Informatyka antywłamaniowa

Podstawowa zapora sieciowa (firewall) przestaje być środkiem wystarczającym do zabezpieczenia sieci i systemów IT. Ataki na infrastrukturę są coraz bardziej wyrafinowane, a mechanizmy oferowane przez statyczne systemy bezpieczeństwa nie zapewniają odpowiedniego poziomu zabezpieczeń. Nowe formy ataków wymagają spojrzenia do wnętrza pakietów oraz analizy powiązań przyczynowo-skutkowych.

W zaawansowanej analizie bezpieczeństwa pomocne mogą być systemy określane nazwami IDS (Intruse Detection System) oraz IPS (Intruse Prevention System). Pomimo podobieństwa nazw, omawiane systemy prezentują zupełnie różne zastosowania; inne są mechanizmy ich działania. Sposób umiejscowienia systemów IDS/IPS w infrastrukturze IT przedsiębiorstwa jest także odmienny. Systemy IDS i IPS poza słowem intruse w nazwie może jednak łączyć dużo więcej niż wspólna baza sygnatur zagrożeń. IPS od IDS różni bardzo wiele, ale bez problemu mogą współpracować, w celu poprawy bezpieczeństwa każdej sieci.

Jak działa IPS…

System Intruse Prevention System, czyli zapobiegania włamaniom, działa podobnie do zapory sieciowej, ale wyróżnia się między innymi faktem posiadania zaawansowanej bazy sygnatur. Zapora bazuje na mechanizmach blokady protokołów sieciowych, czyli przeważnie na podstawie warstwy 2 i 3 modelu OSI/ISO. IPS potrafi blokować bardziej zaawansowane formy przepływu informacji, wykrywa znane ataki sieciowe. IPS może także realizować inne funkcje. Może ograniczać ilość ruchu, zapobiegając atakom typu DoS, realizować politykę bezpieczeństwa, zawierać narzędzia zapobiegające utracie danych oraz wykrywające anomalie sieciowe. IPS stanowi więc narzędzie kontroli w sieci.

Informatyka antywłamaniowa

Przykład typowego mwdrożenia systemu IDS

Głównym zadaniem systemu IPS jest analiza i ocena zagrożeń na podstawie wskazanej bazy sygnatur, a następnie podjęcie określonej akcji wobec analizowanych pakietów. IPS posiada własną bazę sygnatur. Większość z tych sygnatur pozwala blokować określone problemy związane z bezpieczeństwem. Jeżeli pakiet pojawi się w systemie IPS, oprogramowanie przeszukuje bazę reguł, szukając powodów do powstrzymania pakietu. IPS przegląda listę reguł, podobnie jak robi to zapora sieciowa realizująca zadania list kontroli dostępu. Jeżeli pakiet nie trafi na żadną regułę blokującą, na końcu jest przesyłany zgodnie z miejscem przeznaczenia.

Filozofia działania IPS umiejscawia go w infrastrukturze pomiędzy dwiema sieciami, pomiędzy którymi zamierzamy kontrolować ruch. W ten sposób możemy mieć pełną kontrolę nad zagrożeniami pochodzącymi z każdego punktu sieci. Bardzo często w rozbudowanych urządzeniach, system IPS jest zintegrowany z zaporą ogniową. Takie rozwiązanie jest określane skrótem UTM (Universal Threat Management).

… a jak IDS?

IPS oraz IDS mogą używać identycznej bazy zagrożeń, ale prezentują zupełnie różne filozofie działania. System detekcji incydentów realizuje odmienne funkcje od IPS, które przeznaczone są do rozwiązywania rozmaitych problemów związanych z bezpieczeństwem. IDS może jednak pomagać IPS w dość szerokim zakresie zadań. Potrafi między innymi wspierać tworzenie sygnatur. IDS w przeciwieństwie do IPS jest umiejscowiony poza centralną lokalizacją w sieci i nie monitoruje całego przepływu danych. System IDS monitoruje ruch w różnych punktach sieci i może zostać porównany do rozproszonego analizatora sieci. IDS analizuje dane pochodzące z różnych punktów sieci w zakresie bezpieczeństwa. Realizuje to na podstawie znanych sygnatur, ale może także pracować inteligentnie, realizując wsparcie w zakresie tworzenia nowych sygnatur. Informuje o naruszeniach polityki bezpieczeństwa, infekcjach lokalnych komputerów, wyciekach informacji, problemach z konfiguracjami i wielu innych problemach sieciowych.

IDS pozwala zidentyfikować anomalie w zawartości pakietów, potrafi porównywać sygnatury - wzorce zagrożeń - z pakietami wchodzącymi i wychodzącymi z sieci, a także wskazywać zagrożenia wynikające ze zmiany stanu sieci. Główną korzyścią z zastosowania IDS jest zminimalizowanie ryzyka pojawienia się w sieci zagrożenia, które może spowodować znaczące kłopoty. Bardzo często takim zagrożeniem są nowe formy robaków sieciowych czy wirusów. Jeżeli określisz stan sieci pracującej w trybie standardowym, definiując wszystkie wykorzystywane protokoły i formy ruchu, każde odejście od tych reguł będzie generowało alarm, a w efekcie pozwoli stworzyć nową regułę zagrożenia. Podejrzany ruch może zostać zaakceptowany, jeżeli jest znany, lub może zostać odrzucony utworzoną regułą.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200