Najnowsze trendy w dziedzinie zabezpieczeñ sieci informatycznych. Firewalle aplikacyjne, IPS, IDS in-line



Podobne dokumenty
Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

9. System wykrywania i blokowania włamań ASQ (IPS)

Wprowadzenie do zagadnień związanych z firewallingiem

ASQ: ZALETY SYSTEMU IPS W NETASQ

Zdalne logowanie do serwerów

Zabezpieczanie aplikacji internetowych za pomoc¹ firewalli aplikacyjnych

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Metody zabezpieczania transmisji w sieci Ethernet

Robaki sieciowe. + systemy IDS/IPS

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Produkty. MKS Produkty

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Audytowane obszary IT

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Podstawy bezpieczeństwa

Palo Alto firewall nowej generacji

BEZPIECZEŃSTWO W SIECIACH

Router programowy z firewallem oparty o iptables

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Zapory sieciowe i techniki filtrowania danych

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

7. Konfiguracja zapory (firewall)

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Firewalle, maskarady, proxy

Zapory sieciowe i techniki filtrowania.

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Sieci VPN SSL czy IPSec?

ZiMSK. VLAN, trunk, intervlan-routing 1

KARTA KURSU. Administracja serwerami WWW

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl

SMB protokół udostępniania plików i drukarek

Bezpieczeństwo z najwyższej półki

Firewalle, maskarady, proxy

Przypisywanie adresów IP do MAC-adresów

Narzêdzia do testowania bezpieczeñstwa Oracle

Robaki sieciowe. Wstęp Instalacja w systemie Kanały dystrybucji Ogólny schemat Przykłady robaków Literatura

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Jak bezpieczne są Twoje dane w Internecie?

Firewalle, maskarady, proxy

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

OCHRONA PRZED RANSOMWARE

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

11. Autoryzacja użytkowników

LABORATORIUM - SINUS Firewall

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

wersja 1.3 (c) ZEiSAP MikroB S.A. 2005

Sprawozdanie nr 4. Ewa Wojtanowska

Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP

MASKI SIECIOWE W IPv4

Znak sprawy: KZp

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Możliwość dodawania modułów pozwala na dopasowanie oprogramowania do procesów biznesowych w firmie.

Z-ID-404 Bezpieczeństwo danych w systemach. informatycznych

Agenda. Quo vadis, security? Artur Maj, Prevenity

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Firewalle, maskarady, proxy

Specyfikacja techniczna

Bezpieczeństwo systemów i lokalnej sieci komputerowej

NASK. Firewall na platformie operatora telekomunikacyjnego

Zarządzanie bezpieczeństwem w sieciach

Oferta szkoleniowa Yosi.pl 2012/2013

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Zamówienie abonamentowej aktualizacji programów na rok 2019 w firmie Andrzej Huzar Huzar Software. ul. Tczewska 14, Wrocław

CASE STUDY.

7. zainstalowane oprogramowanie zarządzane stacje robocze

DLP i monitorowanie ataków on-line

Kompleksowe Przygotowanie do Egzaminu CISMP

ArcaVir 2008 System Protection

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Projekt i implementacja filtra dzeń Pocket PC

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Imię i nazwisko zamawiającego...

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source

PARAMETRY TECHNICZNE I FUNKCJONALNE

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 STOSOWANIE METOD ZABEZPIECZANIA SPRZĘTU KOMPUTEROWEGO PRACUJĄCEGO W SIECI.

