ICT Security Net Guru Link Podnikové systémy Reseller Channel Link

Reklamný panel

KALENDÁR PODUJATÍ

<  Máj 2012  >
 Po  Ut  St  Št  Pi  So  Ne 
   1  2  3  4  5  6
  7  8  910111213
14151617181920
21222324252627
28293031   

SEMINÁR

Reklamný panel
DNS - Enterasys - IDS & IPS to nekončí

Na redakční otázky odpovídal Ing. Zdeněk Pala, Konzultant CEE & EE, Enterasys Networks, Táto e-mailová adresa je chránená pred spambotmi. Ak ju chcete vidieť, je potrebné aby ste mali zapnutý JavaScript.

1)    Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

U bezpečnostních řešení je vždy tento výběr otázkou kompromisu mezi finanční náročností řešení a komplexností + úplností získaných informací. Z hlediska bezpečnosti je smysluplné také sledovat veškerý provoz z pohledu statistického (Netflow, Qflow, Jflow, IPfix...) = kdo s kým komunikuje, kolik přenesl bajtů, paketů, pomocí jakých protokolů, přes která rozhraní apod. Smysl má sledovat jak lokální provoz (local-2-local), tak provoz nelokální (local-2-remote). Na takto získaná data může být nasazen matematický a statistický aparát, který vyhodnotí, zda toto chování je běžné či neobvyklé, spočítá trendy a následně vyhodnotí zda otisk aktuálního provozu je s těmito trendy v souladu či se jedná o anomálii. Důležité je však vydefinovat hierarchické celky a nenasazovat jednu instanci tohoto aparátu na síť jako globální celek. Pokud bychom počítali trend v celé síti, která obsahuje naprosto odlišné části (extrémy jsou například VoIP a FileShare z pohledu třeba četnosti a velikosti paketů), tak bude citlivost tohoto systému velmi nízká a velký přínos řešení mizivý. Smysl tak jednoznačně má sběr dat z celé sítě, ale nezbytností je vyhodnocení s ohledem na hierarchické celky (samostatný trend ve VoIP, jiný trend pro komunikaci FileShare) a následná korelace s běžně dostupnými informacemi z logů (FW, IDS/IPS, Operačních systémů, antivirů, aplikací atd).

2)    Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Pokud je řešení pro monitorování provozu sítě navrženo a nakonfigurováno správně, můžeme získat jednak komplexní obrázek o stavu sítě, ale i detailní informace o provozu. Správně navržený systém však může sloužit nejen pro monitorování z pohledu bezpečnosti, ale i z pohledu monitorování SLA a provozu sítě. Například z provozního pohledu jsou zajímavé informace typu: provoz serverových aplikací, provoz klientských aplikací, výpadek komunikace, počet klientů, neznámá aplikace apod. Z pohledu bezpečnostního pak informace typu: nový druh komunikace, nový server, stanice, která se začala chovat jako server, tunelované spojení, jednosměrné spojení přenášející data, odpovědi bez dotazů, používání nepovolených protokolů, zneužívání sítě, protokolové anomálie, DoS, DDoS.

3)    Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?

Rozhodně IDS mají stále smysl. Většina bezpečnostních řešení je kompromisem finanční náročnosti, technologické realizovatelnosti a bezpečnostních možností. Je naprosto běžné, že si zákazník vydefinuje kritické protokoly a ty chce analyzovat na mnoha strojích v datovém centru. Aktivní prvek pak ozrcadlí pouze tento provoz na IDS z celého datového centra. Díky tomu je možno nasadit jeden IDS sensor a pokrýt velké množství serverů. V případě nasazení IPS by muselo vzhledem k rychlostem být použito sensorů mnoho. IDS nástroje mají již dlouho schopnosti spolupracovat s firewally a v případě detekce narušení mohou firewallu poslat informaci o potřebě zavřít konkrétní spojení, či blokovat útočníka.

Postup, kdy jsou nasazeny detekční mechanismy na část provozu, je velmi vhodné kombinovat s technologiemi analyzujícími veškerý provoz na základě statistických informací o síťovém provozu.

Ve většině případů implementace technologií IPS zákazník nejdříve vyžaduje pouze detekci incidentů a teprve po vyladění systému (eliminace falešných poplachů) přechází do módu prevence. Renomovaní výrobci nabízejí možnost upgrade pouze pomocí aktivace licence nebo přidáním modulů či konfigurační změnou, tzn. bez nutnosti výměny zařízení.

Další zajímavou technologií k doplnění IDS/IPS je DIR = Dynamic Intrusion Response = technologie, která na základě detekované hrozby je schopna původ hrozby v síti vyhledat a dynamicky reagovat (například snížení rychlosti, uzavření do karantény, odpojení od sítě apod).

4)    Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Naše zkušenosti potvrzují, že pokud se jedná o cílený útok, tak je úspěšnost detekce celkem vysoká. Pro detekci nových či netypických útoků mnohem více vyhovuje detekce anomálního chování sítě.

5)    Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Obecně lze z bezpečnostního pohledu doporučit nepoužívat homogenní síť, ale kombinovat řešení různých dodavatelů. Každé řešení je něčím jedinečné a má své plusy, ale i mínusy. Pokud zákazník postaví celou síť od jednoho výrobce, tak má možná jednodušší práci v tom, že v případě potřeby řeší problémy s jedním partnerem/výrobcem. V dnešní době standardů a otevřenosti však již rozhodně neplatí, že je jednodušší management nebo vyšší funkcionalita. Zákazníkům doporučujeme, aby si zvážili a vybrali funkce, které potřebují či chtějí. Bohužel je celkem běžnou praxí, že zákazník poptává řešení, které se mu „vejde do šasí“. Renomovaní analytici navíc uvádějí, že kombinací dvou dodavatelů lze ušetřit 20-30% celkových nákladů.

IDS/IPS

Joomla Templates and Joomla Extensions by JoomlaVision.Com
 

Pridať komentár


Bezpečnostný kód
Obnoviť