28.08.2008

Как выбрать систему предотвращения атак

image

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

Что такое система предотвращения атак


Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). IDS изначально лишь детектировали угрозы прослушивая трафик в сети и на хостах, а затем посылали администратору оповещения различными способами. IPS сейчас блокируют атаки сразу в момент их обнаружения, хотя могут и работать в режиме IDS – только оповещая о проблемах.

Иногда функционал IPS понимают как совместное функционирование в одном устройстве и IDS и firewall. Это часто вызвано тем, что некоторые IPS имеют встроенные правила блокирования пакетов по адресу источника и получателя. Однако, это не firewall. В firewall блокирование трафика полностью зависит от вашего умения настраивать правила, а в IPS от умения программистов производителя писать безошибочные алгоритмы поиска атак в идущем по сети трафике. Есть еще одна «похожесть»: технология firewall, известная как statefull inspection, очень похожа на одну из технологий, используемых в IPS для идентификации принадлежности разных соединений одному сетевому протоколу, и тут она называется port following. Различий гораздо больше, например, Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет.

Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. Для работы в соответствующем режиме в IPS встраивают так называемый модуль обхода. Благодаря ему, даже если вы случайно выключите питание IPS, то трафик будет идти свободно через устройство. Иногда IPS тоже настраивают блокировать трафик при выходе из строя – но это частные случаи, чаще всего используемые, когда два устроства используются в режиме High Avalability.
IPS это значительно более сложное устройство чем firewall. IPS используют для угроз, с которыми последний не справился. IPS заключает в себе концентрированные знания огромного числа специалистов по безопасности, которые выявили, нашли закономерности и затем запрограммировали код, выявляющий проблемы, в виде правил анализа контента идущего по сети.

IPS в корпоративных сетях являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. В итоге, для каждой атаки сейчас есть возможности не только идентифицировать ее, а затем оповестить администратора или заблокировать, но и провести полный анализ инцидента: собрать пакеты идущие от атакующего, инициировать расследование, произвести устранение уязвимости путем модификации пакета.

В сочетании с правильной системой управления безопасностью появляется возможность контролировать действия самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. Что, в общем, внесло осязаемый смысл в работу таких систем. Какой смысл говорить о проблемах в сети, если на эти проблемы никто не реагирует и не несет ответственности за это? Всем известна эта вечная проблема: тот кто несет убытки от нарушения работы компьютерной системы и тот кто защищает эту систему – разные люди. Если не рассматривать крайний случай, например, домашнего компьютера подключенного к Интернет.

Задержки трафика


С одной стороны хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее самим устройством. Но с другой стороны системы предотвращения атак приходится ставить не на SPAN порт свитча, а пропускать весь сетевой трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети. А в случае с VoIP это критично, хотя, если вы собираетесь защищаться от атак на VoIP, то другого способа защититься от таких атак нет.

Таким образом, одной из характеристик, по которой вам необходимо оценивать систему предотвращения атак при покупке являются величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно почитать исследования независимых тестовых лабораторий, например NSS. Доверять производителю одно, а проверить самому - другое.

Количество ложных срабатываний


Второй характеристикой на которую нужно смотреть: количество ложных срабатываний. Так же как мы раздражаемся от спама, точно такое же впечатление производят ложные срабатывания на администраторов безопасности. В конце концов администраторы, чтобы защитить свою психику, просто перестают реагировать на все сообщения системы и ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить эту систему более менее адекватно именно к угрозам в вашей сети нужно потратить уйму времени.

В некоторых системах обнаружения и предотвращения атак встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например от сканера безопасности. Например, если сканер безопасности увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со сто процентной уверенностью сказать что атака червя Slammer (которая нацелена на MS SQL) на данный сервер не пройдет. Таким образом такие системы корреляции помечают часть атак как неудавшиеся, что сильно облегчает работу администратора.

