Projektowanie zabezpieczeń IDS do kontrolowania

Projektowanie zabezpieczeń IDS do kontrolowania
szyfrowanej komunikacji SSL
Użytkownicy korzystający z usług sklepów, biur, czy banków internetowych
postrzegają ich „wysokie” bezpieczeństwo poprzez logowanie na swoje indywidualne konta
oraz szyfrowanie komunikacji sieciowej „mocnym” algorytmem, wykonywane przez
przeglądarki Web. Praktyka pokazuje, iż także twórcy aplikacji biznesowych opartych na
technologii Web zwykle dbają tylko o wiarygodną kontrolę i rozliczanie użytkowników oraz
zabezpieczenie kryptograficzne komunikacji sieciowej (SSL1), pomijając ochronę samych
serwerów aplikacji. Wdrożenie zabezpieczeń przed intruzami dla serwerów, do których
dostęp dobywa się przez szyfrowane sesje SSL nie odnosi żadnego skutku. Systemy
zabezpieczeń IDS2 nie mają bowiem technicznych możliwości przeanalizowania
zaszyfrowanych sesji i zidentyfikowania realizowanych poprzez te sesje ataków.
Aplikacje internetowe oparte na serwerach Web (np. Microsoft IIS, iPlanet, Apache)
narażone są na poważne niebezpieczeństwa związane z błędami bezpieczeństwa
i podatności tych serwerów. W samym tylko Microsoft IIS w roku 2002 odnotowano 27
błędów bezpieczeństwa (wg bazy SecurityFocus). Skuteczne działanie zabezpieczeń IDS dla
szyfrowanych sesji SSL jest możliwe po wdrożeniu odpowiedniej architektury systemu z
urządzeniem terminującym SSL lub zastosowaniu sensora IDS, dedykowanego dla
określonego serwera Web i zainstalowanego na tym serwerze. Tabela 1 przedstawia zalety
i wady obu tych rozwiązań. Inne poważne zagadnienie, które często pomijane jest w trakcie
projektowania aplikacji internetowych to obciążenie serwerów. Istnieje realne
niebezpieczeństwo ich przeciążenia, wynikające z konieczności wykonywania przez serwery
Web skomplikowanych operacji kryptograficznych związanych z ochroną przesyłanych
informacji za pomocą protokołu SSL.
Tabela 1 – Warianty wdrożenia IDS do kontrolowania szyfrowanych sesji SSL
Rozwiązanie
Zalety
3
HIDS (systemowy IDS) •
z obsługą protokołu
SSL
4
NIDS (sieciowy IDS) z
zewnętrznym
urządzeniem
terminującym SSL
1
2
3
4
•
•
•
Niski koszt zakupu produktu
dla pojedynczego serwera
Wady
•
•
Wysoka niezawodność
Zmniejszenie obciążenia
chronionych serwerów
Centralna ochrona wielu
serwerów
•
Dodatkowe obciążenie
chronionego serwera
Zagrożenie zakłócenia pracy
i stabilności chronionego
serwera
Wymaga zakupu urządzenia
terminującego SSL
SSL (Secure Sockets Layer) – protokół zabezpieczenia komunikacji sieciowej za pomocą technik kryptograficznych
(szyfrowanie, uwierzytelnianie)
IDS (Intrusion Detection System) – zabezpieczenia wykrywające ataki i inne zdarzenia istotne z punktu widzenia
bezpieczeństwa
HIDS (Host-based IDS) – zabezpieczenia IDS funkcjonujące zwykle na serwerze i realizujące zdania ochrony zasobów tego
serwera
NIDS (Network-based IDS) – zabezpieczenia IDS funkcjonujące zwykle na dedykowanym urządzeniu, wykrywające intruzów
na podstawie analizy ruchu w sieci
Projektowanie zabezpieczeń IDS do kontrolowania szyfrowanej komunikacji SSL
W systemach wymagających wydajnej i niezawodnej pracy zwykle stosuje się
urządzenia terminujące SSL wraz z urządzeniami „inteligentnie” przełączającymi ruch
aplikacyjny HTTP/SSL. Urządzenia takie dostarczają m.in. Cisco, Nortel i Radware.
Największą wydajność w tym zakresie posiadają urządzenia izraelskiej firmy Radware.
Urządzenia te oparte są na platformie Motorola PowerPC (RISC), gdzie algorytmy i logika
systemu zostały zaszyte w specjalizowanych układach scalonych ASIC5. Wydajność
urządzeń Radware oraz ich funkcjonalność są obecnie niedostępne w rozwiązaniach
konkurencyjnych m.in. przepływność 44 Gb/s (non-blocking back plane), przełączanie ruchu
aplikacyjnego z prędkością 3 Gb/s, wbudowane moduły ochrony przed awariami (HA),
równoważenia obciążenia (Load Balancing), zarządzania pasmem (QoS), a także ochrony
przed intruzami (IDS, DoS Shield).
Rys 1) Prosty sposób wdrożenia zabezpieczeń IDS do kontroli sesji SSL
Prosty sposób wdrożenia systemu zabezpieczeń IDS, dedykowanego do kontroli sesji
SSL został zaprezentowany na rysunku 1. Urządzenie Radware CertainT 100 deszyfruje
ruch HTTPS (SSL) i przełącza ruch HTTP do docelowych serwerów Web. Umożliwia to
systemowi IDS podłączonemu za urządzeniem CertainT 100 wykonywanie pełnej kontroli
komunikacji sieciowej z serwerami Web.
Rys 2) Zabezpieczenia IDS dedykowane dla sieci o dużej intensywności ruchu
5
ASIC (Application-Specific Integrated Circuit) – implementacja algorytmów aplikacji w opracowanych do tego celu układach
scalonych. Uzyskuje się w ten sposób b. duże podwyższenie wydajności i stabilności pracy urządzeń sieciowych.
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
2
Projektowanie zabezpieczeń IDS do kontrolowania szyfrowanej komunikacji SSL
W instytucjach, gdzie występuje duża liczba serwerów i intensywność ruchu
sieciowego wymagane jest zaangażowanie do ochrony przed intruzami większej liczby
systemów IDS i wdrożenie odpowiedniej architektury zabezpieczeń. Przedstawione na
rysunku 2 urządzenie Radware FireProof odpowiada za przełączanie szyfrowanego ruchu
HTTPS do urządzeń terminujących SSL (CertainT 100), kierowanie ruchu HTTP do
systemów zabezpieczeń IDS, a następnie przekazywanie poddanych kontroli sesji do
docelowych serwerów Web. FireProof realizuje przy tym ochronę przed awariami
i równoważenie obciążenia urządzeń CertainT 100 oraz systemów IDS. Uzasadnione jest
także, aby sam FireProof został wdrożony w konfiguracji odpornej na awarie (tzn.
w konfiguracji z urządzeniem zapasowym).
Rys 3) Wdrożenie IDS do kontroli sesji SSL w konfiguracji wysokiej dostępności
W systemach o strategicznym znaczeniu dla instytucji wymagane jest stosowanie
rozwiązań, w których wszystkie elementy sieci i zabezpieczeń posiadają redundancję,
zapewniającą im odporność na awarie. Wymaganie to dotyczy całej infrastruktury sieciowej.
Do takich zastosowań można wykorzystać rozwiązanie Radware Web Server Director
(WSD) w konfiguracji przedstawionej na rysunku 3. Urządzenia WSD funkcjonują w klastrze
typu Active-Active, równoważąc pomiędzy siebie ruch sieciowy. Oprócz tego odpowiadają za
równoważenie sesji HTTPS pomiędzy urządzenia terminujące SSL (CertainT 100). Zadania
ochrony przed atakami intruzów mogą być realizowane przez wbudowany w urządzenia
Radware moduł SynApps (IDS, DoS Shield) lub zewnętrzny system IDS.
Więcej informacji na temat przedstawionych w artykule rozwiązań Radware można
znaleźć na stronach:
http://www.clico.pl/hardware/radware/html/produkty.html
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
3