Védelem a végeken és a központban

Napjainkban rendkívül rövid idő telik el egy fenyegetettség ismertté válása, és az azt kihasználó rosszindulatú kódok megjelenése között, így csak nagyon kevés idő áll rendelkezésre a megelőző intézkedések megtételére. A cél tehát olyan védelmi megoldások integrálása a vállalati IT-rendszerekbe, amelyek automatikusan, valós időben tudnak reagálni, és a már ismert támadási módok mellett képesek megállítani az adott pillanatban még friss, vagy akár még teljesen ismeretlen támadásokat is, mielőtt azok kárt okozhatnának – hangzott el az S&T biztonsági napján.

Az informatikai védelmi technológiák fejlődési íve a statikus, megelőző funkciót ellátó tűzfaltól a valós idejű érzékelést biztosító Intrusion Detection System, azaz IDS-en keresztül eljutott az IPS, azaz Intrusion Prevention Systemig. Az IPS több mint az IDS, hiszen valós időben képes megakadályozni is a kártékony forgalmakat, így reaktív és egyszersmind preventív eszköz. A McAfee IPS definíciója szerint az IPS az IDS kiterjesztése, tehát először is egy nagyon pontos, és megbízható érzékelő eszköz. Emellett az IPS alapkövetelménye a megbízható in-line működés, azaz hogy a forgalom átfolyjon az eszközön (méghozzá wire-speed sebességgel), és biztosítson csomag- és kapcsolat-szintű blokkolási lehetőséget. Amíg az IDS pusztán detektív, és csak megfelelő külső támogatással (például a tűzfal szabályait dinamikusan módosítva) képes reaktív működésre, addig a fenti kitételeknek megfelelő IPS alapértelmezésben reaktív és preventív. Az in-line működési mód azonban rendelkezésre állási kockázatot jelenthet, valamint nem megfelelő konfiguráció esetén az automatikus reakció veszélyes is lehet. Ebből következően, nagyon fontos az úgynevezett fail-open működés, azaz az IPS megoldásnak meghibásodás esetén is biztosítania kell a forgalmak további folyását, és megfelelően ellenállónak kell lennie a spoofing támadásokkal szemben is.

A betolakodások megakadályozása két ponton végezhető el: a hálózati rendszerbe integrálva, vagy magukon a védendő szervereken és munkaállomásokon (hostokon). A hálózati megközelítés nagy előnye, hogy kritikus pontokon telepítve, viszonylag kevés IPS eszköz segítségével védhető a teljes hálózat. Ezzel szemben a hostalapú megközelítésnél valamennyi védendő eszközön telepíteni kell az IPS megoldást, ami nem csekély adminisztrációs terhelés jelent, ráadásul az IPS komponens (ha minimálisan is, de) plusz terhelést, és üzemeltetési kockázatot jelent a hostokon. Ugyanakkor viszont, a hálózati alapú IPS berendezés általában csak becsülni tudja egy aktuális támadás tényleges kihatását (például egy Microsoft webszerver-specifikus támadásnak nem lesz hatása egy Apache Web szerveren, a hálózati alapú IPS viszont, többnyire nem tudja, hogy a cél IP-címen milyen webszerver fut). Ezzel szemben, a hostalapú IPS magán a védendő eszközön futva több, pontosabb információ birtokában, többnyire jobb döntést tud hozni. Ennek eredményeként a hálózati alapú IDS/IPS eszközök általában több téves riasztást adnak ki, ami jelentősen megnehezítheti napi szintű adminisztrációjukat. Általánosságban: mindkét megoldásnak vannak előnyei és hátrányai is, így egy ideális rendszerben a két megközelítés egymást kiegészítve, együtt dolgozva, egy közös felületen keresztül menedzselve alkot integrált védelmi rendszert.

Az ilyen fajta integrált védelem McAfee termékekkel, az Entercept hostalapú- és az IntruShield hálózati IPS együttes alkalmazásával valósítható meg. Ennek során az IntruShield hálózati IPS a központi infrastruktúra „legsűrűbb” pontjain, a hálózat határain, illetve távoli telephelyeken, míg az Entercept Host IPS a kritikus szervereken (legyenek azok akár Windows, Solaris vagy HP-UX alapúak), illetve egy valóban teljes IDS/IPS rendszer esetén a munkaállomásokon, és a laptopokon is biztosítja a védelmet.

Az Entercept host-IPS lelke egy olyan speciális modul, amely valamennyi rendszerhívást összevet a központilag beállított szabályrendszerrel, ezáltal képes nagyon magas szintű alkalmazás-hozzáférés szabályozást megvalósítani. Az Entercept megoldás speciális verziói a mai elektronikus világban kockázatoknak leginkább kitett web- és adatbázis szerverek számára specifikus, megerősített védelmet is képesek nyújtani. Valamennyi Entercept verzió hálózati és alkalmazás védelmet egyaránt nyújt a hostokon, viselkedés analízis és minta alapú érzékelés segítségével.

A legtöbb mai hálózati alapú IPS termék csak egyetlen szabálykészletet engedélyez hardverenként, amelynek az „eredménye” a mai bonyolult, VLAN technológiát is gyakran alkalmazó hálózatokon túl sok felesleges riasztás, és/vagy túl sok telepítendő szenzor. Ezzel szembe a McAfee IntruShield termékek alkalmazása esetén, az úgynevezett virtuális IPS-ek segítségével egy hardver eszközön belül több, szegmensenként vagy akár VLAN-onként különböző, egymástól független szabálykészlet is alkalmazható. Az eredmény: jobb konfigurálhatóság, kevesebb téves riasztás és alacsonyabb költség.