Náskok před hackery

V posledních době začínají výrobci bezpečnostních produktů v sousloví "detekce narušení" měnit slovo detekce za prevence, zkratka IDS se mění v IPS. Zda-li se jedná pouze o marketingový tah, nebo bezpečnostní pracovníci v poli skutečně ocení nové vlastnosti, se pokusím osvětlit v následujících odstavcích.

Systém detekce narušení, někdy též označovaný zkratkou IDS z anglického "intrusion detection system" slouží k odhalování pokusů o narušení integrity, utajení a dostupnosti dat v chráněné síti. Jedná se o pasivní systém, který pouze upozorňuje a sám nečiní aktivní protiopatření. Existují dva druhy těchto systémů a to síťové IDS a host-based IDS. Síťové detekují pokusy narušení na základě analýzy síťového provozu, host-based monitorují pouze jednotlivé počítače. Někdy se také používá místo výrazu systém detekce narušení výraz systém detekce průniku. Jak slovo narušení, tak průnik odpovídá anglickému originálu intrusion. Slovo průnik může vytvářet dojem, že pokus o narušení pochází zvnějšku. Nemusí tomu tak vždy být. Proto volím raději překlad "narušení" a pod pojmem systém detekce narušení rozumím systém detekující pokusy o narušení vedoucí jak z vnější, tak vnitřní sítě.

Systém prevence narušení (IPS) je detekční systém s vyspělými analytickými schopnostmi rozšířený o schopnost blokování podezřelého provozu. Blokovat se dá buď jednotlivé spojení, případně všechen provoz z uvedené zdrojové IP adresy. Některé klasické IDS systémy k takové blokaci spolupracují s firewallem. IPS v ideálním případě nahrazuje práci bezpečnostních specialistů spojenou s reakcí na odhalené pokusy o narušení. Nespornou výhodou je rychlost reakce. Ve srovnání s reakční dobou administrátora, je téměř okamžitá. Avšak tam kde IDS vyvolá poplach, který obsluha vyhodnotí jako planý, může automatická reakce IPS způsobit značné problémy: například odstřižení klientů od extranetu, nebo odříznutí top managera od Internetu. Proto jsou na analytické schopnosti IPS kladeny velmi vysoké nároky. Čím lepší tyto schopnosti IPS má, tím přesněji můžete vyladit schopnost detekce relevantních pokusů o narušení. To vám umožní přenechat vašemu pomocníkovi více odpovědnosti v činění aktivních opatření a spolehnout se na něj bez toho, aniž byste se museli obávat o průchodnost legálních operací. Systémy IDS/IPS mohou být realizovány jako samostatná zařízení (hw+sw) nebo jako softwarové produkty, někdy doplněny o vlastní verzi operačního systému.

Při detekci pokusů o narušení se používají postupy, které lze zařadit do jedné ze dvou následujících skupin.

1.Znalostní báze
Tento způsob odhalování pokusů o narušení využívá znalostí získaných při zkoumání již známých útoků a zranitelností. Provoz na monitorované síti je porovnáván s informacemi v bázi znalostí. Dění, které není v kontextu znalostní báze vyhodnoceno jako závadné je považováno za bezpečné. Tento způsob práce je velmi přesný, neumí však odhalit pokusy o narušení spojené s dosud neznámými zranitelnostmi nebo postupy jejich zneužití. Přesností se rozumí jednak schopnost nevyvolávat velké množství planých poplachů, jednak při vyvolání poplachu IDS dodá informaci o jaký pokus o narušení se jedná, případně jakou zranitelnost napadá. Nejjednodušším příkladem postupu využívajícího znalostní báze je tzv. "network grep", kdy systém hledá v jednotlivých paketech výskyt řetězců obsažených v bázi znalostí. Klíčem k efektivnímu fungování tohoto způsobu detekce narušení je pravidelná a častá aktualizace znalostní báze. Ta je dána jednak konfigurací a jednak schopností výrobce včas reagovat na nové druhy narušení. Někdy však i jen několikahodinová prodleva mezi oznámením zranitelnosti a doplněním znalostní báze výrobcem může být dlouhá. V tomto ohledu je včasně informovaný bezpečnostní pracovník nenahraditelný. Pokud je informace o zranitelnosti po jejím objevení oznámena výrobci, případně následně veřejnosti, je to ten lepší případ. Je-li však zranitelnost ještě před jejím zveřejněním zneužívána, nezbývá než se spolehnout na druhý způsob detekce narušení a na kvality bezpečnostních pracovníků vykonávajících dohled, popřípadě schopných definovat provizorní signatury a pravidla, než zareaguje výrobce.

2.Odchylky v chování
Postupy založené na analýze chování předpokládají, že je možné zjistit pokus o narušení pomocí odhalení anomálií v síťovém provozu. Výhodou je schopnost upozornit na pokusy o narušení zaměřené na dosud neznámé zranitelnosti nebo využívající zatím nezveřejněné postupy jejich zneužití. Slabinou tohoto přístupu je jeho přesnost. Oproti prvnímu přístupu generuje velké množství planých poplachů. Při poplachu chybí informace o jaký útok se jedná, jakou zranitelnost napadá. Správné vyhodnocení výstupů závisí na schopnostech a zkušenostech obsluhy. Postupy analýzy chování jsou založeny na metodách "umělé inteligence" a statistické analýzy.

Použití druhého přístupu ukáži na IDS Snort rozšířeném o modul Spade (Statistical Packet Anomaly Detection Engine). Oba produkty jsou šířeny pod licencí GPL. Plug-in Spade lze použít spolu se Snortem starší verze 1.9. Alert generovaný Spadem může vypadat například takto:

[**] [104:1:1] spp_anomsensor: Anomaly threshold exceeded: 10.5464 [**] 08/22-22:22:46.577210 24.41.81.216:2065 -> VICTIM.HOST:27374 TCP TTL:108 TOS:0x0 ID:10314 IpLen:20 DgmLen:48 DF ******S* Seq: 0x63B97FE2 Ack: 0x0 Win: 0x4000 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK

Z uvedeného alertu není zřejmé o jaký útok se jedná a na jakou zranitelnost útočí, ale je zde uveden údaj "anomaly score" ve výši 10.5464. Spade si jednotlivé typy událostí ohodnotí relativní hodnotou "obvyklosti" provozu. Vybočí-li skóre výrazně z dříve naměřených hodnot upozorní modul obsluhu, nebo provede jinou akci dle konfigurace. Prahy abnormality si pro jednotlivé typy událostí můžete volit sami, nebo nechat na Spadu nechť si je stanoví sám.

Dobré detekční schopnosti
K tomuto kritériu není co dodat, čím více útoků je systém schopen detekovat, čím je přesnější a generuje menší množství planých poplachů, tím lépe.

Znalostní báze
Systém by měl být schopen automaticky doplňovat svoji znalostní bázi. Ve většině případů postačuje aktualizace jednou za hodinu. Důležitý je samozřejmě obsah báze a podstatným faktorem je též reakční doba výrobce na nové incidenty. Doba mezi zveřejněním nového útoku a jeho zařazením do znalostní báze se u renomovaných firem pohybuje v řádu hodin. Důležitou vlastností je i možnost vkládání vlastních pravidel a signatur. Můžete si tak zadávat například vlastní pravidla pro rozpoznávání scanů. Systém by měl také umožňovat nastavení parametrů počítačů v síti. Nemusíte chtít být informováni o útoku na operační systém HP-UX, pokud jsou na daném počítači nainstalovány Windows 2000. Nastavení může být jak manuální, tak automatické. Vyspělé systémy dovedou například automaticky rozpoznat i úroveň opatchování MS Windows serverů.

Řídící systém (management)
Samozřejmostí je správa více sond, grafické rozhraní s možností porovnávání výstupů z jednotlivých sond a možnost implementace řídícího systému v clusteru z důvodu zajištění jeho vysoké dostupnosti. V rozsáhlejších sítích se vyplatí API či jiné možnosti jak předávat události ke zpracování jiným systémům, které umožňují korelaci výstupů z více zdrojů (firewally, IDS, host-based IDS, routery, logy operačních systémů ?) a to jak v reálném čase, tak ex post. Tato data mohou být také navázána na systém pro síťový dohled.

Certifikace, testy
Jelikož lze jen těžko bez příslušného vybavení posuzovat například kvality schopnosti detekce, mohou pomoci výsledky testů výrobce, či lépe certifikace nezávislými institucemi.

Bezpečnost vlastní platformy IDS/IPS sond
Platforma, na které je provozována sonda by měla být sama o sobě co nejméně náchylná ke kompromitaci. Za nejspolehlivější řešení IDS/IPS sondy z hlediska bezpečnosti platformy se obecně dá považovat samostatné zařízení, tzn. výrobcem dodaný kompletní (hw+sw) systém dedikovaný pouze k činnostem spojeným s detekcí/prevencí narušení. Při umístění IDS/IPS do kombinovaného zařízení (firewall, IDS, antivir...) může při kompromitaci jediného zařízení dojít k záměrnému narušení správné činnosti více systémů, proto toto řešení nelze doporučit v prostředích s vysokou potřebou bezpečnosti.

Spolehlivost sond
Tuto vlastnost oceníte až při vlastním provozu. V praxi se ukazuje, že i stejná zařízení pouze jinak opatchovaná se z hlediska spolehlivosti chovají odlišně. Jelikož dlouhodobá spolehlivost se nedá dost dobře otestovat jednorázově (např. poruchy hw) a jak ukazují zkušenosti z provozu může se časem měnit, je dobré se před případným rozhodnutím o koupi seznámit se zkušenostmi jiných uživatelů.

Vysoká dostupnost IPS sond
Aby IPS zařízení mohla aktivně a účinně bránit útokům jsou umísťovány tzv. inline, tedy mezi dva konce datové linky. Tím se liší od IDS sond, které se připojují na zrcadlené porty přepínačů, do hubů, případně přes rozbočení realizované síťovým tapem. Pokud se tedy zařízení se sondou systému prevence narušení stane například vlivem poruchy neprůchodné, je datový tok přerušen. Proto se IPS sondy realizují v clusterovém zapojení, či se připojují přes speciální tap určený pro IPS, který je vybaven bypassem. Některá IPS zařízení mají vlastní bypass. Tento bypass zajišťuje, že se datový tok nepřeruší ani při havárii IPS.

Zkušenosti s provozem a správou IDS/IPS zařízení v rozsáhlých nasazeních ukazují, že hlavní výhodou IPS oproti IDS je schopnost okamžité reakce na zjevný pokus o útok, či jiný druh nepřípustného jednání. Vždy je však nutné aby o incidentu byla informována obsluha, která rozhodne zda-li přijmout další opatření nebo opatření přijatá IPS revidovat. Příkladem může být pokus o DoS útok z IP adresy XYZ, proti kterému IPS zareaguje zákazem provozu z dané IP adresy. Zdrojová IP adresa však může být podvržená, nebo může jít o bránu za níž jsou tisíce uživatelů. Pak nastupují opatření obsluhy a případný další aktivní dohled. Rozhodování o investicích do IDS/IPS technologií a způsobu jejich nasazení by mělo vždy vycházet, ostatně jako veškeré investiční kroky v oblasti bezpečnosti IT, z provedené analýzy rizik a následně vypracované bezpečnostní politiky organizace. Pod pojmem IPS si nelze představit pár chytrých krabiček, které jednou nainstalujete a ony automaticky spasí svět. V první fázi po instalaci je třeba věnovat několik týdnů ladění detekčního nastavení sond. Ve vlastním provozu je vhodné kontrolovat jejich činnost a udržovat sondy v aktuálním stavu. Toho lze dosáhnout například použitím systému pro síťový a aplikační dohled, který je schopen monitorovat různé parametry sondy. Navíc je třeba sledovat informace výrobce o bezpečnostních opravách pro daný typ nasazeného zařízení.