| Název: | Zvažujete nasazení systému detekce průniků? |
| Autor: | Renata Lasková |
| Publikováno: | DSM 1/2004 |
Úvod
Rozvoj informačních technologií přináší stále větší množství dat, a to především kritických podnikových dat, která jsou uložena v elektronické podobě na serverech ve vnitřních sítích zákazníků. V souvislosti s rozvojem Internetu se mění také způsob prezentace podniků prostřednictvím webových stránek, obchodování formou elektronického obchodu, spolupráce s dodavateli a partnerskými společnostmi prostřednictvím extranetů apod. Nežádoucím efektem všech výše uvedených aktivit je rostoucí ohrožení podnikových dat, způsobené jejich odcizením nebo zneužitím. Tyto hrozby navíc nepřicházejí pouze zvenčí, ale rovněž ze strany vlastních uživatelů, připojených ve vnitřní síti podniku. Počet zranitelností v posledních letech neustále výrazně roste, a to při klesající úrovni potřebných znalostí. Z celkového počtu 297 318 incidentů evidovaných v letech 1988 - 2003 společností CERT Coordination Center jich plných 114 855 představují incidenty hlášené v 1. - 3. kvartále roku 2003.
Ohrožené společnosti se brání a proti vnějšímu nepříteli dnes již běžně nasazují firewally, které mají odrazit útoky na jejich sítě a data. Firewall definuje a prosazuje vstupní a výstupní pravidla pro celou síť. Hlavním úkolem firewallu je zadržet nechtěný provoz, definovaný zpravidla na základě IP adresy nebo protokolu. Firewall však může některé útoky propustit, ať už z důvodu nedostatečné konfigurace či chyby firewallu nebo v případech útoků vedených na vyšší, typicky aplikační vrstvě. Takový průnik pak není firewallem zaznamenán a organizace nemůže na útok reagovat. Podnik tak, aniž by cokoli tušil, může v krátké době přijít o cenná data, může být vystaven zlomyslnému útoku na informační systém, jeho prostředky mohou být zneužity k dalšímu útoku apod. Rovněž ohrožení vnitřním nepřítelem v podobě vlastních zaměstnanců zůstává v takovém případě nepokryto.
Z těchto důvodů se pro ochranu sítí a podnikových dat nasazují - ve druhé obranné linii - systémy pro detekci průniků (IDS, Intrusion Detection System). Základní funkcí takového systému je detekce rušivých aktivit v síti a systémech. Kromě vlastní detekce útoků poskytuje IDS také různé možnosti odezvy. Primární (minimální) odezvou na útok je alarm, který informuje zainteresované osoby o nežádoucí aktivitě v síti.
Systémy IDS nabízí reaktivní ochranu sítě. Řešení lze dále posílit nasazením systémů proaktivního vyhodnocování zranitelnosti. Jedná se o skenery, které vyhodnocují zranitelnosti sítě, operačních systémů, databází, firewallů atd. a poskytují kvalifikovaná doporučení pro jejich odstranění. Senzory a skenery některých výrobců jsou schopny vzájemně spolupracovat a zajistit tak ještě lepší ochranu vaší sítě.
Rozsah a způsob nasazení IDS vychází z bezpečnostní politiky, definované zpravidla na úrovni vedení podniku, která popisuje bezpečnostní rizika, stanovuje požadavky na bezpečnost a pravidla pro bezpečné fungování procesů ve společnosti.
V současné době jsme svědky zvýšeného zájmu o řešení bezpečnosti, která se projevuje mj. také zájmem o řešení systému detekce průniků. Cílem tohoto článku je upozornit na některé aspekty výběru vhodné technologie a implementace IDS. Autor vychází především ze znalosti produktů výrobců Cisco Systems a Internet Security Systems, což se částečně promítá jak do použité terminologie, tak do popisu celkových možností řešení IDS.
Způsob identifikace útoků
Základní mechanismy pro detekování nežádoucího provozu jsou dva - detekce anomálií založená na profilu a detekce útoků založená na signaturách. Z těch potom vychází řada detekčních mechanismů, implementovaných různými výrobci. Na obrázku 1 je znázorněn základní funkční model IDS.
Obrázek 1: Základní funkční model IDS
Detekce anomálií založená na profilu
IDS systémy s podporou detekce anomálií jsou založeny na profilu, který definuje normální (typické) chování v síti. IDS potom monitoruje provoz na síti, detekuje odchylky od typického chování sítě, generuje alarm a případně přistupuje k dalším definovaným obranným krokům. Výhodou tohoto mechanismu je schopnost detekovat nové, doposud neznámé a tudíž nepopsané útoky.
