Раньше было всего два класса защитных средств, устанавливаемых на периметре, — межсетевые экраны (firewall) и системы обнаружения вторжений (IDS). Межсетевые экраны (далее МСЭ) пропускали трафик через себя, но не заглядывали внутрь пересылаемых данных, фокусируясь только на заголовке IP-пакета. Системы IDS (IntrusionDetection System), напротив, анализировали то, что упускалось из виду межсетевыми экранами, но не были способны блокировать атаки,так как трафик через них не проходил. Поэтомуна стыке двух технологий родился новый класс защитных средств — системы предотвращения вторжений (IPS).
IPS (Intrusion Prevention System) оказались настолько популярными, что многие производители стали рекламировать свои классические IDS как системы предотвращения атак, то естьIPS. Не меняя сути своих продуктов, но подставив букву P вместо D, эти поставщики открыли для себя новые рынки и новых клиентов. Но признаками настоящей системы IPS эти решения не обладали. Во-первых,IPS функционирует в режиме inline (пропускает трафик через себя)на скорости канала. Другими словами, решениене становится бутылочным горлышком и не снижает скорость передачи данных. Во-вторых,система IPS обеспечивает сборку передаваемых пакетов в правильном порядке и анализируетэти пакеты с целью обнаружения следов несанкционированной активности.В-третьих, во время анализа используются различные методы обнаружения атак: сигнатурный и поведенческий,а также идентификация аномалий в протоколах.Наконец, в-четвертых, система IPS в состоянии блокировать вредоносный трафик (но не путем разрыва соединения с помощью команды RESET протокола TCP). Таким образом, чтобы получить систему IPS из IDS, надо сделать не один шаг (заменить букву в названии), а целых четыре — добавить новые технологии и изменить принципы работы решения.
Четыре к одному
Современные системы IPS развивались в нескольких направлениях. Некоторые производители развили имеющиеся у них IDS, оснастивих гораздо более эффективными механизмамипредотвращения атак. Например, в системахIDS использовалась простая посылка TCP-пакетов с флагом RST или реконфигурация МСЭи сетевого оборудования. Эффективность этойзащиты для классических IDS составляет всего около 30% — ведь трафик через устройствоне проходит и о реагировании в реальном времени говорить не приходится (существует хотьи минимальная, но задержка). Однако былонайдено простое решение: поместить системуIDS между защищаемыми и незащищаемымиресурсами (весь трафик между ними проходитчерез IDS). Так появились системы под названием inline-IDS, позже переименованные в IPS.По этому пути пошли компании ISS, Cisco, NFRи Sourcefire.
Однако технологии IPS не ограничивалисьтолько эволюцией систем IDS. СовременныеМСЭ, оснащенные механизмом глубокого анализа трафика, также могут быть отнесенык разряду IPS. Нехватка расширенных механизмов анализа в МСЭ привела к тому, что ихстали оснащать функциями не только анализазаголовка пакета, но и глубокого проникновения в тело данных и понимания передаваемых протоколов. Производители по-разномуназывают эту функциональность: Deep PacketInspection, Application Intelligence и т. д., носуть ее от этого не меняется. МСЭ с такимифункциями способны обнаруживать многиенарушения политики безопасности, например скрытие в протоколе HTTP запрещенныхприложений (ICQ, P2P и т. п.), отклонение отстандартов RFC и т. д. Разумеется, современные МСЭ не обладают такими же механизмамиобнаружения атак, что и IDS, но со временемслияние этих систем все же произойдет. Попути оснащения своих МСЭ новыми возможностями пошли компании Check Point, Cisco,Fortinet и iPolicy Networks.
Существует еще третье направление, котороепослужило толчком к становлению современных систем предотвращения атак,- созданиеантивирусов. Начавшие свой путь как средствалечения загрузочных, файловых и макровирусов, эти средства защитынарастили мышцыза счет обнаружения троянцев, червей и других вредоносных программ. Витоге, читая описания современных антивирусов, очень сложно понять, очем идет речь — об антивируснойпрограмме или системе IPS.
Четвертым витком эволюции стало создание чистых систем IPS,которые изначально были ориентированы на предотвращение атак. По такомупути пошликомпании OneSecure и IntruShield, выпустившие в 2000-2001 годах первыеIPS. В эту жекатегорию попали такие пионеры отрасли,как Network ICE и Tipping Point. Но, как говорится, иных уж нет, а тедалече — все названные компании были куплены более крупными игроками:McAfee, NetScreen, ISS и т. п.
Сейчас в сегменте собственно IPS появилисьновые ростки — V-Secure, Reflex Security,DeepNines Technologies и другие.
