Pułapka za ścianą

Firewall zazwyczaj nie wystarcza do zapewnienia pełnego bezpieczeństwa sieci. Linię obrony można wzmocnić stosując systemy wykrywania włamań - IDS.

Firewall zazwyczaj nie wystarcza do zapewnienia pełnego bezpieczeństwa sieci. Linię obrony można wzmocnić stosując systemy wykrywania włamań - IDS.

Zaletą zapór ogniowych jest to, że dają one administratorom możliwość arbitralnego określenia zasad dopuszczanego ruchu do sieci wewnętrznej. Ciągłe doskonalenie narzędzi i metod włamań sprawiają jednak, że systemy ochrony można obejść lub nawet przejąć nad nimi kontrolę. Spora część udanych włamań następuje nie z zewnątrz, lecz wewnątrz sieci lokalnej. Konieczne staje się więc monitorowanie całego ruchu sieciowego, zarówno przychodzącego z zewnątrz, jak i prowadzonego w sieciach lokalnych, a także kontrola działań użytkowników, systemów i aplikacji. Systemy przeznaczone do poszukiwania w sieci symptomów ataku znane są pod nazwą IDS (Intrusion Detection Systems - systemy wykrywania włamań).

Dochodzenie

Rozwiązania IDS mają zazwyczaj architekturę wielowarstwową. Pierwszą warstwę stanowi oprogramowanie rejest-rujące zdarzenia systemowe i sieciowe, najczęściej w formie agentów instalowanych w wybranych punktach sieci. Druga warstwa to oprogramowanie "nasłuchujące", które może także dokonywać wstępnej analizy danych. W takim przypadku dane są wysyłane do bazy, gdzie następuje ich zapisywanie, a następnie porównywanie ze znanymi tzw. sygnaturami, czyli wzorcami ataków. Trzecią warstwę stanowi konsola administracyjna, służąca do skonfigurowania oprogramowania i informowania administratora o potencjalnych zagrożeniach.

Śledzenie zagrożeń systemowych może odbywać się na kilka sposobów. Podstawowa metoda to pobieranie danych o wydarzeniach z systemowych i aplikacyjnych plików log. Dobrze jest, gdy system IDS rejestruje wielkość plików log. Są to z zasady pliki przyrostowe, toteż spadek ich objętości może oznaczać, że włamywacz próbuje usuwać ślady swojej działalności. Zabezpieczeniem przed zmianą zawartości plików log może być wykonywanie ich lustrzanego zapisu na odrębnym komputerze lub na nośniku jednokrotnego zapisu (WORM). Niektóre systemy typu IDS zawierają funkcje typu FIA (File Integrity Assessment), pozwalające monitorować kluczowe zasoby przez okresową rejestrację sum kontrolnych. Dotyczy to jednak tylko tych plików, które nie powinny się zmieniać, np. plików statycznych stron WWW. Stosunkowo nową metodą wykrywania włamań na poziomie systemów operacyjnych jest śledzenie odwołań procesów do jądra systemu lub określonych bibliotek.

Ucho w sieci

Zagrożenia na poziomie sieci są wykrywane poprzez ustawienie interfejsów sieciowych w tryb nasłuchu (tzw. promiscous mode) i analizę całego ruchu odbywającego się w sieci. W sieciach podzielonych na podsieci za pomocą przełączników nasłuch można prowadzić przez wydzielony na przełączniku port moni- torujący. Do podsłuchu moż- na też użyć "widzących" całą podsieć stacji roboczych lub urządzeń typu appliance. W niektórych rozwiązaniach stosuje się także specjalizowane sterowniki kart sieciowych, przystosowane do wydajnej analizy ruchu.

Istnieje kilka podstawowych metod analizy danych napływających z sieci. Najczęściej stosowana technika to pattern matching, czyli porównywanie zaobserwowanych w sieci zjawisk z sygnatura- mi znanych ataków. Druga metoda to analiza protokołów sieciowych, umożliwiająca monitorowanie danych przesyłanych wewnątrz pakietów. Analiza protokołów pozwala na wykrywanie pakietów o strukturze odbiegającej od przyjętych norm, np. bardzo długich, oraz zależności między pozornie nie powiązanymi ze sobą pakietami wysyłanymi w dużych odstępach czasu.

Rośnie liczba systemów IDS, mogących nie tylko wykrywać, lecz także samodzielnie przeciwdziałać atakom. Niektórzy producenci, np. Cisco, oferują systemy, które w reakcji na wykrycie próby ataku mogą dynamicznie sterować ustawieniami routerów i systemów firewall, odcinając ruch z określonego adresu. Takie rozwiązania muszą być jednak stosowane z rozwagą. "Sprzężenie systemu IDS z systemem firewall, choć na pozór wydaje się sensowne, może łatwo prowadzić do odcięcia całego napływającego ruchu, czyli klasycznego Denial of Service" - mówi Wojciech Dworakowski, dyrektor techniczny w ABA sp. z o.o. z Krakowa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200