Современность защитных технологий


Третьей характеристикой являются методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Изначально существует два разных подхода: сигнатурные IPS ищут атаки, основываясь на найденных ранее эксплойтах, а IPS с анализом протоколов ищут атаки на базе знаний о найденных ранее уязвимостях. Если написать новый эксплойт для той же уязвимости, то IPS первого класса не обнаружат и не блокируют его, а второго класса и обнаружат и заблокируют. IPS второго класса гораздо эффективнее, поскольку блокируют целые классы атак. В итоге, у одного производителя нужно 100 сигнатур для обнаружения всех разновидностей одной и той же атаки, у другого достаточно одного правила, анализирующего уязвимость протокола или формата данных, которыми все эти разновидности атак пользуются. Недавно появился термин превентивная защита. В него включаются и возможность защиты от атак, которые еще неизвестны и защита от атак, которые уже известны, но производитель еще не выпустил патча. Вообще слово «превентивная» очередной американизм. Есть более русский термин: «своевременная» - та защита, которая срабатывает до того как нас взломали или заразили, а не после. Такие технологии уже есть и их надо использовать. Спросите у производителя при покупке: какие технологии превентивной защиты у них использованы и вы все поймете.

К сожалению, еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому вам для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов. Другое будет использовать методы статистические и аналитические по анализу аномалий в поведении сетевых потоков. Сигнатурные методы еще используются во многих системах обнаружения и предотвращения атак, но к сожалению они не оправдывают себя. Они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Сигнатурные антивирусы не справляются сейчас с новыми вирусами по той же причине – реактивность защиты. Поэтому, самыми передовыми методами анализа атак сейчас является полный анализ протокола. Идея этого метода в том, что анализируется не конкретная атака, а в самом протоколе ищется признак использования уязвимости атакующим. Например, система может отследить был ли перед началом TCP пакета с атакой трехпакетный обмен по установлению TCP соединения (пакеты с флагами SYN, SYN+ACK, ACK). Если перед проведением атаки нужно установление соединения, то система по анализу протоколов проверит были ли оно и если пойдет пакет с атакой без установления соединения, то она обнаружит, что такая атака неуспешна, поскольку соединения не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по другому. Они анализируют сетевой трафик (например, около недели) и запоминают какие сетевые потоки идут обычно. Как только возникает трафик, который не соответствует запомненному поведению – ясно, что в сети что-то происходит новое: например, распространение нового червя. Кроме того, такие системы связаны с центром обновлений и раз в час или чаще получают новые правила поведения червей и и другие обновления, например, списки фишинговых сайтов, что позволяет им их сразу блокировать, или списки хостов управления бот сетями, что сразу позволяет детектировать заражение какого-то хоста, как только он пытается соедиться с центром управления бот сетью и т.д.

Даже появление нового хоста в сети – для поведенческой системы важное событие: надо узнать что за хост, что на нем установлено, есть ли на нем уязвимости, а может новый хост сам будет атакующим. Для провайдеров такие поведенческие системы важны тем, что они позволяют отслеживать изменения в «грузопотоке», ведь провайдеру важно обеспечить скорость и надежность доставки пакетов, а если вдруг с утра оказалось, что весь трафик идет по одному каналу и не умещается в нем, а остальные несколько каналов в Интернет через других провайдеров незадействованы, то это значит, что где-то сбились настройки и надо заняться балансировкой и перераспределением нагрузки.
Для хозяина небольшой сети важно, что внутри не завелись атакующие, чтобы сеть не записали в черный список спамеров, чтобы атакующие не забили весь канал в Интернет мусором. А ведь за Интернет канал и трафик надо платить провайдеру деньги. Каждый директор фирмы хотел бы вовремя обнаруживать и останавливать трату денег на трафик бесполезный для бизнеса.

Анализируемые протоколы и форматы данных

Если мы говорим о технических специалистах, которые принимают решение о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно вас интересует что-то конкретное: например анализ атак в javascript, или отражение попыток sql injection, или DDoS атак, или у вас вообще SCADA (система контроля и управления датчиками) и нужно анализировать протоколы вашей специализированной системы, или вам критично защищать протоколы VoIP, в которых уже имеются уязвимости при реализации в силу их сложности.
Кроме того, не все знают, что события IPS бывают не только типа «атака», бывают еще типы «аудит» и «статус». Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ – её использование - атака. Если нет – значит вы просто можете отслеживать все подключения и кто с кем общается. Или просто отключить эту сигнатуру, если считаете это нетичным.