Cennik usług Usługa Mobilnego Internetu

Portal Security - ModSec Enterprise

Michał Sobiegraj, TCP i UDP

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

WHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

Zamówienie abonamentowej aktualizacji programów na rok 2017 w firmie Andrzej Huzar Huzar Software. ul. Tczewska 14, Wrocław

Transkrypt:

IX Konferencja PLOUG Koœcielisko PaŸdziernik 2003 Najnowsze trendy w dziedzinie zabezpieczeñ sieci informatycznych. Firewalle aplikacyjne, IPS, IDS in-line Wojciech Dworakowski SecuRing W ostatnich latach rozwinê³y siê nowe technologie zwi¹zane ochron¹ zasobów w sieciach informatycznych. Okaza³o siê, e tradycyjne technologie (firewall, IDS) nie s¹ w stanie sprostaæ wspó³czesnym zagro eniom i sposobom ataku. Te nowe technologie, to m.in.: l Firewalle aplikacyjne, które rozumiej¹ ruch sieciowy chronionych aplikacji, l IPS (Intrusion Protection System) rozwiniêcie technologii IDS o mo liwoœæ roz³¹czania podejrzanych po³¹czeñ sieciowych, l IDS-inline system wykrywania intruzów, który umie blokowaæ próby w³amañ. Technologie te do tej pory rozwijane w laboratoriach i jako open source najwyraÿniej dojrza³y ju do wprowadzenia na rynek komercyjny. Widaæ to po najnowszych ofertach producentów systemów zabezpieczaj¹cych. Celem prezentacji bêdzie przybli enie tych nowych technologii (a nie produktów!) równie w kontekœcie chronienia zasobów udostêpnianych przez instalacje Oracle i przygotowanie administratora na wybór w³aœciwych rozwi¹zañ. Technologie omawiane podczas referatu zostan¹ dok³adniej zaprezentowane podczas warsztatu Zewnêtrzne narzêdzia zabezpieczaj¹ce bazy danych i aplikacje przed w³amaniami (WP9 ataki) Informacja o autorze: Konsultant bezpieczeñstwa IT w firmie SecuRing. Koordynator prac zespo³u i osoba odpowiedzialna za sporz¹dzanie raportów. Siedem lat doœwiadczenia praktycznego w zakresie bezpieczeñstwa IT. Od trzech lat zajmuje siê równie testowaniem bezpieczeñstwa produktów Oracle. Prelegent na licznych konferencjach poœwiêconych bezpieczeñstwu IT (m.in. CERT Secure, PLOUG, Open Source Security, Windows Security). Prowadzi rubrykê poœwiêcon¹ bezpieczeñstwu w Biuletynie PLOUG.

Najnowsze trendy w dziedzinie zabezpieczeń sieci informatycznych 353 Zabezpieczenia sieci teleinformatycznych to dziedzina rozwijająca się bardzo dynamicznie. Jej rozwój jest napędzany między innymi przez nowe badania i odkrycia w dziedzinie przeciwstawnej atakowania systemów teleinformatycznych. Technologie ataku i zabezpieczeń prowadzą nieustanny wyścig. Na dodatek cały ten wyścig jest podsycany przez rozwój nowych technologii informatycznych. Szybko wprowadzane w życie nowe metody udostępniania i przetwarzania informacji, to zarówno wyzwanie dla atakujących jak i dla systemów zabezpieczających. Technologie zabezpieczeń jeszcze kilka lat temu uważane za wystarczające, okazują się często bezsilne wobec nowych metod ataku. Wydaje się że rynek dojrzał już do zmian, widać to po ruchach producentów zabezpieczających. Niniejszy wykład ma na celu przybliżenie potencjalnym użytkownikom, kilku technologii jakie pojawiły się w ostatnim czasie lub będą wkrótce (zapewne agresywnie) wchodzić na rynek. Znajomość technologii stojących za poszczególnymi produktami pozwala na dokonanie racjonalnego wyboru popartego wnikliwą analizą przydatności a nie tylko opartego na zapewnieniach producentów. Współcześnie eksploatowane systemy zabezpieczające przed atakiem zdalnym (z sieci) Obecnie eksploatowane systemy zabezpieczające przed atakiem zdalnym z sieci zewnętrznej, to przede wszystkim firewalle i IDS-y (systemy wykrywania intruzów). Firewalle klasy statefull inspection Firewalle są technologią stosowaną w tej chwili powszechnie, nawet w najmniejszych firmach. W związku z powyższym nie będę szczegółowo omawiał zasad ich działania. Podstawowa funkcjonalność typowego firewalla to filtr pakietowy. Filtr taki posiada możliwość blokowania ruchu w zależności od parametrów takich jak: docelowy adres IP adres IP źródła port docelowy i port źródła protokół Bardziej zaawansowane firewalle pozwalają filtrowanie biorące pod uwagę również inne parametry, jednakże filtry pakietowe nie wykraczają poza 4 warstwę protokołów OSI (TCP, UDP). W związku z tym, nie są w stanie odróżnić ataku przenoszonego przez protokoły wyższych warstw. Przykładem może być atak na aplikację obsługującą bankowość elektroniczną lub sklep internetowy. Dla firewalla taki atak będzie zwykłym ruchem HTTP. W tej chwili na rynku dominują filtry klasy statefull inspection. Technika ta pozwala na analizę nie tylko pojedynczych pakietów, ale na kojarzenie pakietów w połączenia TCP (np. ściągnięcie strony WWW to przeważnie przesłanie kilkudziesięciu pakietów TCP). Dzięki temu że firewall rozumie takie pojęcie jak połączenie TCP, może on skuteczniej blokować próby przejścia firewalla oparte na manipulacji stanem w jakim znajduje się połączenie. Konfiguracja firewalli opiera się na stworzeniu zestawu reguł wykorzystujących wyżej opisane parametry. Do każdej z reguł należy przypisać akcję jaką ma podjąć firewall. Typowo jest to: odrzucenie pakietu (atakujący zauważy, że pakiet został odrzucony)

