Na redakční otázky odpovídal Petr Koudelka, Security Product Manager, Zyxel Communications Czech s.r.o. 

1) Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Parametrů síťového provozu je celá řada. Navíc se požadavek na sledování liší v každé společnosti, podle druhu jejich provozu, náročnosti datových toků atd. Pokusím se tedy zmínit hlavní parametry, které jsou pro většinu firem shodné.

Základním parametrem je zajisté množství přenesených dat za časovou jednotku. Naše společnost nabízí k větším firemním firewallům zdarma monitorovací software, díky kterému bude administrátor schopen dle dlouhodobého průmětu datových toků rychle a efektivně identifikovat stanici nebo server, který se v posledních dnech komunikuje mnohem více, než dříve. Takto se rychle odhalí nelegální provoz na stanici, zavirované stanice nebo generování útoku.

Dalším ze zajímavých parametrů je monitoring navštěvovaných WEBů zaměstnanci. Je naprosto běžné, že uživatelé navštěvují weby s různou nefiremní tématikou, což sice zaměstnavateli může vadit, ale dokud toto konání neohrožuje bezpečnost firmy na základě infekce uživatelovy stanice, není to až takové riziko. Pokud tedy budeme pouze monitorovat vstupy na nebezpečné stránky, budeme schopni takto konajícího uživatele razantně upozornit na jeho chování nebo rovnou pokročit k jeho restrikcím.

2) Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Jak jsem uvedl v předchozím bodě, nejdůležitější je zpracování nasbíraných dat do nějaké uhlazené formy, která je rychle a jednoduše čitelná a pouhým pohledem na grafy administrátor pozná, že se děje něco neobvyklého oproti normálu.  Výše zmíněný software je schopen jednotlivým administrátorům zasílat vyhodnocená data emailem, v předem nastavených časových intervalech a vyhodnocená data zase budou graficky znázorňovat stav, za nadefinované období.
 
Za hlavní benefit považuji přehlednou a jasnou formu výstupu, kde je na první pohled vidět problém.

3) Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Tato otázka je často kladena, ale obě tyto technologie mají své kouzlo. Uvědomme si, že hodně firem nepoužívá ani jednu z těchto technologií a stále jen spoléhají na SPI firewall. 

Naše společnost svoji technologii nazývá IDP „Intrusion detection and prevention system“, protože obě tyto technologie spolu mohou spolupracovat a nikoli mezi sebou soupeřit. Proč na jednu stranu nevyužívat ochrany před již popsaným a dobře známým nebezpečím a navíc nad tento rámec nezačít sledovat chování celého systému s detekcí anomálií.

4) Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Úspěšnost je rozdílná dle prostředí nasazení,  protože velice záleží na vyladění a konfiguraci systému.  Zde jsem si dovolil zmínit porovnání účinnosti likvidace průniku na firewall vedeného. Nikdy nebudeme dosahovat 100% úspěšnosti, ale každé % navíc symbolizuje statisticky menší možnost se dostat do problémů.

5) Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Monitoring doporučuji používat hlavně efektivně, kdy by Vám nemělo vyhodnocování informací způsobovat více práce než užitku. Je lépe monitorovat více věcí, protože problém může nastat i v nepodstatné okolnosti chování, kterou můžete považovat za minoritu. Nejlepší je monitoring takový, kdy na první pohled na grafu nějakého chování zjistíte rozdílné chování.

Samozřejmě již známé a kritické průniky a ohrožení musím doporučit alertovat, protože to může být první vlaštovka nadcházejícího útoku, který se může rozvinout do obřích rozměrů.

Pokud bude síť rozdělena do více segmentů, je to ideální postup pro efektivní management podnikové sítě. Pokud se vyskytne nějaký závažný problém v jednom segmentu, mohu na segment uplatnit vyšší restrikce nebo dokonce segment odpojit bez jakéhokoli dalšího důsledku na zbytek firemní topologie. Rozdělení na menší segmenty je efektivní prostředek k detailnějšímu monitoringu, protože se útočníkovi nepodaří splynout s davem tak dobře, jako na velké nehierarchicky rozdělené síti.

IDS/IPS