Systemy zapobiegające włamaniom

Systemy zapobiegające włamaniom (IPS - Intrusion Prevention System) można dzisiaj podzielić na dwie kategorie: działające na podstawie wartości progowych (rate-based) i zawartości (content-based). Produkty obu kategorii są generalnie podobne do zapór ogniowych i często mają wbudowane ich podstawowe funkcje.

Systemy zapobiegające włamaniom (IPS - Intrusion Prevention System) można dzisiaj podzielić na dwie kategorie: działające na podstawie wartości progowych (rate-based) i zawartości (content-based). Produkty obu kategorii są generalnie podobne do zapór ogniowych i często mają wbudowane ich podstawowe funkcje.

Jednak zapory ogniowe blokują cały ruch z wyjątkiem tego, dla którego istnieją powody, aby go przepuszczać. Z kolei IPS przepuszczają cały ruch z wyjątkiem tego, co do którego istnieją powody, aby go blokować.

Rozwiązania rate-based blokują ruch wg przekroczenia: zbyt wiele pakietów, zbyt duża zawartość, zbyt wiele błędów. Jeżeli stwierdzą anormalną częstotliwość występowania wielu różnych elementów, blokują, dławią lub występują w roli mediatora ruchu.

Produkty content-based blokują ruch na podstawie sygnatur ataku i anomalii protokołowych. W ten sposób mogą być blokowane robaki, które mają swoje sygnatury, a także pakiety, które nie spełniają zaleceń RFC TCP/IP. Takie IPS włączają się do działania w przypadku wystąpienia podejrzanych zachowań, jak np. obiegowe skanowanie portów.

Rate-based IPS muszą zapewniać szczegółową kontrolę strumienia pakietów. Ich strojenie polega na określeniu, jaki ruch ma być śledzony i jakie ograniczenia musi spełniać. Chronione aplikacje i serwery definiuje się zazwyczaj przez kombinację adresu źródła i przeznaczenia IP, portu źródłowego i docelowego oraz protokołu. IPS kontroluje także, czy budowanie połączeń na chronionym serwerze jest rozciągnięte w czasie - to technika powszechna w atakach DoS.

Z chwilą, gdy IPS zidentyfikuje działania rozpoznawcze lub atak, najpilniejszym problemem staje się reakcja. W przypadku rate-based IPS ta funkcja jest dość złożona. Na początku można dławić ruch przez kilka minut. Jeżeli przeciążenie nie ustaje, można przerwać dostęp z klienta przeciążającego serwer. Można też wysłać alarm, jeżeli przeciążenie jest przejściowe.

Do poprawnej pracy rate-based IPS jest konieczne sprecyzowanie nie tylko normalnego poziomu ruchu (w odniesieniu do hostów lub portów), ale także innych szczegółów, takich jak liczba połączeń, którą może obsługiwać serwer webowy.

Ważny jest więc mechanizm wspomagający rozpoznawanie infrastruktury i wzorców ruchu w sieci. Wbudowane narzędzia pozwalają na monitorowanie ruchu, określanie szczytowych i średnich obciążeń, a następnie używanie tych wartości do budowania reguł ochronnych.

W content-base IPS często można znaleźć technologię honeypot. Pomysł stosowania przynęt wywodzi się z tego, że większość atakujących wykonuje najpierw akcję rozpoznawczą w sieci. Jeżeli system zostanie umieszczony w miejscu, gdzie żadne legalne połączenie nie powinno trafić, to każda próba połączenia z takim systemem może być uważana za ruch podejrzany, bez względu na to, co przenosi.

Stosowane są mechanizmy pozwalające na definiowanie związków adresów IP z aplikacjami, które eliminują niektóre rodzaje połączeń typu flood attacks.

Po zidentyfikowaniu szkodliwego ruchu IPS mogą:

  • odrzucać szkodliwy ruch;
  • odrzucać późniejszy ruch z tego samego połączenia TCP lub UDP;
  • aktywnie zamknąć połączenie przez wysłanie do klienta i serwera pakietów kończących połączenie TCP;
  • odrzucać kolejne pakiety związane z atakiem (w pewnym przedziale czasowym), np. pochodzące z tego samego adresu źródłowego IP.
Produkty zawierają często opcję dynamicznego tworzenia krótkotrwałych czarnych list potencjalnych napastników. Oferowana jest np. opcja limitowania pasma dla poszczególnych typów ruchu szkodliwego.

Poza odrzucaniem szkodliwego ruchu i wpisywaniem adresów IP na czarną listę, niektóre IPS oferują dodatkowe opcje - od odrzucania całego ruchu dla poszczególnych połączeń, do aktywnych prób powiadomienia klienta i serwera o zamykaniu połączenia. Nie każda sygnatura zasługuje na taką samą reakcję. Na przykład: pakiet TCP z nieprawidłowym numerem sekwencyjnym nie zawsze powinien powodować zerwanie połączenia, ponieważ może to być, po prostu, spóźniony pakiet.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200