NIPS та HIPS, Windows IT Pro

Профілактика несанкціонованого доступу Для адміністратора безпеки слова NIPS та HIPS звучать як втілення мрії: це комплекс превентивних заходів для відображення цілої низки мережевих атак. NIPS та HIPS - два типи систем запобігання вторгненням Intrusion Prevention Systems (IPS).

Профілактика несанкціонованого доступу

Для адміністратора безпеки слова NIPS та HIPS звучать як втілення мрії: це комплекс превентивних заходів для відображення цілої низки мережевих атак. NIPS та HIPS – два типи систем запобігання вторгненням Intrusion Prevention Systems (IPS). Деякі адміністратори безпеки вважають, що IPS — просто маркетинговий термін, який використовується постачальниками для просування ринку систем виявлення вторгнень Intrusion Detection Systems (IDS) новими способами. Інші налаштовані менш скептично та розглядають IPS як черговий етап еволюції пристроїв мережного захисту. Зазвичай ці думки ґрунтуються на різних визначеннях IPS. Навіть постачальники IPS не можуть дійти згоди про єдине визначення або технологічну модель. І лише час покаже, чи приживеться нова технологія на ринку.

Найбільш широко визнане визначення IPS - пристрій, що вбудовується, в якому об'єднані IDS і брандмауер прикладного рівня. Більшість організацій не використовують брандмауери, які працюють на прикладному рівні мережевого стека через втрату продуктивності, пов'язаних з витратою значних обчислювальних ресурсів на аналіз компонентів кожного пакета в спробі виявити ознаки загрози. У сучасних брандмауерах рішення про доступ в основному приймається на мережному та транспортному рівнях пакета, але при цьому не вдається виявити багатьох важливих фрагментів, що несуть небезпечне навантаження.

Подібно до мережевих IDS (networkIDS, NIDS) та IDS на хості (host IDS, HIDS), існують мережеві IPS (NIPS) та IPS на хості (HIPS). Рішення NIPS аналізують трафік перед тим, як пропустити його в мережу або підсіти. Рішення HIPS аналізують пакети перед тим, як вони надходять до комп'ютера.

Окрім поділу на NIPS та HIPS, системи IPS можуть відрізнятися за типом продукту. Функціональність IPS може бути:

  • реалізована у вигляді спеціалізованого пристрою. Спеціалізовані пристрої IPS є автономними продуктами. Зазвичай це окремі пристрої NIPS, і весь трафік повинен пройти через них, перш ніж він надійде до мережі;
  • вбудована у інші продукти. Деякі постачальники почали вбудовувати функції IPS у наявні продукти безпеки. Наприклад, постачальники брандмауерів Check Point Software Technologies та Juniper Networks доповнили функціями IPS свої брандмауери FireWall-1 та NetScreen-5GT відповідно.

Більшість організацій вже мають брандмауери і хочуть доповнити, а не замінити їх, тому в даній статті будуть розглянуті спеціалізовані пристрої NIPS і рішення HIPS.

Спеціалізовані пристрої NIPS

Деякі пристрої NIPS дозволяють адміністраторам встановити базові рівні з урахуванням кількісних оцінок завантаження смуги пропускання каналу зв'язку. В інших пристроях використовуються якісні оцінки, такі як «високий», «середній» та «низький». Серія Captus IPS 4000 Captus Networks дозволяє визначити ситуацію, коли конкретна служба перевантажена і починає уповільнювати трафік. Якщо обсяг трафіку не знижується, продукт може заборонити доступ клієнта до служби.

Крім призначення порога для трафіку, дозволеного в конкретній системі, Attack Mitigator IPS 5500 компанії Top Layer Networks має в своєму розпорядженніцікавою функцією, що називається "посередництво при з'єднаннях" (connection proxying), якої, здається, немає в інших продуктах NIPS. За допомогою цієї функції можна обмежити кількість незавершених з'єднань TCP. Незавершене TCP-з'єднання зазвичай вказує на ворожу діяльність, наприклад, атаку типу SYN flood. Після того, як досягнуто поріг для числа незавершених TCP-з'єднань, Attack Mitigator починає відігравати роль посередника між відправником і приймачем. Пакети з'єднань, як і раніше, надходять в Attack Mitigator, але трафік буде передаватися на цільовий комп'ютер тільки при завершеному з'єднанні TCP (послідовність пакетів SYN, SYN/ACK, ACK).

