Jak se bránit průnikům?

  • 3
Stále více útoků z internetu využívá konkrétních chyb různých aplikací – v elektronické poště, databázi, webovém serveru atd. Klasický firewall o nedostatcích různých aplikací ve své síti v podstatě vůbec nic „netuší“. Z jeho pohledu se případný útok jeví jako legální provoz. Pro úspěšnou obranu před tímto nebezpečím se nasazují - jako druhá obranná linie - systémy detekce průniku a od loňského roku i systémy prevence průniku.

Jak napovídá samotný název, první systém představuje pasivní sondu, schopnou útok de-facto pouze odhalit. V případě IPS se pak jedná o aktivní zařízení schopné pokusy o průnik nejen odhalit, ale i rovnou blokovat. Systém detekce průniku se nasazuje ve spřaženém módu, to znamená, že provoz je na sondu pouze kopírován, zpravidla pomocí zrcadlení portu (port mirroring) na přepínači. Sonda kontroluje veškerý provoz a pokud detekuje útok, zaznamená v prvé řadě vše do logu, což lze následně použít k prošetření a odstranění následků útoků. To je samozřejmě nedostatečné, a proto i IDS dnes má možnost útok blokovat, a to dvěma způsoby.

První metoda používá TCP reset paketu. Tím se standardně ukončuje TCP spojení a IDS si ukončení tímto způsobem vynutí. Tuto metodu lze pochopitelně použít pouze pro TCP provoz. Druhým způsobem je spolupráce s firewallem, tzv. firewall signalling. IDS informuje firewall, například pomocí SNMP trapu, o probíhajícím útoku a ten pak dynamicky sestaví pravidlo blokující veškerý provoz ze zdrojové IP adresy. Zde je otázka, do jaké míry si můžeme být jisti, že se například jedná o skutečnou IP adresu útočníka?

Dnešní útoky běžně využívají mechanismy podvržení zdrojové adresy (spoofing). A i když se jedná skutečně o správnou adresu, díky překladu adres (NAT – Network Address Translation) se může jednat o IP adresu mnoha dalších uživatelů internetu. Spolehlivě si tak od své sítě odřízneme i tisíce běžných uživatelů internetu. Oba mechanismy mají ještě jednu zásadní nevýhodu. Provoz je na sondu pouze kopírován a zároveň vždy pokračuje ke svému cíli. V dnešní době širokopásmového internetu to znamená desetitisíce paketů, které stejně dorazí k cíli útoku, a mohou napáchat škodu. Vždy je tedy nutno prošetřit, zda a jaké škody vznikly.

Na základě popisu systému detekce průniku, respektive jeho omezení, si lze odvodit ideální řešení účinné obrany. Musí se jednat o aktivní zařízení, které samo o sobě dokáže útok nejen detekovat, ale i rovnou blokovat. A blokovat pouze a výhradně samotný útok, to znamená pouze „špatné" pakety nebo spojení. Logicky vzato:

 - musí se jednat o zařízení, přes které veškerý provoz prochází, jinými slovy je zapojeno „in-line" stejně jako firewall,
 - musí si z jednotlivých paketů sestavit spojení a porozumět provozu server, na který provoz směřuje,
 - musí si poradit s defragmentací, s pakety mimo pořadí, redundatními pakety,
 - musí rozdělit provoz na jednotlivé části podle konkrétní aplikace, například u mailu na adresu odesílatele a adresáta, předmět, tělo mailu a přílohu,
 - musí následně porovnat s databázi známých útoků (signatures), s popisem daného protokolu respektive aplikace (protocol anomaly) nebo se typickým provozem (traffic anomaly). To vše bez zpoždění provozu. 

Jednotlivé detekce útoků

Za zmínku stojí jednotlivé metody detekce útoků. Hackeři využívají řadu mechanismů a proto je nutné kombinovat více mechanismů. Ke klasickým patří porovnávání s řetězcem znaků (signatures), podobně jako u antiviru. Omezení je zřejmé, lze použít pouze proti známým útokům. Druhou nejčastější metodou je pak detekce odchylek od definice protokolu, tzv. protocol anomaly. Zde je porovnávám provoz se standardem příslušného protokolu a pokud například během navazování spojení mailového klienta a serveru pošle útočník několikanásobné množství dat, než je definováno ve standardu, útok je rozpoznán.

Lze se tak bránit před útoky typu přetečení zásobníku (buffer overflow) i když využívá doposud neznámých chyb. Třetí nejčastější metodou je detekce odchylek provozu. Lze tak detekovat „průzkumné" útoky, které postupně procházejí veškeré TCP/UDP porty. Nicméně při správné implementaci lze odhalit prakticky veškerý „netypický" provoz v síti.  Poslední dvě metody vyžadují možnost ladění, ne všechny aplikace se drží standardu.

Protože se jedná o zcela novou kategorii bezpečnostních produktů, je potřeba uvést konkrétní příklad. K prvním řešením na trhu patřil produkt IDP (Intrusion Detection and Prevention) od společnosti Juniper NETWORKS.

Využívá osm detekčních mechanismů (statefull signatures, protocol anomaly, traffic anomaly, SYN flood detection, honey pot atd.) a jeho účinnost a se díky tomu blíží ke 100%. K doladění slouží i možnost volitelně definovat pravidla, podobně jako na firewallu. To umožňuje optimalizovat konfiguraci a výkon IDP podle konkrétního místa v síti, kde je instalováno. Pro úplnost je vhodné dodat, že IDP může fungovat i jako klasické IDS, tj. pouze pro detekci útoku a spolupracovat s firewallem. Tato vlastnost se hodí při první implementaci do sítě, kdy je vhodné zjistit, jak vypadá typický provoz a předejít tak falešným alarmům. K tomu slouží hlavně tzv. profiler, kdy lze během několika hodin nebo dnů získat dokonalý přehled o provozu sítě, vytvořit profil typického provozu a následně pak detekovat a blokovat veškerý provoz (včetně šifrovaného), který „nezapadá" do získaného profilu.

Třívrstvá architektura (viz obrázek 2) složená ze sondy, management serveru a grafické uživatelské konzole zaručují velice snadné nasazení jak jednoho zařízení, tak několika desítek sond. Tato centrální policy-based architektura pak garantuje i snadnou údržbu, konfiguraci, upgrade (ať už software nebo signatures) a především pak vyhodnocování incidentů. Lze si zpětně zobrazit konkrétní provoz v daném časovém intervalu a pomocí drill-down menu analyzovat podrobnosti. To vše i s možností definování více administrátorů, například podle jednotlivých oddělení respektive segmentů sítě.

 

IDP je k dispozici ve čtyřech variantách podle výkonnosti: IDP-10 (do 20 Mb/s provozu) a IDP-100 s 100megabitovým ethernetovým rozhraním (do 200 Mb/s provozu) a IDP-500 a IDP-1000 s gigabitovým  Ethernetem. IDP-10 a IDP-100 lze volitelně doplnit o bypass modul, který garantuje, že nás výpadek nepřipraví o spojení. Jedna sonda může mít až 10 portů a sama tak může hlídat několik segmentů sítě. Vyšší moduly lze sdružovat do clusteru, ať už z důvodu vysoké dostupnosti a nebo výkonu. Lze tak garantovat vysokou dostupnost i zvýšení výkonu.