Systemy wykrywania intruzów (Intrusion Detection Systems, IDS) to technologia zabezpieczeń, która w ostatnim czasie przeżywa drastyczne zmiany. Jest to spowodowane tym, że systemy IDS, funkcjonujące na zasadach opracowanych 5-8 lat temu zupełnie nie sprawdzają się w obecnej rzeczywistości. IDS działające jako aplikacja, która odczytuje pakiety do analizy poprzez stos TCP/IP nie jest w stanie działać skutecznie w sieciach o wysokiej przepustowości i natężeniu ruchu. Sprawę dodatkowo komplikuje nieustanne doskonalenie metod oraz dedykowanych narzędzi do łamania i oszukiwania zabezpieczeń. Wykonane przez MIER Communications testy systemów IDS wykazały, iż wystarczy zaledwie 40% obciążenie sieci Fast Ethernet, aby można było bezkarnie wykonywać ataki. W takich warunkach technika oszukiwania IDS polega jedynie na prostej fragmentacji pakietów, z którą IDS nie radzi sobie, jeżeli ma do przeanalizowania większą liczbę pakietów. O jakości systemów wykrywania intruzów decyduje wiele własności. Do najbardziej istotnych z nich można zaliczyć: Wykrywalność ataków system IDS identyfikuje ataki, dla których posiada zdefiniowane sygnatury i jest odporny na techniki oszukiwania zabezpieczeń (tzw. evasion techniques). Liczba fałszywych alarmów system IDS dokładnie analizuje ruch sieciowy i generuje niewielką liczbę fałszywych alarmów (tzw. false positives). Wydajność system IDS nawet w warunkach dużego obciążenia sieci poddaje analizie całość ruchu sieciowego tzn. nie gubi pakietów, Baza sygnatur i jej aktualizacja system IDS posiada informacje na temat dużej liczby ataków i dane te są często aktualizowane, Zakres reakcji system IDS w razie wykrycia ataku podejmuje stosowne działanie (np. powiadamia administratora, zamyka sesję TCP). Dostrajanie zabezpieczeń polityka bezpieczeństwa IDS jest dostosowana do potrzeb i specyfiki chronionych systemów (m.in. administrator decyduje jaki ruch podlega kontroli oraz może definiować własne sygnatury zdarzeń i metody ich obsługi). Zarządzanie zabezpieczeń administrator IDS ma do dyspozycji dedykowane narzędzia do monitorowania sieci, analizy zdarzeń i wykrywania nadużyć bezpieczeństwa oraz sprawnego zarządzania systemu (m.in. scentralizowanej instalacji polityki bezpieczeństwa i aktualizacji baz sygnatur na odległych sensorach IDS). Typowe systemy IDS działają jak sniffer - przechwytują wszystkie krążące w sieci pakiety, a następnie składają je w sesje i poddają analizie. Proces od rozpakowania ramek medium fizycznego, np. Ethernet do złożenia i dokładnego przeanalizowania danych aplikacyjnych jak skomplikowany, narażony na pomyłki i stwarza poważne problemy z wydajnością systemów IDS. Przekłada się to wprost na gubienie pakietów, niedostateczną wykrywalność oraz wręcz przeciwnie dużą liczbę fałszywych alarmów. W praktycznych testach różnych systemów IDS przeprowadzonych przez niezależną instytucję NSS Group okazało się, że nawet uznawane za dobrej klasy rozwiązania nie wykryły od 10 do 45% ataków 1 i to pomimo faktu, że sygnatury tych ataków były im znane. Przy tym testy były wykonywane w warunkach normalnej pracy systemu informatycznego, bez stosowania wyrafinowanych technik obchodzenia zabezpieczeń. 1 W wykonanych przez NSS Group (http://www.nss.co.uk) testach na 109 wykonanych znanych ataków ISS RealSecure 7.0 wykrył 94, SNORT okazał się skuteczny dla 74 ataków, a Cisco IDS 4230 wykrył zaledwie 67 ataków.
