Prevence průniku do sítě

Zatímco IDS bezpečnostní incidenty jen detekují, IPS jim proaktivně brání. V minulých vydáních Computerworldu jsme ...


Zatímco IDS bezpečnostní incidenty jen detekují, IPS jim proaktivně brání.

V minulých vydáních Computerworldu jsme se věnovali systémům IDS (Intrusion
Detection System), dnes na tuto problematiku navážeme seznámením se systémy IPS
(Intrusion Prevention System). Ač by podobný název mohl svádět k domněnce, že
jde o řešení podobná nebo komplementární, není tomu tak docela. Systémy IDS
mají za úkol případný bezpečnostní incident detekovat, IPS mu ale musejí
proaktivně bránit. Už z podstaty věci tedy vyplývá, že využívají poněkud jiných
technologií a metod. Systémy IPS byly vyvinuty dodavateli bezpečnostních řešení
poté, co se ukázalo, že dřívější metody kontroly obsahu založené na sledování
IP adres a/nebo využívaných portů už přestávají dostačovat (třeba v případě
útoků typu Nimda, CodeRed nebo Slammer). Na rozdíl od IDS tak systémy IPS
zvládají nejen monitorování a reportování, ale mohou také rozhodnout o
protiakcích.
Ačkoliv se nás mnohé firmy a marketingoví rádobyodborníci snaží přesvědčit o
opaku, nejde v případě IPS o žádnou revoluční technologii. Jedná se vlastně o
balíček již existujících řešení (firewall, antivirový program, IDS apod.), na
nichž by se jako revoluční dalo označit snad jen jejich spojení. Spíše než
"revoluce" by se tedy pro IPS hodilo označení "evoluce".

Nejen zvenčí
V současné době se již za adekvátní ochranu vnitřní sítě nepovažuje pouze
router v součinnosti s firewallem. Komplexní zabezpečení nyní sestává z výše
zmíněných zařízení a následně také z dobře distribuovaných instalací nových
bezpečnostních záplat, datových vzorků antivirových produktů a dalších
bezpečnostních balíčků pro používané aplikace. Dnešní administrátor pak musí
stále více řešit problémy se správným zabezpečením celé sítě z hlediska
vnějšího napadení ať už na úrovni zmíněného firewallu či na úrovni dalších
zařízení, která umožňují přístup do vnitřní sítě (jako jsou například
bezdrátové přístupové body).
V minulosti se dbalo především právě na zabezpečení vstupních bran, a proto se
změnily i techniky průniku do sítí. Je tedy logické, že s postupem času tyto
technologie doznaly změn. Lze s velkou mírou pravděpodobnosti říci, že útoky
jsou nyní častěji vedeny takzvaně z vnitřní strany, a proto se hůře odhalují.
Doporučuje se tedy využívat zařízení, která monitorují toky dat v
demilitarizované zóně, v kritických lokalitách, popřípadě v celé vnitřní síti.
Tuto činnost pak obstarávají systémy IDS. Nová generace těchto zařízení
umožňuje nejen monitoring, ale i realizaci následné akce v reálném čase.
Základním rozdílem mezi IPS a ostatními ochrannými prvky je právě proaktivní
přístup k informační bezpečnosti. Zatímco běžné firewally dokáží provoz pouze
blokovat či propouštět, systémy IPS v tomto provozu umějí nalézt škodlivé kódy
a rozpoznat pokusy o útok. Zatímco běžné detekční metody vydají v případě
nebezpečné situace pouze varování a čekají na akci či pokyn k akci od uživatele/
administrátora (čímž ztrácejí drahocenný čas), systémy IPS okamžitě přijímají
odpovídající protiopatření (podle nastavené bezpečnostní politiky), aby útok
zhatily už v počátku.
Některé systémy IDS sice určité obranné mechanismy mají implementovány také
(ukončení TCP spojení, rekonfigurace firewallu po zjištění útoku aj.), ale ty
zpravidla nejsou schopné reagovat s dostatečnou rychlostí, protože mezi detekcí
útoku a pokusem o jeho zablokování uplyne krátká, leč významná doba. Naproti
tomu systémy IPS nepoužívají žádné další prostředky k likvidaci útoků, ale s
nebezpečným paketem nebo spojením se vypořádají okamžitě.
K základním úkolům systémů IPS patří:
lIdentifikovat neautorizovaný provoz založený na signaturových vzorcích. Jedná
se o vzorky již známých typů útoků IPS tak pracuje na podobném principu jako
antivirové programy. Tato metoda je ze své podstaty nejjistějším detekčním
způsobem, protože hledá již známé skutečnosti.
lIdentifikovat neautorizovaný provoz založený na detekci anomálií v
protokolech. I zde se jedná o obdobu s antivirovými programy v daném případě s
jejich heuristickými metodami. IPS se snaží na základě určitých skutečností
odhalit podezřelé a nekorektní aktivity, které jsou s vysokou pravděpodobností
příznakem útoku. Jedním z hlavních úkolů IT bezpečnosti je totiž zajišťovat
ochranu i před neznámými útoky.
lUkončit nebo znesnadnit služby spojené s nežádoucí činností. V této oblasti
leží hlavní těžiště činnosti IPS v případě odhalení útoku je třeba přijmout
odpovídající protiopatření, a to bez nejmenší prodlevy. Jinými slovy: útočník
není pouze identifikován, ale především zastaven.
lLogovat všechny monitorované činnosti. Důsledné zaznamenávání provedených
úkonů je důležité především pro průběžné vyhodnocování činnosti a úspěšnosti
IPS.
lZajišťovat důkazy o nepřátelské činnosti v anomálních paketech. Jedním z
preventivních cílů informační bezpečnosti by mělo být zajištění, aby
nedocházelo k opakování útoků tedy k nebezpečnému využívání již v minulosti
získaných znalostí. Proto je nutné útoky důkladně analyzovat a na jejich
základě přijmout protiopatření.

