Systémy prevence průniků (1) – jen detekovat nestačí

Filip Weber Tutoriály 5. listopadu 2007

Donedávna se mělo za to, že firewally a systémy detekce průniků (Intrusion detection systems – IDS) dostatečně chrání síť před kompromitováním viry, červy, spywarem atd. Proč to neplatí a jak revolučně mění přístup systémy prevence průniků (Intrusion Prevention Systems - IPS) vám ukáže tento článek.

Dnes je velmi snadné dokázat, že firewally a to ani ty lepší (s integrovanou aplikační proxy) dostatečně neanalyzují data protokolů na aplikační vrstvě z hlediska známek útoků. Celkem nedávno jsem na setkání Windows User Group ukazoval, jak je snadné „hacknout“ WinXP stanici, která je za hardwarovým stavovým firewallem s překladem adres. Ta stanice měla navíc skoro kompletní aktualizace a zapnutý svůj firewall integrovaný v operačním systému. Stačí jen emailem nebo přes ICQ poslat relativně důvěryhodný link, na který důvěřivý „běžný Franta uživatel“ klikne a je Váš. Tedy spíše hackera, nebo jím distribuovaného robota. Ani jeden z firewallů totiž nebrání otevření spojení z vnitřní a bezpečné stanice do internetu a přijetí kompromitujícího kódu po tomto spojení zpět.

S IDS je to trošku jinak, ale ve finále to dopadne stejně. IDS analýzu sice provádějí a mohou zaznamenat i přenos kompromitujícího kódu, ale nepodnikají žádné kroky k zastavení zjištěného útoku, jen příznak logují. A kdo z nás čte pravidelně logy? Asi tolik, kolik čte manuály před instalací, že…

Tradičním doplňkovým řešením k firewallům a IDS bývá kontinuální záplatování serverů a pracovních stanic, což je časově náročný proces. Toto záplatování však přináší i další neplacenou práci, kterou si vyžádá testování vlivu každé záplaty na kritické systémy pokud možno ještě před vlastním nasazením záplaty. Příkladů z praxe, kdy nasazení neotestované záplaty či update aplikace, které spolu na první pohled nesouvisejí, způsobilo nefunkčnost kritického systému jistě znáte sami dost. Pro ilustraci například nedávno uvedený „.NET 3 Framework“ si na neanglických Windows šeredně pohraje s ovladači některých tiskáren a neveselému uživateli se tiskne celá tisková úloha na jeden list. Přijde mi, že operační systémy i různé aplikace dnes nadmíru kontaktují každého uživatele a přesvědčují ho k instalaci záplaty. Ve všech případech zabírá proces záplatování čas a tím vzniká příležitost pro zneužití zranitelností u nechráněných hostů. Je možná načase rozhodnout se pro nové bezpečnostní řešení.

Instantní síťová prevence a rychlá a hlavně snadno nasaditelná karanténa!

Systémy prevence průniků (Intrusion Prevention Systems - IPS) zaplňují mezeru na trhu a revolučně mění přístup administrátorů k obraně sítě. IPS pracuje na cestě v síti a blokuje závadný provoz. Systém analyzuje aktivní spojení a zachycuje útoky při jejich průchodu, takže závadný útočný provoz nikdy nedosáhne svého cíle. Zařízení obvykle nemají MAC adresu ani IP adresu a jsou přitom "nárazníkem na síti" pro nekorektní provoz. Legitimnímu provozu nebrání v průchodu systémem při plné rychlosti sítě a měli by mít latenci v řádu desítek mikrosekund.

Jak vypadá optimální IPS?

Optimální IPS by v sobě měli mít automaticky nastaveny tisíce filtrů pro blokování nekorektní komunikace v tom, čemu se říká "doporučená" konfigurace. Tyto filtry rozpoznají provoz, který je pokládán za škodlivý kdykoliv, za jakýchkoliv podmínek a v jakémkoliv prostředí. V optimálním případě administrátor tento systém pouze zapne, nakonfiguruje uživatelské jméno a heslo pro administrativní rozhraní a připojí datové kabely. Od tohoto okamžiku by měl být systém plně funkční, blokovat útoky a chránit zranitelné systémy před kompromitováním. Žádné „Walk before Run“, či jinak nazývané používání v IDS režimu před přepnutím do IPS režimu, které je spojené s náročným hledáním false positiv. Před uvedením rozumného IPS do plnohodnotného provozu by nemělo být třeba žádné konfigurace, korelace, integrace nebo ladění čehokoliv. Pokud je to možné, měl by IPS systém poskytovat i karanténní činnost. Pod karanténní činností myslím schopnost nejen zablokovat šíření škodlivého kódu, ale i aktivně pracovat se stanicí, která šíření tohoto kódu realizuje. Například vhodnou formou informovat uživatele lokální sítě, jehož stanice je nakažena, zablokovat port příslušné stanice na přepínači, přepnout port přepínače do karanténní virtuální sítě a také se postarat o doručení příslušných „léčebných“ procedur. To vše pokud možno bez zásahu administrátora, automaticky. Dále by měl mít optimální IPS efektivní systém aktualizace svých filtrů, které by se měli okamžitě, tím myslím zase bez ladění, nasazovat do činnosti.

No a v neposlední řadě by měl být systém certifikovaný, že opravdu provádí to, co se od něho očekává. Papír obchodníka, který Vám IPS prodává, totiž snese všechno. Základní certifikační autoritou je v případě IPS stejně jako firewallů ICSA Labs. Dnes jsou na stránkách ICSA Labs uvedeny čtyři výrobci s certifikovanými IPS.

Tabulka ICSA Labs certifikovaných výrobců IPS systémů k 18.březnu 2007:

Výrobce

Dosažený výkon

Průměrné zpoždění

3Com (TippingPoint)

3000 Mbit/s

81 mikrosekund

IBM (ISS)

350 Mbit/s

398 mikrosekund

Fortinet

75 Mbit/s

305 mikrosekund

BroadWeb

100 Mbit/s

441 mikrosekund

Vícesegmentový IPS 3Com TippingPoint  5000E

Vícesegmentový IPS 3Com TippingPoint 5000E

Nyní něco blíže k filtrům psaným pro IPS

Tvůrce IPS filtrů navrhuje filtry tak, aby neměly falešná pozitiva, nezhoršovaly výkon a byly odolnější vůči útočníkům, kteří se speciálně zaměřují na vyhnutí se detekci. Tento úkol přinesl velkou změnu ve filozofii přístupu, která byla tradičně přijímána v oblasti IDS. Navíc tento úkol vyžaduje nebývalý výkon a flexibilitu u prevenčního zařízení i filtrovacího jazyka.

Nejprve je nutno definovat některé pojmy. Slovo signatura se používá pro popis logiky detekcí; to znamená shromažďování testovacích kritérií používaných k oddělení útočného provozu od normálního. Obecně je signatura spíše abstraktní pojem, který popisuje klasifikační algoritmus, ale nic neříká o způsobu, jakým bude reagováno na kladnou identifikaci útoku. Protože IDS pouze identifikují útoky, ale nijak na ně nereagují, používá se slovo signatura pouze v souvislosti s IDS.

Na druhou stranu slovo filtr se používá v souvislosti s logikou detekce v kombinaci s předpokládanou blokovací akcí. Filtry obsahují „pruning“, neboli odstraňování něčeho z toku provozu. Výraz filtrování se obecně používá v souvislosti s firewally, protože firewally aktivně odstraňují vybrané typy paketů z celkového toku. Nicméně "inteligence" stojící za filtrováním firewally je tradičně základní, založená z větší části na číslech portů a typech protokolů. Proto nemá příliš smysl diskutovat o "logice detekce" nebo "signaturách", které používá určitý filtr firewallu.

Vstup systémů prevence průniků na scénu promíchal vody terminologie a způsobil mnoho zmatku každému, kdo se zabývá bezpečností sítí. Ani jeden z existujících termínů – signatura a filtr – nepopisuje adekvátně schopnosti IPS, pokud byly interpretovány jako tradiční výbava IDS nebo firewallu. IPS dokáže, s podobnou inteligencí jako systém detekce průniků, velmi přesně odlišit útočný provoz od neškodného. Testovací kritéria IPS používaná k detekci každého útoku si jistě zaslouží název "signatura" ve významu flexibility a výkonnosti klasifikace. Navíc IPS aktivně odděluje závadný provoz z toku paketů, čímž okamžitě činí použitelným slovo "filtr". Nicméně zákazníci jsou z toho v rozpacích. Slovo signatura použité v popisu IPS si nikdo v duchu nespojí s blokovací schopností zařízení. Na druhou stranu ze slova filtr mohou lidé odvodit, že "inteligence" tohoto zařízení se omezuje na jednoduchá pravidla používaná firewally. Navíc je zde ještě další faktor, který zhoršuje tento zmatek.

Během let své existence měly IDS produkty tolik závažných problémů s falešnou pozitivitou, že dospěly k bodu, kdy IDS a falešná pozitiva jsou považovány za dvě strany téže mince. Navíc, IDS jsou historicky neoddělitelně spjatá s terminologií signatur. Proto kdykoliv se slovo signatura použije v kontextu IPS, lidé okamžitě pomyslí na falešné detekce a hned se obávají blokování legitimního provozu. Ale nebojte se, naštěstí tomu tak u certifikovaných výrobců IPS není.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.