Elementy układanki

Znając podstawowe zasady pracy IPS-ów możemy wrócić jeszcze na chwilę do ich architektury. Zanim odpowiemy sobie na pytanie, gdzie umieszczać IPS, warto zdać sobie sprawę, że z reguły system ten to nie tylko jedno pudełko reklamowane przez producenta. Jedno pudełko to tylko sensor. Fakt, jest to serce systemu odpowiadające za przetwarzanie i podejmowanie decyzji, ale przeważnie nie umożliwia bezpośredniego zarządzania samym sobą. Do tego konieczny jest moduł zarządzający, który będzie zbierał i korelował dane gromadzone przez sensor.

Na rynku istnieją dwa podejścia do tego tematu. Pierwszym jest łączenie obydwu tych elementów w jednym pudełku. Drugie to rozdzielenie funkcji na dwa osobne komponenty. Obydwa podejścia mają swoje zalety i waty.

W opinii autora drugie podejście jest lepsze z dwóch powodów. Przede wszystkim odciąża sensor i zdejmuje z jego barków trudy radzenia sobie z modułem zarządzającym, co przy wzroście liczby funkcji ochronnych i przepustowości ma niebagatelne znaczenie. Po drugie, jeżeli łączy się w urządzeniu dwa komponenty, to odbija się to na możliwościach modułu zarządzania. A łatwość zarządzania urządzeniem ma kluczowe znaczenie. Co z tego, że IPS będzie posiadał olbrzymie możliwości, jeżeli skorzystanie z nich będzie wymagało jeszcze większych pokładów cierpliwości, a oczekiwanie na raport będzie groziło wstrząsem kofeinowym? Jeżeli mamy do czynienia właśnie z odseparowanymi komponentami, to często aby dostać się do modułu zarządzania będziemy potrzebować konsoli. Część produktów nie stawia takiego wymagania i pozwala na zarządzanie z poziomu przeglądarki WWW.

Wróćmy teraz do odpowiedzi na pytanie, gdzie umieszczać sensory. Wiele zależy od tego, co udostępnia dane rozwiązanie. Dostępne są dwa podstawowe tryby - passive oraz inline. W trybie passive urządzenie pracuje tak jak IDS, jedynie podsłuchując ruch sieciowy. Tryb ten jest użyteczny podczas poznawania schematów ruchu, którymi charakteryzuje się nasze środowisko. Pozostawienie urządzenia podpiętego przez tydzień do portu SPAN w przełączniku szkieletowym w większości przypadków wystarczy do wychwycenia pewnych prawidłowości i dopasowania późniejszych reguł polityki bezpieczeństwa w urządzeniu do realiów, w których przyjdzie mu pracować. Tryb inline natomiast polega na wpięciu urządzenia w infrastrukturę bezpośrednio na drodze pakietu. Jest to typowy tryb działania IPS-ów w środowiskach produkcyjnych. Pracując w tym trybie IPS działa już w warstwie drugiej i nie wymaga nadawania interfejsom adresów IP. To pozwala na uczynienie urządzenia niewidocznym w infrastrukturze i zaoszczędza trudu ewentualnej zmiany adresacji w topologii. Niektórzy producenci w ramach trybu inline proponują dodatkowe możliwości - może to być chociażby praca w trybie mostu czy ARP proxy. Są to jednak tylko dodatki.

Miejsc lokalizacji IPS-a może być tak wiele, jak wiele jest obszarów, które chcemy chronić. Do tego dochodzi wartość natężenia ruchu oraz posiadany budżet. Jeżeli decydujemy się na jedno urządzenie, to z reguły powinno znajdować się tam, gdzie spotykamy największe zagrożenia - na styku z Internetem.

