Intrusion Prevention Systems новий крок у розвитку IDS

Intrusion Prevention Systems: новий крок у розвитку IDS

Intrusion Prevention Systems: новий крок у розвитку IDS

Хочу представити Вам переклад статті Neil Desai "Intrusion Prevention Systems: Next Step in the Evolution of IDS". Я дозволив собі вставити деякі примітки та доповнення.

При поєднанні можливості фаєрвола блокувати трафік і глибокого дослідження трафіку за допомогою IDS'а, ми отримаємо новий інструмент: систему запобігання атак (intrusion prevention systems або IPS).

  • Вбудовані NIDS (Network IDS - системи виявлення атак на мережному рівні)
  • Файєрволли/IDS на рівні додатків
  • Комутатори сьомого рівня
  • IDS на рівні мережевих програм
  • Обманні системи

Вбудовані системи виявлення атак на мережевому рівні

systems

Вбудований NIDS працюватиме як міст другого рівня, перебуваючи між системою, яку необхідно захистити і рештою всієї мережі (Рис. 2).

intrusion

Таким чином, весь трафік буде проходити через вбудований NIDS. Але, на відміну від звичайного моста, вбудований NIDS аналізуватиме пакети на наявність у них уразливостей, пошук яких передбачений конфігурацією. Якщо пакет містить фрагмент, який задовольняє сигнатурі, пакет може бути перенаправлений або заблокований, а також може бути занесена інформація в логи. Однак, Hogwash має додаткову можливість переписати небезпечний пакет(и) на щось непрацююче - так звана процедура промивання пакетів (Мал. 3). IPS подібного типу корисні, якщо Ви не бажаєте, щоб атакуючий зрозумів, що його атаки безуспішні або Ви бажаєте, щоб атакуючий продовжував свої атаки на одну з Ваших систем, дозволяючи Вам зібратибільше доказів. В цьому випадку так само корисно встановлювати обманну систему - у цьому випадку "промивається" тільки вихідний трафік з обманної системи.

systems

Вбудований NIDS надає набагато більші можливості, ніж звичайний NIDS з блокуючими можливостями фаєрволів. Як і при використанні більшості NIDS, користувач може моніторити, в даному випадку захищати, кілька серверів або мереж, використовуючи один пристрій. Це може бути як добре, так і погано. Якщо з якихось причин система перестане працювати, трафік не зможе пройти через неї. Якщо Ви дбаєте про аптайм та дотримання сервісних угод, це може викликати велику проблему для Вашої мережі.

Такі IPS рекомендується використовувати в тому випадку, якщо ви вже мали справу з NIDS. Оскільки ці IPS – модифікації відомих NIDS, написання правил для них вельми нескладно і надає можливість відловлювати нові атаки. Щоб блокувати невідомі атаки, використовуючи NIDS, заснований на сигнатурах, Вам необхідно мати деякі базові правила, наприклад, наявність NOOP-послідовностей. Однак це не зупинить всі атаки. У разі вбудованого NIDS, що досліджує аномалії в протоколах, є можливість блокувати невідомі атаки по протоколах, які можна декодувати, а також маючи інформацію про цей протокол. Обидві ці системи мають суттєвий недолік, що полягає в тому, що вони дозволяють захистити тільки деякі програми, що найчастіше використовуються (такі як IIS, Apache, і т.д.). Якщо у Вас є програми, що використовують одні з цих сервісів, вбудований NIDS не надасть Вам захисту від помилок у реалізації або конфігуруванні. Вони лише надають базовий рівень захисту, проте досі мають велике значення для систем, які важко захистити (наприкладAS400, Tandem, супер-ЕОМ). Для багатьох таких систем немає іншого методу захисту чи моніторингу.(насправді, це не зовсім правильно - існують спеціальні утиліти для конкретних продуктів, як The AS/400 Security Toolkit, PowerTech, Tandem Security Analyzer. прим.)

