facebook LinkedIN LinkedIN - follow
IT SYSTEMS 1-2/2005

Intrusion prevention system

Nová kategorie bezpečnostního řešení

Petr Lasek


Ochrana sítí a budování systémů, které by zabezpečily jejich nepřetržitý chod, je v současnosti složitým a nákladným úkonem. Při budování podobné ochranné hráze nestačí obrazně řečeno postavit zeď a čekat, zda ji někdo nezboří, ale je potřeba systém neustále udržovat v co nejaktuálnějším stavu. Jedině pak může plnit svou funkci. Nevystačíte však s běžnými prostředky, jako je firewall, VPN apod. Pro vybudování skutečně účinné hráze odstavující moderní typy útoků od běžného nezávadného síťového provozu vyvinuly firmy různé systémy ochran.


Firewall představuje pouze první obrannou linii, nutnou, ale v dnešních podmínkách již nedostačující. V dnešní době využívá stále více útoků nedostatky a chyby konkrétních programů, např. IIS serveru, sendmailu atd. Tyto útoky jsou z pohledu firewallu skryté v legálním provozu (HTTP, mailu atd.). Detekce útoku tohoto typu, tj. na aplikační vrstvě, je záležitostí druhé obranné linie (obr. 1).


Obr. 1: Vícevrstevná ochrana


Jako druhá obranná linie se v posledních letech používala IDS (intrusion detection system) zařízení. Jedná se o pasivní sondy, které naslouchají síťovému provozu a jsou schopny odhalit podezřelé aktivity. Provoz je na ně kopírován pomocí funkce copy port na přepínači a zároveň přes jiný port pokračuje do vnitřní sítě. Právě v "pasivitě" IDS je hlavní problém. Útok je detekován až v době jeho průběhu a část paketů vždy dorazí k cíli. IDS má omezené možnosti útok blokovat. První je vyslání TCP reset paketu. To samozřejmě lze uplatnit pouze pro TCP spojení, a jak bylo už uvedeno, až v průběhu útoku. Druhou možnosti je spolupráce s firewallem (firewall signaling), kdy IDS informuje firewall o útoků, například vysláním trapu, a ten blokuje provoz ze zdrojové IP adresy. To může znamenat poměrně velkou nepříjemnost. Za danou zdrojovou adresou se může skrývat i řada uživatelů, například celá síť AOL přistupuje na internet přes "mega-proxy". Takže útok je blokován, ale s řadou možných vedlejších účinků (obr. 2).


Obr. 2: Intrusion detection system


Z těchto důvodů se začíná objevovat nová kategorie výrobků IPS - intrusion prevention system. IPS je aktivní zařízení umístěné v cestě "in-line" (za reálného chodu). Dokáže útoky detekovat a okamžitě blokovat. Blokován je však výhradně jen škodící provoz. Mezi první produkty na trhu v této kategorii patří řešení IDP společnosti NetScreen. Systém IDP (Intrusion Detection and Prevention) byl vyvinut za účelem zefektivnění ochrany kritických síťových aktivních částí. Odhaluje (detekuje) útoky, zastavuje jejich šíření už na hranici sítě. Vytváří další vrstvu bezpečnostního systému a doplňuje stávající firewally.

Odhalení skutečných útoků
V běžném denním provozu je, kromě snahy odhalovat všechny typy útoků, potřeba mít možnost odhalovat útoky nanejvýš efektivně. Z tohoto důvodu je vhodné využívat systém, jenž nabízí více než jen silný mechanismus pro odhalování útoků. Je používáno více metod detekce - multi-method detection (MMD) - obsahujících následující mechanismy:
· stavové značky (stateful signature),
· protokolové anomálie (protocol anomaly),
· zadní vrátka (backdoor),
· anomálie provozu (traffic anomaly),
· IP spoofing,
· detekce útoku na L2 vrstvě,
· vyvolání odmítnutí služby (denial of service detection),
· network honeypot.


· 85 % uživatelů odhalilo nějaký druh prolomení v počítačových systémech (v posledních 12 měsících)
· 64 % potvrdilo finanční ztráty vyvolané prolomením
· 35 % bylo schopno vyhodnotit finanční ztráty, celkem 337 828 700 dolarů

Zdroj: CSI/FBI 2001 Computer Crime and Security Survey


Stavová detekce značek
Existuje velká spousta útoků odhalitelných prostřednictvím značek - tedy částí řetězců typických pro daný typ útoku. Metoda odhalení s názvem stavové značky (stateful signatures) zvyšuje výkon a snižuje počet planých poplachů. Systém IDP sleduje stav spojení a nahlíží do provozu. Snaží se odhalit, zda v provozu nenajde některý vzorek útoku, který se nachází v jeho databázi se vzory útoků. Provoz je porovnáván s konkrétním řetězcem výhradně v okamžiku, kdy může daný útok nastat, například při navazování spojení mailového klienta se serverem, nikoli už v těle samotného e-mailu. Většina ostatních systémů pro detekci průniků používá pro prohledávání značky paketů ve veškerém provozu. Tento způsob (packet signatures) ovšem generuje příliš velké množství falešných poplachů.

