Computerworld, США

Защита от вторжений — лишь один из аспектов глубоко эшелонированной стратегии безопасности. Она дополняет, а не заменяет другие, уже имеющиеся рубежи защиты. Не думайте, что эти решения устранят необходимость в фильтрах спама, личных сетевых экранах или иных средствах, которые вы используете. IPS — часть глубоко эшелонированной защитной стратегии, а не замена того, что у вас уже есть

К борьбе с вирусами есть два подхода: профилактика и лечение. В корпоративных сетях можно использовать систему обнаружения вторжений (Intrusion Detection System, IDS), которая о них известит, или систему предотвращения вторжений (Intrusion Prevention System, IPS), которая в состоянии их заблокировать.

Так, компания Weather Channel Interactive следит за подозрительной активностью в своей информационной системе при помощи средств IDS. В течение нескольких дней подряд с часу до трех ночи система выявляла большой объем входящего трафика, направленного на определенный порт сервера.

«Если это была ложная атака в нерабочее время, то я не должен был упустить реального нападения в рабочие часы», — говорит Дэн Агроноу, вице-президент Weather Channel по технологиям.

Выявление нападения постфактум оказывается слишком запоздалым, чтобы предотвратить проникновение инфекции.

В Weather Channel хотели бы реагировать быстрее и быть в курсе новейших сигнатур атак, встречающихся в Internet. Она установила специализированные устройства защиты от вторжения UnityOne 1200 компании TippingPoint Technologies.

«Теперь, когда нас атакуют, мы можем блокировать атаку и к тому же имеем всю необходимую доказательную информацию», — говорит Агроноу.

Блокировать и перехватить

Защита от вторжений — лишь один из аспектов глубоко эшелонированной стратегии безопасности. Она дополняет, а не заменяет другие, уже имеющиеся рубежи защиты.

«Не думайте, что эти решения устранят необходимость в фильтрах спама, личных сетевых экранах или иных средствах, которые вы используете, — говорит Брайан Филипс, директор по безопасности компании Network Systems Technology, оказывающей услуги по организации сетей, систем хранения и безопасности. — IPS — часть глубоко эшелонированной защитной стратегии, а не замена того, что у вас уже есть».

Системы IPS направлены на устранение некоторых недостатков, ставших очевидными после широкого распространения систем IDS. Если вторые сообщают о возможном нападении, то первые стремятся его блокировать. В этом смысле IPS подобна сетевому экрану, но использует диаметрально противоположный подход.

«Экраны и IPS, при некотором внешнем сходстве, совершенно разные инструменты, дополняющие друг друга, — говорит Грег Янг, аналитик компании Gartner. — Сетевой экран блокирует все, кроме того, что вы явно разрешаете пропускать; система IPS пропускает все, кроме того, что ей приказано блокировать».

Главная проблема при установке IPS — ложные срабатывания, то есть ошибочная трактовка легального трафика как злонамеренного.

В отличие от средств IDS, которые тихо «сидят в сторонке» и объявляют тревогу лишь при возникновении угрозы, IPS постоянно находится в действии и активно блокирует трафик. Поставщики много работают над алгоритмами идентификации, однако последние еще далеки от совершенства.

«Ложные срабатывания остаются серьезной проблемой — настолько серьезной, что способны обесценить IDS или IPS, — говорит Пол Стамп, аналитик компании Forrester Research. — Предприятия все еще опасаются, что эффект от IPS может сравниться с DoS-атакой».

Чтобы справиться с этой проблемой, в большинстве систем IPS предусмотрены три стадии развертывания.

Филипс описывает шаги, проделанные им при установке Sensitivist 500 производства NFR Security в компании Multiple Listing Service, предоставляющей информационные справки агентам по недвижимости. Установка оборудования и задание IP-адресов для подсистемы генерации отчетов заняла десять минут, после чего устройство стало работать в прозрачном режиме, ничего не блокируя.

«Мы начали с того, чтобы все помечать, но ничего не блокировать, и лишь затем стали постепенно вводить в действие различные функции», — рассказывает он.

На второй стадии система IPS, не вмешиваясь в трафик, выдавала отчеты о потенциально опасных его составляющих. На основании анализа этих отчетов Филипс принимал решение о необходимости блокирования того или иного типа трафика.

Третий шаг состоял в активизации IPS с использованием установленных правил. Для окончательной настройки блокирования потребовалось еще некоторое время.

Однако Янг предполагает, что один из способов избавиться от ложных срабатываний состоит в том, чтобы не слишком ужесточать правила. Конечно, при этом некоторая часть злонамеренного трафика будет пропущена, однако такой подход все же не лишен смысла.

«Разумеется, заведомо вредные пакеты необходимо блокировать, — говорит он. — После этого можно подробнее изучить сомнительные послания и решить, что еще стоит останавливать».

Дополнительные плюсы

Повышенная безопасность — не единственная выгода от установки IPS. Мэтт Мерритт, вице-президент компании Beal Service, обеспечивающей административную поддержку другим подразделениям корпорации Beal Financial, инициировал установку устройства TippingPoint UnityOne 2400, руководствуясь требованиями законодательства о защите информации о клиентах.

