Detekce neoprávněných průniků

1. 1. 2005

Sdílet

Útoky se na počítačové sítě valí jako lavina ze všech stran. Je třeba jim stavět do cesty další a další překá...
Útoky se na počítačové sítě valí jako lavina ze všech stran. Je třeba jim
stavět do cesty další a další překážky.

Pro dosažení co největšího ochranného efektu už dávno nestačí používat pouze
firewall nebo podobný ochranný prvek. Přes veškerou snahu o zabezpečení totiž
musíme stále počítat s tím, že každý systém obsahuje různé nedostatky a
slabiny. A že se je někdo pokusí když ne přímo zneužít, tak alespoň vyhledávat.
Přičemž není vyloučeno (právě naopak je to téměř jisté), že nějakou slabinu
odhalí. Na takový stav zkrátka musíme být připraveni.
Zjednodušeně by se dalo říci, že systémy IDS detekují nevhodné, nekorektní nebo
neobvyklé aktivity související s lokální sítí. IDS díky tomu může vetřelce
detekovat, identifikovat a zastavit a správce sítě má k dispozici informace o
tom, jak se útočník dostal do sítě, což mu může pomoci zabránit opakování
podobných útoků v budoucnu. Jinými slovy za útočníkem nezůstává nezodpovězená
otázka: "Jak se sem proboha dostal?"

Geneze IDS
Systémy IDS se začaly v minimálním množství využívat již někdy v polovině
devadesátých let 20. století, avšak teprve nyní přichází na trh řada produktů a
systémů IDS další generace, která detekuje neoprávněný průnik do sítě nejenom
na základě databáze známých útoků, ale i na úrovni detekce anomálií v chodu
sítí. Není přitom IDS jako IDS. Systémy rozdělujeme do několika kategorií.
Základní dělení přitom vychází z typu detekce. První skupina systémů IDS
detekuje zneužití, druhá anomálie. Pokud systém pracuje na bázi detekce
zneužití, pak analyzuje získávané informace a porovnává je s již známými
hodnotami. Svým způsobem pracuje podobně jako antivirové programy, které
využívají databáze známých škodlivých kódů. IDS je v takovémto případě vybaven
signaturami známých útoků. Nevýhoda tohoto řešení je ovšem stejná jako v
případě čistě signaturového antivirového programu je odkázané na kvalitu
použité databáze. Výhodou je, že pracuje téměř bezchybně z hlediska správnosti
vyhodnocení útoku, proto jej jako základ využívá většina IDS systémů, které se
vyskytují na trhu informačních technologií.
Pokud ale probíhá detekce na základě anomálií, pak správce (administrátor) může
definovat základní (rozuměj normální) stav sítě (používané protokoly, typická
velikost paketů, jejich množství apod.). Systém detekující anomálie pak sleduje
od základního stavu odchýlené segmenty to zpravidla bývají varovné příznaky
toho, že se děje něco "nenormálního".
Tento systém je schopen na rozdíl od systému detekce známých útoků detekovat
nové, doposud v datových vzorcích nespecifikované, útoky. Problém však nastává
ve smysluplném nastavení pravidel normálního chodu sítě tj. určení, že dané
chování sítě je standardní a chtěné. Díky tomu mohou vznikat falešné poplachy
(tzv. FP, False Positive), které v případě, že jich vzniká mnoho, mohou
degradovat celý systém IDS, a snížit tak jeho užitnou hodnotu.

Heuristická analýza
Speciálními případy pak jsou heuristická analýza a vyhledávání výjimek z
pravidel RFC. Heuristická analýza (v případě IDS) je metoda, která funguje na
bázi statistického vyhodnocování provozu. V případě vyhledávání výjimek z
pravidel RFC systém IDS kontroluje komunikaci a konfrontuje ji s pravidly
komunikace definované v RFC. Toto řešení umožňuje vyhledávání anomálií na poli
záměrné deformace komunikace mezi útočníkem a jeho potenciálním cílem.
Systémy IDS dále dělíme podle místa působnosti na host-based (uživatelské) a
network-based (síťové). V IDS umístěných na síti (NIDS, Network IDS) jsou
analyzovány pakety pohybující se v síti. NIDS má tu výhodu, že může detekovat
škodlivé pakety vytvořené tak, aby dokázaly projít přes firewall. V systému
host-based se prvky IDS nacházejí na jednotlivých komponentách sítě, přičemž
nekontrolují síťový provoz, ale sledují provoz přímo na jednotlivých
komponentách.
Dalším způsobem členění IDS může být rozdělení dle typu prováděné akce. V této
oblasti rozlišujeme pasivní a aktivní systémy. V případě pasivního systému IDS
jsou toliko detekovány zjištěné nedostatky, shromažďovány informace a vydávána
varování. V případě aktivního systému je na podezřelou aktivitu přímo reagováno
ale nikoliv někdy prosazovaným způsobem oko za oko, zub za zub. Systém
neprovádí odvetná opatření, ale pouze reaguje na vzniklou situaci provedením
různých akcí: ohlášením podezřelého uživatele, přenastavením firewallu k
zablokování provozu z podezřelého zdroje apod.

