čtyři reakce na škodlivý
provoz: varovné hlášení, omezení úrovně provozu, jeho zablokování nebo
přesměrování.
Další zařízení NetProtect a Sleuth9 umějí blokovat nebo omezovat provoz,
nicméně Attack Mitigator nabízí ještě jednu možnost proxy pro připojení. Vedle
omezení počtu spojení tak lze nastavit limity nedokončených TCP připojení,
které naznačují podezřelé chování. Jakmile dojde k překročení nastavených
limitů, Attack Mitigator začne fungovat jako proxy pro daná spojení a jakmile
je spojení navázáno, předá ho vlastnímu serveru. Pokud se stav zhoršuje, začne
zařízení blokovat veškerá připojení od zlomyslného útočníka.

Jak nastavit očekávání
Největším problémem u IPS založených na analýze provozu je rozhodnutí o tom,
kdy dochází k přetížení. Musíte nejen znát "běžné" úrovně provozu (po
jednotlivých počítačích nebo portech), ale je nutné mít k dispozici také další
podrobnosti o vlastní síti, jako například informace o tom, kolik spojení jsou
schopny zvládnout například webové servery.
Očekávali jsme, že testované produkty nabídnou pomoc v oblasti zjišťování
síťové infrastruktury a vzorců datového provozu. Až na výjimku, představovanou
zařízením Attack Mitigator firmy Top Layer, jsme byli zklamáni. Top Layer
dodává dokumentovou metodologii nasazení svého produktu do sítě včetně
vestavěných nástrojů pro monitorování provozu a stanovení špičkového a
průměrného zatížení, které slouží k tvorbě ochranných pravidel.
Někteří dodavatelé trvali na tom, že pro instalaci je nutné povolat systémového
inženýra. Když se dostavil inženýr společnosti DeepNines, zeptali jsme se ho,
na kolik týdnů odhaduje základní nastavení odpovídajících úrovní systému u
skutečného zákazníka. Nutnou dobu odhadl na jednu hodinu a navrhl, abychom si
obstarali analyzátor protokolů.
Se zařízením Vsecure NetProtect je dodáván nástroj, který slouží k detekci
hostitelských počítačů na síti a příslušných služeb, avšak neposkytuje
dlouhodobé statistiky, které byste potřebovali ke správnému nastavení.
Otázka metodologie byla největším problémem u produktu Captus, který sice
disponuje 12krokovým metodologickým programem, nicméně jedná se o jednorázový
proces za asistence školeného systémového inženýra. Samotné zařízení IPS 4000
neposkytuje kvalitní výkonnostní statistiky, což je opravdu škoda, neboť právě
nastavení tohoto produktu je nejpracnější. Problémem libovolné rigorózní
metodologie, včetně té, kterou využívá Captus, je vysoká cena vyladění
produktu, která odrazuje od provádění změn, a to přesto, že vzorce provozu se
nepřetržitě mění.

Styl správy
Správa IPS zařízení byla velmi nekonzistentní. Lakmusovým papírkem se stalo
ověření schopnosti jednotlivých produktů poskytovat varovná hlášení při
sledování škodlivých paketů, aniž by docházelo k jejich blokování. U produktů
firem Top Layer a Vsecure lze režim upozorňování jednoduše zapnout či vypnout.
U zařízení DeepNines a Captus je ke změně režimu vyžadováno provedení větších a
nesnadno vratných změn konfigurace.
Ostatní funkce pro správu se lišily, od zcela jednoduchých až po velmi
propracované jak co do rozsahu, tak prezentace. Top Layer disponoval
srozumitelným webovým konfiguračním nástrojem a IPS jsme nastavili rychle a bez
zbytečných zmatků. Negativní stránkou tohoto produktu však je skutečnost, že
nástroj pro správu je konfigurační utilitou určenou ke správě jednotlivých
prvků a jako takový není škálovatelný pro případ, že byste chtěli spravovat
větší počet zařízení. Volitelně nabízený nástroj SecureWatch pak ještě slouží k
sumarizaci a zobrazování souhrnných údajů z více zařízení, ale to je také vše.
Společnosti Captus, DeepNines a Vsecure vytvořily promyšlenější nástroje,
sloužící ke správě většího počtu IPS zařízení. Ačkoliv centralizovaná správa je
funkcí orientovanou na firmy, ani jeden ze tří produktů neumožňoval spravovat
současně více než jedno zařízení.
V systémech firem DeepNines a Vsecure jsme ale odhalili chyby.
Schéma pro správu firmy Captus nás zmátlo. Jedná se o masivní nástroj se
všudypřítomnými grafickými prvky, zoomováním, mnoha pohledy na topologii sítě.
Nicméně komunikovalo pouze s IPS zařízeními. Definice politik by v daném
případě bylo podstatně jednodušší provádět z prostředí příkazové řádky.

Nad rámec řízení
Nejběžnější dodatečnou funkcí u testovaných zařízení byl firewall, ať již
stavový nebo jednoduchý paketový filtr. Všechny produkty umějí blokovat provoz
a fungovat jako základní firewall. Veškeré produkty jsou také schopny zjistit a
blokovat skenování portů. Firmy DeepNines, Top Layer a Vsecure vedle toho
nabízejí omezené funkce pro blokování útoků využívajících určitých protokolů,
jako je nepovolená kombinace TCP příznaků, kterou hackeři využívají při
zkoumání systému. Produkt firmy DeepNines rovněž vyhledává viry, zatímco
společnost Top Layer nabídla skenování známých problematických URL.
Top Layer se evidentně soustřeďuje na problém DoS a DDoS útoků a kombinuje
všechny nástroje nutné k ochraně před nejširším rozsahem úmyslných i
neúmyslných problémů. Captus IPS4000 má zase k dispozici úžasně detailní
informace a možnosti kontroly, pokud se týče řízení toku paketů. Tento produkt
se bude lépe hodit pro poskytovatele služeb nebo prostředí firemního
webhostingu, kde lze přesně stanovit, co chcete provádět ve statickém
prostředí. Produkty firem DeepNines a Vsecure se spíše hodí pro začlenění do
malé sítě s mírným a konstantním zatížením.

Obsah kraluje
Druhou skupinu na analýze obsahu založené IPS produkty reprezentovaly v našem
testu výrobky společností Check Point (InterSpect), Internet Security Systems
(Proventia G Series), Lucid Security (ipAngel), NetScreen Technologies
(NetScreen-IDP 100), StillSecure (Border Guard) a TippingPoint Technologies
(UnityOne).
Při testování výše zmíněných řešení jsme si kladli následující otázky:
Co je schopno zařízení zachytit? Jaký škodlivý provoz umí identifikovat? Kam by
se mělo takto navržené zařízení v síti umístit?
Jakým způsobem IPS blokuje provoz? Jaké další reaktivní techniky má k dispozici?
Jak je lze ovládat? Jaké funkce máme k dispozici pro jejich správu, konfiguraci
a vyladění?
Všech šest testovaných zařízení disponuje určitou úrovní odhalování narušení na
základě signatur, které produktu pomáhají objevit škodlivý provoz. Čtyři
produkty nabízejí omezené funkce v oblasti rate-limitingu, dva se umějí bránit
proti zahlcení spojení (například útokům typu SYN flood) a jeden má vestavěný
tzv. honeypot (hrnec medu) technologii.
Nebylo pro nás překvapením, že jsme u těchto produktů našli signatury a detekci
anomálií protokolu ve stylu zařízení IDS. Výrobci takovýchto produktů jsou v
optimální pozici, pokud se týče návrhu IPS zařízení, protože se již
problematikou zjišťování škodlivého provozu zabývali. Ve třech případech nám
implementovaná IDS technologie, která byla součástí zařízení, připadala velmi
povědomá. Lucid Security ipAngel a StillSecure Border Guard jsou postaveny na
známém open source IDS enginu Snort. Zařízení Proventia využívá firemního ISS
IDS. Tento produkt se dodává s obsáhlou knihovnou firemních signatur, nicméně
ve výchozí konfiguraci je zapnuto pouze cca 250 pravidel. U tohoto počtu je
totiž výrobce ochoten zaručit, že nebudou generovat falešné pozitivní poplachy.
Obdobně zredukovaný seznam jsme nalezli u produktů Check Point InterSpect a
TippingPoint UnityOne. Rovnováha mezi krátkým seznamem signatur pro omezení
falešných poplachů a dostatkem signatur k tomu, aby IPS byl užitečným
zařízením, představuje pro výrobce nepřetržitou bitvu při instalaci a
aktualizaci.
