Przyboczna straż administratora

W gąszczu zadań, gdy co chwila coś komuś nie działa, trudno skupić się na kwestiach monitorowania bezpieczeństwa. Mając to na uwadze, ktoś kiedyś wymyślił system wykrywania włamań. Miał administratorowi umożliwić podejmowanie stosownych działań, by przeciwdziałać powtórkom z zagrożeń. Aby życie administratora uczynić trochę znośniejszym, wymyślono systemy zapobiegania włamaniom.

W gąszczu zadań, gdy co chwila coś komuś nie działa, trudno skupić się na kwestiach monitorowania bezpieczeństwa. Mając to na uwadze, ktoś kiedyś wymyślił system wykrywania włamań. Miał administratorowi umożliwić podejmowanie stosownych działań, by przeciwdziałać powtórkom z zagrożeń. Aby życie administratora uczynić trochę znośniejszym, wymyślono systemy zapobiegania włamaniom.

Przyboczna straż administratora

IDS w sieci

Prawda oczywista: każdy administrator i projektant systemów bezpieczeństwa codziennie staje przed nowymi zadaniami, nowymi atakami i zagrożeniami. Jeszcze kilka lat temu uważano, że odpowiedni poziom bezpieczeństwa zapewnią dobrze skonfigurowane routery z listami dostępu (access lists) i stojące za nimi zapory. Zarówno jedne, jak i drugie ewoluowały i obrastały w coraz to nowsze funkcjonalności i mechanizmy. Bywało, że administrator dochodził do wniosku, że zrobił wszystko co w jego mocy, aby ustrzec zarządzaną przez siebie infrastrukturę. Zdarzało się, że jakiś użytkownik donosił albo o dziwnych restartach systemu, albo o podejrzanie wolnej pracy swojej maszyny, ale administrator wzruszał zwykle wtedy ramionami.

Jego spokojny sen i poczucie dobrze spełnionego obowiązku mogło być spowodowane kilkoma rzeczami. Czasami wynikało z niskiego poziomu świadomości zagrożeń. Dochodził do tego brak odpowiednich narzędzi, które pomogłyby w określeniu, czy dzieje się coś niedobrego. Poza tym nie występowały naruszenia bezpieczeństwa na tak masową skalę, jak dzieje się to obecnie. Ponadto, ze względu na skomplikowanie systemów, standardem było zatrudnianie kilku administratorów i w ten sposób rozkładanie jednostkowej odpowiedzialności.

Zawaleni robotą

Dzisiaj, szczególnie w średnich lub małych firmach, mamy do czynienia z wszechobecnym obniżaniem kosztów. Nie omija ono działów IT, które redukowane są do absolutnego minimum. Zostaje więc jeden, no, może dwóch administratorów, którzy mają na swojej głowie systemy pocztowe, bazy danych, kilka Linuxów, system backupowy, firewalla, router, przełączniki i gąszcz aplikacji. Mało tego, każdy z używanych systemów, to "x" mniejszych aplikacji, w których co chwila znajdowane są dziury. Dodajmy do tego jeszcze kilkudziesięciu lub kilkuset użytkowników korzystających z wymagających częstych aktualizacji systemów Wielkiego Brata i jawi się dość przerażający obraz potencjalnych celów ataku oraz ogromu pracy administracyjnej.

Aby obraz ten nieco bardziej przemawiał do wyobraźni, wystarczy wspomnieć, że od początku roku Microsoft dla samego tylko systemu Windows XP Professional wydał ok. 50 poprawek. Ale żeby nie było, że się uwzięliśmy na giganta z Redmond, musimy zaznaczyć, że ta liczba poprawek wynika nie z jakiejś wyjątkowo kiepskiej jakości produkowanych przez koncern systemów, ale w głównej mierze z ich powszechności i popularności.

W tym gąszczu zadań, gdzie co chwila coś komuś nie działa, trudno skupić się na kwestiach monitorowania bezpieczeństwa. Ktoś kiedyś, mając na uwadze problemy, które wymieniliśmy, wymyślił system wykrywania włamań. Systemy IDS (Intrusion Detection Systems) miały za zadanie wykrywać nieautoryzowane próby wtargnięcia do chronionych sieci lub stacji. To z kolei miało dawać administratorom możliwość podejmowania stosownych działań w celu przeciwdziałania podobnym sytuacjom w przyszłości. My jednak skupimy się nie na IDS, ale na ich następcach, czyli systemach zapobiegania włamaniom - IPS (Intrusion Prevention Systems). Najpierw jednak rzućmy okiem na proces ewolucji.

Jak to drzewiej bywało

Sama koncepcja IDS-ów powstała dosyć dawno - na początku lat 80. XX w. Ich pierwsze działania związane były z monitorowaniem aktywności użytkowników w systemach typu mainframe. Feministki z pewnością z dumą odnotują fakt, że ta koncepcja nie miała ojca a matkę - dr Dorothy Denning. Technologia otrzymała nazwę Intrusion Detection Expert System (IDES). Wraz z rozwojem ARPANET-u, protoplasty dzisiejszego Internetu, pojawiła się potrzeba poszerzenia spektrum monitorowania. Jednocześnie tematem zainteresowało się wojsko (US Navy) i to na jego potrzeby powstał pierwszy dopracowany system IDES.

Kilka lat później naukowcy z Uniwersytetu Davis w Kalifornii w ramach projektu pod niewinnym kryptonimem Haystack stworzyli system wykrywania włamań, którego założenia były już dość blisko związane z dzisiejszym kształtem IDS-ów. Sponsorem i w tym przypadku było wojsko - tym razem jednak odwieczny rywal marynarki - US Air Force.

Wśród systemów IDS dostępnych w owym czasie przewijają się także takie nazwy, jak: MIDAS, NADIR czy NSM. Na początku lat 90. kolejne systemy pojawiały się już częściej, choć nie można tutaj mówić o jakimś szczególnym urodzaju. Weźmy choćby wojskowy ASIM (Automated Security Measurement System), który znalazł swój odpowiednik w jednym z pierwszych komercyjnych IDS-ów sieciowych wypuszczonych przez firmę Wheel Group pod nazwą NetRanger.

Podatny grunt pojawił się wreszcie pod koniec lat 90. Wtedy pojawił się rewolucyjny jak na tamte czasy system RealSecure firmy Internet Security Systems (ISS). Mniej więcej w tym samym czasie Cisco kupiła wspomnianą już firmę Wheel Group i przejęła jej dzieło - NetRangera. W 1998 r. pojawił się też znany wszystkim system Snort, który stale rozwijany i modyfikowany w dalszym ciągu uchodzi za genialne narzędzie. Wkroczyli też inni gracze, jak Axent (wykupiony później przez Symanteca) z produktami Intruder Alert i NetProwler, czy Enterasys z Dragonem.

Systemy IDS jednak, jak sama nazwa wskazuje, w większości wypadków nie blokowały niczego, a były jedynie listonoszem przynoszącym najczęściej niezbyt dobre wieści. Do tego przychodziły one post factum, kiedy na reakcję bywało już za późno. Weźmy choćby wałkowane co prawda przy każdej okazji, ale jakże śmiertelne zagrożenia: Nimda w 2001 r. czy Slammer w 2003 r. Jeszcze zupełnie niedawno emocje wywoływały zagrożenia typu 0-day. Teraz okazuje się, że mamy do czynienia z atakami 0-hour. Doszło też do rozproszenia środowiska, w którym do tej pory rządziły IDS-y.

Przeglądanie logów systemowych w poszukiwaniu naruszeń czy podsłuchiwanie ruchu na porcie SPAN przełącznika przestało wchodzić w grę. Mnożący się w olbrzymim tempie użytkownicy mobilni, sieci bezprzewodowe czy sieci partnerskie wymusiły poszukiwanie innych, bardziej przystających do nowej rzeczywistości rozwiązań.

