Обработка сетевого трафика
системами обнаружения и предотвращения вторжений в корпоративных сетях, как
правило, производится без потенциального влияния на сетевые сервисы, то есть, в
режиме IDS (Intrusion Detection Systems). IDS также может быть интегрирован с
активным сетевым оборудованием для возможности временной блокировки хостов и
подсетей, генерирующих трафик, определяемый как вредоносный (IDS shun). Реже используются системы предотвращения вторжений
в режиме IPS (Intrusion Prevention Systems), полностью пропускающие
через себя трафик (inline IPS), либо с возможностью
внедрения в TCP-сессию и
принудительного ее обрыва посредством отсылки TCP RST-пакетов участникам сессии.
Рассмотрим общие характеристики режимов IDS и IPS с точки зрения интеграции сетевых сенсоров в существующую корпоративную
сеть.
IDS:
- работает с копией
трафика, необходима SPAN/(VACL capture) сессия либо информация NetFlow;
- не влияет на сетевые
сервисы и приложения;
- от корректности выбора
места установки в корпоративной сети зависит только уровень безопасности
инфраструктуры;
- не осуществляет активной
защиты.
IDS shun:
- работает с копией
трафика;
- от места установки
зависит уровень безопасности и возможность реализации функции блокировки;
- осуществляет блокировку
хостов и подсетей по факту проведения ими атаки.
IPS с возможностью TCP RESET:
- работает с копией
трафика, необходима SPAN/(VACL capture) сессия;
- в зависимости от
архитектуры сети может быть необходима дополнительная конфигурация сетевого
оборудования для приема TCP RST-пакетов с подстановкой
адреса;
- от корректности выбора
места установки в корпоративной сети зависит уровень безопасности
инфраструктуры, потенциальное влияние на производительность минимальное;
- активная защита не от
всех типов атак;
- возможное влияние на
сетевые сервисы, базирующиеся только на протоколе TCP.
Inline IPS:
- установка «в разрыв»,
необходима перекоммутация и/или реконфигурация сетевого оборудования;
- возможное влияние на сетевые
сервисы как во время интеграции, так и в течение всего периода эксплуатации;
- корректность выбора места
установки в архитектуре влияет не только на уровень безопасности, но и
производительности сети;
- дополнительное «узкое
место» и точка отказа в сети;
- активная защита от атак
для всех протоколов.
Рассмотрим такие реализации
сетевых сенсоров IDS, которые
работают с полной копией всех пакетов (SPAN-сессия, захват VACL). Копия трафика, обрабатываемого управляемым
коммутатором, направляется на выделенный «зеркалированный», или SPAN(capture)-порт, к которому
подключается сетевой сенсор (агент) систем обнаружения вторжений. В зависимости
от производителя, версии аппаратной платформы и программного обеспечения
коммутатора, возможно выборочное копирование входящих/исходящих пакетов
определенных физических либо логических интерфейсов на SPAN-порт, а также отправка на
выделенный порт трафика, описанного правилом, в определенном VLAN (VACL capture). Для эффективного анализа пропускная способность SPAN/capture-порта и, соответственно,
сенсора IDS или TCP RST IPS, должна быть не менее пиковой суммарной нагрузки на
анализируемые интерфейсы.
Предположим, существует коммутатор
с n физических либо логических интерфейсов, сетевой трафик с m из которых необходимо направить для анализа на
системы обнаружения вторжений. Независимо от того, будет SPAN-сессия терминироваться на
данном коммутаторе или на удаленном, соблюдается условие:
m ≤ n – 1
поскольку интерфейс, который
направляет пакеты на сенсор IDS (destination SPAN-port), не может подавать копию
своей нагрузки на себя. В зависимости от поставленных задач и возможностей
коммутатора по каждому из m интерфейсов анализируется
входящий, исходящий, либо весь трафик. Обозначим за r пиковое значение загрузки
(бит/с) интерфейса входящими данными, а за t – исходящими. Расчет
пропускной способности SPAN-порта и,
соответственно, сетевого сенсора (b), на который направляется
весь трафик с m интерфейсов, производится
по формуле:
(1)
Если же предполагается
инспектировать пакеты либо только входящие, либо только исходящие, в
зависимости от порта коммутатора и подключенного к нему оборудования, то для
вычисления введем дополнительные параметры: y – количество интерфейсов, с
которых будет копироваться исходящий трафик, x – интерфейсов, у которых
будут анализироваться входящие данные. В этом случае соблюдаются условия:
x ≤ m, y ≤ m
Требования к соотношению
значений x и y определяются либо
поставленными задачами для исследования, либо программно-аппаратными
ограничениями коммутатора. Таким образом, формула (1) для вычисления пропускной
способности SPAN-порта b приобретает следующий вид:
(2)
При расчете необходимой
производительности IDS/IPS необходимо учесть возможный рост
либо уменьшение участка инфраструктуры в обозримом будущем. Для сетевого
сенсора развитие/отмирание сегмента сети выражается в изменении анализируемого
трафика вследствие подключения/отключения новых хостов и/или подсетей.
Предположим, нагрузка изменяется в связи с тем, что на некоторых интерфейсах
возрастает/падает входящий либо исходящий трафик. Для расчетов введем
коэффициент изменения трафика на интерфейсе относительно полученного в
результате измерений значения. Обозначим его как p для входящих пакетов, и как q для исходящих. Соответственно, коэффициент будет иметь следующие
значения:
p,q > 1 для интерфейсов, на которых возрастает трафик;
p,q = 1 при отсутствии изменений в нагрузке;
0 < p,q < 1 при уменьшении трафика;
p,q = 0 при
отключении интерфейса либо изменении типа дуплекса.
Соотношения коэффициентов pi и qi определяются
характером изменения сетевого трафика и дуплекса на данном интерфейсе и могут
принимать разнообразные значения.
С учетом возможных
изменений нагрузки в обозримом будущем формула (1) принимает вид:
(3)
а формула (2):
(4)
Для расчета пропускной
способности сенсора в режиме inline IPS можно использовать формулы (1) -
(4) применимо к физическим интерфейсам, в разрыв которых будет устанавливаться IPS. Соответственно, с
поправкой на возможный всплеск трафика, реальная пропускная способность сенсора
должна быть выше полученного значения b в 2-3 раза.
Практическое применение
результатов вышеописанных расчетов для участка Ethernet-сети предприятия, как правило, сводится к решению
вопросов:
- Определение типа и
количества физических интерфейсов на SPAN/capture-порт – FastEthernet, GigabitEthernet или TenGigabitEthernet, а также необходимости использования etherchannel.
- Определение типа и
количества физических и логических интерфейсов, необходимых для включения в
линию, и, соответственно, количества интерфейсов на устройстве IPS.
- Выбор сенсора IDS/IPS
необходимой производительности и стоимости.
Этот комментарий был удален администратором блога.
ОтветитьУдалить