Выбрать язык


Выбрать язык | Show only


Русский | English


среда, 10 февраля 2016 г.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 1. Архитектура.



Сеть передачи данных крупных предприятий можно логически поделить на 3 уровня. Уровень, на котором к коммутаторам подключаются пользователи и конечные узлы, чаще всего называют уровнем доступа. Маршрутизация между подсетями уровня доступа, резервирование шлюза по умолчанию, применение межсетевого экранирования и балансировки трафика конечных узлов производится на уровне агрегации. Высокоскоростная коммутация и маршрутизация, резервирование и эффективное использование каналов осуществляется на уровне ядра сети. Уровни доступа и агрегации можно выделить как для пользовательского сегмента, где конечными узлами будут пользовательские ПК, так и для сегментов центров обработки данных (ЦОД), в котором конечными узлами могут быть виртуальные либо физические сервера.
Перед внедрением систем обнаружения и предотвращения вторжений нужно определить необходимость их установки в пользовательском сегменте. Поскольку сетевые IDS/IPS в данном случае будут выступать скорее как дополнительные системы обеспечения и контроля информационной безопасности, а стоимость их от этого не уменьшится, не помешает тщательный анализ существующих мер безопасности рабочих мест пользователей:
- обновление ОС и приложений;
- наличие антивируса и регулярное обновление баз;
- локальный межсетевой экран и IDS/IPS;
- системы контроля и предотвращения утечки информации.
Пользовательские ПК могут подвергаться опасности:
- заражения вредоносным ПО;
- несанкционированного доступа со стороны других систем;
- атакам, направленным на перехват информации (например, man-in-the-middle).
При этом пользовательские ПК могут представлять опасность:
- для ОС, БД и ПО серверов, к которым они имеют доступ (взлом, заражение, нарушение работоспособности, искажение данных и т. п.);
- для других пользовательских ПК;
- быть точкой утечки конфиденциальной информации компании.
Несмотря на то, что противодействие утечкам информации не является классической задачей систем IDS/IPS, при некоторой самостоятельной доработке их вполне можно использовать для данных целей.
После анализа возможных рисков необходимо принять решение, будет ли пользовательский сегмент защищаться с помощью IDS/IPS. Если ответ утвердительный, возникают вопросы:
- В каком режиме использовать: IDS, IPS, TCP RST IPS?
- На каком участке пользовательского сегмента расположить сетевой сенсор?

В серверных сегментах, которые также называются центрами обработки данных, в зависимости от профиля деятельности компании реализуются такие функции как обработка, хранение, распространение и защита информации, предоставление услуг и т. п. Даже у предприятий, не специализирующихся на информационных технологиях и телекоммуникациях, но имеющих большие объемы данных и определенный набор серверов, обеспечивающих основные функции, трудно переоценить роль ЦОД в бизнесе. При защите серверного сегмента с помощью IDS/IPS, необходимо учесть, что опасность для серверов может заключаться в следующем:
- несанкционированный доступ со стороны пользователей и других сегментов сети;
- использование сервисов не по назначению, «обход» корпоративных политик безопасности;
- атаки из Интернет (для DMZ).
При этом атакованные сервера могут представлять опасность:
- возможного взлома других серверов;
- передачи вредоносного кода на ПК пользователей;
- утечки конфиденциальной информации;
- нанесения материальных и имиджевых убытков компании.
Соответственно, при наличии систем обнаружения и предотвращения вторжений в первую очередь необходимо их внедрение в серверные сегменты инфраструктуры.
Предположим, данный фрагмент корпоративной сети имеет архитектуру, изображенную на рис.1.



Рис. 1. Фрагмент корпоративной сети.

В случае использования систем обнаружения вторжений (IDS) либо систем предотвращения вторжений с возможностью обрыва TCP-сессий (TCP RST IPS) необходимо анализировать практически весь трафик. Это можно реализовать, собирая SPAN-сессии на каждом коммутаторе уровня доступа sw1-sw6 и дополнительно AgSw1-AgSw2. Но, таким образом, возрастет нагрузка на сетевой сенсор, что скажется на определении требований к его количеству интерфейсов, производительности и стоимости. Кроме того, отрицательной стороной данного решения будет большое количество продублированных пакетов, приходящих на IDS. Более оптимально будет подключить сенсор к коммутаторам со следующими параметрами:
- spanning-tree root, secondary root;
- включен непосредственно в L3-устройство (router, firewall);
- ближе всего к HSRP/VRRP master либо активной ноде группы отказоустойчивости кластера межсетевых экранов.
Данным требованиям соответствуют коммутаторы AgSw1 и AgSw2. Независимо от тонкостей L2,L3-дизайна сети, необходимо анализировать трафик с обоих вышеупомянутых коммутаторов. Копия трафика с определенных физических или логических интерфейсов направляется на сенсор систем обнаружения вторжений. В зависимости от модели и производительности, устанавливается либо один сенсор IDS на оба коммутатора, либо по одному на коммутатор (рис. 2).