Naturalnym krokiem było więc rozszerzenie okrzepłych już rozwiązań detekcyjnych o możliwości prewencyjne (blokujące) w taki sposób, aby wykryte wtargnięcie mogło być od razu zablokowane. Pewnym okresem przejściowym było wyposażenie IDS-ów w proste mechanizmy sprzęgające je z systemami, które istnieją po to, żeby blokować - firewallami. Niestety jednak często bywało, że mimo zablokowania napastnika atak kończył się powodzeniem. Działo się tak, ponieważ pomiędzy zarejestrowaniem zdarzenia przez IDS, a wysłaniem dyspozycji do firewalla upływało wystarczająco dużo czasu, aby kilka pakietów, którym udało się przedrzeć, spowodowało przepełnienie bufora i "wywrócenie" się aplikacji.

Tryby i trybiki

Przyboczna straż administratora

Hostowy IPS

Czas wreszcie na samą technologię. Nie ma znaczenia jakich producentów weźmiemy pod lupę, zawsze pojawią się rozwiązania dwojakiego rodzaju - hostowe oraz sieciowe systemy zapobiegania włamaniom.

Obydwa typy rozwiązań w chwili obecnej realizują dwa podstawowe zadania. Po pierwsze zabezpieczają przed atakami, a po drugie pilnują zgodności z polityką korzystania z zasobów informacyjnych (tzw. compliance).

Zadania te same, ale miejsce ich realizacji różne. IPS-y hostowe (HIPS - Host Intrusion Prevention Systems) skupiają się na monitorowaniu zasobów systemu operacyjnego oraz otoczenia sieciowego stacji roboczej czy serwera. W przypadku wykrycia naruszenia zadanej polityki wykonują określone przez administratorów akcje, np. blokowanie, powiadamianie, logowanie. Charakterystyczne dla rozwiązań HIPS jest to, że dostarczane są w postaci oprogramowania dla szerokiej gamy systemów operacyjnych. Ostatnio te rozwiązania stają się coraz bardziej kompleksowe, realizując funkcje oprogramowania antywirusowego, antyspyware oraz klienta w standardzie 802.1x.

IPS-y sieciowe (NIPS - Network Intrusion Prevention Systems), na których się skupimy, swoją uwagę koncentrują na tym co przepływa przez kabel. Obecnie rozwiązania NIPS operują w warstwach od 2 do 7 modelu OSI. Zapewniają więc filtrowanie ruchu począwszy od np. ramki ethernetowej (warstwa łącza danych) poprzez TCP/IP (warstwy sieciowa oraz transportowa), SMB (warstwa sesji), ASCII (warstwa prezentacji) czy wreszcie najbardziej zagrożonej warstwy aplikacyjnej (np. http).

Oprócz ochrony przed atakami większość IPS-ów sieciowych sprawdza zgodność transmisji ze standardami RFC. Jest to niewątpliwą zaletą, ale może okazać się także pewną niedogodnością. Niestety, nie wszyscy producenci przestrzegają zaleceń określonych przez RFC, a co za tym idzie zdarza się, że prawidłowy ruch sieciowy zostaje zablokowany.

Dodatkową cechą profesjonalnych systemów NIPS jest forma, w jakiej są dostarczane. Trudno znaleźć produkt klasy korporacyjnej, który nie byłby dedykowanym urządzeniem. Spotyka się układy oparte na szybkich procesorach ASIC (Application-Specific Integrated Circuits), które projektowane są pod kątem wykonywania z góry określonych operacji. To z kolei pozwala na osiągnięcie dużej wydajności. Jest to jeden z elementów, który bierze się pod uwagę podczas dopasowywania urządzenia do miejsca jego późniejszej pracy.

