IDS: základní informace

Kdysi byl antivirový program považován za něco zbytečného. Dnes je prakticky standardní součástí každého počítače. Dříve byl firewall či personální firewall považován za něco postradatelného, dnes si bez nich život umíme asi jen těžko představit. Dnes stále ještě mnozí považují prvky IDS (Intrusion Detection System, systémy detekce průniku) za něco luxusního či nedůležitého...



Systém detekce průniku je softwarový nebo hardwarový nástroj (event. kombinace obojího), určený k detekci neautorizovaného přístupu do počítačového systému nebo sítě. Je přitom lhostejné, zda k tomu dochází rukou sofistikovaných profesionálů nebo amatérů (tzv. script kiddies), kteří si jen stáhli nějaké nástroje z internetu a nyní zkouší, zda "to funguje".
Požadavek na IDS je tak jednoznačný: detekovat všechny typy škodlivého provozu a veškeré nekorektní využití počítačů (včetně útoků či pokusů o ně) vůči službám, aplikacím, zjišťovat neautorizovaná přihlášení, snahy o získání přístupu k citlivým informacím, odhalovat útoky škodlivých kódů apod.
Systémy IDS se skládají z několika základních komponent. Senzory mají za úkol shromažďovat informace o aktivitách v místech, kde jsou umístěné. Konzoly pak zajišťují monitorování a shromažďování senzory zaregistrovaných událostí - a navíc právě senzory kontrolují. Centrální správa nakonec vytváří zápisy (logy) a získané informace vyhodnocuje. V některých jednodušších systémech se můžeme setkat se sdružováním těchto tří funkcí - v extrémním případě do jedné jediné komponenty.

Dělení systémů IDS
Systémy IDS můžeme dělit podle různých kritérií: podle způsobu detekce průniků, podle umístění senzorů apod. Nicméně zpravidla se používá následující klasifikace.
Jednak je to dělení podle způsobu detekce: na IDS detekující zneužití a na IDS detekující anomálie. Pracuje-li na bázi detekce zneužití, pak analyzuje získávané informace a porovnává je s již známými hodnotami. Svým způsobem funguje podobně jako antivirové programy, které pracují s databází známých škodlivých kódů. IDS je v takovém případě vybaven signaturami známých útoků. Nevýhoda tohoto řešení je však stejná jako v případě čistě signaturového antivirového programu: závisí na kvalitě použité databáze. Výhodou je, že je téměř bezchybný z hlediska správnosti vyhodnocení útoku, proto jej jako základ využívá většina IDS systémů, které se vyskytují na trhu informačních technologií.
Pokud ale probíhá detekce na základě anomálií, pak správce (administrátor) může definovat základní (rozuměj normální) stav sítě (používané protokoly, typická velikost paketů, jejich množství apod.). Systém detekující anomálie pak sleduje od základního stavu odchylující se segmenty - to zpravidla bývají varovné příznaky, že se děje něco "nenormálního".
Tento systém je schopen na rozdíl od systému detekce známých útoků detekovat nové, doposud v datových vzorcích nespecifikované útoky. Problém však nastává ve smysluplném nastavení pravidel normálního chodu sítě - tj. efektivně určit, že dané chování sítě je standardní a chtěné. Takto mohou vznikat falešné poplachy (tzv. FP, False Positive). V případě, že jich vzniká mnoho, mohou degradovat celý systém IDS a snížit tak jeho užitnou hodnotu.
Speciálními případy pak představuje heuristická analýza a vyhledávání výjimek z pravidel RFC. Heuristická analýza je v případě IDS metoda, která funguje na bázi statistického vyhodnocování provozu. V případě vyhledávání výjimek z pravidel RFC systém IDS kontroluje komunikaci a konfrontuje ji s pravidly komunikace definované v RFC. Toto řešení umožňuje vyhledávání anomálií na poli záměrné deformace komunikace mezi útočníkem a jeho potencionálním cílem.
Systémy IDS dále dělíme podle místa působnosti na host-based (uživatelské) a network-based (síťové). V IDS umístěných na síti (NIDS, Network IDS) jsou analyzovány pakety pohybující se v síti. NIDS má tu výhodu, že může detekovat škodlivé pakety vytvořené tak, že dokázaly projít přes firewall. V systému host-based se prvky IDS nacházejí v jednotlivých komponentách sítě, přičemž nekontrolují síťový provoz, ale sledují provoz přímo na jednotlivých komponentách.
Dalším způsobem dělení IDS může být rozdělení podle typu akce. V této oblasti rozlišujeme pasivní a aktivní systémy. V případě pasivního systému IDS jsou detekovány pouze zjištěné nedostatky, shromažďovány informace a vydávána varování. V případě aktivního systému se na podezřelou aktivitu přímo reaguje - ale nikoliv někdy prosazovaným způsobem "oko za oko, zub za zub". Systém neprovádí odvetná opatření, ale pouze reaguje na vzniklou situaci: ohlášením podezřelého uživatele, změnou nastavení firewallu a zablokováním provozu z podezřelého zdroje apod.

