NIPS и HIPS, Windows IT Pro

Предотвратяване на неоторизиран достъп За администратора по сигурността NIPS и HIPS звучат като сбъдната мечта: набор от превантивни мерки за отблъскване на редица мрежови атаки. NIPS и HIPS са два типа системи за предотвратяване на проникване (IPS) за предотвратяване на проникване.

Предотвратяване на неоторизиран достъп

За администратор по сигурността NIPS и HIPS звучат като сбъдната мечта: набор от превантивни мерки за отблъскване на редица мрежови атаки. NIPS и HIPS са два типа системи за предотвратяване на проникване (IPS) за предотвратяване на проникване. Някои администратори по сигурността смятат, че IPS е просто маркетингов термин, използван от доставчиците за предлагане на пазара на системите за откриване на проникване (IDS) по нови начини. Други са по-малко скептични и виждат IPS като следващата стъпка в еволюцията на защитните стени. Обикновено тези мнения се основават на различни дефиниции на IPS. Дори доставчиците на IPS не могат да се споразумеят за една единствена дефиниция или технологичен модел. И само времето ще покаже дали новата технология ще пусне корени на пазара.

Най-широко приетата дефиниция на IPS е вградено устройство, което съчетава IDS и защитна стена на приложния слой. Повечето организации не използват защитни стени, които работят на приложния слой на мрежовия стек, поради намаляването на производителността, свързано със значителните изчислителни разходи за анализиране на компонентите на всеки пакет в опит да се открият признаци на заплаха. В съвременните защитни стени решението за достъп се взема главно в мрежовия и транспортния слой на пакета, но не успява да открие много важни фрагменти, които носят опасен полезен товар.

Подобно на мрежа IDS (мрежаIDS, NIDS) и хост IDS (хост IDS, HIDS), има мрежови IPS (NIPS) и хост IPS (HIPS). NIPS решенията анализират трафика, преди да го предадат към мрежа или подмрежа. HIPS решенията анализират пакетите преди да влязат в компютъра.

Освен че се разделят на NIPS и HIPS, IPS системите могат да бъдат диференцирани по вид продукт. Функционалността на IPS може да бъде:

  • реализиран като специализирано устройство. Специализираните IPS устройства са самостоятелни продукти. Това обикновено са отделни NIPS устройства и целият трафик трябва да премине през тях, преди да влезе в мрежата;
  • вградени в други продукти. Някои доставчици са започнали да вграждат IPS функционалност в съществуващи продукти за сигурност. Например доставчиците на защитни стени Check Point Software Technologies и Juniper Networks добавиха IPS функционалност съответно към своите защитни стени FireWall-1 и NetScreen-5GT.

Повечето организации вече имат защитни стени и искат да ги допълват, а не да ги заменят, така че тази статия ще се съсредоточи върху персонализирани NIPS устройства и HIPS решения.

Специализирани NIPS устройства

Някои NIPS устройства позволяват на администраторите да задават базови линии въз основа на количествени оценки за използване на честотната лента. Други устройства използват качествени оценки като „високо“, „средно“ и „ниско“. Серията Captus IPS 4000 на Captus Networks ви позволява да откриете кога определена услуга е претоварена и започва да забавя трафика. Ако обемът на трафика не намалее, продуктът може да попречи на този клиент да получи достъп до услугата.

В допълнение към задаването на праг за трафика, разрешен в определена система, Top Layer Networks Attack Mitigator IPS 5500 имаинтересна функция, наречена "проксииране на връзка", която изглежда не се намира в други продукти на NIPS. С тази функция можете да ограничите броя на чакащите TCP връзки. Непълната TCP връзка обикновено показва злонамерена дейност, като SYN flood атака. След достигане на прага за брой незавършени TCP връзки, Attack Mitigator започва да играе ролята на посредник между подателя и получателя. Пакетите за връзка все още се получават от Attack Mitigator, но трафикът ще бъде изпратен до целевия компютър само когато TCP връзката е завършена (последователност от SYN, SYN/ACK, ACK пакети).

