Na redakční otázky odpovídal Petr Špringl - FlowMon product manager, společnost INVEA-TECH a.s.

1)         Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Běžná praxe nám potvrzuje, že ve většině sítí jsou sledovány provozní parametry pouze prostřednictvím SNMP statistik - objem provozu na jednotlivých rozhraních síťových prvků, množství přenesených dat, počty paketů apod. Avšak z pohledu bezpečnosti sítě jsou tyto informace zcela nedostačující, protože nevypovídají nic o tom, co se v síti skutečně děje. Nejen z bezpečnostního hlediska je důležité sledovat především jednotlivé komunikace (datové toky), k čemuž slouží technologie NetFlow.

Monitorování datových toků spočívá v agregaci informací z jednotlivých paketů patřící do určité komunikace. Je tedy zřejmé, že datový tok zcela charakterizuje danou komunikaci a poskytuje informace o tom kdo komunikoval, s kým, kdy, jak dlouho, jak často, nad kterým protokolem, kolik bylo přeneseno dat a mnoho dalšího. Při monitoringu veškerých datových toků tak získáme kompletní přehled o dění v sítí.

2)         Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Samostatné monitorování sítě - ať již v podobě tvorby jakýchkoliv statistik - není samozřejmě dostačující. Nutné je také tyto statistiky dlouhodobě ukládat, analyzovat a zpracovávat. Toto si uvědomujeme, a proto naše řešení FlowMon nejenom umožňuje na principu datových toků monitorovat jakoukoliv počítačovou síť až do rychlosti 10Gb/s prostřednictvím našich FlowMon sond, ale také umožňuje tyto statistiky ukládat po dobu několika měsíců či let a provádět nad nimi detailní analýzy a detekce. Díky tomu je možné okamžitě identifikovat v síti útoky a hrozby (DoS/DDoS útoky, skeny, slovníkové útoků, nesprávné konfigurace, zavirované počítače, malware atd.), anomálie v podobě např. změny typického chování uživatele při ukradeném heslu, nežádoucí aplikace či služby (P2P sítě, online hry), ale také získat informace o využívání sítě a síťových služeb jednotlivými uživateli.

3)         Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Současné IDS, IPS či UMT nástroje jsou velmi užitečná zařízení mající celou řadu funkcí, avšak při jejich použití je nutné pamatovat na dvě důležité skutečnosti spočívající v jejich omezené výkonnosti (dána značnou náročností prováděných analýz) a ochraně pouze proti vnějším hrozbám. Tyto nástroje jsou umísťovány na perimetr sítě a tedy danou sít chrání pouze proti útokům z venku, proti vnějšímu nepříteli. Avšak všeobecně je známo, že se stále větší hrozbou stává nepřítel vnitřní - uživatelé.

Proto je nezbytné doplnit jakýkoliv nástroj chránící perimetr sítě také neustálým monitoringem, aby byla síť také zabezpečena zevnitř a bylo možné identifikovat hrozby a útoky od vnitřního nepřítele.

4)         Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Samozřejmě vždy záleží na konkrétním systému a konkrétní situaci, ale obecně lze říci, že se úspěšnost IPS systémů stále zvyšuje. Tato úspěšnost je však výrazně nižší v případě nových či dosud neznámých útoků nebo při šifrované komunikaci, i proto je nepřetržitý monitoring na bázi datových toků tak důležitý.

5)         Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Základem zajištění bezpečnosti je mít detailní přehled o tom, co se v dané síti děje. Pokud toto vím, tak mám napůl vyhráno, neboť mohu provést taková opatření, aby byly identifikované nežádoucí stavy či hrozby odstraněny.

IDS/IPS