Vytváření profilů je poměrně složitá procedura, která zpravidla vyžaduje dlouhodobé sledování a podrobnou znalost provozu na síti. IDS reaguje na libovolné - tedy i legální - změny v nastavení sítě. Z tohoto důvodu je někdy obtížné rozlišit skutečný útok od falešného. Také mohou nastat situace, kdy útok není detekován vůbec, protože se neodlišuje od normálního chování sítě. Z výše uvedeného vyplývá, že obsluha daného systému není triviální a vyžaduje kvalifikovaného pracovníka s dobrou znalostí principů síťové komunikace. Na zvážení je zaškolení vlastních expertů nebo pořízení služby poskytované dodavatelem řešení.
Detekce útoku založená na signaturách
Signatury jsou pravidla nebo posloupnosti dat, které vyjadřují typické aktivity útočníka. Jedná se vlastně o obdobu technologie známé z řešení antivirové ochrany. IDS monitoruje provoz na síti, vyhledává takové signatury a při jejich detekci generuje alarm a případně přistupuje k dalším definovaným obranným krokům.
Podmínkou řádného fungování takového systému je správné a úplné definování signatur, které jsou vytvářeny na základě nových poznatků o útocích. Signatury jsou zpravidla stahovány automaticky a ukládány do databáze signatur. Při výběru dodavatele řešení IDS může být zajímavá informace o frekvenci a způsobu poskytování nových signatur útoků. U většiny produktů lze rovněž dodefinovat vlastní uživatelské signatury.
Detekce útoků založená na signaturách nevyžaduje počáteční sledování provozu na síti a může být spuštěna okamžitě po nainstalování systému. V porovnání s detekcí založenou na profilech je tento mechanismus jednodušší a poskytuje lepší možnost definování bezpečnostní politiky IDS systému.
Porovnání signatury se sledovaným provozem vyžaduje poměrně intenzivní ukládání informací do paměti. Při zvyšujícím se počtu signatur v databázi rostou i nároky na paměť systému. Správné dimenzování paměťové kapacity je nutné také z důvodu ochrany před útoky Denial of Service, které záměrně přeplňují paměť systému.
Možnosti ochrany
Jak již bylo řečeno v úvodu, primární odezvou na identifikovaný útok je alarm, generovaný na GUI management stanice. Informace o probíhajícím útoku je zpravidla zaznamenána pro pozdější vyhodnocení, a to formou zápisu do logovací databáze. Administrátor může být dále informován zasláním e-mailu, SMS nebo prostřednictvím SNMP trapu.
Všechny výše uvedené aktivity jsou pouze pasivní, nesnaží se zabránit probíhajícímu útoku a mají pouze informativní charakter. V oblasti aktivní ochrany dnes IDS zpravidla nabízí funkce TCP Reset a IP Blocking - tato zařízení jsou obecně známa pod názvem aktivní IDS.
TCP Reset
Pokud je detekován útok do sítě přes TCP spojení, je toto spojení resetováno vysláním TCP Reset paketu.
IP Blocking
Funkcionalita známá rovněž pod názvem shunning. Při detekci útoku senzor aplikuje access-control list na hraničním směrovači, přepínači nebo firewallu tak, aby zabránil vstupu dat z dané zdrojové IP adresy, ze které byl útok spuštěn.
V případě nasazení mechanismu IP Blocking hrozí nebezpečí, že útočník se tváří tak, jako by přistupoval do sítě ze zdrojové adresy, která je adresou vnitřní sítě (IP Spoofing). Pokud by došlo k blokování takové IP adresy, potom lze hovořit o úspěšné formě útoku Denial of Service (DoS). Popsané nebezpečí lze eliminovat řádnou konfigurací firewallu a nasazením filtrování podle RFC 2827.
Řešení systému detekce průniků
Existují dva typy řešení systému detekce průniků - síťové senzory (NIDS, Network-based IDS) a host senzory (HIDS, Host-based IDS). V praxi lze doporučit nasazení kombinace síťových a host senzorů, protože nabízejí komplementární ochranu.
Síťové senzory
Řešení NIDS typicky představuje jednoúčelové hardwarové zařízení nebo software instalovaný na vyhrazeném počítači. Existují rovněž řešení ve formě rozšiřujících modulů do přepínačů nebo směrovačů. Funkcionalita IDS může být také součástí operačních systémů směrovačů, firewallů apod.