Специалисты

Возникает вопрос: где же брать таких специалистов, которые разбираются что нужно купить, и которые потом будут знать как реагировать на каждое сообщение системы предотвращения атак и даже смогут ее настраивать. Понятно, что можно пойти на курсы по обучению управлением такой системы, но на самом деле человек должен сначала разбираться в сетевых протоколах, потом в сетевых атаках, а потом в методах реагирования. А такие курсы отсутствуют. Тут нужен опыт. Есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений поступающих с консолей систем безопасности. В них работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернет и они обеспечивают эффективную защиту, а вы в свою очередь избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии имеющихся средств защиты начиная от VPN и заканчивая антивирусами. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А нанять специалиста обычно можно только на работу с понедельника по пятницу с 9 до 18, и то он иногда болеет, учится, ходит на конференции, ездит в командировки и, бывает, что неожиданно увольняется.

Поддержка продукта

Важно подчеркнуть такой момент в IPS как поддержка своих продуктов производителем. К сожалению обновления алгоритмов, сигнатур и правил до сих пор необходимы, поскольку технологии и злоумышленники не стоят на месте и нужно постоянно закрывать новые классы уязвимостей в новых технологиях. Каждый год находят несколько тысяч уязвимостей. Наверняка, ваши программные и аппаратные средства содержат несколько из них. Как вы узнавали про уязвимости в них и как потом защищались? А ведь нужен постоянный контроль за актуальностью защиты. Поэтому важным компонентом является постоянная поддержка защитных средств, которым вы доверили безопасность своей компании: наличие профессиональной команды, которая постоянно отслеживает новые уязвимости и своевременно пишет новые проверки, которая сама ищет уязвимости, чтобы быть впереди злоумышленников. Так что когда покупаете такую сложную систему как IPS посмотрите на то, какую поддержку предлагает производитель. Нелишне узнать насколько хорошо и вовремя он справился с атаками, которые уже были в прошлом.

Защита от методов обхода IPS

На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. (Управление IPS осуществляется через отдельный порт управления.) Однако, существуют методы обхода IPS, позволяющие его «обмануть» и провести атаку на защищаемые ими сети. В популярной литературе эти методы подробно описаны. Например, тестовая лаборатория NSS активно использует методы обхода для проверки IPS.  Производителям IPS сложно противодействовать этим методам. И то, как производитель справляется с методами обхода и является еще одной интересной характеристикой системы предотвращения атак.

Важность использования IPS в корпоративных сетях назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак уже разработаны, так что остается только их грамотно установить и эксплуатировать. В статье специально не были названы имена производителей, чтобы сделать обзор свойств IPS максимально непредвзятым.

