Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Jedním z největších pomocníků při ochraně sítí jsou technologie detekce a prevence průniku – IDS (Intrusion Detection System) a IPS (Intrusion Prevention System).

Na počátku byla detekce

Pokud bychom chtěli IDS zjednodušeně charakterizovat, pak můžeme říci, že se jedná o technologii, která detekuje nechtěné/nežádoucí manipulace se systémem. IDS přitom představuje celou řadu více či méně vyspělých technologií, které různí dodavatelé odlišně implementují (na základě různé filozofie, různé priority, různých pracovních algoritmů atd.).

Typický systém IDS je složený z několika komponent. Jednak to jsou senzory, které generují relevantní informace o provozu sítě. Dále pak konzole, které události a varování ze senzorů monitorují a shromažďují a stejně tak kontrolují jejich činnost. A nakonec je to jádro systému IDS, vlastní engine (tedy program plus vyhodnocovací algoritmus), který zpracovává události zaznamenané senzory. Tyto staví vůči sobě, přidává jim různé váhy, sleduje změny v čase, dává do souvislostí… A samozřejmě obsahuje systém pravidel ke generování varování v případě odhalení nekorektní aktivity – což je ostatně smyslem jeho existence.

Systémy IDS můžeme rozdělit do několika kategorií, a to v závislosti na typech senzorů, na jejich umístění senzorů nebo na metodice vypořádání se s incidentem. V jednodušších IDS jsou přitom všechny způsoby kombinované do jednoho zařízení nebo aplikace. Z toho vyplývá, že IDS mohou mít hardwarovou nebo softwarovou podobu.

Jen firewall nestačí

Firewall je pochopitelně alfou a omegou současné informační bezpečnosti, ale není všelékem na všechny neřesti. Dokáže zachytávat určitý provoz, dokáže blokovat jisté typy útoků, ale zkrátka zdaleka ne vše. Na některé typy ohrožení je prostě krátký.

Namátkou si můžeme jmenovat třeba škodlivé kódy v elektronické poště nebo v internetových stránkách. Pokud firewall není doplněný o antivirovou kontrolu (ale to už je samostatná aplikace nebo minimálně nadstandardní služba!), pak je takovýto tok i infikovaných dat z hlediska firewallu korektní. To přitom už vůbec nemluvíme o datech, která přes ochrannou bránu vůbec „neprotečou“. Že něco podobného není možné? I kdepak – prakticky v každé organizaci je celá řada míst, kudy se data do sítě dostávají jinak než přes firewall.

A právě v tomto okamžiku nastupují systémy IDS, neboť firewall pochopitelně střeží pouze vnější perimetr a do vnitřního prostředí už „nevidí“ a nezasahuje. IDS jsou proto navrhovány coby komplexní nástroj detekující aktivity profesionálních hackerů se sofistikovanými nástroji až po pokusy o útoky hackerů využívajících automatické roboty stažené z volně dostupných zdrojů internetu.

IDS zkrátka detekuje typy útoků, které z principu svého fungování nemůže zastavit klasický firewall – především v rámci interní sítě. Tedy ohrožení od interních útočníků (ať již z neznalosti nebo rovnou se zlým úmyslem, což představuje jedno z největších rizik dnešního ICT světa), útoky proti zranitelným službám, útoky na aplikace, změny práv, neautorizované přihlašování a přístup k citlivým souborům, instalace a šíření malware (viry, trojské koně, internetoví červy) apod.

Nastupuje prevence průniku

IPS je zkratkou z Intrusion Prevention System, systém prevence průniku. Ač by podobný název mohl svádět k domněnce, že jde o řešení podobná nebo komplementární, není tomu tak docela.

Zatímco IDS má za úkol detekovat případný bezpečnostní incident, IPS mu má proaktivně bránit – už z této podstaty věci vyplývá, že oba využívají poněkud jiných technologií a metod. Systémy IPS byly vyvinuty dodavateli bezpečnostních řešení poté, co se ukázalo, že dřívější metody kontroly obsahu založené na sledování IP adres a/nebo využívaných portů už přestávají dostačovat. Na rozdíl od IDS tak systémy IPS zvládají nejen monitorování a reportování, ale mohou také přijímat různé protiakce.

Ačkoliv se nás mnohé firmy a marketingoví rádobyodborníci snaží přesvědčit o opaku, nejde v případě IPS o žádnou revoluční technologii. Jedná se vlastně o balíček již existujících řešení (firewall, AV program, IDS apod.), na nichž by se jako novátorské dalo označit snad jen jejich spojení. Spíše než „revoluce“ by se tedy pro IPS hodilo označení „evoluce“.

Komplexní zabezpečení se v současnosti sestává z výše zmíněných zařízení a následně pak také z kvalitního následného servisu: dobře distribuovaných instalací nových bezpečnostních záplat, datových vzorků antivirových produktů a dalších bezpečnostních balíčků pro používané aplikace. Dnešní administrátor pak musí stále více řešit problémy se správným zabezpečením celé sítě z hlediska vnějšího napadení ať už na úrovni firewallu či na úrovni dalších zařízení, které umožňují přístup do vnitřní sítě (jako jsou bezdrátové přístupové body a další zařízení).

Základním rozdílem mezi IPS a ostatními ochrannými prvky je právě proaktivní přístup k informační bezpečnosti. Zatímco běžné firewally dokážou provoz pouze blokovat či propouštět, systémy IPS v tomto provozu umí nalézt škodlivé kódy a rozpoznat pokusy o útok. Zatímco běžné detekční metody vydají v případě nebezpečné situace pouze varování a čekají na akci či pokyn k akci od uživatele/administrátora (čímž ztrácejí drahocenný čas), systémy IPS okamžitě přijímají odpovídající protiopatření (podle nastavené bezpečnostní politiky), aby útok zhatily už v počátku.

Některé systémy IDS sice určité obranné mechanismy mají implementovány také (ukončení TCP spojení, rekonfigurace firewallu po zjištění útoku aj.), ale tyto zpravidla nejsou schopné reagovat s dostatečnou rychlostí, protože mezi detekcí útoku a pokusem o jeho zblokování uplyne krátká, leč (z hlediska počítačů) významná doba. Naproti tomu systémy IPS nepoužívají žádné další prostředky k likvidaci útoků, ale s nebezpečným paketem nebo spojením se vypořádají okamžitě.