После этого он заметил сокращение сетевой нагрузки.

«Общая производительность нашей сети повысилась частично благодаря функции нормализации трафика устройством TippingPoint, которое отфильтровывает плохие или подозрительные пакеты», — говорит он.

Стэн Гейтвуд, главный эксперт по информационной безопасности в университете штата Джорджия, сообщает, что ввод системы IPS в эксплуатацию позволил ему полнее контролировать происходящее в сети.

«Когда мы взглянули на сеть, то были потрясены обилием гуляющих по ней протоколов, — говорит он. — Теперь мы можем ограничиться лишь необходимыми стандартами и протоколами и блокировать все остальное».

Однако, сколь ни важны эти дополнительные плюсы, основное преимущество — это способность блокировать угрозы на входе в сеть, так чтобы другим ее компонентам не приходилось иметь с ними дела.

«Нет никакой причины позволить бомбисту проникнуть в сеть», — говорит Янг из компании Gartner.

Состояние рынка

Системы IPS направлены на устранение некоторых недостатков, ставших очевидными после широкого распространения систем IDS. Если вторые сообщают о возможном нападении, то первые стремятся его блокировать

Существует два типа систем IPS: сетевые и серверные. Сетевая система предотвращения вторжений — это устройство, которое тщательно просматривает пакеты по мере их прохождения, при необходимости собирая их, чтобы перед пропуском досконально исследовать все сообщение в целом.

В этой области есть три типа поставщиков.

  1. Специализированные поставщики IPS, например компания TippingPoint.
  2. Компании, производящие IDS, наподобие Internet Security Systems, которые расширяют их функциональные возможности, например, добавляя блокирование.
  3. Изготовители сетевых экранов, такие как Check Point Software Technologies и NetScreen Technologies, добавляющие функции глубокого инспектирования пакетов при создании сетевых экранов «следующего поколения».

Кроме того, функции IPS могут добавляться к сетевым устройствам других типов. Например, Juniper Networks в 2004 году приобрела компанию NetScreen, а корпорация 3Com — компанию TippingPoint, можно ожидать, что в выпускаемых ими сетевых устройствах появятся механизмы блокирования подозрительного трафика.

Серверные системы предотвращения вторжений — это не устройства, а программные решения, которые выпускаются самыми разными компаниями. Янг говорит, что программные системы предотвращения вторжения на сервер развиты достаточно хорошо, но советует пока воздержаться от их развертывания на отдельных настольных ПК.

Пять полезных советов по выбору IPS

Стэн Гейтвуд, главный эксперт по информационной безопасности в университете штата Джорджия, использует системы IPS как в качестве шлюза для выхода в Internet, так и в нескольких точках собственной сети. В качестве шлюзов он применяет устройства с пропускной способностью более 2 Гбит/с.

Гейтвуд не сообщает, какие именно продукты университет использует для защиты периметра, он говорит лишь, что они поставляются компаниями McAfee, TippingPoint и Symantec и выбраны исходя из необходимости справиться со значительным объемом внешнего трафика. Внутри сети Гейтвуду нужна производительность лишь в 100 Мбайт/с, поэтому там он использует несколько экземпляров программы Sleuth9 компании DeepNines на платформе Sun Solaris.

Гейтвуд предлагает пять критериев, которыми следует руководствоваться при выборе системы...

  1. Производительность. Поскольку IPS работает в потоке, она должна быть способна анализировать все проходящие сквозь нее пакеты, не подвергаясь перегрузкам.

    2. «Мы должны были удостовериться, что она справится с нашей нагрузкой и не будет прерывать сетевые операции, — говорит он. — Многие поставщики отпадут, как только вы начнете говорить о пропускной способности в гигабитном диапазоне».

  2. Алгоритмы блокирования. Для блокирования злонамеренных действий системы должны использовать несколько алгоритмов — сигнатуры, анализ поведения и политики.
  3. Аналитика. Система должна обладать некоторым встроенным интеллектом, чтобы отличить рядовое событие от нападения.
  4. Отчеты. «Мы должны иметь возможность количественно оценивать использование IPS и получать как технические отчеты, так и отчеты для руководства, чтобы продемонстрировать ему полезность и работоспособность системы», — говорит Гейтвуд.
  5. Интерфейс. Система должна иметь графический интерфейс пользователя и хорошие учебные пособия для администратора. «Нужна интуитивно понятная система, чтобы ее можно было запустить в работу довольно быстро», — говорит он.

Грег Янг из Gartner соглашается, что при выборе IPS производительность — это критерий номер один, но предостерегает от принятия решений на основании данных поставщика. Вместо этого нужно провести испытания на месте, чтобы оценить, как система справляется с реальным сетевым трафиком.

«Мы видим, что клиенты получают самые различные результаты в отношении задержек, производительности и общей функциональности IPS», — говорит он.