NetScreen disponuje ohromnou knihovnou signatur, nicméně pro jejich aplikaci je
nutné definovat interní počítače a zranitelné porty, aby tyto signatury bylo
možno použít. U velkých sítí se bude jednat o poměrně zdlouhavý proces. Výrobce
hodlá však již v příští verzi přidat nástroj pro automatizaci tohoto úkolu.
Unikátním způsobem přistupuje k zapínání a vypínání signatur Lucid Security.
Detekční engine se zde nastavuje na základě testu zranitelnosti pomocí open
source nástroje Nessus určeného pro skenování sítí. Pokud jsou nalezena
zranitelná místa, ipAngel povolí IPS/IDS signatury. V opačném případě jsou
vypnuty.
StillSecure Border Guard a TippingPoint UnityOne využívají vestavěného
skenovacího nástroje nmap, ale ani jedno ze zařízení nevyužívá údaje zjištěné
při skenování tak propracovaným způsobem jako Lucid. Paradoxní je, že firma
ISS, která sama prodává jeden ze špičkových produktů pro zjišťování
zranitelných míst, ještě tento produkt nepropojila se svými IPS zařízeními.
V zařízení IDP 100 společnosti NetScreen jsme objevili honeypot technologii.
Myšlenka honeypotu spočívá v tom, že většina útočníků provádí velmi rozsáhlé
zkoumání sítě, které je součástí útoku. Pokud využijete systém, k němuž by se
nikdo neměl legitimním způsobem připojit, pak je každé připojení k tomuto
systému podezřelé a představuje potenciálně škodlivý provoz, bez ohledu na jeho
obsah. Netscreen-IDP 100 pak může využít specifických nastavených adres a
služeb honeypotu k zablokování dalšího provozu ze systému, který se k honeypotu
připojí.
Funkce analyzující provoz jsou u IPS zařízení, která se orientují na obsah,
přínosem. Ve svých produktech (přestože nejsou tak propracované), je nabízejí
Check Point, ISS, NetScreen a TippingPoint.
Zařízení firem Check Point a NetScreen obsahují sofistikovanou ochranu před
zahlcením připojeními (tzv. útoky DoS, Denial of Service), k níž využívají TCP
proxy. Funkce SYN protector u zařízení NetScreen například dovoluje nadefinovat
kombinaci IP adres a aplikace a poté zapnout ochranu. Veškerá TCP spojení pak
využívají SYN protector jako proxy, čímž zamezují některým druhům útoků
zahlcujících připojení. Testovaná IPS zařízení založená na analýze obsahu
nenabízejí žádné důmyslné nástroje pro protokoly založené na UDP (User Datagram
Protocol).
Systém TippingPoint UnityOne a jeho funkce pro řízení provozu nejlépe spojují
možnosti obou (rate-based a content-based) IPS kategorií. I když nenabízí
ochranu před napadením srovnatelnou s nejlepšími testovanými na analýze provozu
založenými produkty, umožňuje detailní kontrolu šířky pásma (zdrojových a
cílových adres a aplikací) a signatur, jež jsou schopny detekovat vysoké úrovně
připojení.

Jak to funguje?
Zjistili jsme, že v případě zjištění škodlivého provozu jsou testované IPS
produkty schopny:
Zahazovat tento provoz.
Zahazovat veškerý budoucí provoz na stejné TCP nebo UDP konexi.
Pokusit se aktivně uzavřít spojení odesíláním TCP reset paketů na klienta a
server.
Agresivním způsobem zahazovat budoucí provoz, který souvisí s útokem (po
stanovenou dobu), např. provoz pocházející ze stejné zdrojové IP adresy nebo
sítě.
Očekávali jsme, že každé IPS zařízení bude zahazovat škodlivé pakety. Proto nás
překvapilo, že Lucid Security ipAngel a StillSecure Border Guard tak ne vždy
činí. Oba zmíněné produkty odhalí problém s provozem, nicméně zjištěnou
informaci využijí k modifikaci chování firewallu a po určitou dobu zahazují
následný provoz z IP adresy narušitele. Lucid využívá Check Point Firewall-1;
součástí StillSecure IPS je proprietární firewall.
StillSecure nabízí také preemptivní režim, který pomocí zkompilovaných signatur
Snortu zahazuje provoz dříve, než projde přes IPS zařízení. Problémem tohoto
řešení však je, že schopnosti enginu Snortu jsou větší než schopnosti firewallu
StillSecure, takže zachytí i některý provoz, který je firewallem propuštěn.