Péče o IDS
V případě informační bezpečnosti se lze bohužel více než často setkat s přístupem, kdy veškerá starost o určitou aplikaci/službu končí jejím nainstalováním. To je ale kardinální omyl, protože bezpečnost nelze řešit vojenským systémem "fire and forget" (vystřel a zapomeň). O bezpečnost sítě je zapotřebí se starat, monitorovat ji - a především ji stále dolaďovat, a to na základě nových poznatků nebo aktuálních incidentů. Nejslabším prvkem bezpečnosti tak bývá její závěrečné zavedení do každodenní praxe.
Z časového hlediska můžeme úkony související právě s implementací IDS rozdělit do tří fází: příprava, identifikace incidentu (včetně vypořádání se s ním) a vyhodnocení.
Cílem instalace systémů IDS je identifikace útoků a ruku v ruce s tím i eliminace FP (False Positive; to je situace, kdy je korektní aktivita z nějakého důvodu považována za bezpečnostní incident). Nejde ale samozřejmě o pouhé sledování funkčnosti a činnosti systému, pročítání výpisů, vytváření statistik útoků pro management, případně bědování nad úspěšnými útoky. V praxi jde i o další činnosti:
n Vlastní monitorování IDS a úpravy systémů v závislosti na četnosti útoků, FP nebo FN (False Negative; situace, kdy je bezpečnostní incident považován za korektní aktivitu).
n Ošetření incidentů - samozřejmě je zapotřebí na vzniklé problémy reagovat, a to umožňuje jen průběžné vyhodnocování dat získávaných IDS (mimochodem, právě shromažďování dat - ač je často podceňováno nebo přehlíženo - patří k hlavním úkolům IDS).
n Analýza a ukládání dat, která jsou získána v průběhu činnosti IDS.
n Reportování - pokud má mít celý systém smysl, pak je zapotřebí, abychom ze získaných dat vytvářeli informace a pravidelně a správně je interpretovali.

IPS přichází
Pokud vám zkratka IPS (Intrusion Prevention System, systém prevence průniku) připomíná IDS, pak máte naprostou pravdu. Skutečně jde o řešení, která na sebe vývojově navazují. Nejsou však příliš podobná, protože jejich úkoly jsou docela odlišné.
Zatímco IDS má za úkol detekovat případný bezpečnostní incident, IPS mu má proaktivně bránit - už z této podstaty věci vyplývá, že využívají poněkud jiné technologie a metody. Systémy IPS byly vyvinuty dodavateli bezpečnostních řešení poté, co se ukázalo, že dřívější metody kontroly obsahu založené na sledování IP adres a/nebo využívaných portů už přestávají stačit. Na rozdíl od IDS tak systémy IPS zvládají nejen monitorování a reportování, ale mohou také přijímat různé protiakce.
Některé systémy IDS mají sice určité obranné mechanismy též implementovány (ukončení TCP spojení, jiná konfigurace firewallu po zjištění útoku aj.), ale zpravidla nejsou schopné reagovat s dostatečnou rychlostí, protože mezi detekcí útoku a pokusem o jeho zablokování uplyne krátká, leč významná doba. Naproti tomu systémy IPS nepoužívají k likvidaci útoků žádné další prostředky, ale s nebezpečným paketem nebo spojením se vypořádají okamžitě.
K základním úkolům systémů IPS patří:
n Identifikovat neautorizovaný provoz založený na signaturových vzorcích (podobně jako IDS).
n Identifikovat neautorizovaný provoz založený na detekci anomálií v protokolech. IPS se snaží na základě určitých skutečností odhalit podezřelé a nekorektní aktivity, které jsou s vysokou pravděpodobností příznakem útoku. Jedním z hlavních úkolů IT bezpečnosti je totiž zajišťovat ochranu i před neznámými útoky.
n Ukončit nebo znesnadnit služby spojené s nežádoucí činností. V této oblasti spočívá hlavní těžiště činnosti IPS: v případě odhalení útoku přijmout odpovídající protiopatření, a to bez prodlení. Jinými slovy: útočník není pouze identifikován, ale především zastaven.
n Logovat všechny monitorované činnosti. Důsledné zaznamenávání provedených úkonů je důležité především pro průběžné vyhodnocování činnosti a úspěšnosti IPS.
n Zajišťovat důkazy o nepřátelské činnosti v anomálních paketech. Jedním z preventivních cílů informační bezpečnosti by mělo být zajištění, aby nedocházelo k opakování útoků - tedy k nebezpečnému využívání již v minulosti získaných znalostí. Proto je nutné útoky důkladně analyzovat a na základě této analýzy přijmout protiopatření.
Někdy je mylně rozšířená představa, že IPS je zcela automatický systém, který bude spolehlivě fungovat bez zásahu lidské ruky. To je ale samozřejmě mýtus: IPS potřebuje dohled v podobě správce, který bude systém průběžně dolaďovat na základě dosažených výsledků (falešné poplachy, resp. nezaregistrované útoky). Stejně tak je nutné IPS stále doplňovat o nové informace, aby byl schopen se vypořádat se všemi aktuálními hrozbami.

