Na redakční otázky odpovídal Jiří Tesař, Consultant Systems Engineer, Cisco

1) Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Čím lepsí viditelnost do života sítě administrátor má, tím lépe může detekovat narušení bezpečnostní politiky nebo šíření škodlivého kódu sítí.

V klasickém řešení je bezpečnostní perimetr typicky tvořen firewallem, který zamezuje přímému přístupu k vnitřním síťovým segmentům. Pro určité aplikace a skupiny uživatelů přitom otevírá komunikační kanály do Internetu.

Další stupeň zabezpečení je tvořen systémy IPS, které chrání primárně před útoky z Internetu mířené na servery.

Pro bezpečnost přístupu na www servery, bezpečnost a komfort el. pošty budujeme aplikační bezpečnostní brány. Tyto disponují standardně slušnými nástroji záznamu událostí.

Na bezpečnosti se podílí i aktivní prvky síťové infrastruktury: směrovače a přepínače.

Prakticky všechny aktivní komponenty sítě disponují určitým stupněm schopností diagnostikovat povahu a objem dat která přes ně prochází.
 
Z hlediska sledování sítě je samozřejmě důležité monitorovat datové toky přicházející do sítě z externího světa. Využíváme logování blokovaných spojení na firewallu, IPS a přístupových filtrech směrovačů nebo přepínačů. Různé detekované anomálie je dále vhodné spojit s posíláním informace na záznamový server.

Pro včasné rozpoznání, že v síti je něco v nepořádku, je velmi důležité sledovat i odchozí provoz. Pokud došlo k infiltraci některých interních systémů, tak tyto budou vykazovat určité aktivity. Podle charakteru škodlivého kódu, který se do systému dostal, můžeme např. detekovat otvírání komunikačního kanálu na řídící systémy botnet sítě, generování SPAMů, odesílání interních informací, apod.

Pokud to objem datové komunikace, výkon systémů a velikost datového úložiště dovoluje, není na závadu zaznamenávat i povolená spojení. Ale pro jejich analýzu je prakticky nutné informace následně korelovat, protože se jedná se o velké soubory, kterými by se administrátor nechtěl pročítat. Ovšem, mít zpětně k dispozici informaci o komunikaci v síti je velkou výhodou pro detekci anomálií nebo analýzu bezpečnostních incidentů. V některých případech je nutné udržovat po nějakou dobu informaci o datové komunikaci i v požadavcích legislativy.

2) Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Pokud využijeme správně možností a nástrojů aktivních prvků sítě, můžeme z informací, které nám poskytnou vyčist velmi mnoho. Záleží potom na schopnostech a zkušenostech administrátora jak s těmito informacemi naloží. Je zřejmé, že ve velkých sítích je nutné tento proces automatizovat. Proto existují centralizované systému záznamu událostí, korelující informace z různých zdrojů do konkrétních zpráv o určitých anomáliích.

FW, IPS, směrovače, atd. nám poskytnou informaci o pokusech napadení síťových prostředků z venčí. Tyto informace by němely být brány na lehkou váhu, protože již minimálně ukazují na jaké cíle útočník míří.

Co by však mělo vyburcovat bezpečnostního administrátora, je detekování škodlivého provozu uvnitř sítě. V tomto případě to znamená, že již došlo k nějaké formě infikování vnitřní sítě. Tj. prostoru, kde jsou někde na datových úložištích informace, které mají pro společnost nezanedbatelnou hodnotu. Cílem útočníka ve většině případů nebude data zničit, ale potichu se dostat k informacím, která pro něho budou mít finanční zisk.

Existují i „firmy“ pracující na zakázku, disponující prostředky a znalostmi, které se pro svého „klienta“ snaží získat firemní intelektuální vlastnictví, informace pro konkurenční výhodu, výrobní postupy, atd.

Varující musí být i otevírání tunelu na řídící servery, které následně mohou realizovat přístup tímto tunelem zpět do sítě k datům.

3) Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Systém IPS je prakticky rozšířená forma IDS vložená do komunikační trasy. Cílem IDS je detekovat útoky. IPS přebírá funkci IDS, ale pracuje preventivně v tom smyslu, že se snaží útokům včas automaticky zabránit.

Úkolem IPS je chránit prostředky sítě a systémové zdroje před jejich úmyslnou degradací, přetížením nebo vyřazením z provozu. Současně je nutné chránit data na datových úložištích připojených k serverům.