В зависимост от това как е конфигурирано специалното NIPS устройство, когато прагът на трафика бъде превишен, можете да намалите трафика, да отхвърлите изцяло пакетите или да изпратите предупреждение до администратора. По този начин е възможно ефективно да се противодейства на атаките за отказ на услуга (DoS). Предизвикателството е праговете на IPS да бъдат правилно конфигурирани, за да осигурят правилното ниво на защита, без да блокират или пренасочват трафика, който е полезен. Например, как определяте приемливия брой пакети, които отиват към DNS сървъра, уеб сървърите и сървърите за електронна поща? Администраторът трябва да се научи как да коригира праговете в движение и постоянно да настройва IPS устройството, докато се намери оптималното количество трафик за различните дестинации.

Потребителите, които работят с NIPS устройства, често се оплакват от трудността при определяне на прагове за трафик между мрежови възли и дори между портове. Някои доставчици предоставят техники и инструменти за наблюдение на трафика, за да определят правилните прагове, но това е рядък късмет. По-често продавачите предоставят ненужно сложнинасоки стъпка по стъпка или да изпрати инженер, който да зададе прагове, които по-късно трябва да бъдат променени, когато средата и трафикът се променят.

Базирани на съдържание NIPS системи.Базирани на съдържание NIPS устройства откриват аномалии в поведението и протоколите и определят активността на хакерите от тях. Традиционните IDS системи работят по същия начин, така че базираните на съдържание NIPS устройства не са смело нововъведение. Базираните на съдържание NIPS устройства откриват аномално поведение като FTP трафик, идващ на порт 53, двоичен код в паролата на потребителя или прекомерни байтове, излизащи от браузър. Те също така използват подписи за аномалия на протокола, за да идентифицират пакети, които не отговарят на RFC документацията на протокола. Този метод води до голям брой фалшиви положителни резултати, тъй като много доставчици не спазват стриктно изискванията на RFC за този протокол. Базираните на съдържание NIPS устройства също откриват специфични аномалии на протокола. Например, следните са няколко потенциално опасни промени в заглавките на мрежови и транспортни пакети:

  • неправилна заглавка или дължина на полето;
  • неправилни контролни суми;
  • неправилно припокриване на TCP сегменти;
  • неправилно използване на флагове в заглавните полета.

Някои базирани на съдържание IPS устройства анализират пакетите по-задълбочено, търсейки потенциални опасности в заглавките на ниво приложение. По-специално могат да бъдат открити следните аномалии на протокола на приложния слой:

  • незаконно използване на протоколни команди;
  • необичайно дълги или къси полета, което може да показва препълване на буфера;
  • използване на протокола занестандартни цели;
  • обвързване на протокол към необичаен номер на порт;
  • невалидни стойности и комбинации от полета.

Някои IPS продукти се опитват да комбинират прагове с анализ на съдържанието. Въпреки това, поради голямото количество ресурси, необходими за прилагане на различни видове анализ на пакети, е трудно успешното им комбиниране в едно устройство.

За разлика от HIDS решенията, които съобщават само, че е настъпило подозрително събитие, HIPS решенията се опитват да предупредят за потенциално вредна дейност. Както при NIPS устройствата, в HIPS решенията могат да се използват подходи, базирани на сигнатура и поведенчески анализ. Например, кракер може да се опита да предизвика препълване на буфера, за да накара собствената си програма да работи в паметта на ядрото. За да блокира такива действия, решението HIPS разглежда системното повикване и го сравнява със списък от подписи или списък с известни поведения. Ако повикването е идентифицирано като опасно, тогава достъпът не е разрешен. Доставчиците могат да използват единия или и двата подхода в своите продукти. Например McAfee Entercept използва както сигнатурни, така и поведенчески методи, докато Cisco Security Agent на Cisco System (известен преди като технология Okena StormWatch) използва само поведенчески анализ.