или введите имя

CAPTCHA
Страницы: 1  2  3  
28-08-2008 08:48:33
+100
0 |
1
28-08-2008 10:18:29
-1 Кроме SNORT не увидел других примеров IDS и IPS. Хотя бы пара-тройка названий лишней не была.
0 |
1
28-08-2008 22:22:07
В России чаще всего встречаются IBM Proventia IPS и Cisco IPS
0 |
1
28-08-2008 23:43:36
WatchGuard FireBox.
0 |
07-09-2008 14:24:42
прочитал только что документацию по нему. Да, жалко тех людей у которых эта железяка. WatchGuard не смог даже firewall нормально сделать: там нет одной простой вещи: явного указания порядка правил. Это нонсенс. Что уж говорить об IPS который там якобы есть: это та же функциональность firewall и антивируса, только названная модным словом Intrusion Preventsion. Единственно, что в ней нашел полезного: регулирование числа запросов в секунду для 6 типов пакетов (якобы целых 6 типов DoS можно остановить). Но ребята, простите: rate limit есть уже давно в любом маршрутизаторе... за что платить деньги? Нету там IPS вообще.
0 |
ds
13-06-2009 13:49:31
у нас был firebox. НИ В КОЕМ СЛУЧАЕ НЕ БЕРИТЕ ЭТО Г. !!
0 |
31-08-2008 02:53:39
Но для начинающих в безопасности пойдет. Поэтому спасибо =)
0 |
1
28-08-2008 10:24:11
На твердую тройку. Читал с интересом, но хотелось бы больше технической информации. Автору спасибо.
0 |
1
28-08-2008 10:42:38
ИМХО автор немного неправильно проводит паралель между IPS и файрволом (кстати, он называется МСЭ - межсетевой экран). Основное отличие IPS и МСЭ не в том, что Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет и не в том, что Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. а в том, что IPS работает в сети ПРОЗРАЧНО. Я так понимаю, именно это хотел сказать автор во втором сравнении К тому же, существуют различные типы как IPS (хостовая, сетевая, контентная и т.д.) так и МСЭ (пакетные фильтры, фильры прикладного уровня и т.д.), о которых в статье ни слова. На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. Подобная IPS может содержать уязвимость в отработчиках каких-либо протоколов. При наличии уязвимости, для атаки на IPS не нужен IP адрес, достаточно отправить злонамеренный пакет в сеть, где работает IPS.
0 |
28-08-2008 11:44:22
Пишу второй раз, потомучто дебильно сделана авторизация: пока писал свой комментарий мне сделали logoff и он потерялся В кратце, цитаты делать уже не буду: 1. Кроме перечисленных МСЭ есть еще Aplication Inspection Firewall. Типичным его примером является PIX/ASA которые понимают содержимое некоторых мультимедийных протоколов, HTTP, FTP, SMTP. 2. Режим обхода IPS в случае ее "падения" должен быть настраиваемым и зависить от политики безопасности. Если политика разрешает то трафик бегает, если нет, то обмен останавливается. 3. IPS использующие сигнатурный анализ и обнаружение аномалий одновременно существуют. Пример: Cisco IPS. Другое дело что обнаружение аномалий у них заточено под обнаружение червей. С другой стороны их сигнатуры используют специальные движки "Engine", которые выполняют _различные_ функции. Начиная с анализа отдельных пакетов (что очевидно автор и понимает под сигнатурынм анализом) это движок Atomic IP, проходя мимо анализа потоков normalize (или как-то так) engine собирающий потоки и обнаруживающий скажем Half-open TCP, и заканчивая движками Net Flood и Host Flood. 4. Большое количество false ppositive или ложных срабатываний дает любая IPS/IDS с дефолтными настройками. Для преодоления этого необходимо провести ее тонкую настройку или тюнинг, основываясь на глубоком анализе защищаемой сети. 5. IDS также способны реагировать на вторжения. Правда по своей природе они реагируют "реактивно" посылкой TCP RST пакета, разрывающего "плохую" сессиию. От себя хочу сказать что сами по себе IPS не особо интересны. При их внедрении надо также учитывать необходимость в преобретении средств анализа их сигналов. ЗЫ. Да и вобще сетевые инженеры както не очень в восторге от _автоматического_ предотвращения второжений. Вот _автоматизированное_, когда система при возникновении инцидента показывает большую красную кнопку, по нажатию на которую будет осуществлена блокировка, вызывает больше интереса.
0 |
1
28-08-2008 11:51:32
Отличная реклама Cisco. Вы совершенно правы, что сетевые инженеры не в восторге от нее
0 |
1
28-08-2008 12:28:03