Рис. 2. Фрагмент корпоративной сети с сенсорами IDS.

После выбора коммутатора необходимо определить, какой трафик требуется анализировать – генерируемый узлами данного сегмента до фильтрации на межсетевом экране (участок sw1-6 <-> AgSw1-2 <-> FW1,2) и поступивший из корпоративной сети в данный сегмент, либо входящий трафик из других сегментов и исходящий из данного после фильтрации (участок R1,2 <-> AgSw1,2 <-> FW1,2).
Если используется решение TCP RST IPS, то архитектура будет идентичной, но необходима дополнительная конфигурация активного сетевого оборудования для корректной обработки пакетов с подстановкой адреса. Изменения в конфигурации могут быть различными в зависимости от дизайна сети и специфики реализации функции обрыва сессий системами предотвращения вторжений. Поскольку ограничения, как правило, применяются на входящий трафик, на интерфейсе, который будет производить маршрутизацию сгенерированных посредством IPS RST-пакетов в другие подсети, должны быть отключены следующие функции (на примере Cisco):
- запрещающие списки доступа (либо включены разрешающие);
- unicast RPF – проверка соответствия интерфейса и IP-адреса отправителя;
- ip source guard + dhcp snooping – сверка соответствия IP-адреса отправителя с таблицей соответствия интерфейсов и IP-адресов, полученных по DHCP (если используется);
- dynamic arp inspection – сверка MAC/IP-адресов отправителя в пакете с ARP-таблицей либо с таблицей dhcp snooping (если используется);
- port security – ограничение по количеству MAC-адресов на L2-интерфейсе.
 В случае установки систем предотвращения вторжений «в разрыв» (inline IPS) возможными вариантами размещения сенсоров на схеме (рис. 1) будут участки перехода между уровнями агрегации и ядра (AgSwx-Rx) и между коммутаторами, агрегирующими трафик, и шлюзом по умолчанию, которым является межсетевой экран, AgSwx-FWx, где x – соответствующий номер в условном обозначении устройства на рис. 1.
На участке AgSwx-Rx (рис. 3) устройство IPS размещается в том случае, когда стоит задача инспектировать трафик, инициируемый данным сегментом после фильтрации на межсетевом экране, а также входящий из других сегментов трафик до фильтрации.


Рис. 3. Сенсор на участке «агрегация - ядро».

Существенным минусом расположения сенсора на данном участке является отсутствие контроля информационных потоков внутри сегмента.
Установка IPS на участке AgSwx-FWx (рис. 4) позволяет осуществлять как анализ трафика, предназначенного для других сегментов сети, так и внутрисегментные взаимодействия.



Рис. 4. Сенсор на уровне агрегации сети.

Однако, в данном случае сенсор систем предотвращения вторжений потенциально может быть более подвержен атакам со стороны пользователей на исчерпание ресурсов IPS, а также будет генерировать значительно больше событий. IPS1 и IPS2 могут быть отдельными устройствами, элементами кластера, либо одним сенсором.
В любом случае, при установке сенсора систем предотвращения вторжений стоит учитывать, что в сети появляется еще одна потенциальная точка отказа. Соответственно, необходимо расставить приоритеты: что важнее на данном участке сети – безопасность или доступность сервисов. Если безопасность более критична, и предпочтительнее заблокировать трафик, чем пропустить его без дополнительного анализа, то задача сводится к оптимальной настройке устройства IPS для:
- инспектирования трафика с правильным для данного сегмента сети уровнем реагирования на события;
- противодействия возможным атакам со стороны пользовательских ПК на исчерпание ресурсов IPS.
Однако с большей вероятностью доступность сервисов восторжествует. В таком случае необходимо обратить внимание на то, реализован ли во внедряемом решении IPS такой функционал, как:
- аппаратное замыкание линии в случае сбоя логической части системы предотвращения вторжений;
- возможность кластеризации. 

Еще одним препятствием к внедрению IPS «в разрыв» могут стать используемые в компании специфические бизнес-приложения, характер сетевых взаимодействий которых может быть определен как вредоносное ПО и заблокирован. Достаточно важным фактором может стать то, что системы предотвращения вторжений обрабатывают трафик не аппаратно, а программно, что увеличивает задержки при установке сетевых соединений, и может быть критичным для работы некоторых приложений. Но, в то же время, несомненным преимуществом систем предотвращения вторжений при установке «в разрыв» является возможность мгновенной блокировки возникающих сетевых угроз.

Комментариев нет:

Отправить комментарий