Za co odpowiadają układy ASIC? W IPS-ach najczęściej analizują pakiety. W coraz częściej spotykanych sieciach gigabitowych liczba pakietów, które muszą zostać zbadane, a nie tylko przepuszczone przez urządzenie, jest olbrzymia. Z reguły każdy IPS składa się z szerokiej gamy filtrów analizujących każdy aspekt pakietu pod kątem niezgodności. Każdy z takich filtrów działa w oparciu o reguły, a samych reguł również jest wiele. Do tego dochodzi jeszcze jeden problem: aby system działał skutecznie, analiza nie może opierać się na pojedynczych pakietach, ale powinna odbywać się w pewnym kontekście. Wszystkie te sprawdzenia mogą być wykonywane jednocześnie, a nie może dojść do sytuacji "przytkania" urządzenia. Układy ASIC to nie jedyne rozwiązanie. Okazuje się, że urządzenia podczas projektowania których praca nad sprzętem szła w parze z pracą programistów, osiągają znakomite rezultaty.

Pora na parę słów o tym, jakie techniki wykorzystywane są przez IPS-y do wykrywania, a potem blokowania ataków. Najstarszą z nich jest wykorzystywanie sygnatur. Sygnatury mogą być bądź indywidualne (czy też atomowe), bądź stanowe. Te pierwsze sprawdzają się przy bardzo prostych atakach, gdzie anomalia leży w pojedynczym pakiecie. Dobrym przykładem może być atak DoS LAND. Prawda jest jednak taka, że jednopakietowe ataki to już przeżytek, co nie znaczy rzecz jasna, że się nie zdarzają. Dlatego też dużo istotniejsze są sygnatury stanowe, które operują na grupie pakietów występujących w pewnym kontekście. Pozwalają one na wykrywanie zagrożeń złożonych, ale też z drugiej strony znacząco obciążają sam silnik skanujący.

Obok samych sygnatur IPS-y wykorzystują inne sposoby detekcji. Stosowane są chociażby techniki wykrywania tego, co nienormalne. Owe dewiacje przybierają różnoraką postać. Jedną z nich mogą być zaburzenia ruchu sieciowego. Weźmy na przykład proste skanowanie portów. Działanie takie może być stosunkowo łatwo wykryte właśnie dzięki kojarzeniu przez IPS-a faktów. Nie jest przecież normalnym wysyłanie przez jednego hosta pojedynczych pakietów na setki portów w ciągu sekundy. Anomalie ruchu sieciowego pozwalają także na wykrywanie zachowań charakterystycznych dla koni trojańskich czy tylnych drzwi (backdoor). Kolejnym rodzajem dewiacji może być wspomniana wcześniej niezgodność protokołów ze standardami. Sztandarowym przykładem jest implementacja protokołu RPC przez Microsoft. Odbiegała ona od RFC i przyczyniła się do powstania później eksploitów wykorzystujących lukę w podsystemie DCOM. IPS-y, które pilnowały zgodności protokołów RPC z normami, blokowały atak nie posiadając jego sygnatur.

To jednak nie wszystko. Niektóre z rozwiązań dostępnych na rynku oferują dodatkowe mechanizmy, jak chociażby wykrywanie ARP i IP spoofingu czy też uruchamianie przynęt-pułapek, czyli honeypotów. Wydawałoby się, że to nic wielkiego, bo honeypoty nie są niczym nowym. To prawda, ale integrując je z IPS-ami zyskujemy możliwość dodatkowej korelacji z innymi informacjami znajdującymi się na urządzeniu i otrzymujemy pełniejszy obraz sytuacji oraz cenne ślady kryminalistyczne.

Mamy już sygnatury, mamy anomalie, tak więc pozostaje jeszcze zareagować. Co może zrobić IPS? Działania są bardzo zbliżone do akcji dostępnych na zaporach. Mogą polegać na wygenerowaniu prostego alertu czy też wpisu w logach i to wszystko. Wtedy IPS działa tak jak IDS. Mogą także zablokować połączenie - bądź kończąc połączenie przez wysłanie pakietu RST, bądź po prostu "upuszczając pakiety na podłogę". Mogą również zablokować jakąkolwiek komunikację ze źródłem zagrożenia na określony okres czasu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200