IPS může být využita i jako IDS, tj. v režimu monitorování provozu, bez funkce blokace.

4) Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

V posledních letech můžeme sledovat znatelný nárust počtu útoků na cíle situované v počítačových sítích. Roste počet typů operačních systémů používaných na straně klienta i na straně serverů, programátoři využívají různé knihovny a více vývojových prostředí. To vše dohromady vytváří široké pole pro vznik a objevení chyb v kódu, přes které se útočníci snaží o infiltraci systémů. Je zřejmé, že již nelze vystačit pouze s knihovnou datových vzorků, odpovídajících částem škodlivého kódu. Útočník často detekuje zranitelnost dříve, než ji objeví sám vývojář. V okamžiku, kdy se již Internetem šíři kód jehož cílem je využít tuto slabinu v systému nebo programu, ještě zdaleka nemusí být distribuován bitový obraz tohoto kódu. V tomto případě mluvíme o tzv. „zero-day“ nebo „zero-hour“ útoku.

Abychom byli schopni reagovat na hrozby napadení zranitelností i v těch případech kdy útočník má náskok před administrátorem nebo programátorem, je nutné aplikovat vedle klasického porovnávání datového obsahu i další techniky.

Pokud nelze pojmout seznam všech bitových obrazů útoků pro jejich variabilitu a množství, je efektivnější se orientovat na typy zranitelností a datový kód otestovat v tomto směru: tj. jestli se nesnaží zaútočit na některou slabinu ze seznamu zranitelností.

Moderní systémy ochrany sítě jsou schopny se také „naučit“ jak vypadá rutinní a korektní provoz v síti. Na vzniklé anomálie jsou potom schopny reagovat odpovídající akcí podle stupně detekované hrozby. Příkladem takové anomálie může být nárust provozu spojeného s pokusy navazování spojení z určitého rozsahu adres, vedený na některé adresy nebo aplikační porty určitým protokolem, apod.

Systémy IPS, pracující v různých částech světa, mohou také efektivně spolupracovat. IPS potom nemusí pouze pasivně přijímat informaci z centrálního operačního střediska, kde se vytváří databáze typů útoků. Pokud detekuje pokus útoku na určitou zranitelnost, distribuuje informace o jeho povaze do centra. Korelací informací z různých částí světa je potom možné vytvořit jasný obraz útoku. IPS potom na základě této konkrétní informace rozhodne k blokování daného typu komunikace.

Výše uvedené metody napomáhají k dosažení nízké hodnoty „false positive“ – to znamená že minimum validního datového toku je detekováno jako škodlivé a je blokováno. Nízké číslo „false positive“ je u IPS velmi zásadní, protože tyto systémy se typicky vkládají do datové cesty a i když musí maximálně spolehlivě a automaticky chránit, nesmí na druhou stranu omezit validní komunikaci. Jinými slovy, pokud IPS blokuje nějaký typ datového toku, musí si být jista tím, proč to dělá.

5) Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Zabezpečení sítě se vždy řeší ve více úrovních, které se mohou i lehce překrývat. To znamená, že např. před určitým typem útoku chrání efektivně firewall i za ním umístěná IPS, ale tato zařízení se v dané funkci prakticky zálohují.

Slušné bezpečnostní funkce nejdeme i ve směrovačích a přepínačích. V některých případech může směrovač nahradit firewall, IPS i VPN koncentrátor. Slučování funkcí do jednoho hardwarového prvku je však potřeba dělat citlivě z pohledu vysoké dostupnosti i vzájemného zálohování samostatných komponent.

V budoucnu budeme určitě svědky větší orientace na bezpečnost uvnitř sítě. Aktivní prvky pracují více s identitou koncového uživatele. Tato informace se využívá v politikách přístupu k cílovým aplikacím. Důraz bude kladen na zabezpečení komunikace i v rámcí přepínané sítě před narušením důvěrnosti přenášených dat. Tredem bude určitě centrální správa bezpečnosti s orientací na přehlednost a snadnou aplikovatelnost.

Ovšem nejlepší ochrana proti infiltraci sítě a vnitřních systémů je prevence. I když mohou být systémy detekce a blokování šíření škodlivého kódu implementovány, často jim chybí  nástroje varování před existencí hrozby útoku. Potom určitým anomáliím v síti není věnována včas odpovídající pozornost.

IDS/IPS