HIPS решенията имат различни подходи, но повечето внедряват централно управлявани агенти на защитени системи. Агентите изследват системата и API повикванията, за да открият опити за атака. Агентът трябва да разбира контекста на сигурността, в който се изпълнява процесът, командните заявки, изпратени до интерфейса, и ресурсите, до които процесът се опитва да получи достъп. При входящо повикване решенията за подпис на HIPS обикновено се сканиратдълъг списък от незаконни обаждания, свързани с определени видове атаки. Ако един от подозрителните модели бъде открит във входящо повикване, достъпът се отказва. Поведенческите HIPS решения обикновено имат специални модули за индивидуални API за системни услуги. Например, един модул може да разглежда заявки между процеси и файлова система, друг може да разглежда заявки за набор от мрежови протоколи, трети може да разглежда заявки в регистъра и т. н. Има и модули за често използвани услуги и приложения като DNS, DHCP и Microsoft SQL Server.

HIPS решенията осигуряват защита срещу много видове атаки. Например, те могат:

Трябва да знам

Като се запознаете с различните видове IPS, можете да изберете най-добрия вариант за вашата мрежа. Първо трябва да се определи вида на защитата, от която се нуждае организацията. Защитата на периметъра достатъчна ли е за откриване на опасен трафик, преминаващ през защитната стена? Ако е така, трябва да закупите специален NIPS уред и да го поставите зад защитна стена, най-вероятно в демилитаризирана зона (DMZ). Ако една организация трябва да открие враждебна дейност в рамките на мрежа, тогава или разположете множество NIPS устройства, или закупете мрежови продукти с вградена свързана функционалност. За защита на отделните системи е необходимо да се проучат характеристиките на HIPS решенията, които в момента се предлагат в търговската мрежа. Трябва ли да се защитите основно срещу DoS атаки (изисква прагов IPS), други видове атаки (изисква базиран на съдържание IPS) или и двете?

На въпросите трябва да се отговори, преди да се преговаря с доставчик относно IPS продукт.

  • Ако продуктът провери целия трафик, ще отвори ли или затвори достъпа дослучай на неуспех? Ако повреда доведе до отказ на достъп от даден продукт, съществува опасност от блокиране на целия мрежов трафик в тази точка, така че е необходим излишен компонент, за да се избегне тази ситуация. Ако в резултат на отказ продуктът отвори достъп, тогава целият трафик ще влезе в мрежата без проверка.
  • Какъв вид резервиране се прилага в продукт, който проверява целия трафик?
  • Къде в мрежата трябва да бъде поставен продуктът?
  • Какви са характеристиките на производителността на продукта (по-специално пропускателна способност, латентност)?
  • Колко трудно е да се зададат и коригират прагове в продукт за анализ на прагове?
  • Какви видове атаки открива продуктът въз основа на анализ на съдържанието?
  • Какъв е размерът на базата от подписи и колко подписа са активирани в базирания на съдържание продукт? Колкото повече подписи са активирани, толкова по-голяма е вероятността от фалшиви положителни резултати.
  • Каква е дълбочината на персонализиране на продукта за конкретна среда?
  • Какъв тип трафик се блокира от продукта (например аномалии на протокола, фрагментиращи атаки, препълване на буфер, фалшиви URL атаки)?
  • Продуктът следи ли входящия и изходящия мрежов трафик?
  • Съвместим ли е продуктът със съществуващата защитна стена на компанията и какви са оптималните настройки на продукта и защитната стена?
  • Мога ли да конфигурирам и управлявам централно защитната стена?
  • Какви функции за регистриране и предупреждения са внедрени в продукта?

Тези въпроси са добро място за начало, но администраторът ще трябва да направи повече проучвания, за да избере IPS продукта, който най-добре отговаря на нуждите на компанията. Преди да купите IPS продукт, добра идея е да прочетете рецензии и да проучите резултатите от бенчмарка. Освен това си струвазапознайте се с опита на фирми, приложили продукта.

Незавършена, но обещаваща технология

Несъмнено IPS все още не е зряла технология. Въпреки това, основната концепция за блокиране на всички видове атаки, преди нарушители да влязат в мрежата, изглежда успешна. Също толкова важно е, че индустрията за информационна сигурност се движи в правилната посока, като разработчиците започват да създават IPS продукти, които възприемат по-холистичен и интегриран подход към сигурността.

Споделяйте материал с колеги и приятели