NIDS jsou vybaveny zpravidla dvěma síťovými rozhraními - "neviditelným" monitorovacím rozhraním s podporou promiskuitního módu a management rozhraním pro komunikaci s management stanicí. Monitorovacím rozhraním je senzor připojen k portu přepínače s podporou funkcionality Switched Port Analyzer (SPAN), na který je kopírován veškerý provoz v rámci daného zařízení. Pole působnosti síťového senzoru lze dále rozšířit využitím funkce Remote SPAN (RSPAN), která umožňuje monitorovat provoz z dalších přepínačů v síti. Porovnáním paketů se signaturami nebo pomocí detekce anomálií potom senzor detekuje útoky.
Nasazení NIDS je vhodné pro včasnou detekci a varování před útokem. Monitorováním provozu v reálném čase lze eliminovat útok dříve, než způsobí škodu.
NIDS z principu nedokáže detekovat útoky v šifrovaném provozu. Rovněž nedokáže poskytnout informaci o tom, zda byl útok na cílový systém úspěšný. To je důležité, protože NIDS je provoz neblokující zařízení, část nežádoucího provozu se tudíž může dostat úspěšně až ke svému cíli (single packet attack).
Hlavním kritériem při implementaci těchto systémů je šířka pásma sledovaných linek či segmentů, která v současné době dosahuje řádově Gbps. Při překročení přenosové rychlosti monitorovacího rozhraní IDS systému dochází k volnému průchodu nežádoucího provozu. Zařízení s vyšší přenosovou rychlostí jsou logicky dražší, kapacita současných IDS systémů dosahuje 100 Mbps až 1 Gbps.
Host senzory
Software instalovaný na serverech, který odhaluje útoky na úrovni operačního systému a umožňuje ochranu proti specifickým útokům. Poskytuje vyhodnocení úspěšnosti útoku včetně například uživatelského jména, pod kterým byl veden útok, jména kompromitovaného souboru apod.
HIDS senzory rovněž chrání před útoky vnitřních validních uživatelů. Jako příklady takových útoků lze uvést pokusy o prolomení hesla, pokusy o začlenění účtu do administrátorské skupiny, pokusy o otevření souboru bez příslušného oprávnění apod. Jako další příklad ochrany proti možnému napadení lze uvést neoprávněný přístup z konzole počítače.
HIDS chrání pouze koncové počítače a neposkytují ochranu pro celou síť. Rovněž nepodporují všechny operační systémy a tudíž nemohou poskytovat komplexní ochranu heterogenní sítě. Šíře podpory různých platforem operačních systémů může být jedním z kritérií pro výběr řešení HIDS.
Systém prevence průniků
Někteří výrobci IDS dnes ve svých řešeních upozorňují na funkcionalitu prevence průniků (IPS, Intrusion Prevention System). Jedná se opět o řešení typu síťových nebo host senzorů.
Rozdílem proti klasickému řešení IDS je, že IPS nepropustí žádnou komunikaci (ani její část) dříve, než provede její úplnou kontrolu. Síťové IPS senzory jsou nasazovány jako in-line zařízení schopná okamžitě blokovat veškerý nežádoucí IP, ICMP, TCP a UDP provoz, čímž se dále výrazně snižuje pravděpodobnost úspěšného útoku. Klíčovým parametrem takového řešení je výkon, který nesmí omezit dostupnost služeb.
Řešení jednotné správy
Řešení jednotné správy je to, co již dnes především odlišuje nabídku jednotlivých výrobců. Právě kvalita řešení managementu v libovolné oblasti řešení IT bude stále více rozhodovat o úspěšnosti daného výrobce na trhu.
V případě nasazení kombinovaného řešení NIDS a HIDS je dobré (alespoň prozatím) vybírat produkty jednoho výrobce, a to právě z důvodu jednotné správy a možnosti korelace bezpečnostních událostí, detekovaných jednotlivými IDS. V této souvislosti je však vhodné poznamenat, že se na trhu objevují "zastřešující" řešení pro sběr a analýzu bezpečnostních událostí z IDS, firewalů, operačních systémů, aplikací a antivirové ochrany různých výrobců. Tato komplexní řešení jsou určena především pro rozsáhlé enterprise instalace, čemuž zpravidla odpovídá také jejich cena. Někteří výrobci navíc poskytují vývojové nástroje pro začlenění produktů třetích stran.
