Plánujete systém detekcie prieniku?, DSM č. 5/2002

O problematike detektorov prieniku sa v DSM písalo naposledy pred dvoma rokmi, v čísle DSM 2/2000. To čo bola vtedy zaujímavá technologická novinka, sa dnes už stalo štandardne používaným bezpečnostným mechanizmom. Svedčí o tom aj množstvo existujúcich aplikácií. Treba však priznať, že viacero z týchto aplikácií je iba jednostranne zameraných a nespĺňa požiadavky na komplexný systém detekcie prienikov, alebo ide o akademické aplikácie.

Z technologického hľadiska sa za posledné roky naopak zmenilo relatívne málo. Stále existujú dve základné kategórie detektorov: sieťové a hostiteľské. Spôsobom detekcie pokusu o prienik sa podobajú na antivírusové aplikácie, pracujú na základe porovnávania s databázou známych vzoriek patternov, alebo na základe detekcie neobvyklého správania sa. V súčasnosti sa väčšia pozornosť venuje sieťovým detektorom, budúcnosť však patrí hybridným systémom, ktoré by integrovali viaceré spolupracujúce sieťové aj hostiteľské senzory.

V ďalšom texte sa venujeme ôsmym najzávažnejším okruhom otázok, ktoré je na základe skúseností užívateľov potrebné riešiť pri návrhu a prevádzke systému detekcie prieniku:

určenie topológie systému,
zhodnotenie požadovaného výkonu,
špecifikovanie sledovanej komunikácie,
aktualizácia databázy signatúr,
identifikovanie falošných poplachov,
sledovanie výstupov aplikácie,
pokračovanie riešenia incidentov,
integrácia s ostatnými opatreniami.

Prvým krokom pri návrhu systému detekcie prieniku je stanovenie jeho topológie. Platia tu štandardné zásady, aby bola ochrana účinná, musí byť konzistentná, teda sledované musia byť všetky kanály vo vybranom prostredí (napr. všetky pripojenia na Internet, alebo všetky servery, kde sú uložené citlivé údaje). Aj keď obvyklé umiestnenie sieťových detektorov je za podnikovým firewallom, zmysel majú aj iné lokality:

pred firewallom na prehľadové monitorovanie čo sa deje vonku, ktoré útoky náš firewall odfiltroval,
v lokálnej sieti vieme predsa, že väčšinu bezpečnostných incidentov majú na svedomí interní užívatelia.
Nepriateľom sieťových systémov detekcie prieniku sú prostredia s nesymetrickým smerovaním1 a šifrovaná komunikácia, v takomto prípade je vhodnejšie použiť systém sieťovo-uzlového typu.

Rovnako podstatná je aj otázka potrebného výkonu plánovaného systému. Veľa aplikácií, ktoré výborne pracujú v prostredí sietí s prenosovou rýchlosťou 10Mb/s môže mať pri 100Mb/s výrazné problémy so zachytením a skontrolovaním celej komunikácie, čo znamená, že niektoré pokusy o prienik môžu ostať nepovšimnuté. V súčasnosti sú však už pripravované aplikácie pre prostredia 1Gb/s sietí (napr. spoločnosťou Cisco).

Predísť problémom s výkonnosťou sa dá čiastočne presným špecifikovaním typov sledovanej komunikácie. Ak napríklad má jediný z Internetu prístupný WWW server je postavený na platforme Unixového systému, nemusíme sledovať útoky proti aplikácii MS Internet Information Server. Niektoré aplikácie detekcie prieniku dokážu sami identifikovať, ktoré služby a protokoly sú používané a tomu prispôsobia používanú databázu signatúr.

Podobne ako antivírusový program aj ten najkvalitnejší senzor detekcie prieniku je bezzubý bez aktuálnej databázy signatúr. Do prevádzkových pravidiel systému preto treba zaradiť aj rutinnú aktualizáciu. V niektorých produktoch už je možné použiť automatickú aktualizáciu (napr. ISS RealSecure). Ak používame viacero senzorov, výhodné je nasadenie aplikácie podporujúcej centrálnu správu databáz signatúr a konfigurácie. V prípade špecifických nárokov obvykle aplikácie obsahujú možnosť dodefinovania vlastných pravidiel.

Ani pri precíznej konfigurácii systému detekcie prieniku sa niekedy nevyhneme vzniku falošných poplachov. V skutočnosti niektoré štatistiky uvádzajú, že až 98% detekovaných udalostí bolo z tejto kategórie. Pre tieto situácie treba mať vytvorené postupy, ktoré umožnia rýchle rozpoznanie falošných poplachov od reálnych, zbytočné vyvolanie procedúr riešenia incidentu je mrhanie časom a kapacitami. V tomto bode je neoceniteľný dobre zaškolený obslužný personál.

Práve z dôvodu generovania veľkého množstva falošných poplachov sa niekedy na sledovanie výstupov z aplikácie detekcie prieniku nenájde dosť kapacít, čím sa celý systém stáva zbytočným! Už pri návrhu systému je potrebné si uvedomiť potrebu permanentnej obsluhy vo fáze prevádzky. Množstvo generovaných správ je možné zredukovať zvolením iba relevantnej množiny sledovaných signatúr a stanovením, na základe ktorých pravidiel (závažných narušení bezpečnosti) bude notifikovaná obsluha, a ktoré budú iba zapisované do archívu.

