Firewall a IPS: Kudy vede další cesta? (1)

11. 9. 2011

Sdílet

Schopnosti útočníků rostou, zvyšuje se frekvence a sofistikovanost útoků na IT infrastrukturu, citlivá data jsou čím dál více v ohrožení. Ruku v ruce s tím se překotně rozvíjí prostředky ochrany datové sítě.

Jistě není třeba představovat firewally, které tvoří první linii ochrany. Dlouhou dobu platilo, že druhou a zároveň poslední linií ochrany na úrovni datové sítě je systém IPS (Intrusion Prevention System). Ani ty však už nestačí vzdorovat novým hrozbám, které si vyžadují odlišné přístupy k ochraně IT infrastruktury.

Na změněnou skutečnost ohledně ochrany síťové infrastruktury upozorňuje mimo  jiné již od roku 2007 společnost Gartner definující prostředky ochrany datové sítě jako firewall + IPS + systémy NSM/NBA (Network Security Monitoring/Network Behavior Analysis, bezpečnostní monitoring sítí a analýza chování zařízení na síti). Tento trend potvrzuje ve své studii „Network Behavior Analysis: Protecting by Predicting and Preventing“ vydané v listopadu 2009 i společnost Aberdeen Group. Nejde přitom jen o bezpečnost, protože řešení z oblasti NSM/NBA nacházejí uplatnění kromě ochrany datové sítě též při odhalování konfiguračních a provozních problémů a rovněž při zvyšování efektivity správy IT infrastruktury. V tomto článkem se budeme věnovat základním principům technologie NSM/NBA a zejména jejím přínosům pro ochranu a správu datové sítě. Pro úplnost dodejme, že výstupy monitoringu sítí nabízejí širší využití a to zejména v oblasti optimalizace síťové infrastruktury, kdy produkty této kategorie nabízí výrobci jako například Hewlett-Packard, Cisco Systems, IBM nebo CA.

Vliv IT infrastruktury na fungování organizací stále roste: ta se tak postupně stává doslova nervovou soustavou podniku. To s sebou nese zvyšující se nároky na rozsah a kvalitu správy IT infrastruktury. Na potíže se přichází pozdě a jejich odstraňování má negativní vliv na chod organizace.

Infikovaný počítač, který začne rozesílat spam, způsobí, že se firma ocitne na černé listině (blacklist) ostatních organizací a než se situace vysvětlí (a kvůli existenci různých „keší“ tomu tak je až dlouho poté), je její e-mailová komunikace ostatními servery blokována.

Neustále se řeší, proč jsou síť či aplikace pomalé, vina se přehazuje mezi dodavateli a IT oddělením a lidé jsou zdržováni při práci. Investice do rozvoje IT infrastruktury nejsou podloženy reálným stavem a potřebami. Obtížný a nedostatečný dohled nad sítí také láká zaměstnance k jejímu zneužívání k osobním účelům - a v neposlední řadě je branou otevřenou pro různé amatérské či profesionální útočníky.

Se všemi těmito problémy se správci sítě či IT manažeři dříve nebo později setkají a pro odhalení, doložení a vyřešení nesrovnalostí se bez vhodných nástrojů neobejdou. Neefektivně udržovaná a spravovaná síť stojí středně velkou společnost (cca 250 počítačů) podle analýz sdružení Network Security Monitoring Cluster jeden až dva milióny korun ročně, bezpečnost dané IT infrastruktury v to nepočítaje. Díky technologii bezpečnostního monitoringu sítí a analýze chování však lze ušetřit více než polovinu těchto nákladů.

Dlouhou dobu byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který však poskytuje jen souhrnné informace o provozu a neumožňuje vidět, co se v síti doopravdy děje (tedy jaké je rozložení provozu, kdo síť v jaké době nejvíce zatěžuje apod.).

 

Monitorování datových toků v síti

Pro první přiblížení technologie monitoringu datových toků lze říci, že datové toky v síti jsou to, co výpis telefonních hovorů v telekomunikacích. Správce se dozví se, kdo se s kým bavil, kdy a jak dlouho to trvalo. Obsah rozhovoru ale zůstává utajen. Technologii monitoringu datových toků v síti reprezentuje řada průmyslových standardů, z nichž mezi nejrozšířenější patří NetFlow, JFlow nebo IPFIX.

Tok je v terminologii tzv. flow technologií definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje (příznaky spojení a další pole hlaviček přenosových protokolů).

Flow statistiky byly až do nedávna doménou pokročilých a nákladných směrovačů (routerů) a přepínačů (switchů). Použití základních prvků IT infrastruktury pro generování flow statistik však naráželo na řadu bariér a výkonnostních omezení. V tomto článku se budeme dále věnovat pouze standardu NetFlow, který je nejrozšířenějším zástupcem flow technologií a který byl zaveden společností Cisco a následně podporovaný napříč dalšími výrobci (Enterasys, Juniper, Nortel a další).

Bariéry a výkonnostní omezení odstraňují specializovaná zařízení, tzv. sondy, schopné generovat statistiky NetFlow z libovolného bodu v síti. Tyto údaje je možné exportovat na tzv. kolektor, kde jsou uloženy a připraveny pro vizualizaci či analýzu nebo rovnou dále automaticky vyhodnocovány.

NetFlow sonda je stejně jako firewall či IPS dodávána ve formě speciální appliance, tedy jako server doplněný o softwarové vybavení zajišťující export statistik, vzdálenou konfiguraci přes webové rozhraní, správu uživatelů atp. V případě hardwarově akcelerovaného modelu je sonda vybavena i speciálním hardwarem založeným na hradlových polích, který garantuje zpracování všech paketů dokonce i na rychlosti 10 Gb/s.

Sondy se obvykle umisťují na vstupní a výstupní body sítě, do jejích centrálních bodů a rovněž na kritická místa či linky s největšími přenosy dat. Vlastní připojení sondy do sítě se realizuje pomocí tzv. mirror portu směrovače či přepínače, nebo přímým vložením do linky s využitím optického či metalického rozbočovače (TAPu).

NetFlow data generovaná zmiňovanou sondou jsou zasílána na kolektor. Tím může být například samotná sonda (obsahuje totiž integrovaný kolektor), dále samostatné řešení na dedikovaném serveru nebo libovolná aplikace třetích stran určená pro zpracování NetFlow dat.

Součástí moderního kolektoru pro uložení a zpracování NetFlow dat je vždy aplikace pro zobrazování statistik o provozu na síti v podobě grafů a tabulek s různým časovým rozlišením, generování takzvaných top N statistik, filtrování dat dle požadovaných kritérií, tvorba uživatelských profilů a provádění manuální analýzy provozu až na úroveň jednotlivých toků.

Manuální analýza a zpracování milionů záznamů o denním provozu na síti však jistě není ideálním řešením současných problémů IT infrastruktury. Dalším krokem je automatické a autonomní zpracování a vyhodnocení NetFlow statistik a generování upozornění (událostí) na nežádoucí situace, útoky, konfigurační problémy a obecně anomálie. Právě to je úkolem systému analýzy chování.

ICTS24

 

Příště se podíváme na problematiku analýzy chování v datových sítích.