Сеть передачи данных
крупных предприятий можно логически поделить на 3 уровня. Уровень, на котором к
коммутаторам подключаются пользователи и конечные узлы, чаще всего называют
уровнем доступа. Маршрутизация между подсетями уровня доступа, резервирование
шлюза по умолчанию, применение межсетевого экранирования и балансировки трафика
конечных узлов производится на уровне агрегации. Высокоскоростная коммутация и
маршрутизация, резервирование и эффективное использование каналов
осуществляется на уровне ядра сети. Уровни доступа и агрегации можно выделить
как для пользовательского сегмента, где конечными узлами будут пользовательские
ПК, так и для сегментов центров обработки данных (ЦОД), в котором конечными
узлами могут быть виртуальные либо физические сервера.
Перед внедрением систем
обнаружения и предотвращения вторжений нужно определить необходимость их
установки в пользовательском сегменте. Поскольку сетевые IDS/IPS в данном случае будут
выступать скорее как дополнительные системы обеспечения и контроля
информационной безопасности, а стоимость их от этого не уменьшится, не помешает
тщательный анализ существующих мер безопасности рабочих мест пользователей:
- обновление ОС и
приложений;
- наличие антивируса и
регулярное обновление баз;
- локальный межсетевой
экран и IDS/IPS;
- системы контроля и
предотвращения утечки информации.
Пользовательские ПК могут
подвергаться опасности:
- заражения вредоносным ПО;
- несанкционированного
доступа со стороны других систем;
- атакам, направленным на
перехват информации (например, man-in-the-middle).
При этом пользовательские ПК могут представлять
опасность:
- для ОС, БД и ПО серверов,
к которым они имеют доступ (взлом, заражение, нарушение работоспособности, искажение
данных и т. п.);
- для других
пользовательских ПК;
- быть точкой утечки
конфиденциальной информации компании.
Несмотря на то, что
противодействие утечкам информации не является классической задачей систем IDS/IPS, при некоторой
самостоятельной доработке их вполне можно использовать для данных целей.
После анализа возможных
рисков необходимо принять решение, будет ли пользовательский сегмент защищаться
с помощью IDS/IPS. Если ответ
утвердительный, возникают вопросы:
- В каком режиме
использовать: IDS, IPS, TCP RST IPS?
- На каком участке
пользовательского сегмента расположить сетевой сенсор?
В серверных сегментах,
которые также называются центрами обработки данных, в зависимости от профиля деятельности компании реализуются такие функции
как обработка, хранение, распространение и защита информации, предоставление
услуг и т. п. Даже у предприятий, не специализирующихся на информационных
технологиях и телекоммуникациях, но имеющих большие объемы данных и
определенный набор серверов, обеспечивающих основные функции, трудно
переоценить роль ЦОД в бизнесе. При защите
серверного сегмента с помощью IDS/IPS, необходимо учесть, что
опасность для серверов может заключаться в следующем:
- несанкционированный
доступ со стороны пользователей и других сегментов сети;
- использование сервисов не
по назначению, «обход» корпоративных политик безопасности;
- атаки из Интернет (для DMZ).
При этом атакованные
сервера могут представлять опасность:
- возможного взлома других
серверов;
- передачи вредоносного
кода на ПК пользователей;
- утечки конфиденциальной
информации;
- нанесения материальных и
имиджевых убытков компании.
Соответственно, при наличии
систем обнаружения и предотвращения вторжений в первую очередь необходимо их
внедрение в серверные сегменты инфраструктуры.
Предположим, данный
фрагмент корпоративной сети имеет архитектуру, изображенную на рис.1.
Рис. 1. Фрагмент
корпоративной сети.
В случае использования
систем обнаружения вторжений (IDS) либо
систем предотвращения вторжений с возможностью обрыва TCP-сессий (TCP RST IPS) необходимо анализировать
практически весь трафик. Это можно реализовать, собирая SPAN-сессии на каждом
коммутаторе уровня доступа sw1-sw6 и дополнительно AgSw1-AgSw2. Но, таким образом,
возрастет нагрузка на сетевой сенсор, что скажется на определении требований к
его количеству интерфейсов, производительности и стоимости. Кроме того,
отрицательной стороной данного решения будет большое количество
продублированных пакетов, приходящих на IDS. Более оптимально будет подключить сенсор к коммутаторам
со следующими параметрами:
- spanning-tree
root, secondary root;
- включен непосредственно в
L3-устройство
(router, firewall);
- ближе всего к HSRP/VRRP master либо активной ноде группы отказоустойчивости кластера межсетевых
экранов.
Данным требованиям
соответствуют коммутаторы AgSw1 и AgSw2. Независимо от тонкостей L2,L3-дизайна сети, необходимо
анализировать трафик с обоих вышеупомянутых коммутаторов. Копия трафика с
определенных физических или логических интерфейсов направляется на сенсор систем
обнаружения вторжений. В зависимости от модели и производительности,
устанавливается либо один сенсор IDS на оба коммутатора, либо по одному на коммутатор (рис. 2).