Samostatnou kapitolou je činnosť nasledujúca po splnení si úlohy detekčného systému pokračovanie riešenia incidentov. Na zvládnutie úspešných útokov sú samozrejme nasadené pripravené havarijné plány. Avšak aj pri neúspešných útokoch je niekedy vhodné vykonať následné kroky, napríklad upovedomiť správcu siete útočníka o aktivitách jeho užívateľa.

V neposlednom rade pripomeňme, že hoci systémy detekcie prienikov sú štandardným bezpečnostným mechanizmom, nepredstavujú žiadne zázračné riešenie bezpečnosti sietí a serverov, musia byť použité integrovanie s ďalšími opatreniami a prostriedkami ochrany. (Príkladom môže byť situácia kedy firewall automaticky zablokuje komunikáciu z adresy, ktorú označí systém detekcie prienikov za potenciálny zdroj útoku.)
Aj keď popísané problémy určite nevyčerpali celú problematiku, sme presvedčení, že riešenia tu položených otázok predstavujú hlavné stavebné kamene systémov detekcie prienikov, ktoré sa týkajú každého, kto plánuje ich nasadenie a prevádzku.
Záver
Aj keď trh s aplikáciami detekcie prienikov do informačných systémov od svojho vzniku výrazne pokročil, odborníci sa zhodujú v názore, že stále nie je stabilizovaný, jednotlivé aplikácie často postrádajú niektoré základné funkcie, ale rapídne sa vyvíjajú. Táto situácia iste nerobí výber a nasadenie takéhoto riešenia jednoduchým.

Ukazuje sa však, že hlavné riziko leží niekde inde spoločnosti často podcenia náklady na prevádzku. Pretože systémy detekcie prieniku nikdy nepracujú systémom nainštaluj a zabudni, ale aby bola ich činnosť relevantná vloženým nákladom, vyžadujú kvalifikovanú obsluhu, ktorá priebežne vyhodnocuje detekované udalosti a udržiava systém v aktuálnom stave.

Napriek tomu je možné povedať, že už dnes existujú aplikácie dostatočne spoľahlivé, výkonné aj flexibilné, ktoré môžu pri správnom nasadení poskytnúť neoceniteľné údaje spočívajúce vo včasnom varovaní o prebiehajúcom útoku, a takto prispieť ku podstatnému zredukovaniu škôd, ktoré by incident spôsobil.
Porovnanie šestnástich z najznámejších produktov detekcie prienikov je možné nájsť v štúdii vydanej nezávislou spoločnosťou NSS Group na adrese http://www.nss.co.uk/ids/. V tomto obsiahlom dokumente je pre každý testovaný produkt opísaná jeho architektúra, spôsob inštalácie a konfigurácie a zhodnotenie jeho možností. Produkty sú porovnávané podľa série testov, zahŕňajúc detailné výkonové testy. Uvedené sú aj cenové relácie jednotlivých riešení. Iné porovnanie systémov detekcie prienikov sa nachádza na adrese http://www.networkworld.com/bg/intrude2/intrude.jsp .

Základné rozdelenie systémov detekcie prieniku:
Hostiteľské
sú nasadené na serveri, kde monitorujú základné parametre operačného systému, spôsob využívania jeho služieb, neobvyklé správanie užívateľov, alebo integritu zvolených častí súborového systému.
Sieťové
spravidla sú pripojené ku niektorému segmentu siete a monitorujú všetku prechádzajúcu komunikáciu, niektoré z nich podporujú možnosť spätného vyskladania komunikácie zo série nasledujúcich paketov a jej uloženie pre neskoršiu analýzu.
Sieťovo-uzlové
ide o relatívne nový typ systémov; inštalované sú na servery, ktoré sú cieľom sieťovej komunikácie, ktorú potom monitorujú. Sú zamerané iba na úzky okruh komunikácie, a preto sú rýchlejšie a ich výsledky sú prehľadnejšie. Predstavujú aj riešenie pre prostredia so šifrovanou komunikáciou (nakoľko je táto na cieľovom serveri dešifrovaná, je možné ju preveriť).

Management summary:
Systémy detekcie prienikov sú už dnes štandardným používaným bezpečnostným mechanizmom. Cieľom článku je prezentovať súčasnú situáciu na trhu s týmito aplikáciami a vysvetliť základné okruhy otázok, ktoré je nutné zobrať do úvahy pri plánovaní nasadenia technológií detekcie prienikov.

O autorovi:
Mgr. Ľubor Illek
Je absolvent Matematicko fyzikálnej fakulty Univerzity Komenského v Bratislave. Informačnej bezpečnosti sa venuje od roku 1998. V súčasnosti pôsobí v spoločnosti Gordias, s. r. o. ako konzultant pre otázky informačnej bezpečnosti. Je členom Pracovnej skupiny pre informačnú bezpečnosť združenia EUNIS Slovensko. Zastáva pozíciu Bezpečnostného manažéra informačného systému Univerzity Komenského v Bratislave.
1 T.j. siete, kde pakety jedného sieťového spojenia môžu tiecť rôznymi fyzickými linkami.