Další možností, jak zjednodušit a zefektivnit obsluhu IDS, je funkcionalita pro vyhodnocování pravděpodobnosti úspěšnosti útoku a s tím související přiřazení odpovídající priority danému útoku. Například Linuxový útok na Microsoft server lze z tohoto pohledu považovat za zanedbatelný.
Zvláštní pozornost je potřeba věnovat logovacím databázím. Nasbíraná data, která nezpracujeme a nevyhodnotíme, jsou k ničemu. Nedílnou součástí řešení IDS je tedy návrh systému pro vyhodnocování logů, například za pomoci specializovaných komerčních nástrojů. Data pro zpracování dlouhodobých trendů je navíc vhodné archivovat v separátní databázi.
Návrh a implementace řešení IDS
Pro efektivní ochranu pomocí IDS je důležité, na základě analýzy rizik a znalosti topologie sítě, definovat kritická místa, kde může docházet k nežádoucím průnikům a útokům na síť a systémy.
Potenciální riziko představují především veškeré vstupní body do vnitřní sítě, zejména přístup z Internetu, extranetu a vzdálených sítí. Ochranu vyžadují rovněž důležité aktivní prvky a bezpečnostní systémy, jejichž kompromitace výrazně zjednoduší následný útok. V neposlední řadě je potřeba chránit kritické síťové segmenty a důležité servery, například DNS, DHCP, HTTP, Mail, CA apod. Z uvedeného vyplývá, že nasazení komplexního řešení systémů pro detekci útoků v enterprise prostředí nemusí být právě levnou záležitostí.
Společnost Cisco Systems zveřejnila sadu doporučení pro budování bezpečných sítí různé velikosti pod názvem Cisco SAFE. Jedno z nich se podrobně věnuje právě nasazení IDS systémů. Na obrázku 2 je schematicky znázorněn návrh zabezpečení sítě střední velikosti, včetně nasazení síťových a host senzorů, dle metodiky Cisco SAFE.
Ke zvážení je umístění NIDS před firewallem, na straně připojení k Internetu. Ačkoli to někteří považují z hlediska zabezpečení sítě za zbytečné, lze tímto způsobem získat zajímavý obrázek o tom, kdo všechno o průnik do vaší sítě usiluje. Vyzkoušejte to a budete překvapeni!
Návrh počtu a vhodného umístění senzorů v dané síti vždy vychází z konkrétní situace a koresponduje s bezpečnostní politikou zákazníka. V případě softwarového řešení IDS je součástí celkové ceny zpravidla také částka za roční podporu (maintenance), která představuje zhruba 20 - 30 procent ceny produktu. Je tedy potřeba s touto roční položkou počítat v rozpočtu.
Nezbytným předpokladem úspěšného provozování IDS systémů je jejich správná konfigurace, která eliminuje množství tzv. false positive a false negative alarmů způsobených nesprávným vyhodnocením provozu. Tato netriviální činnost může představovat nezanedbatelnou část celkové ceny řešení IDS.
Pro zajištění řádného provozu systému IDS je dále potřeba, zpravidla v rámci projektové dokumentace, definovat a popsat role administrátora systému IDS, operátora systému IDS a bezpečnostního správce a vytvořit návrh organizačních opatření.
Standardizace
IETF Intrusion Detection Working Group
Definice datových formátů a procedur pro sdílení informací mezi IDS systémy a management systémy na bázi Extensible Markup Language (XML).
Odkaz: idwg-charter.
ISO/IEC Technical Report 15 947
Popis metodologie a koncepce IDS ve vztahu k bezpečnostní politice a bezpečnostním procedurám.
Odkaz: CatalogueDetail.
IATFF Common Criteria Protection Profiles
Nezávislá sada bezpečnostních požadavků, definovaná pro systémy IDS a bezpečnostní skenery, která odpovídá specifickým požadavkům zákazníků.
Odkaz: Protection profiles.
Závěr
Trh nabízí celou řadu řešení IDS. Zjednodušené soudy o tom, které je lepší nebo horší, nemusí být vždy správné. Lépe je vycházet ze znalosti vlastních potřeb a jim podřídit výběr technologie a také kvalifikovaného dodavatele řešení. V článku jsou naznačeny určité směry, které je možné při výběru zohlednit.
Společnost ANECT a.s. nabízí pro danou problematiku celou řadu služeb v oblasti konzultací, projekčních činností včetně řízení projektů, komplexních dodávek zboží a služeb včetně možnosti alternativního financování, implementace výše uvedených technologií, zákaznických školení, servisu a technické podpory.