Варианты внедрения
Обычно при упоминании систем IPS вголовуприходят выделенные устройства, которыемогут быть установлены на периметре корпоративной сети и, в рядеслучаев, внутри нее.Внедрение в качестве систем защиты таких аппаратных устройств (securityappliance) — наиболее распространенный вариант, но далеконе единственный. Такие шлюзы безопасности,несмотря на хорошую краткосрочную и среднесрочную перспективу, вдальнейшем постепенно уйдут в тень, и их место займут решения,интегрированные в инфраструктуру, что гораздо эффективнее со многихточек зрения.
Во-первых, стоимость интегрированного решения ниже стоимости автономного (stand-alone)устройства. Во-вторых, ниже и стоимостьвнедрения (финансовая и временная) такогорешения — можно не менять топологию сети.В-третьих, надежность выше, так как в цепочкепрохождения трафика отсутствует дополнительное звено, подверженное отказам. Наконец, в-четвертых, интегрированные решенияпредоставляют более высокий уровень защитыза счет более тесного взаимодействия с защищаемыми ресурсами.
Сама интеграция может быть выполнена различными путями. Самым распространеннымспособом в настоящий момент является использование маршрутизатора (router). В этомслучае система IPS становится составной частью данного устройства и получает доступк анализируемому трафику сразу после поступления его на определенный интерфейс. Интегрированная в сетевое оборудование системаIPS может быть реализована в виде отдельногомодуля, вставляемого в шасси маршрутизатора,или в виде неотъемлемой части операционнойсистемы маршрутизатора. Первой в данном направлении развития систем IPS стала компанияCisco Systems, имеющая как отдельные модулидля своих маршрутизаторов, так и подсистемуCisco IOS IPS, входящую в состав операционнойсистемы Cisco IOS. Примеру Cisco последовали и другие сетевые производители: Extreme,3Com и т. д.
Но система IPS, интегрированная в маршрутизатор, умеет отражать атаки только на периметре сети, оставляя внутренние ресурсы беззащиты. Поэтому второй точкой интеграции являются коммутаторы локальной сети(switch), в которые с успехом могут быть внедрены механизмы предотвращения атак, причемкак в виде части ОС, так и в виде отдельногоаппаратного модуля. Первое слово в даннойобласти сказала компания ODS Networks, предложившая коммутаторы с встроенной системойIPS. Позже ODS была куплена компанией SAIC,а технология интеграции IPS в коммутаторына время забыта, пока ее не возродила CiscoSystems в своем семействе Cisco Catalyst.
Третий тип устройств, через которые можетпроходить трафик, нуждающийся в анализе,представлен точками беспроводного доступа(wireless access point). Сегодня это направление активно развивается,что связано совсплеском интереса к беспроводным технологиям (Wi-Fi, WiMAX, RFID). Попути интеграциипошли такие производители, как Cisco Systemsи Aruba, оснастившие свое оборудование необходимыми функциями. Такогорода системы,помимо обнаружения и предотвращения различных атак, умеют определятьместонахождение несанкционированно установленных беспроводных точекдоступа и клиентов. Другиепроизводители (например, Trapeze Networks)не имеют собственных решений, поэтому интегрируются с производителямисамостоятельных систем предотвращения атак в беспроводных сетях -AirDefense, AirMagnet, AirTight,Network Chemistry и Newbury Networks.
Последним рубежом обороны, где может бытьустановлена система IPS, является рабочаястанция или сервер. В этом случае IPS реализуется несколькими путями.Во-первых, какпрограммное обеспечение, интегрированноев операционную систему. Пока таких решенийнемного и все они ограничиваются системами семейства UNIX, поскольку ихядро можноскомпилировать вместе с подсистемой отражения атак. Во-вторых, системаIPS на рабочейстанции или сервере может представлять собойприкладное ПО, устанавливаемое поверх операционной системы.Выпускается большим числом производителей: Cisco Systems, ISS, McAfee,Star Force и другими. Эти системы называютсяHost IPS (HIPS). Кроме отражения сетевых атак,они обладают еще большим количеством полезных функций: контроль доступак USB, созданиезамкнутой программной среды, контроль утечкиинформации, контроль загрузки с постороннихносителей и т. д. В-третьих, система IPS можетпредставлять собой отдельную подсистему отражения атак, реализованную всетевой карте.Некоторые производители (в частности, D-Link)выпускают такого рода устройства, однако ихраспространенность оставляет желать лучшего.Ситуация может измениться только в том случае, когда такой функционалбудет базовым длялюбой сетевой карты.
Если же вернуться к выделенным средствампредотвращения атак, то основными игроками этого рынка являются компании CiscoSystems, ISS, Juniper; из малоизвестных в России — 3Com, McAfee, Sourcefire, Top Layer, NFRи другие. И уж совсем неизвестны такие производители, как V-Secure, StillSecure, DeepNines,NitroSecurity и Reflex Security.
