Vnitřní část IDS a IPS

Bezpečnostní systémy IDS/IPS Obecně lze říci, že na těchto systémech je v dnešní době postavena bezpečnostní politika organizací, které potřebují chránit svojí síť před hrozbami na maximální úrovni. Tyto systémy kontrolují datový tok a v případě odhalení abnormálního jevu reagují (pasivně, aktivně). Většinou se jedná o spojení hardwaru a softwaru, ale mohou být pouze softwarové produkty této ochrany, které jsou zpravidla realizovány vlastním operačním systémem.  Skutečnost je ale taková, že i když máme plně aktualizovaný software a zapnutý firewall, může být naše síť napadena. I přes veškeré toto zabezpečení útočník zašle škodlivý kód na e-mail nebo přes dnes velmi oblíbenou sociální síť facebook, což znamená, že bezpečně projde skrze zabezpečení jako běžná zpráva. Poté uživatel otevře tuto zprávu a tím vlastně také zadní vrátka do svého systému. Ani aplikací IDS by se moc nezměnilo, jelikož nedokáže aktivně reagovat. O něco užitečnější by se mohlo zdát použití aktivní ochrany IPS, ale je zde plno vedlejších faktorů, které je potřeba zhodnotit. Příkladem může být zamezení legitimní komunikace a následkem toho může společnosti přijít o zisk z prodeje. Následující kapitoly se této problematice budou věnovat detailněji.

 

Systém IDS (Intrusion Detection System) Systém monitoruje síťový provoz a upozorňuje na potenciálně nebezpečnou komunikaci, která je vyhodnocována podle předem konfigurovaných pravidel. Právě proto, že "pouze" vydává upozornění a nezasahuje do procházející komunikace, je tento bezpečnostní systém označován jako pasivní. Částečnou aktivitou může být konfigurování IDS, aby aktivně spolupracoval s firewallem. Touto spoluprací je myšleno zaslání TRAP příkazu bezpečnostním systémem na firewall, kde je generováno pravidlo, které zakáže průchod nežádoucího spojení. Další možností jak zabránit útočníkovi v průniku do sítě je zaslání "TCP reset", v případě protokolu UDP, "ICMP unreachable port". Ve všech případech je sice zastavena potencionálně nebezpečná komunikace, ale spojení už bylo navázáno a nemůžeme tedy hovořit o aktivní ochraně.

Systém IPS (Intrusion Prevention System)

O tomto systému je hovořeno jako o rozšíření IDS. Tento systém nejenže detekuje neobvyklé aktivity, zaznamenává a upozorňuje stejně jako IDS, ale jeho velkou předností je také aktivní ochrana sítě, tzn. okamžitá reakce na incidenty. V případě detekce nežádoucí aktivity systém zablokuje daný provoz nebo je schopný kompletně zamezit spojení ze zdrojové IP adresy. V případě IDS, který čeká na vyhodnocení správcem bezpečnosti, IPS jedná samostatně. Problém nastává tehdy, pokud se jedná o tzv. planý poplach. Tam, kde správce sítě by vyhodnotil danou hrozbu jako negativní, systém IPS reaguje a může způsobit značné škody. V případě IPS musí být konfigurace bezpečnostního systému velice citlivá, aby bylo vyhodnoceno co nejméně planých poplachů a zároveň bezpečnost zůstala na co nejvyšší úrovni.

Detekční metody

Následuje výčet detekčních metod, které systém IDS/IPS využívá k odhalení nežádoucí komunikace.

Detekce podle vzoru

Princip této metody spočívá v hledání známých evidovaných vzorů škodlivého kódu (tzv. signatur). Systém analyzuje procházející pakety a hledá v nich shodu právě s nebezpečnými vzory. Pokud by škodlivý kód byl rozdělen do více paketů, je schopný pakety rekonstruovat.

Detekce odchylek

Vychází se standardu RFC 4380 (definice jednotlivých protokolů). Pokud probíhající síťový provoz neodpovídá standardní komunikaci, je tato odchylka detekována a dále analyzována.

Detekce anomálií

Síťový provoz je porovnáván na základě statistických metod. Pokud se vymyká běžnému provozu, je vydána výstraha a neznámá komunikace se hlouběji analyzuje.

Shrnutí

Metoda detekce vzoru je velmi přesná a spolehlivá, ale omezená pouze na detekci již známých popsaných signatur. Nepopsané a neevidované útoky není schopna detekovat. Oproti tomu metoda detekce anomálií nebývá sice tak spolehlivá (riziko velkého množství falešných poplachů), ale dokáže upozornit i na zatím neznámé a neevidované útoky. Praxe většinou bývá taková, že se metody kombinují a tudíž navzájem doplňují.

