Na redakční otázky odpovídal Ondřej Číž, System Engineer Juniper Networks, ArrowECS, a.s.,

1) Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?
 
Samozřejmě, v dnešní době je potřeba sledovat spoustu parametrů, které se na síti objevují. Od informací o tom, kolik a jakého provozu se nám po síti pohybuje až po informace, který z uživatelů je za tuto výměnu zodpovědný a co je ve zprávách obsaženo. K tomuto účelu slouží nejrůznější analyzátory, sondy a v neposlední řadě také techniky, které jsou schopné z nasbíraných dat pomocí korelačních nástrojů získat informace o tom, že dochází k nějaké anomálii v provozu a tudíž z hlediska bezpečnosti je potřeba této anomálii věnovat patřičnou pozornost.

 Když budeme mluvit o prametrech, které stojí za to na síti sledovat, tak to budou v první řadě tyto nejdůležitější:

- Správné parametry paketu:
 
 Z hlediska jejich specifikace obsažené v tzv. RFC dokumentech, budeme  sledovat, zda  mají pakety patřičnou velikost a zda-li do nich nebyl přidán  nějaký škodlivý kód. Toto ze zajistit jak na IPS sondě, tak častokráte i na  předřazených firewallech.

- Množství příchozích a odchozích paketů:
 
 Další ukazatel, kterému bychom měli věnovat pozornost je množství  provozu, které do a ze sítě vychází. Správný administrátor ví o systémech,  které ve své síti provozuje a tudíž je schopen říci, který počítač může  komunikovat kterým směrem a na jakých protokolech. pokud se jedná  například o DNS server umístěný v DMZ, je zřejmé, že na něj bude  docházet více dotazů, než kolik jich sám od sebe vygeneruje.

Administrátor také ví, jaké množství provozu, díky např. dlouhodoběji vedeným statistikám počítač  generuje a tudíž je schopen odhalit případnou anomálii. Zvýšení provozu je často ukazatelem na to, že se na počítač podařilo  nainstalovat nějaký škodlivý kód (exploit), kterým počítač buď někdo ovládá nebo sám generuje nevyžádaný provoz směrem do internetu apod. Na tento  typ  existuje několik obranných mechanismů. Jako první lze jmenovat Traffic anomaly, který sleduje, zda nedochází k vygenerování vyššího než dovoleného množství paketů ze sítě, což může ukazovat na DoS útok. Správně nastavená sonda dokaže tento typ útoku úspěšně zastavit a nahlásit tuto událost administrátoru. Dále zde může být užitečný Backdoor detection, který sleduje chování typických protokolů určených ke vzdálené správě jakou jsou SSH a Telnet. Takto lze zjistit, zda někdo interaktivně nevyzískává informace z našeho serveru. Tento typ obrany dokáže zastavit pokusy o spojení z jiných než povolených směrů apod.

Obr.1 Porovnání dotazu a odpovědi

- Obsah jednotlivých paketů:

Důležitou funkcí IPS/IDS sond je kontrolovat obsah každého paketu na přítomnost škodlivého kódu pomocí Attack signature nebo-li vzoru útoku, jejichž databázi má každá sonda k dispozici k porovnání. Většinou se kontroluje prvních 256 bytů hlavičky, ale lze samozřejmě jít i hlouběji. Hledá se kontext, např. http-header-host a k němu vzor (pattern) www.sometimes.com. V případě, že najde shodu, provede se doporučená akce obsažená ve vytvořené signatuře např. ukončení spojení.

- Ostatní:

Ke sledování sítě můžeme použít i pomocníky, jako jsou zařízení SIEM. Jde v podstatě o zařízení, které dokáže sbírat události (Events) a toky dat (Flow) z jednotlivých síťových prvků, počítačů a různých dalších komunikačních zařízení a na základě analýzy a korelace dat, jsou schopny vyhodnotit, zda-li se v síti vyskytuje útok a jakým směrem se šíří. U těchto nástrojů lze také na patřičnou událost v síti aplikovat adekvátní odpověď, např. ve spuštění skeneru sítě apod. Tyto techniky ovládá např. produkt STRM (Security Threat Report Manager) společnosti Juniper Networks.

2) Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Rozhodně lze zjistit množství a povahu vygenerovaných paketů v jednotlivých částech sítě. V případě např. DoS útoku je tato informace velmi důležitá, protože potřebujeme co nejrychleji najít zdroj útoku a tento zastavit. Na sondě lze tuto informaci získat poměrně komfortně. Sonda je nastavena tak, aby větší kmožství paketů, které převyšují nastavený limit zahodila a tuto informaci také předala administrátoru systému. Ten je potom zodpovědný za nalezení zdroje a eliminaci nebezpečí. Sonda má také spoustu vzorů útoků, které dokáží DoS rozpoznat a aplikovat tak doporučenou akci. Nutno podotknout, že IPS/IDS sondy jsou umístěny většinou v bodech, kde paket opouští lokální sít a přestupuje do jiného typu (internet, wan, dmz) nebo opět do další lokální sítě. Zde jsme schopni monitorovat provoz a tento případně zastavit. V případě, že budeme chtít monitorovat, co se děje uvnitř lokální sítě, je výhodnější místo duplikace provozu z přepínačů pomocí tap portů směrovaných na sondu, použít řešení SIEM. To nám ukáže, kde
se v lokání síti šíří spamy, červi a je schopno také detekovat bezpečnostní incidenty. Výhodou tohoto řešení je také korelace dat a lze například poznat z vygenerovaných událostí a objemu provozu, že se na síti něco děje a je potřeba zasáhnout. Do této kategorie patří také detekce Botnetů, kdy se na vzdálený počítač posílají nevyžádané informace o hostiteli.

Obr.3 Zachycení Botnetu na Juniper STRM

Monitoring nám také umožňuje sledovat, zda-li námi nastavená bezpečnostní pravidla jsou uživateli řádně dodržována. Je běžnou praxí ve společnostech, kde mají uživatelé počítače disponujícími práve cokoliv nainstalovat, že se tato bezpečnostní pravidla ve velkém porušují. Díky monitoringu jsme schopni nejenom zjistit případné provinilce, ale možný průnik do sítě a s tím spojenou ztrátu ceněných dat také včas zastavit. Do sítě se často umisťují i tzv. Honey poty, které na sebe svou lehkou dostupnosti mohou nalákat případné útočníky a pro nás to může být signál se tomuto možnému útočníkovi detailněji věnovat.

3) Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

IDS (Intrusion Detection System) systémům už před nějakým časem odzvonilo. Tyto systémy byly sice schopny s nějakou, né přiliš velkou úspěšností útok rozpoznat, ale nebyly schopny mu již zabránit. Pouze řekly o jaký typ útoku se jedná a zbytek už musel udělat administrátor počítače, na který útok probíhal. Byla zde možnost propojit tyto systémy s předřazenými firewally a tento útok zastavit už na vstupu do sítě, ale co si pamatuji, tak toto řešení nebylo nikdy dostatečeně spolehlivé.  Naopak IPS (Intrusion Prevention System) nebo v případě společnosti Juniper Networks IDP (Intrusion Detection and Prevention) jsou tyto systémy schopny díky nasazení on-line do segmentu sítě, těmto útokům také spolehlivě zabránit. Dnešní jednotky jsou pravidla vybaveny několika různými metodami, jak chranit počítačovou síť. V případě IDP jsou to tyto:

- Traffic anomalies
- SYN flood detection
- IP spoof detection
- Stateful signatures
- Protocol anomalies
- Network honeypot
- Backdoor detection
- L2 attack detection

K výše uvedeným lze ještě přičíst to, že jsou sondy ještě častokráte schopny spolupracovat s jinými produkty v portfoliu výrobce. Jako výhodná může být spolupráce např. s SSL branou. Situaci lze popsat následovně. Do DMZ je nám prostřednictvím portu 443 předáván šifrovaný provoz, do kterého zpravidla firewall, který provoz předává, nevidí. Tento šifrovaný provoz je ukončen na SSL bráně a následně poslán na cílový server. V případě, že by paket obsahoval nějaký škodlivý kód, firewall by jej nezachytil, protože do něj nevidí. V tom případě je velmi výhodné mezi SSL bránu a cílový server umístit sondu. U Juniper Networks má tato sonda s SSL bránou sestavenu komunikaci, kde v případě, že dojde k detekci útoku na sondě, tato tuto informaci předá SSL bráně a ta může adekvátně reagovat. Zpravidla se ukončuje škodlivé spojení, ale je možno reagovat i následovně:

