Děravé systémy sítě nechrání

Síťové systémy ochrany proti neoprávněnému průniku jsou dnes jednou ze základních součástí bezpečnostní archite...


Síťové systémy ochrany proti neoprávněnému průniku jsou dnes jednou ze
základních součástí bezpečnostní architektury. V případě přepínaných sítí však
mohou být tyto bezpečnostní systémy často přetížené, a tudíž nespolehlivé.
Výkonnost je u síťových systémů pro zjišťování neoprávněného průniku (Network
IDS, NIDS) jedním z témat, o nichž se nejvíce diskutuje. Skutečností je, že
tyto systémy při přetížení nekontrolují všechny příchozí datové pakety.
V současné době jsou na trhu dva typy systémů NIDS: senzory pro Fast Ethernet a
senzory pro Gigabit Ethernet. Oba typy používají k rozeznání útoků stejnou
logiku. Jsou to buď metody protokolové analýzy, nebo zjišťování podezřelých
vzorců v rámci datového toku.
V rámci provozu sítí LAN je obtížné získat spolehlivou statistiku výkonnosti.
Problémem není ani otázka, kolik útoků je systém NIDS schopno rychle rozeznat,
přestože to je jediný parametr bezpečnostních systémů uváděný při testování.
Mnohem větším problémem je, jak spolehlivě je zařízení schopno v jinak
normálním provozu sítě zachytit pakety hackerů vyskytující se s extrémně nízkou
frekvencí.
Problémy systémů NIDS nejsou často způsobeny nějakými masovými útoky, ale
doslova hledáním jehly v kupce sena, obzvláště v případech, kdy jsou přenášená
data částečně šifrována pomocí protokolu SSL. Ochranné systémy nejsou schopny
pracovat se šifrovanými pakety, a tak spoustu času ztrácejí jen zjišťováním, že
je nezvládají.
Druhým zdrojem problémů je velikost paketů. Údaje výrobců o výkonu se často
vztahují na pakety velikosti 1 024 bajtů. V případě menších porcí dat se
rychlost zjišťování prudce snižuje. Třetím faktorem, který ovlivňuje rychlost
ochrany, je samotný princip jejího fungování. Systémy NIDS obvykle obsahují
stovky datových vzorů, které neustále porovnávají s tokem dat. Čím více vzorců
kontrolují, tím déle to trvá. Nejpomalejší jsou produkty, které nepoužívají
metody protokolové analýzy.

Při zatížení
Přesné stanovení výkonu systému NIDS je komplikováno velkým počtem proměnných.
Monitor s výkonem 10/100 Mb/s dosahuje v průměru 60 až 80 Mb/s, zatímco
gigabitový senzor zvládne 400 až 600 Mb/s. V případě Fast Ethernetu to odpovídá
využití na 60 až 80 % a v případě gigabitové sítě 40 až 60 %. V případě
oddělených segmentů rozbočovače nebude systém NIDS pravděpodobně využívat všech
svých možností, protože vytížení nepřesahuje 40 %. Ale při použití přepínačů
výrazně zvyšujících zatížení linek mívají bezpečnostní systémy problémy.
Na rozdíl od rozbočovače nestačí u přepínače připojit systém NIDS na jeden z
portů. Řešením je zrcadlový port přepínače, přes který procházejí kopie
datových paketů ze všech portů. Nastávají ale velké problémy se šířkou pásma. I
v málo vytížené síti Fast Ethernet, v níž je každý z deseti výstupů přepínače
využíván z deseti procent, musí systém NIDS pracovat na plný výkon. To však
není možné. Zvládne jen 40 až60 %. Zbývající pakety procházejí bez kontroly.
Ještě horší je případ, kdy je každý port přepínače využíván z poloviny.
Mechanismus zrcadel se v této situaci pokouší protlačit výstupem s kapacitou
100 Mb/s objem 500 Mb/s, což samozřejmě není možné. Řešením by mohl být
gigabitový zrcadlový port. Ten však sníží výkon přepínače o 10 až 20 %. To není
tak zlé, ale často to vede ke střetům mezi zájmy pracovníků odpovědných za
zabezpečení a zájmy správce sítě. Správci sítí si pak stěžují nejen na to, že
si zabezpečovací specialista ukořistí gigabitový port, ale také na to, že navíc
zpomalí přepínač. I když argumenty bezpečnosti zvítězí, gigabitovému systému
NIDS připojenému na zrcadlový port některé pakety uniknou, protože zvládne jen
400-600 Mb/s.
Zatížené sítě vyžadují redundantní komponenty bez rizika výpadků. Přístupové
směrovače se proto často nahrazují asymetricky směrovanými sítěmi, které
zajišťují lepší dostupnost spojení a vyšší výkon. Jednoduché asymetrické
zapojení sestává ze čtyř směrovačů, které tvoří síť, v níž každý datový paket
prochází jednou ze čtyř možných cest. Datové toky se při tom rozdělí na části,
které se opět spojí až před cílovým počítačem.
Systém NIDS je však schopen rozeznat útok jen na základě úplného datového toku.
Pokud hacker na některém serveru zahájí útok typu cgi-bin, může zadání vypadat
takto: http:www.cil. com/cgi-bin/test-cgi?*. Pomocí URL zjišťuje seznam všech
souborů a podadresářů v adresáři skriptů.
V rámci asymetrického zapojení bude datový tok rozdělen např. na části www.tar,
get.com, /cgi-bi, n/test-c a gi?*, které se do sítě dostanou vždy jednou ze
čtyř možných cest. I kdyby byl rozdělený port kontrolován systémem NIDS na
každém vstupním směrovači, senzor zachytí vždy jen polovinu paketů. V rámci
asymetrického zapojení je proto nutné datové toky opět spojit ještě před
kontrolou.

Loadbalancer to řeší
Zatížení lze v síti rozdělit pomocí systémů pro rozdělování zátěže podle
relací, které jsou označovány také jako relačně orientované (Session Aware).
Tyto systémy zajistí i to, aby nebylyjednotlivé datové toky (relace) rozděleny.
Gigabitový výstup zrcadlového portu lze rozdělit na malé části, zpracovávané
několika systémy NIDS. Toto řešení lze použít i v rámci asymetricky směrovaných
sítí. Systémy pro rozdělování zátěže podle relací shromažďují pakety do
mezipaměti a podle datových toků je přiřazují jednotlivým aplikacím.
Použití systému pro rozdělování zátěže zaručuje nejen kontrolu všech datových
toků proti neoprávněnému průniku systémem NIDS. Uživateli poskytuje také více
možností při vytváření bezpečnostní architektury. Po rozdělení zatížení lze
systémem NIDS kontrolovat několik spojení s menší šířkou pásma.
Větší pružnost přijde vhod zvláště u přepínaných sítí, které lze bez systému
pro rozdělování zátěže v nejlepším případě chránit pomocí zrcadlového portu
snižujícího výkon přepínače. Lépe funguje sledování pomocí odboček, které
kompletně kopírují veškerý provoz. Vstupní a výstupní kanál ethernetové sítě
však duplikují odděleně a signály předávají na dva porty. Bezpečnostní systém
je tím přetěžován, protože může sledovat vždy jen jednu polovinu probíhající
komunikace. Systém pro rozdělování zátěže je přínosný tím, že oba směry znovu
spojuje, a tím připravuje ke kontrole jedním nebo více systémy NIDS.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.