Залежно від налаштування спеціалізованого пристрою NIPS, після перевищення граничного значення трафіку можна скоротити трафік, повністю відкидати пакети або надіслати адміністратору попередження. Таким чином, вдається ефективно протидіяти атакам з відмовою в обслуговуванні (Denial of Service, DoS). Проблема полягає в тому, щоб правильно налаштувати пороги IPS, забезпечивши належний рівень захисту без блокування або перенаправлення корисного трафіку. Наприклад, як визначити прийнятну кількість пакетів, що надходять на DNS-сервер, Web-сервери та поштові сервери? Адміністратору необхідно навчитися коригувати пороги в процесі роботи та постійно налаштовувати IPS-пристрій доти, доки не буде знайдено оптимальний обсяг трафіку, що надходить у різні пункти призначення.

Споживачі, що працюють із пристроями NIPS, часто скаржаться на труднощі визначення порогів трафіку між вузлами мережі і між портами. Деякі постачальники надають методики та інструменти моніторингу трафіку для визначення коректних порогів, але це рідкісний успіх. Найчастіше постачальники надають надмірно складнепоетапне керівництво або надсилають інженера призначення порогів, які згодом доводиться змінювати при зміні параметрів середовища проживання і інтенсивності трафіку.

Системи NIPS на базі контенту.Пристрої NIPS на базі контенту виявляють аномалії в поведінці та протоколах та визначають за ними діяльність хакерів. Традиційні системи IDS працюють так само, тому пристрої NIPS на базі контенту не можна назвати сміливою новацією. Пристрої NIPS на базі контенту виявляють аномальну поведінку, зокрема FTP-трафік, що надходить на порт 53, двійковий код усередині пароля користувача або надмірна кількість байтів, що виходить із браузера. Крім того, у них використовуються сигнатури для пошуку аномалій у протоколах для ідентифікації пакетів, які не відповідають документації RFC для цього протоколу. Цей метод призводить до великої кількості хибних позитивних спрацьовувань, оскільки багато постачальників не суворо дотримуються вимог RFC даного протоколу. Пристрої NIPS з урахуванням контенту також виявляють специфічні аномалії протоколу. Наприклад, нижче наводиться кілька потенційно небезпечних змін у заголовках мережевих та транспортних пакетів:

  • неправильна довжина заголовка чи поля;
  • неправильні контрольні суми;
  • неправильні перекриття сегментів TCP;
  • некоректне використання прапорів на полях заголовка.

Деякі пристрої IPS на базі контенту глибше аналізують пакети у пошуках потенційних небезпек усередині заголовків прикладного рівня. Зокрема, можна виявити такі аномалії протоколу прикладного рівня:

  • незаконне використання команд протоколу;
  • надзвичайно довгі або короткі поля, які можуть вказувати на переповнення буфера;
  • використання протоколу длянестандартних цілей;
  • прив'язка протоколу до незвичайного номера порту;
  • неправильні значення та комбінації полів.

У деяких IPS-продуктах робляться спроби поєднати порогові функції з аналізом контенту. Проте через великий обсяг ресурсів, необхідні реалізації різних типів аналізу пакетів, важко успішно комбінувати в одному пристрої.

На відміну від рішень HIDS, які повідомляють лише про те, що сталася підозріла подія, у рішеннях HIPS робляться спроби попередити потенційно небезпечну діяльність. Як і в пристроях NIPS, рішення HIPS можуть застосовувати підходи на основі сигнатур та аналізу поведінки. Наприклад, зломщик може спробувати викликати переповнення буфера, щоб його програма виконувалася у просторі пам'яті ядра. Для блокування таких дій рішення HIPS переглядає системний дзвінок і порівнює його зі списком сигнатур або списком відомих моделей поведінки. Якщо виклик ідентифікований як небезпечний, доступ не дозволяється. Постачальники можуть використовувати у своїх продуктах один або обидва підходи. Наприклад, у McAfee Entercept використовується як сигнатурний, так і поведінковий метод, а в Cisco Security Agent (у минулому відомому як технологія Okena StormWatch) компанії Cisco System застосовується лише аналіз поведінки.

