Implementace a rozmístění

 

Umístění v síti

K optimálnímu nasazení IDS/IPS v síti byly vybrány a odzkoušeny dvě základní varianty, které odpovídají bezpečnostním po skrz firewall, je na systému IDS/IPS tuto hrozbu odhalit. Tímto způsobem se dá též kontrolovat propustnost firewallu a případně poupravit jeho nastavení. První varianta s jedním IDS/IPS v síti - viz. Příloha 3, je složitější především konfigurací síťové komunikace, kdy je potřeba správně nastavit kopírování paketů tak, aby veškerá komunikace byla analyzována IDS/IPS. K tomu je potřeba směrovat komunikaci skrz dvě síťové zařízení a to má vliv na záplavu sítě kopírovanými pakety. Problém by nastal v případě, pokud by VLAN byla konfigurována jako NAT. Při útoku z vnitřní sítě by IDS/IPS detekoval útok skrz společnou adresu, tudíž na neznámém koncovém uživateli. Z toho vyplývá, pokud by se měl zvolit tento druh nasazení IDS/IPS a tím ušetřit finanční prostředky, z hlediska vyššího úrovně zabezpečení by v síti neměl být konfigurován NAT. Druhá možnost nasazení IDS/IPS - viz. Příloha 4, kdy bezpečnostní systém se nachází v každé VLAN síti zvlášť. Z pohledu přehlednosti o aktivitách v každé jednotlivé síti a celkovému zabezpečení se zdá být tato varianta lepší, avšak z pohledu nákladů dražší. V počátečním sestavení náročná konfigurace, protože je nutné implementovat bezpečnostní systém do každé VLAN sítě zvlášť, ale zároveň každý bezpečnostní systém může být konfigurován podle potřeby konkrétní sítě.

Volba systému

Jak už bylo řečeno, IDS se od IPS liší svým pasivním přístupem. Právě tento pasivní přístup může být v určitých případech užitečnější, než právě aktivita IPS. Jde o konfiguraci, kdy je nutné zvážit, zda hlásit i sebemenší odchylku od běžného provozu nebo dát komunikaci jakýsi volnější průchod s tím, že může určitý škodlivý kód projít bez povšimnutí skrz zabezpečení. V případě sítě, kde je implementován systém IDS, může být konfigurace zabezpečení přísnější. Správce bezpečnosti, který kontroluje aktivitu, může danou komunikaci posoudit, avšak bude mít větší objem dat k vyhodnocování. V případě IPS je nutné zvážit, jaké následky bude mít zamezení legitimní komunikace pro organizaci, která je právě tímto systémem chráněna. Při zvolení IPS, musí být navrhnuta co nejvhodněji a s určitým citem konfigurace pravidel.

Návrh optimálního nasazení bezpečnostního systému

Po dlouhém testování a zvážení zmíněných kladů a záporů by optimální síť měla obsahovat co nejvhodněji navrženou konfiguraci IDS/IPS právě pro konkrétní síť. Tento systém by měl být nasazen za firewallem (Network-based) a na kritických místech sítě (Host-based). Důležité je, aby byl na konkrétní topologii dlouhodobě testován a laděn pro svoji optimální funkčnost (nejlépe 100% zamezených útoků a 0% přerušené legitimní komunikace). Tato varianta je finančně i časově velmi náročná. V případě, že by jeden z těchto faktorů chyběl, je nutné implementovat bezpečnostní systém, a to buď prvním způsobem nasazení (umístění jednoho IDS/IPS pro celou topologii) nebo minimálně do VLAN sítě, kde je největší pravděpodobnost útoku (umístění serveru). Optimální nasazení IDS/IPS v grafické podobě - viz Příloha 5. Vždy však záleží na kombinaci všech bezpečnostních nástrojů, nastavení celkové bezpečnostní politiky a hlavně je důležité mít na mysli, že nejlepším bezpečnostním nástrojem je lidský mozek.