354 Wojciech Dworakowski zignorowanie pakietu (atakujący nie otrzyma żadnej informacji) przepuszczenie pakietu. Firewalle i Oracle Większość protokołów stosowanych przez produkty Oracle nie ma większego problemu z integrowaniem się z firewallami. Wyjątkiem są te protokoły które nie działają na stałym porcie TCP lecz negocjują go w sposób dynamiczny. Pierwszy pakiet jest kierowany do pewnego stałego portu, przypisanego do usługi a potem jest negocjowany inny port na którym jest nawiązywana właściwa transmisja. Bywa że w taki sposób zachowuje się protokół TNS (Net8, SQL*Net) na platformach Windows. Innymi protokołami o dynamicznej charakterystyce są np. protokół FTP i DCOM RPC. Firewalle klasy proxy Firewalle klasy proxy to firewalle pozwalające na analizę ruchu na wyższych warstwach. Są one w stanie zrozumieć ruch pojedynczych protokołów (np. HTTP, FTP) i dodatkowo filtrować w zależności od zawartości tego ruchu. Jednakże ich możliwości są ograniczone do kilku protokołów, które są rozumiane przez firewall. Jeśli dany protokół nie posiada odpowiedniego modułu na firewallu, to należy zastosować proxy standardowe, co w praktyce sprowadza funkcjonalność firewalla do warstwy TCP. Ponadto możliwości zablokowania danego ataku są uzależnione od tego czy ruch generowany przez atak znacząco różni się od standardowego ruchu danego protokołu. IDS IDS (Intrusion Detection System) to system wykrywania prób ataku. Działa on na zasadzie sondy wpiętej w monitorowany segment sieci. Sonda ta powinna otrzymywać cały ruch sieciowy (jego kopię ) przeznaczony dla monitorowanego systemu. IDS umie wykrywać w monitorowanym ruchu objawy charakterystyczne dla prób ataku. W wielkim uproszczeniu działa on podobnie do systemu antywirusowego. Porównuje analizowany ruch z bazą sygnatur ataków, która jest integralną częscią IDS. Aktualność tej bazy decyduje o skuteczności IDS. Współczesne produkty IDS pozwalają na zdalne aktualizacje bazy sygantur ataków. Drugim ważnym aspektem wpływającym na skuteczność IDS jest dostrojenie systemu do charakterystyki monitorowanego ruchu. IDS niezestrojony będzie generował dużą ilość fałszywych alarmów i informacji o niewielkim stopniu ważności. W powodzi informacji może zginąć wiadomość o faktycznym ataku. Po wykryciu potencjalnego ataku, standardowy IDS może zarchiwizować podejrzany ruch sieciowy i zawiadomić administratora. Jak wynika z powyższego opisu, IDS jest urządzeniem pasywnym. Umie wykryć atak, ale podjęcie akcji należy już do administratora. Jeśli administrator nie będzie w stanie podjąć kroków natychmiastowo, to atakujący może mieć wystarczająco dużo czasu żeby dokonać ataku i zatrzeć po sobie ślady. W związku z powyższym współczesne IDS są coraz częściej wyposażane w możliwości proaktywnej reakcji na atak. Typową opcją jest wyposażanie IDS w moduł integrujący go z zewnętrznym firewallem. Dokładniej zostanie to opisane w kolejnym rozdziale.

