IDS jako narzędzie analityczne

Sieciowe systemy wykrywania włamań - wcześniej wrzucane do jednego worka z technikami bezpośredniej ochrony zasobów sieciowych - zaczynają funkcjonować jako narzędzia analityczne, pozwalające na wgląd w sieć i jej bezpieczeństwo. Umożliwiają wykrycie, jak, kiedy i w którym miejscu nastąpił atak.

Sieciowe systemy wykrywania włamań - wcześniej wrzucane do jednego worka z technikami bezpośredniej ochrony zasobów sieciowych - zaczynają funkcjonować jako narzędzia analityczne, pozwalające na wgląd w sieć i jej bezpieczeństwo. Umożliwiają wykrycie, jak, kiedy i w którym miejscu nastąpił atak.

IDS (Intrusion Detection Systems) nie są to narzędzia w każdej sieci niezbędne. Gdy jednak zostaną - w odpowiednim miejscu i czasie - wdrożone, to w rękach profesjonalistów od ochrony sieci są bardzo cennym uzupełnieniem środków ochrony. Tak w skrócie można ująć podsumowanie wyników testów produktów IDS, polegających na obsłudze rzeczywistego ruchu internetowego przez 60 dni.

Testy te, przeprowadzone przez zespół amerykańskiego oddziału IDG, dotyczyły generowania alarmów o podejrzanych działaniach w sieci i prowadzenia działań "śledczych". Objęto nimi produkty firm: Cisco, Systems (ISS), Intrusion i NRF Security.

Scenariusz 1: Śledztwo w toku

Jeden z serwerów poddanych testowaniu (platforma Windows 2000) i chronionych przez IDS został zaatakowany i użyty jako "zombie" do skanowania innych systemów. Podstawowym zadaniem stało się wtedy ustalenie, kto się włamał i w jaki sposób tego dokonał.

Większość IDS rozróżnia stany: alarmowy i dochodzeniowy. W przypadku alarmu system sygnalizuje administratorowi najświeższe incydenty o najwyższym priorytecie. W przypadku dochodzeń pozwala na głębszą analizę problemu. Niektóre produkty mają wyraźnie rozdzielone tryby pracy: można pracować albo w trybie alarmowych, albo śledczym i pomiędzy tymi trybami istnieje wyraźna granica. Tak jest w przypadku Intrusion, NFR i Cisco (z konsolą alarmową CTR - Cisco Threat Response, przejętą wraz z firmą Psionic). ISS i oryginalna konsola Cisco - IDS Management Console nie rozróżniają dwóch typów analiz.

Zamiast tego ISS zapewnia różne oglądy tych samych danych przez SiteProtector, narzędzie do zarządzania i analizowania informacji zebranych z modułów ochronnych ISS. Bardzo przydatna jest funkcja automatycznego podsumowywania. Aby zredukować rozmiary raportu, zdarzenia są grupowane tam, gdzie to możliwe. Pozwala to szybko stwierdzić, czy serwer został zaatakowany i kiedy to się stało.

Przejście z ekranu "kiedy zaatakowano" do "jak to się stało", skopiowanie adresu IP (prawy klawisz myszy) i wklejenie go do tego samego ekranu oraz wybranie różnych oglądów danych już po kilku sekundach pozwala uzyskać odpowiedź. Inne produkty nie mają tak wymyślnych interfejsów do dzielenia, "krojenia", sortowania i wyszukiwania danych.

Narzędzie zarządzania zdarzeniami ISS umożliwia administratorowi wrzucenie najbardziej interesujących zdarzeń do folderu "incydenty" i szybkie utworzenie krótkiej listy akcji badawczych dla każdego węzła. Powiązania między zdarzeniami a bazą danych ISS X-Force oraz łączniki do objaśnień i łatek to dobry punkt startowy do analizy problemu.

Interfejs proponowany przez NFR wprowadza wiele rozróżnień pomiędzy informacjami alarmową a śledczą. W sygnaturach ataku produktu można wybierać, kiedy ma być wysłany alarm i zaktualizowany rekord w bazie danych. Sortowanie adresów źródłowych IP dla 10 tys. pozycji trwa ok. 85 s, 20 tys. - blisko 5 min.

Po przefiltrowaniu alarmów nie można w prosty sposób postawić problemu: "pokaż wszystkie alarmy związane z danym adresem IP przeznaczenia". Można jedynie uzyskać wszystkie alarmy dla poszczególnych przedziałów czasowych, a następnie sortować je na podstawie adresu IP przeznaczenia. Nie jest możliwe skrócenie listy wg dogodnych kryteriów. W trybie śledczym także nie było to możliwe.

Test zakończono więc z olbrzymim stosem niepowiązanych ze sobą alarmów, z którymi trzeba poradzi sobie "na piechotę". Stwierdzono przy tym, że NFR zgubił niektóre ataki.

Cisco z konsolą CTR zapewnia oglądy sortowania wg zdarzeń, adresów źródła i przeznaczenia, ale nie ma zdolności łatwego przechodzenia między nimi. Można wykrywać czas rozpoczęcia ataku i następnie sprawdzać, kto go przeprowadził. Wykonanie tego zadania wymaga jednak dużo większego nawigowania interfejsem GUI niż w przypadku innych produktów. Brak jest możliwości skrócenia oglądu przez filtrowanie wg czasu, nie można także szybko wyselekcjonować źródła i celu. CTR pokazuje jedynie dane alarmowe, toteż od razu można oglądać jedynie najświeższe informacje. Oznacza to, że jeżeli zachodzi potrzeba wykonania kwerend śledczych, konieczne jest inne narzędzie Cisco - IDS Monitoring Center, dostarczane jako fragment platformy zarządzania CiscoWorks. IDS Monitoring Center może także działać jako interfejs "wszystko w jednym", obsługując zarówno alarmy, jak i prowadzenie działań śledczych.

PROVENTIA A2001

Firma: Internet Security Systems

Zalety: wyróżniające się możliwości nawigacji w trybie śledczym, proste zarządzanie wieloma alarmami, szybka analiza danych

Wady: trudne strojenie, trudna integracja

Cisco IDS

Firma: Cisco

Zalety: duży wybór sensorów, łatwe nawigowanie w trybie śledczym

Wady: brak integracji pomiędzy różnymi platformami analitycznymi, trudne strojenie na poziomie sensorów.

Jak testowano

Systemy wykrywania włamań testowano w trzech lokalizacjach. Stworzono środowisko łączące typową dla Internetu losowość z elementami wieloośrodkowej sieci przedsiębiorstwa.

Sensory każdego z produktów zainstalowano w dwóch lokalizacjach. W każdej z nich wszystkie sensory obserwowały taki sam ruch w tym samym czasie, co dawało możliwość porównania reakcji na te same zdarzenia. Zainstalowano także hosty, na których pracowały "niezałatane" wersje Uniksa i Windows, jak również Cisco IOS - wszystkie w charakterze przynęty-ofiary. Rozpoczęto bez jakichkolwiek łatek, ale - w celu zapobieżenia samopropagowaniu się robaków do Internetu - było konieczne zainstalowanie kilku łatek. Każdy system był monitorowany i przeładowywany w momencie zaatakowania za pomocą Symantec Ghost. Dla zapewnienia maksymalnej ich dostępności systemy miały zasilanie awaryjne.

Na potrzeby zarządzania każdy z dostawców dostarczył system zarządzający do ośrodka stanowiącego centrum operacyjne. W większości przypadków do takiego systemu był dołączony odpowiedni klient.

Wszystkie sensory IDS miały co najmniej dwa interfejsy: jeden (lub więcej) do wykrywania oraz jeden do raportowania i zarządzania. Interfejsy zarządzania w dwóch ośrodkach, w których zainstalowano sensory, połączono przez VPN (utworzoną między wszystkimi ośrodkami, by zapewnić bezpieczną komunikację pomiędzy sensorami i systemami zarządzania). Systemy zarządzania miały również dostęp do Internetu (poprzez zaporę ogniową), aby w razie konieczności mogły pobierać uaktualnienia sygnatur i łatek. Testy prowadzono nieprzerwanie przez osiem tygodni.


TOP 200