  - reaguji až po dosažení počtu pokusů o útok
  - zakazuji uživatelův účet
  - dávám uživateli jinou roli méně nebezpečnou roli
  - ignoruji útok

Vyhnete se tak například kompletnímu zastavení provozu na portu 443. Ostatní uživatelé SSL brány v podstatě to, že byll zastaven útok vůbec nepoznají.

Dalším stupněm v bezpečnosti je propojení IPS a SIEM řešení. Sondy, které dokáží samy rozebrat, analyzovat pakety a kontrolovat provoz až do sedmé síťové vrstvy, mohou tyto informace předávat SIEM a tento může korelovat získána data ze sondy s daty z jiných zdrojů. Některé ze SIEM řešení dokáží tyto informace i samy z databází sond nebo centrálních manažerů síťových prvků vyčítat.

4) Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Pokud jde o nové útoky, tak IPS systém je schopný většinu z nich díky metodám popsaným výše zachtytit. Stane se tak v momentě, kdy se útočník snaží škodlivý kód doručit na cílový počítač nebo lze toto usoudit z vyvstalého chování sítě.

Signatury na tyto nové útoky se vystavují ihned, jakmile výrobce software vystaví informaci o možné bezpečnostní nachylnosti svého produktu k útoku. Juniper Networks, stejně jako ostatní výrobci má nastavenu oficiální cestu, kterou bývá informován mezi prvními. Signatury jako takové se do produktů stahují většinou každodenním update automaticky nebo ručně v případě, že přijde výstraha o možném napadení systému. Aby byla ochrana, co nejúčinější, je potřeba, aby administrátoři nezapomínali mít svůj software vždy ošetřen poslední bezpečnostní záplatou.

5) Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Důležité je, aby žádná část počítačové sítě nezůstala bez dozoru a její funkční části byly od sebe řízeně odděleny.

Obr.4 Schéma zabezpečené sítě

Nejdůležitější je rozdělit servery a počítače podle směru jejich komunikace. Ty, které mají být dostupně z internetu, určitě doporučuji umístit do jedné nebo více demilitarizovaných zón (DMZ). Tyto zóny pak připojit k internetu nebo lokální síti přes firewall, aby bylo zaručeno, že jsme schopni veškerý provoz mezi těmito sítěmi kdykoliv zastavit. Předpokládá se, že servery v DMZ, jakož i jinde budou opatřeny Antivirovým software a na každém z nich bude spuštěn integrovaný nebo komerční firewall. Počítače, které komunikují do internetu nenecháme většinou komunikovat přímo, ale pro zabezpečení vyšší transparentnosti odchozího provozu použijeme proxy server, který taktéž umístíme do DMZ zóny. Takto budeme schopni kontrolovat obsah, který se dostane směrem ven do internetu a zároveň také ten, který uživatelé stahuji. V každe takovéto síťové větvi je vhodně umístit IDP sondu, která kontroluje případné útoky vycházející nebo vcházející do zóny. Jelikož v mnoha případech samotná IDP sonda obsahuje čtyři až pět párů
komunikačních interface, není problém pomocí jednoho zařízení kontrolovat in-line až 5 různých síťových větví.

Pro úplný přehled pohybu paketů po síti je dobré doplnit strukturu FIREWALL/IPS o centrální SIEM řešení. Tento SIEM centrální prvek pak napojíme na všechny dostupné zdroje informací. SIEM podporuje jak informace o událostech zaslané např. pomocí Syslogu, tak také informace o přenesených datech posílané ve formátu Sflow, Jflow, NetFlow apod. Takto získáme přehled o všech datových tocích na naši síti a jsme daleko lépe schopni odhalit případnou anomálii v provoze.

Obr.5 Sledování síťového provozu na Juniper STRM

IDS/IPS