Integracja firewall i IDS - lepsza ochrona czy zagro¿enie

Integracja firewall i IDS - lepsza ochrona czy zagrożenie
Skuteczna ochrona przed atakami z sieci to obecnie podstawowe wymaganie
bezpieczeństwa w systemach informatycznych. Zabezpieczenia starej generacji jak SnifferIDS1, czy firewalle typu Stateful Inspection nie radzą sobie z tym zadaniem. Konieczne jest
zastosowanie zintegrowanego systemu zabezpieczeń, który wykrywa ataki i blokuje je
w czasie rzeczywistym. Na rynku pojawiła się nowa generacja zabezpieczeń określana jako
in-line IDS lub Deep Packet Inspection2. W realizowanych w Polsce projektach systemów
zabezpieczeń (nawet przez poważnych integratorów i firmy konsultingowe) wciąż spotyka się
jeszcze próby integrowania Sniffer-IDS z firewallami (tzw. firewall signaling) zamiast
stosowania dedykowanych zabezpieczeń in-line IDS. W rzeczywistym działaniu Sniffer-IDS
zintegrowany z firewallem zachowuje się zupełnie inaczej jak in-line IDS i stwarza większe
zagrożenie niż korzyści. Różnicę tę najlepiej zrozumieć analizując typowe scenariusze
włamań do systemów informatycznych.
Internet/
WAN
1
6
Internet/
WAN
Intruz wykonuje atak na
zasoby syst. informatycznego
1
Intruz uzyskuje dostęp do
zasobów syst. informatycznego
(np. poprzez backdoor
używając innego adresu IP)
Intruz wykonuje atak na
zasoby syst. informatycznego
Sniffer-IDS
2
5 Firewall blokuje adres IP,
z którego wykonano atak
4
Sniffer-IDS wykrywa atak
2 In-line IDS wykrywa atak
i blokuje pakiety, które
wykonują ten atak
In-line IDS
Sniffer-IDS informuje Firewall
o ataku z określonego adresu IP
Firewall
3
Intruz przejmuje kontrolę
na systemem i instaluje backdoor
Porównanie działania in-line IDS z działaniem Sniffer-IDS zintegrowanego z firewallem
1
2
System wykrywania intruzów działający na zasadzie nasłuchu sieci. Gartner przewiduje, że do 2005 roku systemy Sniffer-IDS
znikną z rynku zabezpieczeń, a ich miejsce zajmą zintegrowane rozwiązania firewall/IDS.
Przykładowe implementacje wysokiej klasy zabezpieczeń in-line IDS/Deep Packet Inspection to Check Point SmartDefense
oraz NetScreen Intrusion Detection and Prevention (IDP).
Integracja firewall i IDS - lepsza ochrona czy zagrożenie
Zasady działania obu rozwiązań ochrony przed intruzami przedstawia powyższy
rysunek. Porównanie skuteczności dedykowanego systemu in-line IDS i Sniffer-IDS
zintegrowanego z firewallem można bardzo łatwo przeprowadzić nawet w warunkach prostej
sieci lab. Przykład takich testów został szczegółowo opisany na łamach wrześniowego
wydania magazynu IT-FAQ: http://www.it-faq.pl/itfaqarticle.asp?id=292 Praktycznym testom
zostały poddane uznawane za najbardziej renomowane w swojej klasie produkty
zabezpieczeń. Obecnie trudno zrozumieć dlaczego firmy wciąż decydują się na stosowanie
starej generacji zabezpieczeń IDS skoro nie dają im żadnej ochrony przed atakami. Poniższa
tabela przedstawia charakterystyczne własności systemu Sniffer-IDS zintegrowanego z
firewallem oraz dedykowanego in-line IDS.
Rozwiązanie IDS Sniffer-IDS zintegrowany z
firewallem
In-line IDS
Własności
Ochrona zasobów systemu Brak możliwości blokowania ataków
informatycznego przed
i ochrony zasobów systemu
atakami
informatycznego. Reakcja SnifferIDS odbywa się po wykonaniu ataku.
Typowy atak sieciowy to
uruchomienie exploit typu
przepełnienie bufora, załadowanie
shellcode i instalacja backdoor. Czas
trwania ataku jest bardzo krótki,
a Sniffer-IDS nie ma możliwości jego
zablokowania poprzez wykonanie
TCP Reset. Zablokowanie na
firewall adresu IP, z którego
wykonano atak także jest
nieskuteczne. Intruz może bowiem
mając zainstalowany backdoor
uzyskać dostęp do systemu
używając innego adresu IP.
Atak jest blokowany przed
uzyskaniem dostępu do
chronionych zasobów systemu
informatycznego. In-line IDS
blokuje pakiety, które wykonują
atak. In-line IDS w razie potrzeby
realizuje także funkcje firewall.
Wykrywalność ataków
Analiza ruchu sieciowego na
zasadzie nasłuchu jest
skomplikowana i istnieje zagrożenie
„gubienia” pakietów. Sniffer-IDS ma
utrudnione zadanie z uwagi na
występujące w sieci przeciążenia,
retransmisje TCP, fragmentację oraz
różną kolejność napływających
fragmentów datagramów. Na skutek
tego zabezpieczenia Sniffer-IDS
charakteryzują się dużą liczbą
fałszywych alarmów (ang. false
positives) i nie wykrywają wszystkich
ataków, nawet jeżeli posiadają w
3
bazie ich sygnatury .
In-line IDS analizuje całość ruchu
sieciowego przepływającego
przez urządzenie zabezpieczeń.
Poprawne identyfikowanie ataków
jest łatwiejsze jak w Sniffer-IDS
(m.in. w in-line nie ma zagrożenia
„zgubienia” pakietów, in-line IDS
może wykonywać kompletowanie
poddanych fragmentacji
datagramów IP przed
wpuszczeniem ich do sieci
chronionej).
Zagrożenie zakłócania
pracy systemu
informatycznego
Blokowanie na firewall adresów IP,
z którego zostały zidentyfikowane
ataki jest bardzo niebezpieczne
(np. intruzi stosując IP Spoofing
mogą wykonywać ataki używając
adresów IP należących do oddziałów
firmy, bądź jej klientów i partnerów.
In-line IDS blokuje tylko pakiety
wykonujące atak. Zagrożenie
wprowadzania zakłóceń w pracy
systemu informatycznego jest
niewielkie.
3
Wyniki testów skuteczności zabezpieczeń Sniffer-IDS można znaleźć na stronach NSS Group - http://www.nss.co.uk
© 2003 CLICO SP. Z O.O. W SZELKIE PRAWA ZASTRZEŻONE
2