Dochází k tomu zvláště v případech, kdy se útočník úmyslně pokouší obejít IPS
nebo skrýt základní tok dat.
Všechny IPS produkty vyjma TippingPoint UnityOne jsou schopny dynamicky
vytvářet blacklisty s krátkodobou platností, které slouží k ochraně sítě před
útočníky. TippingPoint nabízí možnost omezení šířky pásma pro škodlivý provoz.
Například chcete-li povolit ping, ale nikoliv ping flood, můžete si vytvořit
signaturu odpovídající ping (ICMP požadavek) paketům a poté je povolit, ale
omezit jejich četnost. Podobnou možnost nabízí ISS. Vytvářením signatur jsme se
přímo nezabývali, nicméně ISS, NetScreen, StillSecure a TippingPoint umožňují
tvorbu vlastních signatur.
Mezi výrobci panuje jen malá shoda ohledně toho, jak řešit zahazování aktivních
spojení a blokovat budoucí provoz. Kupříkladu ipAngel nejen zahazuje příslušné
pakety, ale také po dobu dalších 60 sekund je ze systému útočníka blokuje.
ISS jde jinou cestou. U každé signatury výrobce umožňuje definovat celou řadu
reakcí, od prostého zahození paketů, přes ukončení spojení až po aktualizaci
blacklistu. Pokud "černou listinu" aktualizujete, nemusíte pouze všechny pakety
pocházející od útočníka zahodit a můžete nastavit mnoho různých strategií.
Výchozí volba blokuje budoucí provoz od útočníka směrem na stejnou IP adresu
nebo kombinaci IP adres a aplikací. Firma Lucid (a další, včetně Check Pointu a
StillSecure) s tímto přístupem naprosto nesouhlasí a přicházejí s vlastními
postupy.
Je obtížné určit, která strategie nakládání se "špatným" provozem je ta
"pravá", nicméně konzervativní přístup, nabízený firmou ISS se jeví tak, že z
dlouhodobého hlediska by mohl způsobovat zdaleka nejméně problémů s DoS útoky.
Vyjma zahazování škodlivých paketů a přidávání IP adres do blacklistů, lze u
některých IPS zařízení nalézt další možnosti nastavení, počínaje zahazováním
veškerého provozu pro danou konexi konče aktivní snahou o ukončení spojení
pomocí zasílání TCP RST segmentů v obou směrech. Potíž je v tom, že ne každá
signatura zasluhuje stejnou reakci. Například TCP pakety s naprosto chybným
pořadovým číslem by pravděpodobně neměly způsobovat ukončení spojení a přidání
IP adresy na blacklist, jelikož se může jednat o paket podvržený. Pokud
umožníte někomu zasílat náhodné TCP pakety a tím ukončovat spojení dalších
uživatelů, bude vaše síť zvláště křehká. Zde se nám líbil přístup společností
ISS a NetScreen, které nastavují požadovanou akci pro každou signaturu zvlášť a
nechápou IPS zařízení jako monolitickou entitu.
Zajímali jsme se také o to, jakým způsobem se produkty chovají v případě, že se
setkají se škodlivým provozem jaké informace uchovávají a jakým způsobem je
může správce sítě využít. Výrobci volí dvojí přístup: ISS a TippingPoint se
chovají jako IDS zařízení, disponují tedy rozsáhlými forenzními funkcemi a
detailními údaji o tom, co a kdy se událo.
Check Point, NetScreen a StillSecure volí tradičnější strategii shromažďování
dat a jejich agregaci. Check Point vyniká výbornou sadou nástrojů pro vytváření
záznamů a zpráv. Vzhledem k tomu, že je úzce odvozeno z Check Point Firewall-1,
jsou všechny nástroje dostupné ve Firewall-1 k dispozici i u tohoto produktu.

Jak zařízení ovládat?
Dvě slova, která výrobce IPS produktů děsí nejvíce, znějí "falešný poplach".
Zatímco někteří, jako např. Lucid Security a StillSecure, se evidentně
soustřeďují na ochranu před hrozbami pocházejícími z internetu a doporučují
umístit zařízení na okraj sítě, ostatní vyžadují, abyste zařízení zapojili
hluboko uvnitř infrastruktury. Na takovém místě nelze riskovat falešné poplachy
je lepší, aby se špatné pakety dostaly dále, než aby došlo k zablokování paketů
legitimních.