Odhalení protokolových anomálií
Útočníci vymýšlí a realizují stále nové sofistikované druhy útoků, jejichž značky tím pádem nejsou obsaženy v tabulkách pro stavovou detekci značek. Takové druhy útoků by pak nebyly předchozí metodou odhalitelné. Odhalování protokolových anomálií (odlišností od standardní protokolové komunikace) může být použito pro identifikaci útoků odlišných od normálního provozu. Tato metoda může například odhalit útoky využívající chyby přetečení zásobníků (buffer overflow). Odhalování protokolových anomálií je o to efektivnější, o co více protokolů systém zná a podporuje, protože jinak se nepodaří útoky vedené prostřednictvím neznámých (resp. nepodporovaných protokolů) odhalit a projdou do chráněné sítě. Systém IDP podporuje široké spektrum protokolů včetně SNMP, SMB atd.

Zadní vrátka
Systém umí odhalovat a chránit proti útoků typu zadní vrátka. Útočník rozešle např. e-maily se spustitelnou přílohou (trojský kůň). Pokud ji neopatrný uživatel spustí, jeho počítač je "nakažen" a naváže spojení s útočníkem, který nad ním převezme kontrolu. Nerušeně pak může útočit na ostatní počítače ve vnitřní síti nebo zneužít PC pro další nelegální aktivity, jako je maskování dalšího útoku, rozesílání spamů atd. Systém dokáže podle specifických charakteristik odhalit tento typ útoků a na jeho základě spustí příslušný poplach. Ochrana proti zadním vrátkům je způsob, který ani odhalování protokolových anomálií, ani stavová detekce značek nemůže nabídnout.

Odhalování provozních anomálií
Některé z útoků nejsou svázány s jediným spojením (session), ale rozšiřují se na více spojení. Často se tedy stává, že podobná napojování na systém a vytváření dalších propojení má sloužit k získání informací o síti a k budoucím útokům. Odhalování provozních anomálií umí nejen tuto aktivitu sledovat a porovnat s "normálním stavem", ale umí také odhalit odlišnosti. Systém IDP může díky této vlastnosti odhalovat pokusy o proniknutí do systému. Tato metoda dovoluje správci sítě definovat, co je standardní provoz. Mezi typické útoky, které lze odhalit pomocí odhalování provozních anomálií, patří také skenování sítě a portů.

Network honeypot
Spousta útočníků jen prohlíží a "oťukává" sítě, aby zjistili, co si mohou dovolit. Network honeypot tvoří vhodnou metodu, jak tento druh síťového provozu, který tvoří vlastně "šum", odfiltrovat. Česky se doslova jedná o medovou past a skutečně jde o past předstírající nějakou službu - WWW nebo FTP server apod. Útočník ztrácí čas dobýváním služby, která v síti neexistuje. Honeypot může sloužit pro sledování aktivit hackera nebo pro eliminaci útoků tzv. script kiddies (nezkušení hackeři, kteří využívají volně dostupné nástroje na internetu). Je pochopitelné, že každá síť vypadá jinak. Systém IDP se proto dodává ve čtyřech výkonnostních variantách:
· IDP-10 do 10 Mb/s,
· IDP-100 do 100 Mb/s,
· IDP-500 do 500 Mb/s,
· IDP-1000 do 1 Gb/s,

přičemž každá sonda může mít až deset ethernetových rozhraní.
1. samotnou sondou,
2. management serverem,
3. grafickým klientem.


Obr. 3: Třívrstvá architektura řešení


To umožňuje nasadit prakticky neomezené množství sond v sítí a zároveň zajistit současný přístup více uživatelů. Praktický je i "policy based" přístup umožňující přesně konfigurovat, který provoz a proti kterým útokům bude prověřován i co se stane, když bude útok detekován. Je možno události ignorovat, zaznamenávat a blokovat. Tím je umožněna nenásilná implementace a možnost ladění. Komfortní správa a vyhodnocování logů s drill-down menu umožňuje vyhodnocení událostí.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

GPU servery jako klíč k rychlejší analýze a práci s daty

vshostingEfektivita a výkonnost IT infrastruktury patří k zásadním faktorům ovlivňujícím chod moderních firem. V situacích, kdy běžné servery nedostačují, přichází na řadu GPU servery, které díky své architektuře umožňují rychlejší zpracování paralelních úloh. Od analýz rozsáhlých datových sad přes simulace až po náročné vizualizační projekty – GPU servery nabízejí řešení pro nejrůznější firemní aplikace.