Рис. 2. Фрагмент
корпоративной сети с сенсорами IDS.
После выбора коммутатора
необходимо определить, какой трафик требуется анализировать – генерируемый
узлами данного сегмента до фильтрации на межсетевом экране (участок sw1-6 <-> AgSw1-2 <-> FW1,2) и поступивший из
корпоративной сети в данный сегмент, либо входящий трафик из других сегментов и
исходящий из данного после фильтрации (участок R1,2 <-> AgSw1,2 <-> FW1,2).
Если используется решение TCP RST IPS, то архитектура будет
идентичной, но необходима дополнительная конфигурация активного сетевого
оборудования для корректной обработки пакетов с подстановкой адреса. Изменения
в конфигурации могут быть различными в зависимости от дизайна сети и специфики
реализации функции обрыва сессий системами предотвращения вторжений. Поскольку
ограничения, как правило, применяются на входящий трафик, на интерфейсе,
который будет производить маршрутизацию сгенерированных посредством IPS RST-пакетов в другие подсети, должны быть отключены
следующие функции (на примере Cisco):
- запрещающие списки
доступа (либо включены разрешающие);
- unicast RPF – проверка соответствия
интерфейса и IP-адреса
отправителя;
- ip source guard + dhcp snooping – сверка соответствия IP-адреса отправителя с таблицей соответствия
интерфейсов и IP-адресов,
полученных по DHCP (если
используется);
- dynamic arp inspection – сверка MAC/IP-адресов
отправителя в пакете с ARP-таблицей
либо с таблицей dhcp snooping (если используется);
- port security – ограничение по количеству MAC-адресов на L2-интерфейсе.
В случае установки систем предотвращения
вторжений «в разрыв» (inline IPS) возможными вариантами
размещения сенсоров на схеме (рис. 1) будут участки перехода между уровнями
агрегации и ядра (AgSwx-Rx) и между коммутаторами, агрегирующими трафик, и
шлюзом по умолчанию, которым является межсетевой экран, AgSwx-FWx, где
x – соответствующий номер в условном обозначении устройства на рис. 1.
На участке AgSwx-Rx (рис. 3) устройство IPS размещается в том случае, когда стоит задача
инспектировать трафик, инициируемый данным сегментом после фильтрации на
межсетевом экране, а также входящий из других сегментов трафик до фильтрации.
Рис. 3. Сенсор на участке
«агрегация - ядро».
Существенным минусом
расположения сенсора на данном участке является отсутствие контроля
информационных потоков внутри сегмента.
Установка IPS на участке AgSwx-FWx (рис. 4) позволяет осуществлять как анализ трафика,
предназначенного для других сегментов сети, так и внутрисегментные
взаимодействия.
Рис. 4. Сенсор на уровне
агрегации сети.
Однако, в данном случае
сенсор систем предотвращения вторжений потенциально может быть более подвержен
атакам со стороны пользователей на исчерпание ресурсов IPS, а также будет
генерировать значительно больше событий. IPS1 и IPS2 могут
быть отдельными устройствами, элементами кластера, либо одним сенсором.
В любом случае, при установке
сенсора систем предотвращения вторжений стоит учитывать, что в сети появляется
еще одна потенциальная точка отказа. Соответственно, необходимо расставить
приоритеты: что важнее на данном участке сети – безопасность или доступность
сервисов. Если безопасность более критична, и предпочтительнее заблокировать
трафик, чем пропустить его без дополнительного анализа, то задача сводится к
оптимальной настройке устройства IPS для:
- инспектирования трафика с
правильным для данного сегмента сети уровнем реагирования на события;
- противодействия возможным
атакам со стороны пользовательских ПК на исчерпание ресурсов IPS.
Однако с большей
вероятностью доступность сервисов восторжествует. В таком случае необходимо
обратить внимание на то, реализован ли во внедряемом решении IPS такой функционал, как:
- аппаратное замыкание
линии в случае сбоя логической части системы предотвращения вторжений;
- возможность
кластеризации.
Еще одним препятствием к
внедрению IPS «в
разрыв» могут стать используемые в компании специфические бизнес-приложения,
характер сетевых взаимодействий которых может быть определен как вредоносное ПО
и заблокирован. Достаточно важным фактором может стать то, что системы
предотвращения вторжений обрабатывают трафик не аппаратно, а программно, что увеличивает
задержки при установке сетевых соединений, и может быть критичным для работы
некоторых приложений. Но, в то же время, несомненным преимуществом систем
предотвращения вторжений при установке «в разрыв» является возможность
мгновенной блокировки возникающих сетевых угроз.
Комментариев нет:
Отправить комментарий