У різних рішеннях HIPS використовуються різні підходи, але більшість з них розгортають на системах, що захищаються централізовано керованих агентів. Агенти досліджують систему та виклики API, щоб виявити спроби нападу. Агент повинен розуміти контекст безпеки, в якому виконується процес, командні запити, що надсилаються в інтерфейс, та ресурси, до яких намагається звернутися процес. При надходженні виклику сигнатурні рішення HIPS переглядають зазвичайдовгий список незаконних викликів, асоційованих із певними типами атак. Якщо у вхідному виклику виявлено одну з підозрілих закономірностей, доступ не надається. Поведінкові рішення HIPS зазвичай мають спеціальні модулі для окремих API системних служб. Наприклад, один модуль може розглядати запити між процесами та файловою системою, інший — запити мережного набору протоколів, третій — відслідковувати запити до реєстру тощо. .

Рішення HIPS забезпечують захист від багатьох типів атак. Наприклад, вони можуть:

Це потрібно знати

Ознайомившись із різними типами IPS, можна вибрати оптимальний варіант для своєї мережі. По-перше, слід визначити тип захисту, якого потребує організація. Чи достатньо периметричного захисту для виявлення небезпечного трафіку через брандмауер? Якщо так, слід придбати спеціалізований пристрій NIPS і розмістити його за брандмауером, швидше за все, в демілітаризованій зоні (DMZ). Якщо організації потрібно виявляти ворожі дії всередині мережі, потрібно розгорнути кілька пристроїв NIPS або купити мережеві продукти з вбудованою відповідною функціональністю. Щоб захистити окремі системи, необхідно вивчити характеристики рішень HIPS, які є у продажу в даний час. Чи потрібно захиститися в першу чергу від атак DoS (у цьому випадку необхідна гранична IPS), інших типів атак (потрібна IPS на базі контенту) або нападів обох типів?

Перед початком переговорів з постачальником продукту IPS слід відповісти на запитання.

  • Якщо продукт перевіряє весь трафік, чи він відкриватиме або закриватиме доступ уу разі відмови? Якщо в результаті відмови продукт закриває доступ, виникає небезпека блокування всього мережного трафіку в даній точці, тому необхідний резервний компонент, щоб виключити подібну ситуацію. Якщо в результаті відмови продукт відкриває доступ, весь трафік буде надходити в мережу без перевірки.
  • Якого роду надмірність реалізована у продукті, що перевіряє весь трафік?
  • Де мережа повинна розміщувати продукт?
  • Які показники продуктивності продукту (зокрема, пропускна спроможність, час затримки)?
  • Наскільки складно встановлювати та регулювати пороги у продукті з аналізом порогів?
  • Які типи атак виявляє продукт з урахуванням аналізу контенту?
  • Яка величина бази сигнатур та скільки сигнатур активізовано у продукті на базі контенту? Чим більше сигнатур активізовано, тим вища ймовірність хибних позитивних спрацьовувань.
  • Яка глибина налаштування продукту для конкретного середовища?
  • Трафік якого типу блокується продуктом (наприклад, аномалії протоколів, атаки з фрагментацією, переповнення буфера, атаки з фальшивими URL-покажчиками)?
  • Чи забезпечує продукт моніторинг вхідного та вихідного трафіку мережі?
  • Чи сумісний продукт із наявним на підприємстві брандмауером і які оптимальні налаштування продукту та брандмауера?
  • Чи можна централізовано налаштовувати та керувати брандмауером?
  • Які функції протоколювання та попередження реалізовані у продукті?

З цих питань можна розпочати, але адміністратору знадобиться глибше дослідження, щоб вибрати продукт IPS, що відповідає потребам компанії. Перед покупкою продукту IPS корисно прочитати огляди та вивчити результати порівняльного тестування. Крім того, вартоознайомитися з досвідом підприємств, які застосували товар.

Незавершена, але перспективна технологія

Безперечно, IPS ще не можна назвати зрілою технологією. Проте базова концепція — блокувати всі типи атак, перш ніж хакери проникнуть у мережу, — схоже, вдала. Так само важливо, що розвиток галузі інформаційної безпеки йде у правильному напрямку: розробники розпочали створення продуктів IPS, у яких реалізовано цілісний та інтегрований підхід до безпеки.

Поділіться матеріалом з колегами та друзями