Hlavní navigace

Zmätky v marketingových sloganoch bezpečnostných riešení

24. 2. 2010
Doba čtení: 3 minuty

Sdílet

Aneb IDS, IPS a Hĺbková inšpekcia paketov. Mnohí zákazníci nechcú plytvať časom pre pochopenie technológií, ktoré nakupujú. Pre tých druhých môže byť taktiež extrémne zložité technológie pochopiť a dokázať rozlíšiť tie, ktoré skutočne fungujú od tých, ktoré fungujú iba na okolo.

Cieľom tohto príspevku je zamyslieť sa nad súčasným trendom v bezpečnosti počítačových sietí marketingovo označovaný ako „hĺbková inšpekcia paketov“ (angl. „Deep Packet Inspection“). Technológia DPI bola odvodená zo stavových paketových filtrov (PF) spojením s so systémami detekcie prienikov (angl. Intrusion Detection Systems). Tieto sa objavili v deväťdesiatych rokoch ako reakcia na prvé internetové červy. Po pôsobivý vzostup nasledoval rýchly pád. Dôvodom bolo zameranie „iba na detekciu“ prienikov a teda nešlo o žiadny aktívny mechanizmus ochrany voči hrozbám z internetu – išlo o pasívny systém. IDS navyše generovali príliš veľa falošných poplachov. Na konci roku 2003, výrobcovia IDS systémov doplnili svoje riešenia o „reaktívnu“ funkčnosť a premenovali svoje riešenia na systémy prevencie prienikov (angl. Intrusion Prevention Systems). V skutočnosti išlo iba o rozšírenie súčasných systémov o možnosť blokovania komunikácie. Túto funkčnosť však žiadny z rozumných správcov sietí nechcel používať – išlo o totiž o neslávne známe systémy IDS a žiadny z nich nechcel riskovať blokovanie prístupu legitímnych užívateľov a zákazníkov. K rozšíreniu IPS pomohlo rozšírenie internetových červov a ich jednoduchá detekcia pomocou databázy vzorov.

Dodávatelia DPI riešení popisujú túto technológiu ako stavové paket filtre s pridanou logikou pre kontrolu aplikačných protokolov. Z daného popisu sa dá usudzovať, že ide o zahrnutie kontroly IDS pravidiel do samotného paketového filtra. Súčasťou môže byť taktiež kontrola anomálií najpoužívanejších aplikačných protokolov: HTTP, SMTP, IMAP, POP, FTP a DNS. V tom prípade sa však stráca prevaha paketových filtrov, použiteľnosť na širokú množinu protokolov, ktorá bola hlavným argumentom proti používaniu proxy. Ďalším sporným bodom je implementácia týchto kontrol v aplikačne špecifickom hardwary (t.j. v ASIC obvococh). S najväčšou pravdepodobnosťou pôjde o vyhľadávanie regulárnych výrazov, čím je obmedzená samotná množina možných vyhľadávaných vzorov. Rovnako je diskutabilné, či je možné celú množinu pravidiel zo softwarových IPS presunúť „do hardwaru“ pre zvýšenie priepustnosti siete. Pokiaľ by obmedzenia prostriedkov umožňovali súčasné skenovanie iba podmnožiny vzorov, išlo by o vážne obmedzenie funkčnosti. Nové útoky sa objavujú každý deň, rovnako dôležité je preto vyriešiť jednoduchú a rýchlu aktualizáciu vyhľadávaných vzorov.

Pozrime sa ďalej na detekciu anomálií v použití protokolov. IDS musí obsahovať veľkú množinu pravidiel pre sledovanie stavov aplikačného protokolu. Táto množina musí byť úplná a v ideálnom prípade aj formálne overená, inak by nebolo možné vyhľadávať odchýlky od korektného stavu. Pokiaľ je táto podmienka splnená, IDS môže byť veľmi mocným nástrojom pre detekciu „nekalostí“ v sieti. Pokiaľ je aplikačný protokol implementovaný v aplikácii, táto komunikuje (t.j. odosiela príkazy) v presne definovanom poradí. Pokiaľ však ide o ľudského útočníka, tento môže odosielať vedome, alebo tiež nevedome jednotlivé požiadavky v odlišnom, alebo tiež nesprávnom poradí pre vyvolanie chybového stavu. Pokiaľ niektoré z implementácií protokolu obsahujú chybu a je možné zneužiť aj povolené sekvencie príkazov, tieto musia byť tiež ošetrené vo vyhľadávaných pravidlách a stavoch monitorovacieho zariadenia. V prípade kontroly zložitejších protokolov môže množina vyhľadávacích vzorov a stavov narásť do extrémneho počtu. V takom prípade je vhodné zamyslenie, či samotná implementácia v proxy nie je elegantnejším riešením.

Na záver si dovolím ešte filozofické zamyslenie nad trendom súčasných bezpečnostných technológií. Antivírové programy, antispamy, IDS/IPS systémy a ďalšie moderné technológie sú založené na implicitnom povolení komunikácie, pokiaľ nie je táto označená za nežiadanú. Opačný prístup razia proxy firewally – tie povoľujú komunikáciu len v prípade, že je explicitne spĺňa protokol. Môže byť preto zarážajúce, že v konzervatívnom obore akým bezpečnosť je, tento prístup je považovaný za nemoderný a nie je žiadaný v súčasných bezpečnostných riešeniach.

WT100

Pokiaľ sa však pozrieme na IDS/IPS/DPI riešenia staré niekoľko mesiacov, tieto už môžu byť príliš zastarané na dosiahnutie vysokého stupňa ochrany. Na druhú stranu je možné uviesť, že firewall toolkit z roku 1992 bol odolný voči internetovému červovi z roku 2002 a FTP proxy od rovnakého autora z roku 1990 dokázala ochrániť sieť pred útokom objaveným v roku 1995.

Skutočne môžeme veriť autorom dokonalých bezpečnostných riešení, že práve to ich je najrýchlejšie a najbezpečnejšie zároveň? Napíšte aké sú vaše skúsenosti.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).