Na redakční otázky odpovídal Jiří Jakeš, VUMS DataCom

1.       Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?
 
Anomální datové toky. Tedy velikosti, nezvyklé destinace, podivné chování protokolů ... . Jinak z hlediska bezpečnosti je většina dalších parametrů datových sítí L2/L3 ne příliš vypovídající. Bezpečnostní incidenty vypadají jako normální datové toky a pro sítě jsou transparentní.
 
2.       Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?
 
Většinou pouze nějaké nezvyklé změny počtu přenášených dat – DOS útoky, zneužitý počítač ... . Z hlediska bezpečnosti toho od vlastních sítí tak mnoho nedostaneme. Je nezbytné použít specializovaná bezpečnostní zařízení – FW, IDS, IPS, Aplikační Firewaly, NetFlow (S-flow ...) monitoring.

3.       Mají dnes ještě nějaký smysl nástroje IDS, nebo již byly překonány IPS a pokročilejšími systémy?
 
Ano čisté IDS systémy jsou již problematické. Ataky se zrychlují a je třeba se snažit okamžitě reagovat. Nicméně jako pomocné bezpečnostní prvky jsou stále užitečné.

Jako jistého nástupce IDS systémů lze považovat systémy na bázi NetFlow, které jsou schopny kolektovat základní informace o všech datových relacích v síti a dlouhodobě je uschovávávat. Toto umožňuje provádět zpětné vyhodnocení incidentů a implementovat potřebné zásahy do sítě, bezpečnostních procedur ... . Lze rovněž vytvářet své vlastní skripty na identifikaci hrozeb a nespoléhat se jen na firemní. V této oblasti s úspěchem dodáváme řešení FlowMon/FlowCollector, které pracuje na bázi NetFlow. I když tyto systémy vypadají velmi triviálně, tak jsou překvapujícím způsobem účinné a efektivní. Například jen prostý fakt, že zaznamenávají dloudobě (měsíce ...) veškeré datové relace, má za následek, že koncoví uživatelé se začínají chovat velmi opatrně a disciplinovaně (protože se na ně „všechno ví“).

4.       Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

Přesné číslo asi neexistuje. Nicméně úspěšnost a účinnost dnešních profesionálních IPS systémů je docela vysoká. Ale velmi to souvisí s rychlostí odhalení útoku, s rychlostí vývoje a rychlostí distribuce bezpečnostní signatury. Což zase souvisí s počtem instalovaných IPS systémů zapojených do sítě odhalování nových typů útoků ... . Takže IPS systém bez zakoupení tohoto update velmi rychle zastarává.

5.       Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Bezpečnostní architektura se trochu mění. Už se nevystačí s architekturou DMZ a Firewalem. Obecně sítě jsou považovány za nebezpečné – všechny. Zhruba lze architekturu popsat jako interakci Internetu(veřejná síť), Intranetu (firemní síť) a Informací (firemní data). Nejlépe je třeba chránit firemní data a aplikace. Z toho vyplývá potřeba specializovaných aplikačních FireWalů (např. http FW nebo XML FW), IPS systémů, balancerů a SSL akcelerátorů s bezpečnostními prvky. Obvykle využíváme zařízení firem RadWare, Allot ... .

Jako přehledový systém využíváme již zmiňovaný FlowMon/FlowCollector.

Obecně je velmi vhodné využívat paralelně systémy dvou a více dodavatelů a zapojovat je seriově. V tomto případě je rozumné i využívat metodu outsourcingu pro správu a dohled některých takto dublovaných zařízení. Částečně je to i nutnost – je poměrně složité mít dostatečně kvalifikované pracovníky na všechny bezpečnostní prvky v sítí.

A samozřejmě je třeba mít velmi kvalifikované, disciplinované a odpovědné pracovníky ... a to je asi nejužší profil na bezpečnostním trhu ... .

IDS/IPS