Комутатори сьомого рівня

Традиційно комутатори були пристроями другого рівня. Але зараз, у зв'язку з високими запитами до мереж і серверів з доставки даних з великою смугою пропускання, все більшого застосування знаходять комутатори сьомого рівня. У більшості випадків мережеві інженери використовують комутатори сьомого рівня для розподілу навантаження між кількома серверами. Для вирішення цього завдання можна дослідити інформацію в протоколі сьомого рівня (наприклад, HTTP, DNS, SMTP) для ухвалення рішення про комутацію або маршрутизацію. У випадку Web-програми, можна виходячи з URL спрямовувати певні запити на конкретні сервери виходячи з визначених правил. Компанії, що виробляють подібні пристрої, почали додавати функціональність, пов'язану з безпекою, таку як захист від DoS і DDoS.

Апаратно такі комутатори істотно відрізняються від звичайних, тому що повинні забезпечувати більшу продуктивність навіть в умовах найвибагливішої мережі - вони можуть легко обробляти гігабітний і навіть кілька-гігабітний трафік. Блокування атак відбувається аналогічно до сигнатурних вбудованих NIDS. Встановлення комутатора сьомого рівня перед фаєрволлом дає повний захист усієї мережі. З усього вищезгаданого можна дійти невтішного висновку, що реалізація IPS як комутатора сьомого рівня має недоліки, аналогічні вбудованим NIDS. Вони можуть зупиняти лише атаки, які їм відомі (Рис. 4), але також як і NIDS надають можливістьдодавати сигнатури нових атак. Єдина атака, яку комутатор сьомого рівня може зупинити на відміну від інших IPS - це DoS-атака, поки в них вистачає потужності справлятися з DoS-атаками без наслідків для продуктивності іншої мережі. Безпека в них є другорядною функціональністю, яка можлива лише через те, що аналізується інформація протоколу сьомого рівня для вирішення головного завдання – маршрутизації/комутації.

intrusion

Комутатори сьомого рівня легко розширюються. Вони можуть бути налаштовані в режимі активного очікування або в режимі розподілу навантаження. Такої можливості немає в жодному з інших IPS. Незважаючи на те, що здатність зупиняти атаки у комутаторів не така висока, як при використанні останніх двох технологій, описаних далі в цій статті, у них є багато інших корисних можливостей, що роблять комутатори засобом. Оскільки спочатку комутатори народилися у світі мереж, вони вміють розподіляти навантаження між серверами, фаєрволами та NIDS, маршрутизувати використовуючи протоколи BGP, OSPF та RIP та орієнтовані на більшу продуктивність та відмовостійкість. Багато можливостей, що стосуються безпеки, надано як доповнення до програмного забезпечення комутаторів, тому можливе використання вже існуючих у мережі комутаторів.

Файєрволли/IDS на рівні додатків

Файєрволли та IDS рівня програм зазвичай пропонуються як рішення щодо запобігання атакам, ніж традиційне IDS. Такі IPS встановлюються на всі сервери, які необхідно захищати, тому вони окупають себе тільки якщо обсяг адміністрування всіх встановлених IPS не надто високий. Файєрволли/IDS на рівні програм налаштовуються окремо для кожної програми, що захищається -замість того, щоб аналізувати пакети, такі IPS аналізують виклики API, систему оправлення пам'яттю (наприклад, спроби використовувати переповнення буфера), взаємодія програм з операційною системою та допустимі взаємодії користувача з програмою (Мал. 5). Це часто допомагає захиститися від помилок у реалізації та від невідомих атак.

systems

IPS рівня додатків може підлаштуватися під Вашу систему перед захистом - під час цієї стадії IPS відстежує користувальницьку взаємодію з додатками та взаємодію додатків з опреційною системою, щоб визначити, які взаємини є допустимими. Після створення профайлу або правил програми, IPS можна переводити в режим захисту. На відміну від вбудованих NIDS та комутаторів сьомого рівня, IPS рівня додатків є “закритими системами”, тобто якщо відбувається якась дія, яка не була зумовлена, IPS заблокує його. Один із недоліків такої системи полягає в тому, що під час створення профайлу для програми, користувач повинен використовувати всі можливі аспекти цієї програми, щоб IPS виявив всі можливі взаємодії та створив для них правила. Якщо таке вичерпне тестування не буде здійснено, деякі частини програми можуть не працювати. Інший недолік виявляється коли програма оновлюється - у цьому випадку, можливо, доведеться заново створювати профайл для цієї програми, щоб допустимі операції не були заблоковані.

