Hlavní navigace

Zmätky v marketingových sloganoch bezpečnostných riešení

Peter Pecho 24. 2. 2010

Aneb IDS, IPS a Hĺbková inšpekcia paketov. Mnohí zákazníci nechcú plytvať časom pre pochopenie technológií, ktoré nakupujú. Pre tých druhých môže byť taktiež extrémne zložité technológie pochopiť a dokázať rozlíšiť tie, ktoré skutočne fungujú od tých, ktoré fungujú iba na okolo.

Cieľom tohto príspevku je zamyslieť sa nad súčasným trendom v bezpečnosti počítačových sietí marketingovo označovaný ako „hĺbková inšpekcia paketov“ (angl. „Deep Packet Inspection“). Technológia DPI bola odvodená zo stavových paketových filtrov (PF) spojením s so systémami detekcie prienikov (angl. Intrusion Detection Systems). Tieto sa objavili v deväťdesiatych rokoch ako reakcia na prvé internetové červy. Po pôsobivý vzostup nasledoval rýchly pád. Dôvodom bolo zameranie „iba na detekciu“ prienikov a teda nešlo o žiadny aktívny mechanizmus ochrany voči hrozbám z internetu – išlo o pasívny systém. IDS navyše generovali príliš veľa falošných poplachov. Na konci roku 2003, výrobcovia IDS systémov doplnili svoje riešenia o „reaktívnu“ funkčnosť a premenovali svoje riešenia na systémy prevencie prienikov (angl. Intrusion Prevention Systems). V skutočnosti išlo iba o rozšírenie súčasných systémov o možnosť blokovania komunikácie. Túto funkčnosť však žiadny z rozumných správcov sietí nechcel používať – išlo o totiž o neslávne známe systémy IDS a žiadny z nich nechcel riskovať blokovanie prístupu legitímnych užívateľov a zákazníkov. K rozšíreniu IPS pomohlo rozšírenie internetových červov a ich jednoduchá detekcia pomocou databázy vzorov.

Dodávatelia DPI riešení popisujú túto technológiu ako stavové paket filtre s pridanou logikou pre kontrolu aplikačných protokolov. Z daného popisu sa dá usudzovať, že ide o zahrnutie kontroly IDS pravidiel do samotného paketového filtra. Súčasťou môže byť taktiež kontrola anomálií najpoužívanejších aplikačných protokolov: HTTP, SMTP, IMAP, POP, FTP a DNS. V tom prípade sa však stráca prevaha paketových filtrov, použiteľnosť na širokú množinu protokolov, ktorá bola hlavným argumentom proti používaniu proxy. Ďalším sporným bodom je implementácia týchto kontrol v aplikačne špecifickom hardwary (t.j. v ASIC obvococh). S najväčšou pravdepodobnosťou pôjde o vyhľadávanie regulárnych výrazov, čím je obmedzená samotná množina možných vyhľadávaných vzorov. Rovnako je diskutabilné, či je možné celú množinu pravidiel zo softwarových IPS presunúť „do hardwaru“ pre zvýšenie priepustnosti siete. Pokiaľ by obmedzenia prostriedkov umožňovali súčasné skenovanie iba podmnožiny vzorov, išlo by o vážne obmedzenie funkčnosti. Nové útoky sa objavujú každý deň, rovnako dôležité je preto vyriešiť jednoduchú a rýchlu aktualizáciu vyhľadávaných vzorov.

Pozrime sa ďalej na detekciu anomálií v použití protokolov. IDS musí obsahovať veľkú množinu pravidiel pre sledovanie stavov aplikačného protokolu. Táto množina musí byť úplná a v ideálnom prípade aj formálne overená, inak by nebolo možné vyhľadávať odchýlky od korektného stavu. Pokiaľ je táto podmienka splnená, IDS môže byť veľmi mocným nástrojom pre detekciu „nekalostí“ v sieti. Pokiaľ je aplikačný protokol implementovaný v aplikácii, táto komunikuje (t.j. odosiela príkazy) v presne definovanom poradí. Pokiaľ však ide o ľudského útočníka, tento môže odosielať vedome, alebo tiež nevedome jednotlivé požiadavky v odlišnom, alebo tiež nesprávnom poradí pre vyvolanie chybového stavu. Pokiaľ niektoré z implementácií protokolu obsahujú chybu a je možné zneužiť aj povolené sekvencie príkazov, tieto musia byť tiež ošetrené vo vyhľadávaných pravidlách a stavoch monitorovacieho zariadenia. V prípade kontroly zložitejších protokolov môže množina vyhľadávacích vzorov a stavov narásť do extrémneho počtu. V takom prípade je vhodné zamyslenie, či samotná implementácia v proxy nie je elegantnejším riešením.

Na záver si dovolím ešte filozofické zamyslenie nad trendom súčasných bezpečnostných technológií. Antivírové programy, antispamy, IDS/IPS systémy a ďalšie moderné technológie sú založené na implicitnom povolení komunikácie, pokiaľ nie je táto označená za nežiadanú. Opačný prístup razia proxy firewally – tie povoľujú komunikáciu len v prípade, že je explicitne spĺňa protokol. Môže byť preto zarážajúce, že v konzervatívnom obore akým bezpečnosť je, tento prístup je považovaný za nemoderný a nie je žiadaný v súčasných bezpečnostných riešeniach.

WT100

Pokiaľ sa však pozrieme na IDS/IPS/DPI riešenia staré niekoľko mesiacov, tieto už môžu byť príliš zastarané na dosiahnutie vysokého stupňa ochrany. Na druhú stranu je možné uviesť, že firewall toolkit z roku 1992 bol odolný voči internetovému červovi z roku 2002 a FTP proxy od rovnakého autora z roku 1990 dokázala ochrániť sieť pred útokom objaveným v roku 1995.

Skutočne môžeme veriť autorom dokonalých bezpečnostných riešení, že práve to ich je najrýchlejšie a najbezpečnejšie zároveň? Napíšte aké sú vaše skúsenosti.

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků