Systémy prevence průniku (3) – režim karantény

Filip Weber Tutoriály 12. listopadu 2007

Nyní již víte, jak pracuje IPS systém na detekci a zastavení útoku. To však není vše, co je třeba od IPS očekávat. Můžete se totiž spolehnout, že dříve nebo později se objeví „útočník“ i na vnitřní síti. Třeba notebook se síťovým červem, chyceným v hotelové bezdrátové síti.

V tomto případě již nestačí jen zablokovat na IPS šíření škodlivého kódu, ale také provést karanténu stanice. Dnes v této oblasti není zcela jednotný přístup. Na jedné straně je silně marketingově propagován Network Access Control (NAC), který za použití software klienta hlídá zda na stanici je nainstalován poslední servisní balíček, zapnutý firewall, aktualizovaný antivirus a podobně. NAC software se postará o limitování přístupu neaktualizované stanice do lokální sítě ať již přepojením do karanténní virtuální sítě, nebo zablokováním příslušné stanice úplně. Ovšem v případě, že veškeré podmínky NAC software jsou splněny, ale i přes to se na stanici nachází škodlivý program, je tento přístup marný.

Řešení firmy 3Com

Dále již budu hovořit o přínosu firmy 3Com k této problematice. Firma 3Com karanténní činnost neváže na existenci NAC software, který musíte mít nainstalovaný na všech stanicích sítě (což znamená další koupený, licencovaný a spravovaný kus software na klientech). Řešení je založeno na inteligenci IPS a její schopnosti identifikovat „nakaženou“ stanici v L2/L3 síti a provést karanténu nezávisle. K dispozici jsou tři možnosti nasazení.

První možnost využívá pouze kombinaci blokování provozu v IPS ve volitelné kombinaci s privátními virtuálními sítěmi. Předpokladem je nasazení IPS segmentu mezi stoh přepínačů serverové farmy a centrální přepínače sítě. Tento způsob nasazení karantény je velmi snadný a přitom neuvěřitelně účinný. Jakmile IPS detekuje šíření škodlivého kódu ze stanice, zabrání jeho šíření a zablokuje přístup stanice na internet. Ve chvíli, kdy si uživatel ze stanice, šířící škodlivý kód otevře webový prohlížeč na libovolný server na intranetu nebo internetu, je mu namísto očekávaného obsahu předložena stránka s karanténními informacemi. Mimo to je samozřejmě notifikován administrátor sítě. Privátní virtuální sítě zamezí možnosti šíření škodlivého kódu mezi uživateli a tak je zdroj útoku izolován. Výhodou tohoto typu 3Com karanténního řešení je snadnost rychlost nasazení a velká flexibilita řešení. Nemusí se navíc jednat pouze o karanténu pro šíření škodlivého kódu, ale třeba i karanténu v případě provozování aplikací, které jsou v rozporu s firemní politikou. Představte si, že uživateli podnikové sítě, který si spustí P2P aplikaci nebo nepovolený typ messangeru se zobrazí v prohlížeči informace, že jeho porušení firemní politiky je logováno a přístup k internetu mu bude obnoven po 10 minutách od ukončení porušování firemních politik. Vše automaticky, bez zásahu administrátora. Jak říkám: „Čistá práce“.

Druhou možností je přizvání nástroje na správu sítě k součinnosti s IPS . Zde také není třeba ověřování přístupu do sítě ani existence privátních virtuálních sítí. Stačí jen používat efektivní nástroj na správu sítě (Network Management Station – NMS), který dokáže korektně pracovat s TRAP notifikací z IPS systémů. Princip tohoto typu karantény spočívá právě ve schopnosti software na správu sítě určit pozici stanice která šíří škodlivý kód v síti a provést manipulaci s příslušným portem stanice na přepínači. Celé to funguje taktéž překvapivě jednoduše. Stačí na NMS reagovat na přesně formátovanou TRAP notifikaci z IPS a provést korelaci z TRAPem dodané IP/MAC adresy na zdrojový port přepínače. V 3Com nástrojích na správu sítě jsou tyto nástroje běžnou součástí, tudíž není třeba nic dolaďovat, stačí pouze karanténní činnost povolit. Průběh karantény je poté následující: IPS systém detekuje šíření škodlivého kódu, posílá TRAP na NMS, NMS provede korelaci z IP/MAC adresy na přepínač/příslušné číslo portu, kde je stanice připojena a přes SNMP provede zablokování portu, případně zařazení portu do karanténní VLAN. Celá karanténní operace netrvá déle než 3 vteřiny. Z karantény lze stanici vyjmout manuálně, případně automaticky po vypršení vámi stanovené doby, po kterou stanice škodlivý kód nešíří.

Informace v 3Com Network Directoru o provedení automatické karantény

Informace v 3Com Network Directoru o provedení automatické karantény

Třetí možnost je již za využití ověřování přístupu do sítě. Pokud používáte 802.1X Network Login nebo na RADA (RADIUS Authenticated Device Access), je k dispozici karanténní řešení založené na manipulaci s atributy RADIUS serveru. Celé je to založeno na schopnosti 3Com TippingPoint SMS (dohledová konzole pro IPS) pracovat jako RADIUS proxy. SMS naslouchá všem ověřovacím procesům a zná umístnění všech ověřených stanic na síti. Jakmile IPS detekuje narušení pravidel, informuje SMS, která provede karanténu čistým řezem. Na přepínač, kde je „útočník“ připojen pošle SNMP příkaz na vypnutí a zapnutí portu. To vyvolá nové ověřování stanice, které je za běžných okolností realizováno přes PROXY RADIUS integrovaný v SMS. Nicméně pro tento konkrétní případ SMS nezapracuje jako PROXY, ale jako běžný RADIUS server a v odpovědi zda je stanice oprávněná přistupovat k síti odešle Vámi nadefinovanou odpověď. Ta může být buď negativní nebo může stanici na síť pustit, ale jako atribut je zasláno modifikované členství portu tak, aby byl zařazen do karanténní virtuální sítě.

Závěr

Výkonný systém prevence průniků může fungovat jako virtuální softwarová záplata a chránit tak zranitelné počítače před kompromitováním v síti, kde nemusely výt aplikovány host-by-host záplaty, nebo i záplatovaný systém není zcela odolný vůči průniku škodlivého kódu. Schopnost virtuálního záplatování na IPS vychází přímo ze schopnosti identifikovat a blokovat přenos závadného provozu před tím, než útok dosáhne svého cíle. Technologie, která umožňuje toto virtuální záplatování, spočívá ve vysoce přesných filtrech zranitelností. Tyto filtry jsou navrhované profesionály tak, aby zajistily optimální pokrytí prostoru pro útoky a maximální odolnost proti obcházení. Tím je zajištěno vyřazení škodlivého provozu ze sítě. Dále je třeba zajistit, aby škodlivý kód nezasáhl další účastníky provozu. To lze realizovat prostřednictvím nasazení karantény. Většina výrobců IPS dnes karanténu nabízí, rozdíl je však ve složitosti nasazení. Poslední rada na závěr. Pokud se rozhodnete nasadit IPS, což vřele doporučuji, nespoléhejte se jen na papír obchodníka. Vybraná zařízení si před nákupem pečlivě otestujte a zvažte, zda pro vás opravdu budu přínosem nebo spíš zátěži. V jednoduchosti je síla. Mnoho zdaru.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.