Gigabitowe IDS Podwyższenie wydajności sensorów IDS tak, aby mogły bez gubienia pakietów" funkcjonować w sieciach 100/1000 Ethernet realizowane jest poprzez tworzenie dedykowanych dla nich sterowników do kart sieciowych. Sensory IDS poprzez własne sterowniki pobierają ramki bezpośrednio z kart sieciowych bez pośrednictwa stosu TCP/IP systemu operacyjnego (patrz rysunek 1). Dzięki temu gigabitowe rozwiązania IDS (np. Intrusion SecureNet, ISS RealSecure 7.0) mogą skutecznie działać w sieciach przy obciążeniu rzędu 800 Mb/s. Konwencjonalny IDS Gigabitowy IDS SIEĆ NIC Stos TCP/IP Aplikacja IDS SIEĆ NIC Stos TCP/IP Aplikacja IDS Rys 1) Zasady funkcjonowania systemów IDS Platforma IDS Istotnym wymaganiem rozwiązań IDS jest wydajność platformy sprzętowej. Dotyczy to także systemów funkcjonujących w zwykłych sieciach 10/100 Ethernet. Systemy IDS z dnia na dzień operują na coraz większej bazie sygnatur ataków (nawet rzędu 1.500) i implementują techniki analizy kontekstowej i heurystycznej. Do prawidłowego i skutecznego działania takiego systemu wymagany jest szybki procesor i odpowiedni rozmiar pamięci RAM. Dla przykładu rozwiązania sprzętowo-programowe Intrusion i Cisco dedykowane dla sieci Fast Ethernet (nawet nie dla sieci Gigabit) posiadają parametry rzędu: procesor 1.3 GHz i 1GB RAM. Dla oprogramowania IDS nierozsądne jest stosowanie dostarczanych przez firmy trzecie urządzeń określanych nazwą Appliance, jeżeli nie podają oni dokładnych parametrów sprzętu (szczególnie istotna jest moc procesora). Należy zdawać sobie sprawę, że często informacje na temat wydajności urządzeń podawane przez samych producentów nie są wiarygodne, a opis w materiałach marketingowych i cena nie zależą od jakości. Wiedząc jak technicznie działa system wykrywania intruzów nie powinniśmy oczekiwać, żeby nawet dobrej klasy rozwiązanie IDS skutecznie wykrywało ataki na słabej platformie sprzętowej. Niska wykrywalność IDS stwarza dodatkowe zagrożenie, ponieważ utrzymuje administratorów w mylnym przekonaniu, że nikt nie atakuje ich systemów i są bezpieczni. Jakość IDS jest trudna do zweryfikowania w warunkach rzeczywistego działania systemu. Praktycznie administrator nie ma bowiem możliwości ustalić jak dużo wykonanych ataków i nadużyć bezpieczeństwa nie zostało przez IDS wykryte. 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2
In-line IDS Dużą popularność zyskuje obecnie nowy rodzaj systemów IDS, tzw. in-line IDS. Rozwiązania te są co do zasady działania podobne do systemów Firewall. Ruch wchodzi do urządzenia IDS przez interfejs sieciowy i wewnątrz jest poddawany analizie, a następnie wychodzi z urządzenia drugim interfejsem (patrz rysunek 2). Dzięki temu kontrola ruchu sieciowego jest łatwiejsza, pojawia się mniej jak w zwykłych IDS fałszywych alarmów i co najważniejsze całkowicie eliminowane jest zagrożenie, że IDS zgubi pakiety. Istotne jest także, że w in-line IDS ataki mogą być w czasie rzeczywistym skutecznie blokowane. Zwykły system IDS, nasłuchując sieć identyfikuje zdarzenia w czasie gdy intruzi wykonali już ataki na chronione zasoby i w praktyce nie jest w stanie ich zablokować. Systemy IDS działające w trybie in-line to m.in. Check Point SmartDefence, ISS RealSecure Guard i OneSecure (obecnie NetScreen IDP). Rys 2) Koncepcja funkcjonowania in-line IDS Realna wydajność rozwiązań in-line IDS wynosi od 100 do 400 Mb/s, co oznacza, że na razie można je stosować do ochrony segmentów sieci Fast Ethernet oraz mało obciążonych sieci Gigabitowych. Wg zapowiedzi producentów w najbliższej przyszłości pojawią się rozwiązania in-line IDS o przepływności ponad 1 Gb/s (np. OneSecure zostanie zaimplementowany jako ASIC 2 ). Koncepcja integracji IDS z Firewall Niektóre koncepcje wdrażania systemów IDS zakładają, że system IDS po wykryciu ataku powinien mieć możliwość rekonfiguracji systemu zaporowego. Koncepcja ta posiada jednak większy wymiar marketingowy jak praktyczny. Na pierwszy rzut oka pomysł ten wydaje się interesujący, jednak wnikliwa analiza skutków zastosowania go w praktyce prowadzi do przeciwnych wniosków. Automatyczne blokowanie na Firewall adresów, z których wywodzi się atak wydaje się nierozsądne z kilku powodów. Po pierwsze, włamywacze posługują się zazwyczaj komputerami/sieciami osób i firm trzecich. W trakcie prowadzenia wielu ataków mogą także wykorzystywać dowolne, przypisane sobie adresy IP. 2 Implementacja algorytmów zabezpieczeń w specjalizowanych układach scalonych ASIC (Application-Specific Integrated Circuit). Praktyczna implementacja koncepcji zabezpieczeń sprzętowych. 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3
