Projekt IDS je odsouzen k neúspěchu

Instalace systému detekce napadení sítě ztroskotala na zásadách bezpečnosti firmy i na technologických nedostatcích n...


Instalace systému detekce napadení sítě ztroskotala na zásadách bezpečnosti
firmy i na technologických nedostatcích některých hardwarových produktů.
Naše společnost zavedla velmi kvalitní opatření týkající se zabezpečení provozu
sítě, a to někdy přináší i jistá omezení. Zaměstnanci si občas stěžují, že jsou
v některých oblastech až příliš důkladná. V takovém případě se snažíme najít
nějaký způsob práce, který by jim umožnil kvalitně plnit jejich úkoly. Ne vždy
se však podaří najít řešení.
Někdy musíme ustoupit a přijmout riziko, které z porušení bezpečnostních zásad
vyplývá, jindy se zaměstnanci prostě musejí smířit s tím, že bezpečnost přináší
omezení při práci. Záleží na přesných okolnostech.
Nedávno jsme to byli my, kdo v tomto ohledu zakusil podobný pocit, který
zažívají řadoví zaměstnanci. Došlo totiž k situaci, kdy byla realizace nového
projektu zmařena technologickými nedostatky produktů a našimi vlastními
zásadami bezpečnosti.

Nové datové centrum
Problémy nastaly, když jsme začali vybavovat a konfigurovat nové datové
centrum. Vždy se rád pouštím do realizace IT projektů na zelené louce, protože
je možné vyhnout se kompromisům, které v minulosti udělali jiní. Zdálo se, že s
novým projektem nastala ta správná chvíle na obnovu a vylepšení infrastruktury
našeho monitorovacího systému.
Na všech počítačích a důležitých serverech v naší síti funguje systém detekce
napadení (host-based intrusion detection) a na přístupových bodech sítě funguje
systém detekce prolomení vnější obrany sítě (network-based intrusion
detection). Přestože analytici společnosti Gartner nedávno předpověděli brzký
ústup těchto systémů ze scény, nám se velmi osvědčily a chtěli jsme je použít i
pro naše nové datové centrum.
Uvědomujeme si nebezpečí, které vyplývá ze vzrůstajícího množství šifrovaných
dat přenášených po síti i to, že představuje zátěž pro naše systémy IDS. Přesto
však podle našich zkušeností budou mít tyto systémy i v budoucnu velký význam.

Uvnitř sítě
Víme, že by naše IDS byly ještě účinnější, kdybychom je zavedli i na interní
segmenty sítě. Kromě zabezpečení ze strany IDS hostitelského systému bychom tak
zajistili i ochranu před nebezpečím napadení zevnitř. K plošné instalaci však u
nás zatím nedošlo.
Až dosud jsme zaváděli systémy IDS pouze do malých okrajových sítí. Tyto
systémy dokážou totiž pracovat pouze na síťových segmentech vyžadujících menší
přenosovou kapacitu s relativně malým počtem externích přípojek. Nové produkty
IDS podporují gigabitové rychlosti a poradit si s velkým objemem přenášených
dat pro ně již nepředstavuje problém. Je však třeba najít nějaký způsob, jak
navést všechna potřebná data na senzory systému. To nebývá jednoduché.

Přes přepínač
Před mnoha lety jsme pomáhali v naší firmě prosadit zavedení přepínané sítě LAN
na bázi Ethernetu. Správně nakonfigurované přepínače zajistí přenos dat pouze
mezi systémy, kterých se týkají. Oproti tomu běžné rozbočovače ve sdílené síti
vyšlou kopii dat určenou jednomu systému všem systémům v dané části sítě LAN.
Přepínače tedy dobře slouží k zabezpečení dat během přenosu a také zvyšují
výkonnost sítě. My však potřebujeme centrální přístup ke všem přenášeným datům,
abychom je mohli monitorovat. Dříve jsme prostě používali síťový adaptér IDS
serveru, který byl nakonfigurován na takzvaný promiscuous mode tedy na takový
režim práce, při kterém přijímal všechny přenášené datové pakety. Mohli jsme
tak pohodlně kontrolovat správné fungování provozu na síti. To však není možné,
pokud použijeme přepínač.
Protože správci sítí potřebují mít přehled o provozu na síti a odstraňovat
vznikající problémy, výrobci síťových zařízení obvykle nabízejí řešení v podobě
takzvaného span portu ten vytváří kopii všech přenášených dat a vysílá ji přes
vyhrazené spojení správci sítě. Chtěli bychom nakonfigurovat naše systémy IDS
tak, aby dokázaly pomocí span portů vytvořit jedinou kopii všech dat. Naše
systémy monitorující provoz sítě ale tyto porty již využívají pro jiné účely.
Někteří výrobci nabízejí zařízení, která analyzují přenášená data, aniž by
měnila jejich tok. Teoreticky by tedy bylo možné načíst data, která procházejí
přes span port a směřují k současným monitorovacím systémům, a vyslat kopii
systémům IDS. Bohužel však žádný typ takového zařízení, která máme k dispozici,
není pro nové datové centrum vhodný.
Většina z nich je napájena miniaturními 9voltovými zdroji, jaké se kdysi
prodávaly ke kalkulačkám. Obávám se, že by při sebemenším kolísání napájení
docházelo k přenosu vzniklého rušení na síťový spoj, což by vedlo k problémům s
přenosem dat. Snad si dokážete představit, jakou radost by měli správci sítě,
kdyby zanesli nové chyby do systémů, jejichž funkcí je chyby analyzovat a
vyhledávat. Tento postup zjevně nikam nevede.

Jiné řešení
Společnost Cisco Systems vyrábí síťovou kartu IDS monitorující síťové přenosy
dat a tu lze implementovat do přepínačů Cisco. Řešení tu tedy je, avšak vybavit
všechny přepínače těmito zařízeními by bylo příliš nákladné. Také nám zcela
nevyhovují aplikace pro správu systémů Cisco IDS a dáváme v tomto ohledu
přednost produktům našeho současného dodavatele.
Rovněž se nabízí možnost zakoupit specializované systémy, které posílají kopie
datových paketů na více portů současně a umožňují dokonce nastavit, která data
mají být předána dále například do IDS. Nedochází tedy k přetížení IDS systému
zašifrovanými daty, která systém stejně nedokáže analyzovat. Náš tým pro správu
sítě však má jednoduché pravidlo: Pokud hardwarový produkt nemá nálepku Cisco,
nesmí do sítě.
Nejnovější přepínače společnosti Cisco disponují několika span porty, avšak
jejich využití přináší snížení výkonnosti sítě. Z dlouhodobého hlediska
představují tyto produkty asi nejlepší řešení, nechceme však zavádět rozšířené
monitorování sítě až dodatečně, ale již během její instalace.
Nakonec nás napadlo připojit prostě span port na rozbočovač, což by umožnilo
posílat datové kopie na monitorovací zařízení a systémy IDS. Museli bychom
rozšířit hardwarové vybavení sítě, je to však trvalé a celkem levné řešení,
protože rozbočovač představuje standardní a prověřenou technologii.
Jediným problémem zůstává skutečnost, že Cisco potřebné rozbočovače již
nevyrábí. Máme sice spoustu náhradních komponent z minulosti, ty však byly
oficiálně vyřazeny z provozu a nelze je použít. Není totiž možné vybavovat nové
datové centrum staršími a opotřebovanými komponentami. Takže praxe opět selhává
a jsme zpátky u teorie.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.