Jak vybírat
Systémy IPS rozlišujeme dvojího typu uživatelské a síťové. Zatímco uživatelské
jsou instalovány na lokálních stanicích a chrání je před jednotlivými útoky,
síťové mají na starosti veškerý síťový provoz. Oba typy přitom mají své výhody
i nevýhody. Zatímco uživatelský IPS je velmi pevně spjat s konkrétním operačním
systémem a jeho upgrade může působit potíže, u síťového je zase obtížné
zajistit, aby v dnešní době bezdrátových, mobilních a jiných připojení k síti
šel skutečně veškerý provoz přes tento systém (jinak IPS samozřejmě pozbývá
smysl).
Na závěr ještě uveďme několik poznámek k IPS, které vám mohou pomoci při výběru:
lMnoho výrobců IPS se zaměřuje jen na kontrolu nejpoužívanějšího protokolu
HTTP. Pozor, to v současné době zdaleka nestačí, IPS musí kontrolovat celou
komunikaci.
lInformujte se o tom, jakým způsobem příslušný dodavatel průběžně vylepšuje
svůj systém (a za jakých podmínek). IPS totiž není (podobně jako celá oblast
informační bezpečnosti) statickou záležitostí, ale jeho vlastnosti a schopnosti
by se měly průběžně zlepšovat podobně jako se dynamicky mění typy útoků.
lZjistěte si, jak velké zásahy do vaší stávající sítě/zvyklostí si nasazení IPS
vyžádá. Jaké náklady (osobní, časové, znalostní aj.) bude třeba vynaložit na
implementaci systému?
lInformujete se, jak se příslušný systém IPS byl schopen vypořádat s minulými
neznámými útoky a jak je připraven na nové útoky, kterým jsou vaše sítě
vystavovány.
lPři nasazení IPS zpočátku neinstalujte na kritická místa sítě, ale nejprve
provoz systému ověřte v testovacím prostředí nebo na menší části sítě. Uvědomte
si totiž, že do systému IPS vkládáte velkou důvěru aby mohl proaktivně působit,
musí být schopen v reálném čase bez zásahu lidské ruky provádět změny a
rekonfigurace. Dejte si proto dobrý pozor, aby se tato důvěra neobrátila proti
vám.
lZjistěte, zda nejste pro dodavatele jen pokusným objektem. Jinými slovy:
Systémy IPS jsou ještě relativně novou záležitostí, takže rozhodně stojí za to
si zjistit stávající reference a (ne)spokojenost dosavadních uživatelů se
systémem.
Někteří odborníci na IT bezpečnosti do světa halasně vykřikují hesla jako: "IDS
je mrtvý, je tu IPS." To je samozřejmě trochu přitažené za vlasy, ale na druhé
straně není šprochu... IPS nás totiž díky své proaktivní ochraně dostává tam,
kde potřebujeme být. Na krok před útočníky.

Neusnout na vavřínech
Poměrně velmi rozšířená je mylná představa, že IPS je zcela automatický systém,
který bude spolehlivě fungovat bez zásahu lidské ruky. To je ale mýtus: IPS
potřebuje dohled v podobě správce, který bude systém průběžně dolaďovat na
základě dosažených výsledků (zaznamenané falešné poplachy, respektive
nezaregistrované útoky). Stejně tak je nutné IPS stále doplňovat o nové
informace, aby byl schopen se vypořádat se všemi aktuálními hrozbami.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.