Hlavní navigace

Systémy prevence neoprávněného průniku

1. 9. 2004

Sdílet

V minulém čísle PC WORLDu jsme se věnovali systémům detekce neoprávněnéhoprůniku (Intrusion Detection System, IDS), dnes se budeme věnovat systémům prevence těchto neoprávněných pr
V minulém čísle PC WORLDu jsme se věnovali systémům detekce neoprávněného
průniku (Intrusion Detection System, IDS), dnes se budeme věnovat systémům
prevence těchto neoprávněných průniků (Intrusion Prevention System, IPS).
V současné době se již za adekvátní ochranu vnitřní sítě nepovažuje pouze
router v součinnosti s firewallem. Komplexní zabezpečení se nyní skládá z výše
zmíněných zařízení a následně pak také z dobře distribuovaných instalací nových
bezpečnostních záplat, datových vzorků antivirových produktů a dalších
bezpečnostních balíčků pro používané aplikace. Dnešní administrátor pak musí
stále více řešit problémy se správným zabezpečením celé sítě z hlediska
vnějšího napadení ať už na úrovni zmíněného firewallu, či na úrovni dalších
zařízení, které umožňují přístup do vnitřní sítě (jako bezdrátové přístupové
body a další zařízení).
V minulosti se dbalo právě na zabezpečení vstupních bran, a proto se změnily i
techniky průniku do sítí, případně technika krádeží dat či kompromitace
jednotlivých serverů a stanic. Nyní lze s velkou mírou pravděpodobnosti říci,
že útoky jsou častěji vedeny tzv. z vnitřní strany, a proto se hůře odhalují.
Proto (a nejen proto) se nyní doporučuje využívat zařízení, které monitoruje
toky dat v DMZ, v kritických lokalitách, popř. v celé vnitřní síti. To pak
obstarávají systémy IDS. Nová generace těchto zařízení umožňuje nejen
monitoring, ale i následnou akci v reálném čase - tyto systémy označujeme právě
IPS.
Základním rozdílem mezi IPS a ostatními ochrannými prvky je proaktivní přístup
k informační bezpečnosti. Zatímco běžné firewally dokáží provoz pouze blokovat
či propouštět, systémy IPS v tomto provozu umí nalézt škodlivé kódy a rozpoznat
pokusy o útok. Zatímco běžné detekční metody vydají v případě nebezpečné
situace pouze varování a čekají na akci či pokyn k akci od uživatele/
administrátora, systémy IPS okamžitě přijímají odpovídající protiopatření
(podle nastavené bezpečnostní politiky), aby útok zhatily už v počátku.
Některé systémy IDS sice mají určité obranné mechanismy implementovány také
(ukončení TCP spojení, rekonfigurace firewallu po zjištění útoku aj.), ale ty
zpravidla nejsou schopné reagovat s dostatečnou rychlostí, protože mezi detekcí
útoku a pokusem o jeho zblokování uplyne krátká, leč významná doba. Naproti
tomu systémy IPS nepoužívají k likvidaci útoků žádné další prostředky, ale s
nebezpečným paketem nebo spojením se vypořádají okamžitě.
K základním úkolům systémů IPS patří:
• Identifikovat neautorizovaný provoz založený na signaturových vzorcích.
• Identifikovat neautorizovaný provoz založený na detekci anomálií v
protokolech.
• Ukončit nebo znesnadnit služby spojené s nežádoucí činností.
• Logovat všechny monitorované činnosti.
• Zajišťovat důkazy o nepřátelské činnosti v anomálních paketech.
Rozlišujeme přitom systémy IPS dvojího typu - uživatelské a síťové. Zatímco
uživatelské jsou instalovány na lokálních stanicích a chrání je před
jednotlivými útoky, síťové mají na starosti veškerý provoz příchozí zvenčí. Oba
typy přitom mají své výhody i nevýhody. Zatímco uživatelské IPS je velmi pevně
spjato s konkrétním operačním systémem a jeho upgrade může působit potíže, u
síťového je zase obtížné zajistit, aby v dnešní době bezdrátových, mobilních a
jiných připojení k síti šel skutečně veškerý provoz přes tento systém (jinak
IPS samozřejmě pozbývá smysl).
Systémy prevence neoprávněného průniku tak představují další stupeň k zajištění
bezpečnosti informačních technologií před útokem zvenčí.Tomáš Přibyl, AEC
http://www.aec.cz

Autor článku