Łatwo wyobrazić sobie sytuację, w której włamywacz wiedząc, lub nawet tylko podejrzewając, że firma stosuje taką strategię obrony wykorzysta do ataku sieci (lub tylko ich adresy) należące do jej kluczowych partnerów lub klientów. W ciągu kilku minut firma może więc sama pozbawić się kontaktu ze światem. Po drugie, wziąwszy pod uwagę stosunkowo dużo fałszywych alarmów generowanych przez systemy IDS, taka automatyzacja może oznaczać w praktyce dla administratorów więcej, a nie mniej pracy. Inna koncepcja integracji IDS z Firewall, znajdująca większe zastosowanie praktyczne polega na utrzymywaniu wspólnej bazy rejestrowanych przez nie zdarzeń. System IDS przesyła w czasie rzeczywistym logi do stacji zarządzającej Firewall, aby tam mogły zostać poddane wspólnej analizie. Takie podejście stwarza lepsze możliwości wykrywania nadużyć bezpieczeństwa i wyjaśniania zaistniałych incydentów. Przykładem może być opracowany przez Check Point protokół ELA (Event Logging API), poprzez który zdarzenia z IDS mogą w czasie rzeczywistym być przesyłane do konsoli zarządzania Firewall (SmartCenter) i tam poddawane korelacji i analizom. Więcej informacji na ten temat można znaleźć na stronie: http://www.opsec.com/solutions/sec_intrusion_detection.html Doskonalenie technik detekcji Dobrej klasy systemy IDS wykorzystują wiele metod identyfikacji ataków i innych nadużyć. Metody detekcji ataków włączane są w zależności od kontrolowanego ruchu sieciowego. Analiza danych za pomocą poszczególnych metod detekcji odbywa się w tym samym czasie (przetwarzanie współbieżne). Zapewnia to wysoką wykrywalność ataków bez obniżania wydajności. Dla przykładu, system zabezpieczeń OneSecure wykorzystuje następujące metody detekcji: Stateful Signatures - wykrywanie ataków w oparciu o bazę pełno-stanowych sygnatur. Pełno-stanowe sygnatury zawierają dane na temat wzorca ataku oraz rodzaju komunikacji, gdzie takie zdarzenie może wystąpić. Ruch sieciowy poddawany jest analizie kontekstowej przez co w dużym zakresie eliminowane są fałszywe alarmy (tzw. false positives). Wzorce ataków wyszukiwane są tylko w wybranej komunikacji sieciowej, zapewniając w ten sposób większą efektywność kontroli i wydajność zabezpieczeń. Protocol Anomalies - wykrywanie niezgodności ruchu sieciowego ze standardami określonych protokołów (m.in. RFC). W praktyce zdarza się, że intruzi w celu zmylenia zabezpieczeń, bądź ukrycia rzeczywistych ataków generują ruch sieciowy odbiegający od przyjętych norm i standardów. Backdoor Detection - wykrywanie aktywności "koni trojańskich" oraz prób nieupoważnionego dostępu do chronionych systemów poprzez tzw. "włazy" (backdoor). Detekcja odbywa się poprzez porównywanie ruchu sieciowego ze znanymi wzorcami działań intruzów oraz analizę heurystyczną transmitowanych pakietów. Traffic Anomalies - identyfikowanie działań w sieci, uznawanych za niedozwolone lub podejrzane, które są realizowane w formie wielu, różnych połączeń (np. skanowanie portów). Analizie poddawane są połączenia w określonych przedziale czasowym. Spoofing Detection - wykrywanie ruchu sieciowego ze sfałszowanymi adresami IP nadawcy pakietów (IP Spoofing). Intruzi często wykorzystują technikę IP Spoofing, żeby ukryć rzeczywiste źródło ataku. IDP wykrywa IP Spoofing porównując adresy IP w pakietach z adresami wykorzystywanymi w sieciach wewnętrznych. Layer 2 Detection - wykrywanie ataków i działań podejrzanych na poziomie warstwy 2 modelu OSI i adresacji MAC (np. ARP cache poisoning). Jest to szczególnie wartościowe w przypadku kontroli przez IDP sieci wewnętrznych. 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4
Denial of Service Detection - wykrywanie ataków destrukcyjnych i destabilizujących (Denial-of-Service, DoS). Ataki DoS realizowane są zwykle poprzez wysyłanie do serwera usługi dużej liczby odpowiednio spreparowanych zapytań, które wyczerpują jego zasoby (np. SYN-Flood). Network Honeypot - wczesne wykrywanie i rozpoznawanie działań intruzów poprzez stosowanie techniki "honeypot". IDP w trakcie skanowania, penetracji lub próby włamania do chronionego systemu przedstawia intruzom fikcyjne informacje nt. usług dostępnych na serwerach. Chociaż graficzne konsole zarządzania zabezpieczeń wydają się z pozoru wodotryskiem, ich rola jest niebagatelna. Przedstawiają bowiem w syntetycznej formie spójne informacje zebrane z różnych miejsc. W praktyce liczba zdarzeń rejestrowanych przez systemy zabezpieczeń IDS jest bardzo duża. Możliwości człowieka nie pozwalają na sprawną ich analizę bez specjalistycznych narzędzi i wcześniejszej obróbki. Odpowiednie narzędzia administracyjne pozwalają panować nad natłokiem informacji i ułatwiają podejmowanie decyzji zwłaszcza w sytuacji awaryjnej. Najnowszy trend to konsole potrafiące konsolidować i interpretować informacje z różnego typu systemów: IDS, skanerów zabezpieczeń, Firewall oraz wykonywać korelacje pomiędzy rejestrowanymi przez nie zdarzeniami. Mariusz Stawowski 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5