Rozdělení podle umístění (topologie)

Podle umístění detekčních systémů v síti lze rozdělit IDS/IPS na Host-based a Networkbased. Liší se především tím, kde jsou v síti umístěny a jakou funkci vykonávají.

Host-based IDS/IPS

Jejich umístění je především na uživatelské stanici nebo na serverovém PC. Jelikož se ve většině případů jedná o SW provedení, jsou závislé na tom, jaký operační systém je na konkrétním PC používán. Úkolem Host-based systémů je kontrola veškeré komunikace právě na této stanici, zaznamenávání aktivit a případně vydání výstrahy na potencionálně nebezpečné podněty. Jak už bylo zmíněno, Host-based systém je závislý na operačním systému konkrétní stanice, což je velkou nevýhodou. Na každý operační systém se provádí jiná konfigurace, z čehož vyplývá vysoká znalostní náročnost na správce bezpečnosti.

Network-based IDS/IPS

Na rozdíl od předchozího typu není umístěn na konkrétní stanici, ale pokud možno na nejfrekventovanějším místě v dané síti a kontroluje datový provoz skrz celou vnitřní síť. Obvykle je tato kontrola prováděna na tzv. síťovém vstupu, kde prochází veškerý síťový provoz a je možné jej analyzovat. Důležité je, aby bezpečnostní systém monitoroval běh a zároveň neovlivňoval chod celé sítě, což je v určitých případech problém. Jako každý systém je i tento omezen určitou rychlostí a kapacitou, v čemž spočívá obrovská nevýhoda. Pokud bude síť zahlcena velkým množstvím dotazů, systém nebude schopen kontroly všech paketů, což může být hrozbou pro vnitřní síť. Závěrem je potřeba zmínit, že kombinací HIDS a NIDS lze dosáhnout vysokého stupně zabezpečení. Musí se však brát v potaz velice obtížná implementace, konfigurace systémů a v neposlední řadě správa celé sítě.

Speciální rozšíření

Vybavení některých IDS/IPS systémů není zcela obvyklé. Obsahují speciální rozšíření, které umožňuje efektivnější detekování nebo tzv. samokonfiguraci. Většinou jsou tato rozšíření aplikována přímo výrobci, při vlastní konfiguraci podobných rozšíření by konfigurace byla velmi náročná. Nutné je dodat, že se obvykle jedná o komerční, zpravidla velice nákladné, nástroje.

Skenovací nástroj

Skenovací nástroj je schopen zajistit automatickou konfiguraci bezpečnostního systému. Ihned po zavedení do sítě analyzuje uživatelské stanice, operační systémy a aplikace zde provozované. Po této analýze se na základě výsledků přizpůsobí dané síti.

Honeypot

Dalším zajímavým rozšířením, které lze na systému IDS/IPS aplikovat, je Honeypot. Jedná se o virtuální počítač, který má svojí vlastní IP adresu a je z pohledu útočníka lehkou kořistí. V případě útoku na Honeypot je útočník okamžitě odhalen.

WIPS (Wireless Intrusion Prevention System)

Při pohledu do budoucna, je stále více kladen důraz na mobilitu uživatelů, s čímž samozřejmě souvisí bezdrátový přenos dat. I takový přenos je potřeba chránit před nežádoucí komunikací. K tomuto účelu byly vyvinuty tzv. WIPS (Wireless Intrusion Prevention System). Jejich úkolem je především kontrolovat rádiovou komunikaci přístupových bodů. V praxi to znamená, že senzory přepínají mezi přenosem dat a vyhledáváním případné detekce. Tento sdílený postup se nazývá časové vzorkování (time slicing). Aby vliv na klienta a na celkový výkon sítě nebyl značný, časové vzorkování probíhá ve velmi krátkých časových intervalech. Pro představu vyjádřením v čase, méně než jednu vteřinu každou minutu, což znamená, že každý den je provoz 23 hodin a 36 minut nechráněný. Systém WIPS je tedy schopný zachytit pouze zjevné a časově náročnější úkony.

Shrnutí

Bezpečností systém IDS/IPS je velmi efektivním nástrojem pro zabezpečení síťového provozu, zpravidla výborným rozšířením základního firewallu. Velkým rozdílem mezi systémy IDS a IPS je reakční doba na incident, v obou případech je však upozorněn správce sítě. Pro zvýšení účinnosti daných metod zabezpečení je potřeba pravidelné aktualizace znalostní databáze signatur. Reakční doba bezpečnostních společností na nové hrozby je obvykle v řádu hodin. Výhodou je možnost psaní vlastních pravidel a signatur, podle kterých se systémy řídí. Skutečnost je taková, že po implementaci tohoto druhu bezpečnostního systému je potřeba několikatýdenního testování a případného dolaďování.