Na redakční otázky odpovídá Bohuslav Partyk, Produkt Manager Symantec a Jan Šoun, Technical Specialist – HP Networking, Avnet Technology Solutions

 1) Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Bohuslav Partyk: V této otázce panuje určitá schizofrenie. Jsou firmy, které se zaměřují především na sledování objemu tekoucích dat. Je to dost často pozůstatek z dob, kdy se poplatky za připojení k Internetu odvozovaly od objemu stažených dat. Dnes tento přístup často pomůže odhalit  pracovníky, kteří v práci stahují filmy, nebo nelegální software. Někdy také počítače napadené určitými viry či červy komunikují se servery v Internetu více, než ty, které napadené nejsou. Ale pokud je útočící software napsaný dostatečně inteligentně, neupozorňuje na sebe takovým poměrně nápadným způsobem. Proti tomuto přístupu stojí opačný – podrobná inspekce procházejících dat. To však vyžaduje poměrně silné prostředky a při nevhodném nastavení může značně brzdit provoz. Proto se jako účinné jeví rozdělení provozu na firewallu podle protokolů a samostatná inspekce na úrovni smtp (emailová komunikace – mail gateway), http/https/ftp provozu (web gateway) apod.

1)  Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Jan Šoun: V kritických segmentech sítě je nezbytné provádět kompletní inspekci datových toků sofistikovaným inline systémem. Takto samozřejmě nelze ochránit celou síť, ať už z důvodů výkonnostních nebo finančních. Pro sledování každého portu vnitřní sítě lze využít vzorkovacích technologií (např. IETF standard sFlow), které síť zbytečně nezatěžují a přesto dávají poměrně přesnou informaci o tom, co se v síti děje. Krom informací o utilizaci sítě a rozdělení provozu dle typů toků, může software pro správu sítě (s potřebnou bezpečnostní funkcionalitou) detekovat anomální chování a aktivně na něj reagovat např. vypnutím portu nebo přesunem útočníka na blacklist. V rámci portfolia síťových produktů HP je tímto softwarem multiplatformní HP Intelligent Management Center (IMC) s pluginem Network Traffic Analyzer (NTA).

2) Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Bohuslav Partyk: Prakticky každý moderní prvek infrastruktury dnes poskytuje obrovské množství informací sám o sobě i o tekoucích datech. Není však v lidských silách tyto informace zpracovávat v reálném čase. Proto moderní bezpečnostní systémy mezi něž patří např. Symantec Security Information Manager, dnes nabízí sofistikovaná řešení trvale monitorující provoz sítě, analýzu a korelaci zjištěných incidentů, eskalaci a dokumentaci řešení. Dokáže např. seskupit informace o útoku na firewall s následnou aktivitou koncových bodů a nedostupností některých prostředků a z chování v síti jednoznačně určí typ útoku a napadené body. Místo stovek záznamů v logu dostává obsluha (nebo helpdesk) pouze sumární informaci s linkem na publikovaný postup, jak se útoku bránit.  Pro obsluhu je samozřejmě k dispozici široce konfigurovatelné rozhraní, nastavitelné podle potřeb konkrétních pozic pracovníků (Helpdesk, Security Officer, provoz atd.)

2)  Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Jan Šoun: Díky sFlow získáváme detailní analýzu L2 – L7 provozu. Z bezpečnostního hlediska nás bude zajímat především detekce různých protokolových anomálií. Takto jsme schopni odhalit DoS útoky, pokusy o skenování sítě, zneužití aplikačních protokolů (DNS tunelling…), dále pak šíření virů i přítomnost nežádoucích aplikací (P2P, IM…).

3) Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Bohuslav Partyk: Nelze jednoznačně stanovit, kde je hranice mezi IDS a IPS. Obvykle se tyto systémy více či méně plynule prolínají a název je často otázkou více marketingovou. Samotná detekce zcela jistě nestačí, poskytne nám pouze informaci, že k průniku došlo. Samozřejmě, prevence je vždy lepší. Detailní inspekce paketů však vyžaduje velký výpočtový výkon a samozřejmě omezuje propustnost. Problémem může být i „false positive“ detekce, tedy zablokování legitimní komunikace z důvodu špatného vyhodnocení. Další otázkou je ochrana před novými typy útoků.

Mnoho výrobců se soustřeďuje na ochranu perimetru sítě, sledují provoz na firewallech, routrech nebo inteligentních přepínačích. Hodně často se však zapomíná na „vnitřního nepřítele“. Kompromitovaný notebook přinesený do interní sítě zvenčí častokrát způsobí větší katastrofu, než útok z Internetu. Proto nedílnou součástí ochrany koncových stanic musí být kromě dnes již klasického antiviru a personálního obousměrného firewallu také IPS systém.

3)  Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Jan Šoun: IPS je v podstatě IDS s aktivní prevencí. Kvalitní IPS systém zajistí inspekci provozu v reálném čase s možností okamžitého blokování provozu v případě rozpoznání útoku. K tomu je samozřejmě potřeba i kvalitní detekční funkcionalita.

Samotné IDS jako takové může mít smysl tam, kde se provoz neanalyzuje v cestě datového toku, ale někde stranou. Příkladem může být situace, kdy software na základě sFlow vzorků a detekce anomálií rozpozná, že něco není v pořádku. Pro lepší a sofistikovanější analýzu může být takovýto provoz automaticky přesměrován do IDSky, která již bude pracovat s kompletními daty a může lépe rozhodnout, zda se opravdu jedná o útok nebo ne. Samozřejmě v případě útoku reportuje zpět nástroji pro správu, který provede patřičnou akci.

4) Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Bohuslav Partyk: Není pochyb o tom, že každý výrobce bude tvrdit, že jeho systém je ten nejlepší. Určitě, v určité úzce vymezené oblasti, může každé řešení přinést nový pohled na věc. Vždyť ani útočníci nespí a bohužel, jsou vždy o kousek popředu. Právě proto nabývá obrovský význam ochrana „v nulovém dni“, tedy aby náš systém byl schopen zareagovat i na útok, který ještě nebyl popsán. Když se podíváme na statistiky vzniklých kódů v posledních letech, již v předešlém roce objem vytvořených škodlivých kódů v celém světě překonal objem vytvořeného užitečného kódu. Proto se výrobci bezpečnostních řešení vrací k principu „white listu“ namísto používaného „black listu“. Tedy jednoduše řečeno „vše, co není explicitně povoleno, je zakázáno“. Navíc je potřebné vzít do úvahy erudovanost expertů firem a především objem zpracovávaných informací. Společnost Symantec disponuje celosvětovou sítí monitorující provoz v celém Internetu. V rámci sítě nazvané Symantec Global Intelligence Network jsou udržovány rozsáhlé databáze dat shromážděných z celého světa umožňující identifikaci nových hrozeb, vývoj obranných mechanismů a distribuci řešení. Tato síť získává informace týkající se zabezpečení z celého světa. Analytici ve společnosti Symantec tak mají bezkonkurenční schopnost identifikovat a analyzovat nové trendy v oblasti útoků, aktivity nebezpečného kódu, phishingu a nevyžádané pošty a poskytovat ochranu a podložené komentáře. Společnost Symantec provozuje 11 středisek Security Response Center a ke sledování nebezpečných činností využívá 240 000 senzorů útoků.

(http://www.ictsecurity.cz/security-bezpecnost/sluzba-symantec-web-security-monitoring-poskytuje-rozsirenou-ochranu-pred-vsudypritomnymi-hrozbami.html)

4)  Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Jan Šoun: Klíčovou roli hraje distribuce nových signatur, filtrů. Zde bych zmínil organizaci Zero Day Initiative založenou pod křídly TippingPointu. Tato iniciativa aktivně pracuje na vyhledávání nových zranitelností systémů a aplikací. Filtry do IPS HP TippingPoint jsou tedy k dispozici ještě předtím, než danou zranitelnost zveřejní výrobce. HP TippingPoint  je leaderem trhu v oblasti Intrusion Prevention Systémů (Gartner) právě díky špičkové Digitální vakcíně v kombinaci se Zero Day Initiative.

5)  Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Bohuslav Partyk: V ideálním případě můžeme monitorovat a informace získávat z firewallů, přepínačů, serverů i koncových stanic. Důležité je, umět tyto informace, kterých mohou být denně gigabyty , seskupit a analyzovat tak, aby vše probíhalo bez zásahu obsluhy a výsledná informace obsahovala důležité fakty a v ideálním případě i návrh řešení. Symantec Security Information Manager je propojený se síťovými prvky, servery a stanicemi v infrastruktuře, z kterých získává prvotní informace.  Zdrojem nejsou jen řešení  Symantec, ale jsou k dispozici řádově stovky kolektorů pro produkty a systémy různých výrobců a je použitelné také Collector Studio, což umožňuje tvorbu vlastních kolektorů. Navíc je SSIM  také propojený s obsáhlou a neustále aktualizovanou databází Symantec Global Intelligence Network, odkud zase čerpá informace o známých zranitelnostech, aktuálních útocích v Internetu a obraně proti nim.
 
Otázka rozdělení sítě je spíše filozofická. Asi žádný zákazník nebude souhlasit, abychom mu celou síť , kterou pracně budoval dlouhá léta, rozházeli a sestavili nanovo podle našich nejlepších vědomostí. Klasické rozdělení na DMZ a interní síť je již přežité. Většinou dnes vidíme více či méně oddělenou veřejnou část (Internet), část privátní (Intranet) a část datovou. Poslední uvedená část často představuje „rodinné stříbro“ příslušné firmy či instituce. Pokud se chceme vyvarovat problémů (a to chceme určitě všichni) musíme především důkladně analyzovat (případně stanovit) kdo, co a odkud může vidět (číst) a stahovat, co může měnit a co vytvářet. Mezi jednotlivými částmi sítě musí být kromě firewallů také zabezpečená kontrola a monitorování přístupu a manipulace s daty (využití Network Access Control a Data Leakage Prevention).

5)  Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Nepřetržitý a dlouhodobý monitoring je základem zajištění bezpečnosti jakékoliv sítě. Konkrétní požadavky na rozdělení sítě a na využití bezpečnostních prvků se ale budou v jednotlivých firmách lišit. Vhodná bude jistě segmentace sítě do VLAN. Své místo si najdou bezpečnostní krabičky (firewall, IDS/IPS, případně UTM). Pro řízení přístupu uživatelů do sítě můžeme implementovat standard 802.1X v kombinaci s kontrolou integrity klientů (Microsoft NAP). HP Networking nabízí v rámci svého portfolia ucelené řešení bezpečnosti od kraje po jádro sítě.

IDS/IPS