Hlavní navigace

Zmätky v marketingových sloganoch bezpečnostných riešení

Peter Pecho

Aneb IDS, IPS a Hĺbková inšpekcia paketov. Mnohí zákazníci nechcú plytvať časom pre pochopenie technológií, ktoré nakupujú. Pre tých druhých môže byť taktiež extrémne zložité technológie pochopiť a dokázať rozlíšiť tie, ktoré skutočne fungujú od tých, ktoré fungujú iba na okolo.

Cieľom tohto príspevku je zamyslieť sa nad súčasným trendom v bezpečnosti počítačových sietí marketingovo označovaný ako „hĺbková inšpekcia paketov“ (angl. „Deep Packet Inspection“). Technológia DPI bola odvodená zo stavových paketových filtrov (PF) spojením s so systémami detekcie prienikov (angl. Intrusion Detection Systems). Tieto sa objavili v deväťdesiatych rokoch ako reakcia na prvé internetové červy. Po pôsobivý vzostup nasledoval rýchly pád. Dôvodom bolo zameranie „iba na detekciu“ prienikov a teda nešlo o žiadny aktívny mechanizmus ochrany voči hrozbám z internetu – išlo o pasívny systém. IDS navyše generovali príliš veľa falošných poplachov. Na konci roku 2003, výrobcovia IDS systémov doplnili svoje riešenia o „reaktívnu“ funkčnosť a premenovali svoje riešenia na systémy prevencie prienikov (angl. Intrusion Prevention Systems). V skutočnosti išlo iba o rozšírenie súčasných systémov o možnosť blokovania komunikácie. Túto funkčnosť však žiadny z rozumných správcov sietí nechcel používať – išlo o totiž o neslávne známe systémy IDS a žiadny z nich nechcel riskovať blokovanie prístupu legitímnych užívateľov a zákazníkov. K rozšíreniu IPS pomohlo rozšírenie internetových červov a ich jednoduchá detekcia pomocou databázy vzorov.

Dodávatelia DPI riešení popisujú túto technológiu ako stavové paket filtre s pridanou logikou pre kontrolu aplikačných protokolov. Z daného popisu sa dá usudzovať, že ide o zahrnutie kontroly IDS pravidiel do samotného paketového filtra. Súčasťou môže byť taktiež kontrola anomálií najpoužívanejších aplikačných protokolov: HTTP, SMTP, IMAP, POP, FTP a DNS. V tom prípade sa však stráca prevaha paketových filtrov, použiteľnosť na širokú množinu protokolov, ktorá bola hlavným argumentom proti používaniu proxy. Ďalším sporným bodom je implementácia týchto kontrol v aplikačne špecifickom hardwary (t.j. v ASIC obvococh). S najväčšou pravdepodobnosťou pôjde o vyhľadávanie regulárnych výrazov, čím je obmedzená samotná množina možných vyhľadávaných vzorov. Rovnako je diskutabilné, či je možné celú množinu pravidiel zo softwarových IPS presunúť „do hardwaru“ pre zvýšenie priepustnosti siete. Pokiaľ by obmedzenia prostriedkov umožňovali súčasné skenovanie iba podmnožiny vzorov, išlo by o vážne obmedzenie funkčnosti. Nové útoky sa objavujú každý deň, rovnako dôležité je preto vyriešiť jednoduchú a rýchlu aktualizáciu vyhľadávaných vzorov.

Pozrime sa ďalej na detekciu anomálií v použití protokolov. IDS musí obsahovať veľkú množinu pravidiel pre sledovanie stavov aplikačného protokolu. Táto množina musí byť úplná a v ideálnom prípade aj formálne overená, inak by nebolo možné vyhľadávať odchýlky od korektného stavu. Pokiaľ je táto podmienka splnená, IDS môže byť veľmi mocným nástrojom pre detekciu „nekalostí“ v sieti. Pokiaľ je aplikačný protokol implementovaný v aplikácii, táto komunikuje (t.j. odosiela príkazy) v presne definovanom poradí. Pokiaľ však ide o ľudského útočníka, tento môže odosielať vedome, alebo tiež nevedome jednotlivé požiadavky v odlišnom, alebo tiež nesprávnom poradí pre vyvolanie chybového stavu. Pokiaľ niektoré z implementácií protokolu obsahujú chybu a je možné zneužiť aj povolené sekvencie príkazov, tieto musia byť tiež ošetrené vo vyhľadávaných pravidlách a stavoch monitorovacieho zariadenia. V prípade kontroly zložitejších protokolov môže množina vyhľadávacích vzorov a stavov narásť do extrémneho počtu. V takom prípade je vhodné zamyslenie, či samotná implementácia v proxy nie je elegantnejším riešením.

Na záver si dovolím ešte filozofické zamyslenie nad trendom súčasných bezpečnostných technológií. Antivírové programy, antispamy, IDS/IPS systémy a ďalšie moderné technológie sú založené na implicitnom povolení komunikácie, pokiaľ nie je táto označená za nežiadanú. Opačný prístup razia proxy firewally – tie povoľujú komunikáciu len v prípade, že je explicitne spĺňa protokol. Môže byť preto zarážajúce, že v konzervatívnom obore akým bezpečnosť je, tento prístup je považovaný za nemoderný a nie je žiadaný v súčasných bezpečnostných riešeniach.

Pokiaľ sa však pozrieme na IDS/IPS/DPI riešenia staré niekoľko mesiacov, tieto už môžu byť príliš zastarané na dosiahnutie vysokého stupňa ochrany. Na druhú stranu je možné uviesť, že firewall toolkit z roku 1992 bol odolný voči internetovému červovi z roku 2002 a FTP proxy od rovnakého autora z roku 1990 dokázala ochrániť sieť pred útokom objaveným v roku 1995.

Skutočne môžeme veriť autorom dokonalých bezpečnostných riešení, že práve to ich je najrýchlejšie a najbezpečnejšie zároveň? Napíšte aké sú vaše skúsenosti.

Našli jste v článku chybu?

24. 2. 2010 9:46

O moderních trendech v bezpečnosti je možné dlouho polemizovat, ale je fakt, že se časy poněkud mění a pryč je doba, kdy přístup dat do firmy hlídal jeden spanilý rytíř na mocném oři s nápisem Firewall na hrudi. Dneska si uživatelé jednak většinu infekcí přivlečou zvenčí "fyzicky" na nakaženém laptopu nebo skrze kanály, které firewall z principu neohlídá (HTTPS).
Jsem svědkem toho, že moji zákazníci prostě potřebují otevírat takové komunikace, které by před pár lety nebyly vůbec mysli…
DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů