Przyszłość rozwiązań IPS
-
- 28.05.2015, godz. 01:35
Wykrywanie intruzów w sieciach Wi-Fi
Specyfika sieci bezprzewodowych sprawia, że wymagają one dedykowanych rozwiązań IPS, określanych mianem WIPS (Wireless IPS). Jest to oprogramowanie bądź rozwiązanie sprzętowe, które monitoruje spektrum radiowe w celu wykrywania wrogich punktów dostępowych i innych zagrożeń bezprzewodowych.
WIPS porównuje wszystkie adresy MAC bezprzewodowych punktów dostępowych z sygnaturami urządzeń autoryzowanych i powiadamia administratora, jeśli pojawią się jakieś rozbieżności. Aby wykrywać próby fałszowania adresów MAC, niektóre zaawansowane rozwiązania WIPS potrafią analizować unikalne sygnatury radiowe urządzeń bezprzewodowych i blokować nieznane nadajniki. Zaleca się używanie WIPS w celu automatyzowania skanowania sieci bezprzewodowych. Oprócz zapewnienia bezpieczeństwa sieci Wi-Fi, te systemy są przydatne do monitorowania wydajności sieci i wykrywania punktów dostępowych, które mają różnego rodzaju błędy w konfiguracji.
Zobacz również:
Są trzy podstawowe ścieżki wdrażania WIPS. Podstawowa, stosowana w tańszych rozwiązaniach, jest znana jako współdzielenie czasu. Tego typu punkty bezprzewodowe realizują dwa zadania: zapewniają łączność bezprzewodową, a jednocześnie w regularnych odstępach czasu przeprowadzają skanowanie w poszukiwaniu wrogich punktów dostępowych. Drugie podejście, tzw. zintegrowany WIPS, polega na wbudowaniu specjalnego sensora w uprawniony punkt dostępowy. Jego zadaniem jest ciągłe skanowanie częstotliwości radiowych w poszukiwaniu nieautoryzowanych punktów dostępowych.
Ostatnie podejście, tzw. nakładka, to umieszczenie w konstrukcji budynku czujników monitorujących częstotliwości radiowe. Czujniki przekazują zebrane dane do centralnego serwera w celu dalszej analizy i podejmowania działań zapobiegawczych w przypadku wykrycia zagrożenia. Jest to najbardziej kosztowne rozwiązanie, ponieważ wymaga dedykowanego sprzętu, ale jednocześnie najbardziej efektywne. Centralny serwer to urządzenie umieszczane w szafie stelażowej, natomiast czujniki przypominają punkty dostępowe Wi-Fi. Większość tego typu rozwiązań jest zbudowana z tych samych komponentów:
- czujników monitorujących częstotliwości radiowe i przekazujących dane do centralnego serwera zarządzającego,
- serwera zarządzającego, który zbiera dane i w razie potrzeby na podstawie analizy danych podejmuje odpowiednie akcje,
- serwera bazodanowego, który przechowuje zebrane dane,
- konsoli administracyjnej umożliwiającej zarządzanie i konfigurowanie systemu WIPS.
Rozwiązania typu BDS (Breach Detection System) to kategoria zabezpieczeń służąca do wykrywania podejrzanej aktywności występującej po udanym włamaniu do sieci firmowej. Przedsiębiorstwa stosują te systemy do ochrony przed różnymi zaawansowanymi zagrożeniami, w szczególności przed niezidentyfikowanym szkodliwym oprogramowaniem. W odróżnieniu od takich zabezpieczeń, jak IPS, które skanują ruch przychodzący, BDS analizuje przede wszystkim ruch wewnątrz firmowej sieci. Rozpoznaje możliwe włamania, wykorzystując mechanizmy heurystyczne, analizę ruchu, zarządzanie ruchem oraz reguły zdefiniowane przez administratora.
Do lamusa?
Systemy IPS są stale rozwijane i na rynek trafiają już, tzw. NGIPS (Next-Generation IPS). Jednak takie trendy, jak mobilność i cloud computing sprawiają, że firmy przywiązują mniejszą wagę do ochrony brzegu firmowej infrastruktury IT, a zaczynają skupiać się na zabezpieczaniu urządzeń mobilnych. Ponadto rośnie popularność rozwiązań typu UTM oraz NGFW (Next-Generation Firewall). Dlatego pojawia się pytanie, czy systemy IPS będą wypierane z rynku? W branży nie ma konsensusu, jeśli chodzi o odpowiedź na to pytanie. Uśredniając opinie zwolenników i przeciwników, można stwierdzić, że rozwiązania IPS utrzymają swoją pozycję w korporacyjnych systemach bezpieczeństwa, jeśli tylko będą dobrze wdrażane i zarządzane przez doświadczonych administratorów IT.
Mimo mniejszej wagi przykładanej obecnie do ochrony brzegu sieci, systemy IPS będą nadal potrzebne. Nawet jeśli utrzymanie szczelnej granicy między siecią lokalną a Internetem nie jest już kluczowym priorytetem, nie umniejsza to korzyści płynących z zachowania bezpieczeństwa i porządku w firmowej sieci. Specjaliści zauważają, że mimo swoich niedoskonałości systemy IPS ulegają stałemu udoskonalaniu, dzięki czemu przyczyniają się do obniżenia ryzyka udanego ataku na firmowe zasoby. Wszechstronne możliwości monitorowania sprawiają, że spada liczba przypadków, kiedy włamywaczom uda się pokonać IPS. Inną korzyścią ze stosowania tych systemów jest ich zdolność do identyfikowania ruchu generowanego przez różne aplikacje, i w ogóle wgląd w cały stos protokołów. Takie funkcje umożliwiają ścisłe stosowanie korporacyjnych reguł bezpieczeństwa i zapobiegają nieautoryzowanemu dostępowi do systemów operacyjnych oraz aplikacji.
Z drugiej strony pojawiają się głosy ekspertów uważających, że stosowanie systemów IPS straci uzasadnienie ze względów ekonomicznych. Firmy coraz częściej wolą się bowiem skupiać na takich fundamentach, jak strategia i procesy, niż budować złożone, reaktywne rozwiązania. Zdaniem tej części środowiska systemy IPS mogą podzielić losy rozwiązań antywirusowych, które straciły na znaczeniu ze względu na ich coraz mniejszą skuteczność w zwalczaniu nowoczesnych, polimorficznych zagrożeń. Trzeba też zrozumieć, że produkty określane mianem następnej generacji IPS w rzeczywistości nie są rewolucyjne. To ładnie brzmiące hasło marketingowe, pod którym kryją się stare, choć udoskonalone metody, jak analiza heurystyczna, świadomość kontekstu, raportowanie czy funkcje głębokiej inspekcji pakietów. Natomiast, sądząc po nazwie, można by się spodziewać całkiem nowych, innowacyjnych technologii.