Jednou z oblastí správy, které jsme se věnovali hned zpočátku, byla možnost
přepnout zařízení do varovného režimu. Myšlenka tkví v tom, aby IPS běžela, ale
nezahazovala žádné pakety, což je nutné pro vyladění zařízení. Síťoví
specialisté mohou navíc vyžadovat, aby zařízení v tomto režimu běželo, pokud
mají podezření, že IPS způsobuje v síti problémy. Nejjednodušeji vše řeší firma
ISS, jejíž produkt v rámci grafického rozhraní nabízí velké tlačítko pro
přepnutí do pouze varovného režimu. Firma NetScreen odkazuje na možnosti
různých verzí konfigurace, s jejichž pomocí lze nastavit dva různé režimy jeden
pouze pro varování a druhý nejen pro něj, a mezi nimi snadno přepínat. Pro
všechny ostatní představoval tento prostý požadavek velký problém, jehož řešení
vyžadovalo buď hardwarová nastavení, nebo detailnější a obtížně vratné úpravy
bezpečnostních politik.
Předpokládali jsme, že většina uživatelů by chtěla mít možnost používat
whitelisty a s jejich pomocí IPS zařízením nadefinovat tak, aby provoz z
určitých systémů v žádném případě neblokovala. ISS, NetScreen, StillSecure a
TippingPoint v tomto ohledu nabízejí detailní nastavení na úrovni jednotlivých
portů nebo dokonce signatur. Whitelist firmy Check Point vypadá teoreticky
dobře, nicméně vzhledem k chybám obsaženým v pozdní betaverzi, již jsme
testovali, přidané systémy z whitelistu neustále mizely. Lucid poskytuje méně
podrobný whitelist, nicméně pro většinu sítí je zřejmě vyhovující.
Dalším problémem s přizpůsobením je mapování sítě. Mnoho signatur na aplikační
úrovni implicitně předpokládá, že daná aplikace běží na určitých portech.
Chtěli jsme proto zjistit, jak se IPS zařízení přizpůsobí prostředí sítě, a to
včetně aplikací, které běžely na místech, kam nepatřily.
Produkt Lucid ipAngel vypadal na první pohled jako ideální řešení našich
problémů. Vestavěný skener Nessus, který se stará o aktivaci pravidel, se zdál
být výborným řešením. Jednou za čas spustíte skenování sítě, zapnete a vypnete
příslušná pravidla, a hotovo. Avšak při testech Nessus sice našel na portu 2525
nestandardní poštovní server, ale Lucid ipAngel pro daný port žádná pravidla
neaktivoval. S velmi slabým webovým rozhraním jsme bohužel nebyli schopni tento
nedostatek napravit.
Podobné potíže vykazoval i TippingPoint UnityOne, využívající ke zjišťování
systémů jednoduššího nástroje nmap. Poté, co nmap zjistí, které protokoly na
kterých portech běží, již nelze konfiguraci změnit. StillSecure má rovněž k
dispozici nmap, ale tato funkce v něm není plně využita. Výsledky skenování lze
použít pro blokování provozu směrem k jednotlivým zjištěným počítačům, přičemž
provoz k neexistujícím systémům blokovat nelze.
Na druhé straně produkty firem ISS a NetScreen nemají automatizované nástroje
pro mapování sítě. Check Point InterSpect neumožňuje definovat služby pokud
aplikace běží na nestandardním portu, příslušný protokol nelze pomocí
aplikačních funkcí ISP chránit.

Shrnutí
Jedním z nejsolidnějších produktů se jeví zařízení TippingPoint UnityOne.
Nabízí dobrý základ jednoduchého IPS s jasným zřetelem na implementaci v jádru
sítě. Nevyniká sice zářivými funkcemi, ale architektura produktu a jeho
schopnosti z něj činí zajímavou volbu.
Do kategorie produktů, jež bychom zakoupili pro naše vlastní sítě, spadají
zařízení firem ISS a NetScreen. Čistá implementace produktu společnosti
NetScreen vypadá ve všech ohledech solidně. Obdobně také ISS nabízí ve svém
produktu solidní pochopení toho, jaké funkce by IPS v této oblasti trhu mělo
nabízet.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.