Особняком стоит технология обнаружения и блокирования аномалий в сетевом трафике, которуюподдерживают Arbor Networks, Cisco Systems,Lancope, Mazu Networks и Q1 Labs. Однако данныерешения отличаются от классических систем IPS.Прежде всего, они работают не в режиме inline,они имеют дело не с самим трафиком, а, например,с Netflow. Кроме того, продукты данного классане автономны, а тесно связаны с другими решениями (как правило, с сетевым оборудованием).Наконец, системы обнаружения и блокированияаномалий не предот вращают атаки, а действуютреактивно — изменяют списки контроля доступа(ACL, Access Control Lists) уже после обнаружения атаки.
Почему проекты внедрения IPSпроваливаются, или Что нас ждетв будущем?
В начале XXI века некоторые эксперты предрекали системам IDS скорую смерть, ссылаясьна три основные проблемы при их внедрении: высокий процент ложных срабатываний,большое число управленческих задач и автоматизация реагирования. Системы IPS справились только с последней. Какие же действияпредпринимают производители для решенияпроблем, способных похоронить эту технологию защиты?
Прежде всего рассмотрим проблему ложныхсрабатываний. Представьте, что мимо вас в детскую комнату летит комар.Вы его обнаружили, но этого мало. Вы не знаете, находится ливаш ребенок в детской, а если находится, тонамазался ли он средством против комаров.В результате вы сломя голову бежите в комнату и убиваете комара. За этисекунды наплите убегает и выплескивается на плиту варенье-пятиминутка, а нетничего страшнеедля керамической варочной панели, чем засохший сахар. С системамиобнаружения и предотвращения атак ситуация похожая: обративвнимание на первый сигнал тревоги и не зная,насколько реальна опасность, вы можете упустить из виду более серьезноесобытие, поступившее на консоль администратора вторым.Более того, существуют специальные утилиты,которые генерируют потоки ложных событий,чтобы ввести администратора в заблуждение.Поэтому первое, на что надо обращать внимание при выборе систем защитыописываемогокласса, — борьба с ложными срабатываниями(false positive).
Для решения этой проблемы применяются системы корреляции событий, которыев состоянии определить, что скрывается заатаку емыми IP-адресами, и сделать вывод,подвержена ли цель такой атаке. Если нет, тособытием можно пренебречь и оставить его<на потом>. Однако, чтобы принять решениео реальности атаки, необходимо знать, какиеОС и ПО установлены на атакуемом узле. Если,например, червь SQL Slammer атакует Linux-сервер, то последнему ничего не угрожает,так как SQL Slammer наносит ущерб толькосерверам с СУБД MS SQL Server без соответствующих заплаток. Информация о ПО и ОСможет быть добыта двумя путями (ручноезадание этих параметров для всех атакуемыхузлов вряд ли можно рассматривать как перспективный способ). Например, с помощьюдистанционного сканирования и получениянеобходимой информации от самого атакуемого узла. Этот способ наиболее прост в реализации — достаточно просканировать сетьи связать информацию об атаках с конкретными версиями ОС, ПО и уязвимостями (этои есть процесс корреляции). Однако у данногометода есть серьезное ограничение — системы корреляции стоят немалых денег.
Решение указанной проблемы заключаетсяв использовании облегченных и интегрированных в системы предотвращенияатак подсистемкорреляции. Такая система регулярно проводитсканирование сети и запоминает состояниесоставляющих ее узлов. В момент атаки происходит связывание сведений обатаке с информацией об атакуемом узле. Если связь есть, тоатака не ложная; если связь не обнаружена, топриоритет атаки снижается и администраторне тратит на нее время и энергию. Этот способотсеивания ложных срабатываний появилсянедавно и пока не получил широкого распространения. В принципе,установленная на узлесистема персональной защиты (например, HIPS)сама сигнализирует сетевому сенсору, какаяатака может нанести ущерб, а какая нет.
Другая, пока не до конца решенная проблема — большое число управленческих задач,к которым относятся обновление сигнатур,интерпретация сигналов тревоги, настройкасистемы и т. д. Каждый производитель решаетих по-своему, единых стандартов и рекомендаций еще не существует. Если же этому аспектудолжного внимания не уделить, то система IPSиз средства защиты сама может превратитьсяв источник проблем. К примеру, неграмотнонастроенная функция блокирования вторже-ния может стать причиной отказа в обслужи-вании (denial of service) для какого-либо узлаили приложения.