Hledání rovnováhy
Většina systémů IDS umožňuje správcům nastavit určitou míru citlivosti detekčních a reportovacích algoritmů - jak ale najít jejich správ-
nou rovnováhu? Tato otázka vůbec není jednoduchá a po pravdě řečeno, odpověď na ni ani neexistuje. Každá síť je totiž jiná, každá má svá specifika, na každou se vztahují jiné okolnosti... Proto je celkem pochopitelné, že na systémy IDS jsou kladeny různé nároky - což je rozdíl oproti třeba antivirovým programům, kde je všude vyžadována stoprocentní detekce. Přitom právě citlivost systémů IDS v daném prostředí je při jejich pořizování velmi důležitým faktorem. Jak ji ale brát v potaz?
Každý systém IDS má při určitém nastavení určitou hodnotu FPR (False Positive Rate). Toto je hodnota vyjadřující frekvenci, s jakou IDS systémy reportují jinak korektní aktivitu jako útok či jako podezření na útok. Takové chyby jsou totiž noční můrou každého administrátora, neboť vyžadují pozornost, ale veškerá vynaložená energie je v konečném důsledku zbytečná. Kromě toho otupují pozornost, takže když se něco doopravdy děje, administrátor může problém řešit mávnutím ruky - "zase další falešný poplach".
Další hodnotou, kterou bychom u systémů IDS měli sledovat, je FNR (False Negative Rate). Jedná se o hodnotu vyjadřující frekvenci, s jakou IDS selhává - tedy s jakou nevyvolává poplach v případě, že ke skutečnému útoku dochází.
V praxi jsou hodnoty FPR a FNR úzce provázané, protože při zvýšení citlivosti systému klesá hodnota FNR a roste FRP. Je tedy nižší pravděpodobnost, že nějaký útok bude úspěšný, ovšem daní za to je ví-
ce "falešných poplachů". A naopak: snížení citlivosti systému znamená nižší FRP, ale vyšší FNR. Falešných poplachů výrazně ubude, ale zároveň narůstá riziko, že při nižší citlivosti zůstanou některé útoky neodhalené.
V praxi proto zavádíme ještě třetí hodnotu CER (Crossover Error Rate), která vychází z FPR a FNR. Je to hodnota používaná pro porov-
nání různých IDS za různých podmínek. Musíme si totiž uvědomit, že citlivost a detekční schopnost IDS v různých sítích je různá. A tak jediným skutečně vypovídajícím faktorem je srovnání účinnosti jednotlivých systémů IDS ve stejných podmínkách, tedy v rámci jedné konkrétní sítě.
CER je hodnota, kdy se stejnou frekvencí dochází k FPR i FNR. Jinými slovy: jedná se o jakýsi rovnovážný bod. Není nic jednoduššího než porovnat na jedné síti za stejných podmínek několik různých systémů IDS a stanovit pro každý systém bod CER. A pak už můžete jen vybírat. Pokud pak máte zájem o systém s vyváženými hodnotami FPR a FNR, pak si vyberte systém vykazující nejnižší CER. Pokud je ale vaší prioritou systém co nejbezpečnější, vyberte si ten s nejnižším FNR. V takovém případě ovšem počítejte s vysokým FPR.

Závěr
Systémy IDS představují důležité komponenty celkové ochrany a obrany systému či sítě. Nejsou ale všelékem - ostatně takový systém nebo technologie ani neexistují (a je to možná dobře). Pomáhá detekovat útoky, a to ty známé i neznámé, na základě podezřelých aktivit. Důležitou rolí IDS je, že tento systém může posloužit k validaci dalších bezpečnostních prvků (jako např. firewallů). 05s0039/jp o










Komentáře