W zależności od tego gdzie wstawimy IPS-a - przed czy za zaporą - uzyskamy dwa różniące się od siebie obrazy. Jeżeli IPS znajdzie się bezpośrednio za routerem brzegowym, uzyskamy dane o wszelkiego rodzaju atakach i zagrożeniach. Jednak w sytuacji, kiedy w większości przypadków stacje robocze i serwery znajdują się za NAT, nie zobaczymy, dla kogo były one przeznaczone. Jeżeli zdecydujemy się na wstawienie urządzenia bezpośrednio za firewallem, będziemy mogli powiązać ataki z konkretnymi maszynami wewnątrz sieci.

Możemy też podejść do sprawy w sposób bardziej złożony i wstawić kilka sensorów w różne strefy naszej sieci, np. jeden sensor na styku ze strefą DMZ, drugi na styku z siecią LAN, a trzeci już w sieci wewnętrznej pomiędzy działem projektowym a resztą firmy. Wtedy, oprócz samych funkcji oferowanych przez urządzenia, bardzo uważnie należy podejść do sprawy ich wydajności. Na styku z Internetem nie będą wymagane jakieś kosmiczne przepustowości. Z powodzeniem powinny wystarczyć IPS-y o przepustowości 200 Mb/s. Wraz z przeniesieniem ochrony do wnętrza sieci wymagania wobec obsługiwanego pasma będą rosły. Wtedy bardzo często trzeba szukać rozwiązań gigabitowych. Sprawa dodatkowo ulega komplikacji, jeżeli "pod lupę" będziemy chcieli wziąć ruch prowadzący do centrów danych. Tam jedno urządzenie może już nie wystarczyć i prawdopodobnie trzeba będzie sięgnąć po rozwiązania klastrowe.

Piasek w trybach

Wybierając, a potem implementując IPS-y trzeba mieć na uwadze kilka faktów, które często umykają uwadze. Jak każde urządzenie podejmujące decyzje, także IPS może się mylić. Mowa tutaj o tzw. false positives (fałszywych trafieniach) oraz false negatives (fałszywych pominięciach).

Fałszywe trafienia są mniej groźne i przy odrobinie uwagi można je po pewnym czasie znacznie ograniczyć. Tak jak mówiliśmy wcześniej, warto do tego celu wstawić urządzenie w tryb słuchania i po pewnym czasie uzyskamy obraz sieci widziany oczami IPS-a. Następnie ignorujemy wszelkie wzorce rozpoznane przez urządzenie, które w naszym środowisku nie znajdą zastosowania. Na przykład jeżeli używamy tylko i wyłącznie serwerów baz danych DB2, to spokojnie możemy wyłączyć ochronę baz MS SQL czy Sybase.

Dużo groźniejsze są fałszywe pominięcia, kiedy nasz system nie wykrywa ataku mimo tego, że został przeprowadzony. Są one spowodowane albo błędnym działaniem modułów badających anomalie sieciowe lub modułów behawioralnych, albo zbyt ubogą bazą sygnatur. False negatives były bardzo powszechne w czasach, kiedy na rynku obecne były rozwiązania oparte tylko na sygnaturach. Nie ma niestety prostej metody na sprawdzenie, które urządzenie zablokuje największą liczbę ataków. Tutaj warto sięgać do testów prowadzonych przez uznane laboratoria, takie jak ICSA Labs czy literaturę fachową. Przy okazji sygnatur trudno sobie wyobrazić rozwiązanie, które nie pozwala na tworzenie własnych. We współczesnych sieciach jest tyle unikalnych aplikacji, że bardzo trudno byłoby producentom stworzyć kompletną bazę sygnatur.

Następnym problemem jest wydajność. Z reguły producenci chwalą się w broszurkach produktowych przepustowościami osiąganymi przy transmisji dużych pakietów, które w takim ruchu są łatwiej osiągalne. W rzeczywistości jednak zawartość pasma będzie dużo bardziej zróżnicowana. W warunkach bojowych może okazać się, że z obiecywanych 100 Mb/s w rzeczywistości zostaje 70. Do tego może okazać się, że obiecywana przepustowość jest osiągana przy ustawieniach domyślnych, kiedy nie jest dostępna pełna funkcjonalność produktu.

Kolejną rzeczą, którą koniecznie trzeba sprawdzić przy wyborze rozwiązania, jest obecność funkcji fail-open. Jako że urządzenie pracuje w trybie inline, jego zachowanie podczas awarii ma kluczowe znaczenie dla dostępności usług. Dzięki funkcji fail-open w przypadku awarii urządzenia następuje zwarcie portów sieciowych w IPS-ie i ruch jest przepuszczany dalej. Dzięki temu łącze jest dalej aktywne, ale pozbawione ochrony IPS-a. Jeżeli tej funkcjonalności nie ma, to awaria urządzenia równa się odcięciu od zasobów. Ważne jest też, aby decyzję o aktywowaniu tej funkcji pozostawiono nam, a nie żeby była ona na stałe wbudowana. Technologia ta wywołuje pewne kontrowersje wśród purystów bezpieczeństwa i dlatego ma zarówno przeciwników, jak i zwolenników, ale ostatecznie żyjemy w demokracji i mamy wolny wybór.

Budujemy nowy dom

Wiemy już prawie wszystko. Zwróćmy jeszcze uwagę na sposób konstruowania reguł i dostępne opcje w ramach reguły. Koncepcja budowania reguł jest odwrotna niż w zaporach. W firewallach określamy, co jest dozwolone, a całą resztę blokujemy. Natomiast w IPS-ach definiujemy to co jest zabronione, a resztę przepuszczamy. W zależności od producenta i przyjętej przez niego koncepcji konfiguracja reguł może być podzielona na wiele różnych sekcji, np.: osobna kontrola aplikacji, osobne reguły dla anomalii, dodatkowe ustawienia gwarancji przepustowości itp.

Mimo odwrotnej koncepcji podejścia do budowania reguł same ich składniki pozostają bardzo podobne. Musimy mieć określone źródło, miejsce przeznaczenia, rodzaj zagrożenia bądź typ ruchu, akcję oraz określenie poziomu logowania. Nie ma więc potrzeby dokładnego opisywania, w jaki sposób stworzyć dobrą listę reguł. Najważniejszym krokiem podczas właściwej implementacji jest zrozumienie tego, co dzieje się w naszej sieci i jak jest to rozumiane przez IPS-a. Jeżeli mamy możliwość włączenia trybu passive i uruchomienia urządzenia jako sniffera, zróbmy to i dajmy mu czas na badanie gruntu. Jeżeli nie mamy trybu passive i musimy wpiąć urządzenie inline, ustawmy podstawową regułę ANY/ANY/IGNORE/LOG i powinniśmy osiągnąć podobny rezultat.

Kiedy urządzenie nauczy się tego, co przechodzi przez naszą sieć, możemy zacząć budować właściwą politykę tworząc obiekty, które zostaną objęte ochroną, określając rodzaje aplikacji i ograniczając spektrum ataków. Starajmy się nie tworzyć od razu polityki zbyt restrykcyjnej. Zbudujmy kilka pewnych na 100% reguł i poobserwujmy, co dzieje się dalej. Dopiero następnym etapem niech będzie rozszerzanie i precyzowanie bazy reguł. Na końcu dopiszmy własne sygnatury, jeżeli urządzenie nie jest w stanie ochronić naszych specyficznych aplikacji.

Kiedy już to zrobimy, możemy spokojnie zacząć od początku. IPS-y wymagają ciągłego monitorowania i nie ustrzeżemy się wprowadzania poprawek. Dlatego też zadbajmy o właściwy dobór rozwiązania zarówno pod względem możliwości, jak i łatwości zarządzania. Praca z systemem będzie wtedy łatwa, logiczna i zaoszczędzi niepotrzebnego stresu, a sam system bezpieczeństwa nie będzie przypominać stojących na straży - choć uroczych - to jednak niezbyt skutecznych surykatek.