Между тем существует еще целый ряд проблем,ожидающих своего решения. Первая заключается в отказоустойчивости системы IPS. Ведьесли решение выйдет из строя, то в канале связи образуется затор и трафик не сможет дойтидо адресата. Рекомендации, даваемые на зареиспользования IPS (лучше не допустить проникновения или утечки и блокировать доступв сеть в случае выхода IPS из строя, чем оставить сеть открытой и незащищенной), сегодняуже устарели. Многие бизнес-приложения являются более приоритетными, нежели системызащиты, и снижение доступности первых недопустимо, даже в ущерб защищенности. Поэтому теперь большинство систем IPS оснащаютсяразличными механизмами отказоустойчивости(программными или аппаратными bypass-системами).
Второй проблемой стало предотвращение атакв коммутируемых сетях. Когда речь заходито применении IDS в коммутируемых сетях, тоособых проблем это уже не вызывает. Можноиспользовать различные механизмы и технологии, самая распространенная из которых — использование SPAN-порта на коммутаторе, кудаподключается сенсор системы обнаружения.Однако как только от обнаружения мы переходим к предотвращению, ситуация кореннымобразом меняется. Мы уже не можем простоподключить IPS к SPAN-порту и блокироватьвсе атаки, ведь трафик должен проходить через само устройство защиты. Первый вариантрешения проблемы сегодня доступен тольков решениях компании Cisco (в коммутатореCisco Catalyst 6500), которые имеют интегрированный модуль, способный блокироватьпроходящий через него трафик. А если вашасеть построена на коммутаторах другого производителя? Устанавливать сенсоры IPS междукоммутатором и защищаемым узлом слишкомдорого — число сенсоров будет равно числузащищаемых ресурсов, что сделает инфраструктуру отражения атак поистине золотой.
Использование многоинтерфейсных сенсоров(например, с четырьмя или восьмью портами)ситуацию кардинально не меняет — инфраструктура все равно получаетсяочень дорогой. Выходом может стать метод, появившийсясовсем недавно и получивший название Inline-on-a-Stick. Суть егопроста: на интерфейс устройства IPS поступает трафик одной из VLANи после обработки через этот же интерфейсуходит обратно. Если учесть возможность поддержки до 255 парVLAN-соединений на одномпорту сенсора, то можно контролировать оченьбольшие локальные сети (с восьмьюпортовойкартой число контролируемых соединений составляет примерно 2000).
Третья — кооперация с IPS других производителей. Некоторые заказчики, имея финансовыересурсы и следуя пословице не кладите всеяйца в одну корзину, строят инфраструктуру предотвращения атак на решениях разныхпроизводителей. При этом компании хотятконтролировать разнородные сенсоры с однойконсоли управления. Вариантов решения задачи два: применение внешних систем управления информационной безопасности (SIMS,Security Information Management System, илиSEMS, Security Event Management System)и поддержка стандарта SDEE (Security DeviceEvent Exchange). Второй путь более экономичен и позволяет передавать сигналы тревоги,полученные сенсором одного производителя,на консоль другого производителя.
Четвертая проблема — это увеличение пропускной способности. Лучшие с точки зренияпроизводительности системы IPS работаютна скоростях 2-5 Гбит/с, чего более чем достаточно для периметра корпоративной сети,но не хватает для локальной сети. Например,5-Гбит система IPS может защитить толькопять серверов с 1-Гбит сетевыми картамиили 50 рабочих станций с 100-Мбит сетевымиинтерфейсами. Поэтому сейчас многие производители пошли по пути сетевых лидерови начали использовать технологии ASIC илиFPGA для реализации логики работы системыпредотвращения атак. Это может существенноускорить работу IPS.
Пятая проблема скрывается в поддержке новыхприложений. Ранее атаки концентрировалисьна сетевом уровне, и возможностей IPS было достаточно для их отражения.В последнее времяфокус атак сместился на прикладной уровень -на веб-сервисы, XML, SOAP, ERP, CRM, СУБД, IP-телефонию и прочее.Сетевые системы IPS перестали справляться с атаками, так как они неработают на уровне их реализации. Поэтомуодним из направлений развития IPS станет поддержка новых технологий ипротоколов.
Заключение
Мы рассмотрели современные технологиии решения в области предотвращения сетевых атак. Из обзора становится понятно, чтодо предрекаемой смерти систем IPS еще оченьмного времени. Разумеется, если их развитие продолжится вместе с информационнымитехнологиями. Сама по себе технологияIPS не является панацеей, и ее эффективностьзависит от грамотного применения имеющихся инструментов и их интеграции с другимизащитными и сетевыми технологиями. Тольков случае построения комплексной инфраструктуры защиты системы IPS будут надежным кирпичиком в неприступной стене, опоясывающейвашу организацию.
Свежие комментарии