Najnowsze trendy w dziedzinie zabezpieczeń sieci informatycznych 355 Dlaczego te systemy nie wystarczają? Firewalle Działanie na niskim poziomie Jak już wcześniej wspomniałem firewalle mogą okazać się nieskuteczne w wielu zastosowaniach, ze względu na ograniczenie analizy ruchu do 4 warstwy protokołów (TCP, UDP). W związku z tym nie mogą one wykryć i zablokować ataków wysokopoziomowych. Typowym przykładem jest atak na aplikację internetową. Załóżmy że mamy serwer aplikacyjny Oracle 9iAS udostępniający dane za pomocą aplikacji WWW. Typem klienta, który nas interesuje jest przeglądarka WWW. Podstawową metodą komunikacji z serwerem aplikacji jest przekazywanie stron HTML lub dokumentów XML przez protokół HTTP. Jeżeli na drodze między przeglądarką a serwerem aplikacji będzie stał firewall, to dla niego ruch aplikacji internetowej będzie zwykłym ruchem HTTP lub HTTPS. Tradycyjne firewalle analizują tylko trzecią i czwartą warstwę protokołów sieciowych. W naszym wypadku są to protokoły IP i TCP. Firewall może filtrować ruch tylko na podstawie: źródłowego i docelowego adresu IP źródłowego i docelowego numeru portu TCP stanu sesji TCP (tylko firewalle statefull inspection) Jak widać tradycyjne firewalle nie są w stanie reagować na ataki wysokopoziomowe na same aplikacje internetowe. Dla nich ruch HTTP będący atakiem jest nie do rozróżnienia od zwykłego, dozwolonego ruchu HTTP gdyż nie analizują one zawartości sesji HTTP. Poniższy schemat pokazuje analizę ruchu do aplikacji internetowej przez tradycyjny firewall: Firewall 5. Aplikacji 4. TCP 3. IP 2. Łącza 1. Fizyczna 9iAS Web Cache Oracle HTTP Server OC4J Metadata DBMS IDS Niewystarczające możliwości reakcji na naruszenie bezpieczeństwa Jak już wcześniej wspomniałem, współczesne IDS są coraz częściej wyposażane w możliwości proaktywnej reakcji na atak. Typową opcją jest wyposażanie IDS w moduł integrujący go z zewnętrznym firewallem.w razie wykrycia próby ataku, IDS jest w stanie zdalnie zrekonfigurować firewall tak żeby blokował on ruch z adresu podejrzanego o atak. Rozwiązanie to bywa skuteczne, jednak według mnie nie jest zbyt praktyczne gdyż jednocześnie, zastosowanie takiej integracji firewalla i IDS otwiera nowe możliwości ataków. Np. atakujący może podszyć się pod adres IP centrali firmy czy też popularnego portalu

