Funkce síťové karantény v systémech IPS a IDS

Filip Weber Tutoriály 19. listopadu 2007

Funkce síťové karantény představuje prevenci šíření nákazy z nakažené stanice na ostatní uživatele. Je to vlastně automatická izolace stanice, která je nakažena virem nebo je zdrojem nevhodné komunikace. Pokud IPS zjistí na síti nevhodná data, vyvolá definovanou činnost.

Výhodou je, když řešení nevyžaduje instalaci žádného softwaru na koncovou stanici a umožňuje chránit libovolné zařízení či operační systém. Karanténa využívá systémů IPS nebo IDS, které dokážou identifikovat nejen působení virů a červů, ale i reagovat například na průzkumné utility a další nástroje.

Pokud IPS zjistí na síti nevhodná data, vyvolá definovanou činnost. Akce karantény nemusí být nutně izolace stanice, ale může to být například:

  • blokování dat a zobrazení výstražné a informační web stránky
  • umístění klienta do izolace
  • zapnutí filtrů pro přístup do některých oblastí

Pro seznam speciálních zařízení nebo stanic lze stanovit výjimku z akce karantény, bezpečnostní správce dostane upozornění, že nastala událost, která vyžaduje karanténu, ale blokovací akce na zařízení ze seznamu spuštěna není. To se týká například serverů s kritickými aplikacemi, směrovačů, přepínačů.

Výhody síťově založené karantény:

  • automaticky provádí ochranu sítě
  • nevyžaduje instalaci a správu klientského softwaru
  • je univerzální, podporuje všechny typy operačních systémů
  • dokáže kontrolovat všechny typy zařízení (IP telefony, PDA)
  • hostitelské systémy nemusejí bezpodmínečně splňovat nějaké bezpečnostní parametry, blokuje či limituje nevhodné nebo nepovolené aktivity uživatelů sítě
  • centrální správa
  • spolupracuje s MS NAP

Srovnání síťové karantény a NAC

Network Access Control (NAC), za použití software klienta hlídá, zda na stanici je nainstalován poslední servisní balíček, zapnutý firewall, aktualizovaný antivirus a podobně. NAC software se postará o limitování přístupu neaktualizované stanice do lokální sítě ať již přepojením do karanténní virtuální sítě, nebo zablokováním příslušné stanice úplně. Ovšem v případě, že veškeré podmínky NAC software jsou splněny, ale i přes to se na stanici nachází škodlivý program, zůstává infikovaná a škodící stanice připojená v síti.

Možnosti realizace síťové karantény jsou v zásadě tři:

Karanténa realizovaná pouze IPS

První možnost využívá pouze kombinaci blokování provozu v IPS ve volitelné kombinaci s privátními virtuálními sítěmi. Předpokladem je nasazení IPS segmentu na výstup do internetu. Tento způsob nasazení karantény je velmi snadný a přitom neuvěřitelně účinný. Jakmile IPS detekuje šíření škodlivého kódu ze stanice, zabrání jeho šíření a zablokuje přístup stanice na internet. Ve chvíli, kdy si uživatel ze stanice, šířící škodlivý kód otevře webový prohlížeč na libovolný server na internetu, je mu namísto očekávaného obsahu předložena stránka s karanténními informacemi. Mimo to je samozřejmě notifikován administrátor sítě. Privátní virtuální sítě zamezí možnosti šíření škodlivého kódu mezi uživateli a tak je zdroj útoku izolován. Výhodou tohoto typu karanténního řešení je snadnost rychlost nasazení a velká flexibilita řešení. Nemusí se navíc jednat pouze o karanténu pro šíření škodlivého kódu, ale třeba i karanténu v případě provozování aplikací, které jsou v rozporu s firemní politikou. Představte si, že uživateli podnikové sítě, který si spustí P2P aplikaci nebo nepovolený typ messangeru se zobrazí v prohlížeči informace, že jeho porušení firemní politiky je logováno a přístup k internetu mu bude obnoven po 10 minutách od ukončení porušování firemních politik. Vše automaticky, bez zásahu administrátora.

Přeřazení infikované stanice do karanténní VLAN

Přeřazení infikované stanice do karanténní VLAN

Karanténa realizovaná IPS + NMS

Druhou možností je přizvání nástroje na správu sítě k součinnosti s IPS.    Zde také není třeba ověřování přístupu do sítě ani existence privátních virtuálních sítí. Stačí jen používat efektivní nástroj na správu sítě (Network Management Station – NMS), který dokáže korektně pracovat s TRAP notifikací z IPS systémů. Princip tohoto typu karantény spočívá právě ve schopnosti software na správu sítě určit pozici stanice, která šíří škodlivý kód v síti a provést manipulaci s příslušným portem stanice na přepínači. Celé to funguje překvapivě jednoduše. Stačí na NMS reagovat na přesně formátovanou TRAP notifikaci z IPS a provést korelaci z TRAPem dodané IP/MAC adresy na zdrojový port přepínače. Průběh karantény je poté následující: IPS systém detekuje šíření škodlivého kódu, posílá TRAP na NMS, NMS provede korelaci z IP/MAC adresy na přepínač/příslušné číslo portu, kde je stanice připojena a přes SNMP provede zablokování portu, případně zařazení portu do karanténní VLAN. Celá karanténní operace netrvá déle než 3 vteřiny. Z karantény lze stanici vyjmout manuálně, případně automaticky po vypršení stanovené doby, po kterou stanice škodlivý kód nešíří.

Karanténa realizovaná IPS + NetworkLogin

Třetí možnost využívá ověřování přístupu do sítě. Pokud používáte 802.1X Network Login nebo na RADA (RADIUS Authenticated Device Access), je k dispozici karanténní řešení založené na manipulaci s atributy RADIUS serveru. Celé je to založeno na schopnosti SMS (dohledová konzole pro IPS) pracovat jako RADIUS proxy. SMS naslouchá všem ověřovacím procesům a zná umístnění všech ověřených stanic na síti. Jakmile IPS detekuje narušení pravidel, informuje SMS, která provede karanténu čistým řezem. Na přepínač, kde je „útočník“ připojen pošle SNMP příkaz na vypnutí a zapnutí portu. To vyvolá nové ověřování stanice, které je za běžných okolností realizováno přes PROXY RADIUS integrovaný v SMS. Nicméně pro tento konkrétní případ SMS nezapracuje jako PROXY, ale jako běžný RADIUS server a v odpovědi, zda je stanice oprávněná přistupovat k síti, odešle Vámi nadefinovanou odpověď. Ta může být negativní nebo může stanici na síť pustit, ale jako atribut je zasláno modifikované členství portu tak, aby byl zařazen do karanténní virtuální sítě.

Průběh činností v automatické karanténě realizované IPS + NetworkLogin

Průběh činností v automatické karanténě realizované IPS + NetworkLogin
(klepnutím na obrázek jej zobrazíte v plném rozlišení)


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.