Tendencje rozwojowe
Bezpieczeństwo systemów teleinformatycznych stanowi dziedzinę, która rozwija się bardzo dynamicznie. Powodowane jest to ciągłymi badaniami i odkryciami zarówno w kręgach ludzi zajmujących się bezpieczeństwem, jak i tych, którzy ciągle udoskonalają techniki włamań. Dlatego w świecie informatyki ma miejsce ciągła rywalizacja między tymi stronami, która dodatkowo napędzana jest okresowym pojawianiem się kolejnych nowinek technologicznych. Te z kolei, to nowe wyzwania, zarówno dla atakujących, jak i zabezpieczających.
Tradycyjne technologie zabezpieczeń, które jeszcze jakiś czas temu wydawały się wystarczające, obecnie wydają się bezużyteczne w obliczu nowych, często coraz agresywniejszych zagrożeń15.
Obecnie, w celu ochrony przed atakami z sieci, najczęściej wykorzystuje się zapory sieciowe oraz systemy wykrywania intruzów (ang. IDS – Intrusion Detection System). Aby sprostać współczesnym zagrożeniom, coraz większą popularność zyskują sobie takie technologie, jak:
zapory aplikacyjne, interpretujące ruch na warstwach wyższych, niż czwarta w modelu OSI (mowa o nich była wcześniej);
filtry sieciowe śledzące stan połączeń (ang. stateful- inspection), które kojarzą pakiety z połączeniami TCP, dzięki czemu skuteczniej blokowane są ataki oparte na manipulacjach stanów połączeń;
IDS-Inline / IPS (ang. Intrusion Protection Systems)– systemy wykrywania intruzów potrafiące blokować próby ataków.
IDS
IDS (ang. Intrusion Detection Systems) – to system wykrywania prób ataku, który działa na zasadzie sondy wpiętej w monitorowany fragment sieci. Do sondy powinna być przesłana kopia ruchu sieciowego, która poddana zostaje analizie. IDS na zasadzie analizy dokonuje rozpoznania ruchu sieciowego i próbuje wykryć w nim objawy charakterystyczne dla prób ataku lub naruszenia bezpieczeństwa.
Działanie systemu IDS16 porównać można do działania systemów antywirusowych, ponieważ system wyszukując potencjalne zagrożenia korzysta z bazy sygnatur, która opisuje sposoby i zachowania podczas różnorodnych naruszeń bezpieczeństwa. Przykładem może być duża ilość niewielkich pakietów TCP z flagą SYN wysyłanych w krótkim czasie z pojedynczego hosta do różnych portów komputera docelowego. W oparciu o te dane, system IDS porównuje je z bazą sygnatur ataków i może rozpoznać atak skanowania portów (ang. SYN-Scan). Podobnie wygląda to w przypadku większości innych ataków, gdzie rozpoznanie polega na charakterystycznych zachowaniach, na przykład odwołaniach do skryptów CGI, o których powszechnie wiadomo, że posiadają luki w zabezpieczeniach, umożliwiające przeprowadzenie ataku na serwer WWW.
O skuteczności działania systemu IDS decyduje to, na ile aktualne są jego bazy sygnatur. Nieaktualizowane okażą się zupełnie nieskuteczne, gdyż nie będą posiadały informacji o nowych technikach ataku i zagrożeniach. W efekcie, nowy rodzaj zagrożenia nie zostanie zakwalifikowany do jakiegokolwiek ze znanych systemowi IDS zagrożeń i nie wszczęty zostanie alarm. Obecnie, większość systemów wykrywania intruzów pozwala na zdalne aktualizowanie bazy sygnatur ataków, której aktualność zapewnia przeważnie autor lub producent systemu.
Kolejnym aspektem wpływającym na skuteczność działania systemu IDS jest jego dostrojenie do charakterystyki monitorowanego ruchu. Jeśli administrator nie zadba o odpowiednie skonfigurowanie systemu wykrywania intruzów, może się okazać, że IDS będzie generował dużą ilość fałszywych informacji i alarmów o niewielkim stopniu ważności. Istotne informacje o atakach mogą zostać w takim przypadku przeoczone i pominięte.
Wykrycie potencjalnego ataku powoduje to, że standardowy IDS zapisuje tylko podejrzany ruch i może poinformować o tym fakcie administratora. Jednak IDS to system pasywny, który tylko informuje, a nie podejmuje już żadnej dodatkowej reakcji na zaistniałe zdarzenie. Dlatego reszta czynności leży już w kwestii administratora. W tej sytuacji zbyt długi czas reakcji administratora może doprowadzić do tego, że atakujący pomyślnie zakończy atak i zdoła zatrzeć po sobie ślady.
Owe niedoskonałości standardowych systemów IDS sprawiły, że pojawiły się nowe technologie tych systemów, zwane IPS17 (ang. Intrusion Protection System) wyposażone w możliwości proaktywnej reakcji na atak. Systemy IPS w przypadku wykrycia próby ataku integrują się z zaporą ogniową i są w stanie odpowiednio przekonfigurować śluzę bezpieczeństwa w taki sposób, by blokowała ona połączenia z adresu komputera podejrzanego o próby naruszenia bezpieczeństwa.
Część systemów IPS potrafi bez udziału zapory sieciowej blokować podejrzany ruch. Podczas wykrycia zagrożenia, IPS reaguje wysłaniem pod adres atakowanego systemu specjalnie spreparowany pakiet TCP z flagą RST. Co istotne, pakiet ten posiada sfałszowany adres nadawcy (technika podszycia) i w ten sposób atakowany system zrywa połączenie ze źródłem zagrożenia.
Powyższe rozwiązania wydają się być całkiem skuteczne, jednak nie są pozbawione wad. Pojawiają się nowe możliwości ataku typu odmowa usługi (ang. Denial Of Service – DOS). Intruz może dokonać próby ataku podszywając się pod adres IP popularnego portalu internetowego, czy serwera w centrali firmy. System IDS zareaguje wtedy blokadą dostępu do danego systemu, co w efekcie uniemożliwi nawiązywanie połączeń na przykład z serwerem w centrali firmy.
Ponadto, technika zrywania połączeń z wykorzystaniem flagi TCP RST
jest skuteczna w atakach wykorzystujących całe sesje TCP, jednak nie zadziała, gdy atak polega na wysłaniu pojedynczego pakietu lub, gdy sesja korzysta z protokołów bezstanowych (na przykład UDP).
IDS-inline
Ostatnimi czasy, w świecie technologii zajmującej się bezpieczeństwem informatycznym, coraz częściej pojawia się termin IDS-inline18. Jest to rozwiązanie, które różni się znacznie od tradycyjnych systemów IDS, posiadających tylko jeden interfejs sieciowy podłączony do monitorowanej sieci. IDS-inline zbudowany
jest z dwóch kart sieciowych – wewnętrznej i zewnętrznej, a cały monitorowany ruch przechodzi przez urządzenie (rys. 3.4.2). Przypomina to nieco technologię zapory sieciowej i umieszczone jest w podobnym miejscu. Jednak różni się głównie tym, że zapora działa w sposób bardzo restryktywny i blokuje wszystko oprócz tego, co zostało zdefiniowane jako dozwolone. IDS-inline z kolei przepuszcza cały ruch, z wyjątkiem tego, co uzna za groźne lub posiada cechy charakterystyczne dla danego zagrożenia.
Rys. 3.4.2 - Systemy IDS-Inline w sieci
IDS-Inline stosuje znacznie bardziej zaawansowane techniki klasyfikacji ruchu, aniżeli tradycyjne zapory sieciowe. IDS stosuje wiele technologii i w dużym uproszczeniu można stwierdzić, że IDS-y działają w oparciu o dopasowywanie sygnatur ataków. Jednak gdyby tak rzeczywiście było, oszukanie takiego systemu stałoby się banalne. Przykładowo IDS analizując zapytanie SQL natrafić mógłby na dodatkową jedną lub więcej spacji, a w związku z brakiem dopasowania do reguły, nie zakwalifikowałby zapytania jako ataku i zezwolił na jego przeprowadzenie. Dlatego współczesne IDS-y stosują wszelkiego rodzaju normalizatory, interpretery protokołów oraz różnorodne metody heurystyczne.
Mimo wielu zalet, jakie dają rozwiązania typu IPS lub IDS-inline, nie zastąpią one tradycyjnych śluz bezpieczeństwa przede wszystkim ze względu na to, że zapory działają w sposób restryktywny, a IPS / IDS-Inline odwrotnie. Można zatem przypuszczać, że w najbliższym czasie pojawiać się będą różnego rodzaju rozwiązania hybrydowe, w których cechy technologii IPS wzbogacone zostaną o możliwości śledzenia stanu połączeń (ang. statefull-inspection). Specjalizacja urządzeń ochronnych zależeć będzie nie od wykorzystywanej technologii, ale od miejsca ich działania. Przykładowo, mówi się o rozwiązaniu, w którym na froncie będzie działał IPS wykorzystujący IDS-Inline i zintegrowana zapora, a wewnątrz sieci pojawi się IPS zintegrowany z przełącznikiem sieciowym oparty ma technologii wieloportowego IDS-Inline.
NAC19
Warto wspomnieć, że firma Cisco Systems w listopadzie 2003 roku, bazując na idei samobroniącej się sieci (ang. Self-Defending Network), wprowadziła pierwsze produkty w ramach nowej architektury Network Admission Control (NAC). Rozwiązanie to umożliwia dopuszczanie do sieci chronionej wyłącznie komputerów spełniających określone wymogi bezpieczeństwa. Są to między innymi odpowiednia wersja systemu operacyjnego, aktualizacje (ang. patches), program antywirusowy. Systemom, które nie spełniają owych wymagań dostęp do sieci może zostać całkowicie odmówiony, mogą też zostać automatycznie przełączone do wydzielonej podsieci - bez dostępu do innych zasobów firmy.
Kluczowym elementem architektury NAC jest Cisco Trust Agent (CTA), programowy agent instalowany na komputerach użytkowników, dostarczający informacji o stanie komputera. Rolę CTA może pełnić oprogramowanie Cisco (Cisco Security Agent), a także oprogramowanie firm trzecich. Obecnie CTA jest zawarty w oprogramowaniu antywirusowym takich firm, jak Network Associates (McAfee VirusScan Enterprise), Symantec (przyszłe wersje Symantec Client Security i Symantec AntiVirus Corporate Edition) oraz Trend Micro (OfficeScan Corporate Edition), a także oprogramowaniu umożliwiającym centralne zarządzanie komputerami w firmie (IBM).
W przyszłości funkcje NAC mają być dostępne również na innych platformach Cisco Systems - łącznie z przełącznikami sieciowymi oraz rozwiązaniami VPN, a wsparcie dla NAC będzie realizowane w ramach protokołu do zarządzania bezpieczeństwem sieci 802.1x.
komentarze
Copyright © 2008-2010 EPrace oraz autorzy prac.