356 Wojciech Dworakowski i z takiego adresu IP zasymulować atak. Spowoduje to zablokowanie dostępu do tego zasobu. Poza tym rozwiązanie to nie zawsze jest skuteczne. Współczesne metody ataku opierają się na działaniu wielostopniowym, zawierającym akcje rozpoznawcze, przygotowanie ataku i sam atak. Często stosowaną metodą jest prowadzenie rozpoznania i przygotowania z innych adresów źródłowych niż sam późniejszy atak, lub ukrywanie zasadniczego ataku w powodzi pakietów symulujących zmasowany atak innego rodzaju, z wielu różnych źródeł. Firewalle aplikacyjne Tradycyjne firewalle sieciowe nie są w stanie sprostać ochronie aplikacji internetowych. W związku z tym, ostatnio pojawiła się nowa klasa oprogramowania firewalle aplikacyjne. Firewall aplikacyjny to rodzaj filtru integrującego się z serwerem WWW. Działa on między częścią sieciową serwera, a częścią aplikacyjną. W związku z tym dostaje do analizy ruch po wstępnej obróbce przez serwer, tak jak go będą widziały dalsze warstwy. Serwer WWW zajmuje się: rozszyfrowaniem transmisji SSL (jeśli jest używana), zdekodowaniem zlecenia (jeśli było stosowane np. kodowanie hexadecymalne URI), wstępną obróbką zlecenia. Firewalle aplikacyjne działając jako moduł serwera WWW bardzo blisko się integrują z serwerem aplikacji. Dzięki takiemu rozwiązaniu: nie muszą dbać o szyfrowanie SSL nie da się ich obejść, przez zakodowanie zlecenia mogą być to stosunkowo proste mechanizmy, gdyż sporą część pracy wykonuje za nie serwer WWW. Poniższy schemat przedstawia umiejscowienie firewalla aplikacyjnego w architekturze serwera aplikacji. 9iAS Oracle HTTP Server Firewall aplikacyjny OC4J DBMS Firewall Metadata Praktycznie każdy współczesny serwer WWW posiada możliwość rozszerzania swojej funkcjonalności przez dodawanie modułów: dla serwera Microsoft ISS są to filtry ISAPI dla Apache są to moduły Apache dla Netscape/iPlanet/SunOne są to moduły iapi Oracle HTTP Server będący elementem Oracle 9iAS to standardowy serwer Apache 1.3.x. Posiada on możliwość ładowania modułów dynamicznych, tworzonych w postaci

Najnowsze trendy w dziedzinie zabezpieczeń sieci informatycznych 357 bibliotek. Tak więc powinien dobrze integrować się z rozwiązaniami stworzonymi dla Apache. Niestety jak narazie nie znam firewalla aplikacyjnego dedykowanego dla Oracle Application Server. Rozwiązania przygotowane dla Apache 1.3 powinny działać, jednakże nie są to konfiguracje w jaki kolwiek sposób wspierane przez Oracle. Intrusion Protection System / IDS-inline Obecnie zauważa się tendencje do rozbudowywania firewalli o funkcje wykrywania prób ataków i tendencje do stosowania IDS-ów w zastosowaniach tradycyjnie przeznaczonych dla firewalli. Obie te technologie zaczynają przenikać się. Świetnie to widać w ruchach liderów technologii IDS i firewall. Obecnie coraz częściej mówi się o IPS Intrusion Protection Systems. Są to systemy IDS rozbudowane o możliwości aktywnej reakcji na wykryte zdarzenia. Pierwszym ruchem zmierzającym do rozszerzenia możliwości reakcji standardowego systemu IDS było pojawienie się technologii przerywania połączeń. W skrócie, współczesne IDS-y mogą w przypadku wykrycia podejrzanego połączenia TCP przerwać to połączenie przez podszycie się pod stronę atakującą i wysłanie pakietu TCP z flagą RST. Pakiet z taką flagą oznacza zakończenie połączenia. Tak więc atakowany serwer zakończy połączenie i atak nie będzie mógł dojść do skutku. Technika ta jest skuteczna przy atakach angażujących całą sesję TCP. Nie zadziała np. dla ataków składających się z jednego pakietu i ataków przenoszonych przez inne protokoły niż TCP, w szczególności protokoły bezstanowe. Kolejnym rewolucyjnym krokiem, jest IDS-inline. O ile tradycyjny IDS ma jedną kartę sieciową, która jest sondą wpinaną w monitorowaną sieć, to IDS-inline posiada dwie karty zewnętrzną i wewnętrzną. Cały monitorowany ruch sieciowy przechodzi przez urządzenie. Przypomina to budowę firewalla, jednak w środku działa silnik IDS, który wykrywa ataki i umie je blokować. W sumie urządzenie pełni podobne funkcje jak firewall jednakże działa w inny sposób. Firewalle to technologia restryktywna. Blokują one cały ruch z wyjątkiem ruchu dozwolonego. Istotą działania IDS jest wykrywanie prób ataku, w związku z tym IDS-inline chociaż jest umieszczony w tym samym miejscu co firewall, to działa w ten sposób, że przepuszcza cały ruch z wyjątkiem tego co uzna za próbę ataku. W przypadku IDS-inline klasyfikacja aktywności sieciowej jest o wiele bardziej zaawansowana niż w przypadku firewalli. IDS stosuje do tego wiele technologii. Ogólnie mówi się że IDS-y działają na podstawie dopasowywania sygnatur ataków. Jest to duże uproszczenie. W żadnym wypadku nie oznacza to że IDS ma dokładny wzorzec każdego ataku i z taką bazą danych konfrontuje nadzorowany ruch. Jeśli by tak było, to IDS-y dałoby się bardzo łatwo oszukać. Przykładowo jeśli IDS analizowałby zapytania SQL, to wstawienie jednej lub więcej spacji spowodowałoby brak dopasowania reguły i udałoby się obejść zabezpieczenie. W rzeczywistości współczesne IDS-y stosują wiele różnych technik detekcji prób ataku. Np. normalizatory i interpretery poszczególnych protokołów, sygnatury opisowe w miejsce konkretnych wzorców, oraz metody heurystyczne. Mimo to technologia IDS-inline (IPS) nie jest w stanie zastąpić w pełni firewalla. Chociażby dlatego że nie może to być technologia działająca na zasadzie restryktywności. Dlategoteż rynek IPS będzie prawdopodobnie rozwijał się w kierunku rozwiązań hybrydowych, w których funkcjonalność IDS-inline będzie uzupełniana przez tradycyjny firewall statefull inspection. Specjalizacja w urządzeniach ochronnych będzie uzależniona od miejsca w których one działają a nie od techniki jaką stosują. Przykładowo, na froncie będzie działał IPS wykorzystujący IDS-inline i zintegrowany firewall, a wewnątrz sieci

358 Wojciech Dworakowski IPS zintegrowany w przełączniku sieciowym (mówi się już o takich projektach) bazujący na technologii wieloportowego IDS-inline. Podsumowanie W najbliższym czasie można spodziewać się prawdziwych rewolucji na rynku zabezpieczeń przed atakami z sieci. Powinno to pozwolić na zmniejszenie luki spowodowanej dynamicznym rozwojem technologii, za którą współczesne zabezpieczenia często nie nadążają. Mam nadzieje że mój wykład przybliżył Państwu obecne i przyszłe technologie i pozwoli na dokonywanie rozsądniejszych inwestycji. Pamiętajmy że najpierw należy dobrze poznać technologię, jej zalety i ograniczenia, a później przystąpić do wyboru rozwiązania. Ważne jest również (nawet ważniejsze od samego wyboru produktu) właściwe jego skonfigurowanie. Testowane przez nas instalacje produktów zabezpieczających często sprawiają wrażenie, że spodziewano się że nabyto cudowne pudełko które samo z siębie załatwi wszystkie problemy. Pamiętajmy to są tylko narzędzia, trzeba jeszcze ich użyć w sposób świadomy. Tak czy inaczej intruzi łakomi na nasze dane będą mieli wkrótce ciężki orzech do zgryzienia.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres