Zpět
Úvod do IDS/IPS
Vzhledem ke stále rostoucímu množství útoků na aplikace jak z vnějšku organizace (Internet), tak z jejích vnitřních sítí, implementace řešení schopného tyto útoky zastavit nabývá na významu.
Klasický firewall poskytuje ochranu před útoky na služby, které nejsou provozovány, příslušné porty jsou zavřeny.
Existují však služby z venku dostupné (jako např. web, pošta aj.). Útočník tak může využít chyby v aplikaci nebo samotném operačním systému serveru nabízejícího danou službu. Pro účinnou ochranu je v takovém případě nutné použít zařízení nebo aplikaci, která je schopna monitorovat provoz za otevřenými porty firewallu (IDS Intrusion Detection System), nebo lépe, která je kromě vlastního monitoringu schopna sama aktivně na případný útok reagovat (IPS Intrusion Prevention System).
Pomocí systémů detekce a prevence narušení lze vytvořit druhou obrannou linii za firewally určenou k ochraně aplikací komunikujících vně chráněné sítě.
IDS sleduje datové toky a hledá v nich pokusy o útok na konkrétní aplikace. Jedná se o pasivní zařízení, pouze sleduje, nezasahuje do provozu sítě. Prostřednictvím alertů a statistik poskytuje obsluze informace o útocích. IDS sonda se nejčastěji připojuje k HUBu nebo na zrcadlový port přepínače, či pomocí síťového tapu.
K vlastní analýze paketů používá 2 základní technologie. Zařízení a aplikace renomovaných výrobců obě kombinují.
-
Signatury (unikátní sekvence znaků)
Technika spočívá v hledání určitých znakových sekvencí v datovém toku. Vzhledem ke generování vyššího množství falešných poplachů byla technika dále zdokonalena o detekci stavu. Vyhledává se nejen znaková sekvence, ale zároveň se zjišťuje, zda-li se tato sekvence nachází ve správné části datového toku. Pro správnou funkci této metody musí být zařízení vybaveno databází signatur jednotlivých útoků. Zařízení jsou schopna si tuto databázi sama automaticky průběžně doplňovat. -
Dekódování protokolů
Systém dekóduje jednotlivé protokoly a v takto dekódovaném provozu vyhledává obecné zranitelnosti jako je kupříkladu přetečení vyrovnávací paměti.
Ilustrační příklad využití jedné IPS a jedné IDS sondy znázorňuje následující schéma.
Pomocí IDS balanceru je možno agregovat více vstupů do jediného datového toku a ten poté předat jedné IDS sondě. Výhoda takové topologie spočívá především v možnosti ušetřit náklady spojené s nasazením více sond v prostředí, kde zátěž jednotlivých linek není na hranici propustnosti sondy. V případě, že použijeme dva výstupy a následně dvě sondy, lze využít výhod load balancingu a vysoké dostupnosti.
Existují řešení začleňující modul IDS do vlastního firewallu, jako například Checkpoint SmartDefense ve FireWallu-1, nebo modul Deep Packet Inspection ve firewallech společnosti Netscreen. U nasazení, kde je potřeba zvýšení úrovně zabezpečení , je nutné provozovat firewall a IDS/IPS odděleně. Zabrání se tak možnosti selhání jak firewallu, tak IDS v případě kompromitace jednoho systému.
Další možností kooperace firewallu a IDS je schopnost IDS, přimět firewall ke změně chování (politiky). Takto kooperují systémy podporující standard OPSEC. Funkcionalita tohoto řešení však plně nenahrazuje systém prevence narušení, protože IPS je schopen spojení zastavit ještě před jeho navázáním.
Je třeba zdůraznit, že plné využití vlastností systémů detekce a prevence narušení jde ruku v ruce s jejich vhodným začlením do síťového prostředí a správnou konfigurací.
slovník pojmů z oblasti IDS/IPS II.část
Statistiky bezpečnostních incidentů (CERT)
Analýza návratnosti investice na pořízení IDS I.část
Analýza návratnosti investice na pořízení IDS II.část
Příklady začlenění IDS/IPS sond do síťové infrastruktury 1, 2, 3, 4, 5, 6.
-majkl-