Причем здесь реклама Cisco? Только факты. Check Point FW-1 с включенным Smart Defenc-ом умеет блокировать атаки как на HTTP, FTP, SMTP так и мультимедийные протоколы (в т.ч и ip-телефонию). Опять в дистрибутиве немного сигнатур есть, необходима подписка на обновления. Check Point FW-1 можно ставить как в качестве МЭ с собственным ip-адресом, так и в прозрачном режиме в разрыв. У того же Check Point есть собственный продукт IPS-1, и чего? С таким же успехом можно рекламировать продукты IBM-ISS связку Site Protector - IPS Proventia - Fusion Module. В составе Proventia есть встраенный пакетный фильтр.
0 |
1
28-08-2008 12:43:12
Имеется ввиду CISCO Security Agent ? Если да, что кроме винды он нигде толком не работает. На солярке он сжирает 40-80% процессорного времени. Причём гонялось это поделие на разных железках от SF 280R и до SF 20K включительно. Как говориться "поставили CSA и тормознули крутой сервак"...
0 |
1
28-08-2008 13:57:42
Опять Cisco. Будем рекламировать IBM. Proventia Server Intrusion Prevention System (IPS)- устнавливается на сервер. Это IPS и фаерволл, антивирь (ловит и spyware). Для рабочих станциий Proventia Desktop Endpoint Security тоже самое.
0 |
29-08-2008 10:48:23
Да причем тут реклама? Я говорю о том с чем работаю. Да Вы совершенно правы, что сетевые инженеры не в восторге от нее , но какая есть альтернатива?
0 |
29-08-2008 12:02:13
Основные поставщики IPS в мире: IBM ISS, Cisco, McAfee, TippingPoint, Juniper. Полный список: Arbor Networks, Inc. Check Point Software Technologies Computer Associates International, Inc. DeepNines Inc. eEye Digital Security Enterasys Networks, Inc. ForeScout Technologies, Inc. Internet Security Systems, Inc. Intoto Inc. Juniper Networks, Inc. Lancope MazuNetworks McAfee Technology, Inc. NFR Security Nitro Security Reflex Security, Inc. Radware Sourcefire, Inc. Symantec Corporation TippingPoint Technologies, Inc. Trustwave Top Layer Networks Tripwire, Inc. Источник: Frost&Sullivan
0 |
29-08-2008 13:33:07
Я и не сомневался что их много. Но если у вас большая сеть, то на чем вы ее будете строит? На Catalyst`ах, если вам надо балансировать трафик то чем вы это будете делать? CSM`ами. Если вы хотите фильтровать всех ото всех, то чем будете это делать? FWSM`ами. Бывают конечно и с ними непонятные проблеммы, но зато все решения интегрировнные, гибко настраиваемые и масштабируемые. Может Cisco это и плохо, но у них самый полный подход к решению различных проблем. Думаю с этим спорить никто не сможет. И кстати все оч. хорошо документировано - что само по себе уже большой +
0 |
29-08-2008 17:13:40
я всего лишь хотел ответить на ваш вопрос про альтернативы и показал что выбор есть. ну а насчет выбора решения, вряд ли я хочу спорить с фанатом Cisco Если вы знаете Cisco и умеете обслуживать Cisco - то выбор ясен и не подлежит обсуждению. На все свои вопросы вы будете автоматом отвечать Cisco, уже не слушая про Nortel или Juniper. Это обычное нежелание изучать что-то еще, его еще называют "привычка". Именно поэтому не думаю, что и в случае с безопасностью ваш выбор связан "с полным подходом Cisco к решению проблем". (например, хостовая защита серверов отсутствует в Cisco, или тех же модных DLP решений нет у Cisco). Вон у Mitshubishi тоже полный подход. Что же тогда у вас должна быть машина Mitsubishi, телевизор Mitsubishi, телефон Mitsubishi и т.д. Но ведь это же не так, верно? Хотя бы телефон у вас должен быть от Cisco
0 |
1
29-08-2008 18:59:50
)) капча 93974
0 |
31-08-2008 02:58:26
Если все начнут обсуждать, что лучше, Cisco или еще что-то другое, получится огромный флейм и бессмысленный холивар. Это вопрос религиозный, точно так же, как обжимка RJ-45 по варианту А или В... может, еще и это обсудим?
0 |
31-08-2008 13:58:52
обсудим, только в форумах более популярно пофлеймить на тему Windows vs Linux. Но в этой ветке мы обсуждаем выбор IPS от разных производителей и все попытки перевести тему в другое русло будут пресекаться. В споре рождается истина. (хотя, надеюсь, что не только в нем)
0 |
1
28-08-2008 17:25:16
Защита от обхода в IBM ISS: - PAM module includes detecting fragmented attacks. Protocols are decoded and interpreted making the sensor immune to evasion techniques, such as: - Polymorphic shellcode - Unicode URL encoding - SNMP floods - SNMP OID translation - Packet overlapping - RPC record marking - FTP, Telnet option code insertion - Evasion tools such as ADMutate, stick, snot, whisker, fragrouter, and fragroute - Verify protocol compliance by checking protocol fields for illegal or suspicious values, such as sequence number gaps or overlap, and checksum and CRC modification. - Minimize false positives
0 |
Страницы: 1  2  3