Nastavení
Většina současných systémů IDS umožňuje správcům nastavit určitou míru
citlivosti detekčních a reportovacích algoritmů jak ale najít správnou
rovnováhu? Tato otázka vůbec není jednoduchá a po pravdě řečeno, odpověď na ni
ani neexistuje. Každá síť je totiž jiná, každá má svá specifika, na každou se
vztahují jiné okolnosti...
Proto je celkem pochopitelné, že na systémy IDS jsou kladeny různé nároky což
je rozdíl oproti třeba antivirovým programům, kde je všude vyžadována
stoprocentní detekce. Přitom právě citlivost systémů IDS v daném prostředí je
při jejich pořizování velmi důležitým faktorem. Jak ji ale brát v potaz?
Každý systém IDS má při určitém nastavení odpovídající hodnotu FPR (False
Positive Rate). Toto je hodnota vyjadřující frekvenci, s jakou IDS systémy
reportují jinak korektní aktivitu jako útok či jako podezření na útok. Takovéto
chyby jsou noční můrou každého administrátora, neboť vyžadují pozornost, ale
veškerá vynaložená energie je v konečném důsledku zbytečná. A krom toho otupují
pozornost takže když se potom něco doopravdy děje, administrátor může nad
problémem jen mávnout rukou s tím, že jde asi zase o další falešný poplach.
Další hodnotou, kterou bychom u systémů IDS měli sledovat, je FNR (False
Negative Rate). Jedná se o hodnotu vyjadřující frekvenci, s jakou IDS selhává
tedy s jakou nevyvolává poplach v případě, že ke skutečnému útoku dochází. V
praxi jsou hodnoty FPR a FNR úzce provázané, protože při zvýšení citlivosti
systému klesá hodnota FNR a roste FPR. Existuje tedy menší pravděpodobnost, že
nějaký útok bude úspěšný, ovšem daní za to je více falešných poplachů. A
naopak: Snížení citlivosti systému znamená nižší FPR, ale vyšší FNR. Falešných
poplachů výrazně ubude, ale zároveň narůstá riziko, že při menší citlivosti
zůstanou některé útoky neodhalené.
V praxi proto zavádíme ještě třetí hodnotu CER (Crossover Error Rate), která
vychází z FPR a FNR. Je to hodnota používaná pro porovnání různých IDS za
různých podmínek. Musíme si totiž uvědomit, že citlivost a detekční schopnost
IDS v různých sítích je různá. A tak jediným skutečně vypovídajícím faktorem je
srovnání účinnosti jednotlivých systémů IDS ve stejných podmínkách, tedy v
rámci jedné konkrétní sítě.
CER je hodnota, kdy se stejnou frekvencí dochází k FPR i FNR. Jinými slovy:
Jedná se o jakýsi rovnovážný bod. Není nic jednoduššího, než několik různých
systémů IDS porovnat na jedné síti za stejných podmínek a stanovit bod CER pro
každý systém. A pak už můžete vybírat. Pokud máte zájem o systém s vyváženými
hodnotami FPR a FNR, pak si vyberte systém vykazující nejnižší CER. Pokud je
ale vaší prioritou systém co nejbezpečnější, vyberte si systém s nejnižším FNR.
V takovém případě ovšem počítejte s vysokým FPR.
Systémy detekce neoprávněných průniků se rychle stávají nezbytnou součástí
vybavení sítí připojených k internetu stejně jako antivirová či antispamová
ochrana nebo firewall.