Ці типи IPS забезпечують, мабуть, найбільший ступінь захисту самописних і нестандартних/непоширених додатків. Оскільки брандмауер/IPS завантажується на кожен фізичний сервер, Ви можете змінювати будь-які правила для забезпечення максимального захисту. З усіх IPS, описаних у цій статті,фаєрволли/IPS рівня програми - єдині IPS, які аналізують взаємодію додатків з операційною системою та системою управління пам'яттю.

Ця технологія - щось середнє між фаєрволлами/IPS рівня програми та комутаторами сьомого рівня. Подібно до комутаторів сьомого рівня, гібридні комутатори встановлюються перед сервером(ами), але замість використання набору правил звичайних NIDS, використовується політика, схожа з фаєрволлами/IPS рівня додатків (Рис. 6) - вони аналізують трафік на наявність небезпечного контенту, визначеного конфігуруємо. Деякі компанії пропонують утиліти визначення потенційних вразливостей додатків. Використовуючи такі утиліти, можна просканувати програми та отримані відомості імпортувати в IPS як набір правил. Це дуже полегшує роботу адміністратора з конфігурування правил захисту додатків.

intrusion

Гібридні комутатори працюють таким же чином, що й комутатори сьомого рівня, але крім набору сигнатур, за допомогою яких можна зупинити атаки, спрямовані на веб-сервер, вони ще мають достатнє уявлення про цей веб-сервер і про програми, які використовуються в ньому. . Запит користувача блокується, якщо він не задовольняє жодному з дозволяючих правил. Якщо додаток, що захищається, обробляє велику кількість трафіку, гібридний комутатор можна поєднати з комутатором сьомого рівня для забезпечення більшої продуктивності - комутатор сьомого рівня в цьому випадку налаштовується таким чином, щоб посилати трафік тільки певного типу на гібридний комутатор для подальшого дослідження, зменшуючи таким чином кількість запитів, які обробляються гібридним комутатором, та збільшуючи загальну продуктивність.

Розглянемо метод, який робить дещо інші речі. Цей метод не новий – вперше він обговорювався у 1998 році на конференції RAID. Так звані "обманні системи". Спочатку "обманна система" аналізує весь трафік і визначає, який трафік пропускати (Рис. 7), аналогічно стадії створення профайлів у фаєрволах/IPS рівня додатків. Потім, при виявленні спроби підключитися до сервісу, який не існує взагалі або принаймні на цьому сервері, "обманна система" посилає відповідь атакуючому (Рис. 8).

systems

intrusion

Відповідь буде "помічена" якоюсь фальшивою інформацією і коли атакуючий повернеться і спробує зламати сервер, IPS побачить "помічені" дані і зупинить весь трафік, що йде з боку атакуючого. Насправді атакуючому навіть не обов'язково атакувати фальшивий веб-сервер, щоб бути поміченим. Залежно від конфігурації системи, "помічені" дані можуть бути не тільки в тілі пакета. Це дозволить зловити атакуючого навіть якщо він спробує атакувати існуючий веб-сервер.

Всі типи IPS надають різні рівні захисту і кожен IPS має свої переваги і недоліки. Розглядаючи методи роботи кожного IPS, Ви повинні визначити, який з описаних типів IPS найбільше підходить для Вашого завдання. Щодо найбільш сильного захисту, то в цьому плані не існує універсального рішення. Ви можете використовувати кілька рішень одночасно. Наприклад, можна використовувати комутатор сьомого рівня перед Вашим фаєрволом, щоб захиститися від DOS-атак і невідомих атак, разом з фаєрволлами/IPS рівня додатків або гібридним комутатором для захисту web-серверів і вбудованим NIDS для захисту AS400 або Tandem-ів. Ця сфера інформаційної безпеки порівняно нова і в майбутньому будерозвиватись.

Вбудовані системи визначення мережевих аттак (NIDS)