Detekce neoprávněných průniků

Útoky se na počítačové sítě valí jako lavina ze všech stran. Je třeba jim

stavět do cesty další a další překážky.



Pro dosažení co největšího ochranného efektu už dávno nestačí používat pouze

firewall nebo podobný ochranný prvek. Přes veškerou snahu o zabezpečení totiž

musíme stále počítat s tím, že každý systém obsahuje různé nedostatky a

slabiny. A že se je někdo pokusí když ne přímo zneužít, tak alespoň vyhledávat.

Přičemž není vyloučeno (právě naopak je to téměř jisté), že nějakou slabinu

odhalí. Na takový stav zkrátka musíme být připraveni.

Zjednodušeně by se dalo říci, že systémy IDS detekují nevhodné, nekorektní nebo

neobvyklé aktivity související s lokální sítí. IDS díky tomu může vetřelce

detekovat, identifikovat a zastavit a správce sítě má k dispozici informace o

tom, jak se útočník dostal do sítě, což mu může pomoci zabránit opakování

podobných útoků v budoucnu. Jinými slovy za útočníkem nezůstává nezodpovězená

otázka: „Jak se sem proboha dostal?“



Geneze IDS

Systémy IDS se začaly v minimálním množství využívat již někdy v polovině

devadesátých let 20. století, avšak teprve nyní přichází na trh řada produktů a

systémů IDS další generace, která detekuje neoprávněný průnik do sítě nejenom

na základě databáze známých útoků, ale i na úrovni detekce anomálií v chodu

sítí. Není přitom IDS jako IDS. Systémy rozdělujeme do několika kategorií.

Základní dělení přitom vychází z typu detekce. První skupina systémů IDS

detekuje zneužití, druhá anomálie. Pokud systém pracuje na bázi detekce

zneužití, pak analyzuje získávané informace a porovnává je s již známými

hodnotami. Svým způsobem pracuje podobně jako antivirové programy, které

využívají databáze známých škodlivých kódů. IDS je v takovémto případě vybaven

signaturami známých útoků. Nevýhoda tohoto řešení je ovšem stejná jako v

případě čistě signaturového antivirového programu je odkázané na kvalitu

použité databáze. Výhodou je, že pracuje téměř bezchybně z hlediska správnosti

vyhodnocení útoku, proto jej jako základ využívá většina IDS systémů, které se

vyskytují na trhu informačních technologií.

Pokud ale probíhá detekce na základě anomálií, pak správce (administrátor) může

definovat základní (rozuměj normální) stav sítě (používané protokoly, typická

velikost paketů, jejich množství apod.). Systém detekující anomálie pak sleduje

od základního stavu odchýlené segmenty to zpravidla bývají varovné příznaky

toho, že se děje něco „nenormálního“.

Tento systém je schopen na rozdíl od systému detekce známých útoků detekovat

nové, doposud v datových vzorcích nespecifikované, útoky. Problém však nastává

ve smysluplném nastavení pravidel normálního chodu sítě tj. určení, že dané

chování sítě je standardní a chtěné. Díky tomu mohou vznikat falešné poplachy

(tzv. FP, False Positive), které v případě, že jich vzniká mnoho, mohou

degradovat celý systém IDS, a snížit tak jeho užitnou hodnotu.



Heuristická analýza

Speciálními případy pak jsou heuristická analýza a vyhledávání výjimek z

pravidel RFC. Heuristická analýza (v případě IDS) je metoda, která funguje na

bázi statistického vyhodnocování provozu. V případě vyhledávání výjimek z

pravidel RFC systém IDS kontroluje komunikaci a konfrontuje ji s pravidly

komunikace definované v RFC. Toto řešení umožňuje vyhledávání anomálií na poli

záměrné deformace komunikace mezi útočníkem a jeho potenciálním cílem.

Systémy IDS dále dělíme podle místa působnosti na host-based (uživatelské) a

network-based (síťové). V IDS umístěných na síti (NIDS, Network IDS) jsou

analyzovány pakety pohybující se v síti. NIDS má tu výhodu, že může detekovat

škodlivé pakety vytvořené tak, aby dokázaly projít přes firewall. V systému

host-based se prvky IDS nacházejí na jednotlivých komponentách sítě, přičemž

nekontrolují síťový provoz, ale sledují provoz přímo na jednotlivých

komponentách.

Dalším způsobem členění IDS může být rozdělení dle typu prováděné akce. V této

oblasti rozlišujeme pasivní a aktivní systémy. V případě pasivního systému IDS

jsou toliko detekovány zjištěné nedostatky, shromažďovány informace a vydávána

varování. V případě aktivního systému je na podezřelou aktivitu přímo reagováno

ale nikoliv někdy prosazovaným způsobem oko za oko, zub za zub. Systém

neprovádí odvetná opatření, ale pouze reaguje na vzniklou situaci provedením

různých akcí: ohlášením podezřelého uživatele, přenastavením firewallu k

zablokování provozu z podezřelého zdroje apod.



Nastavení

Většina současných systémů IDS umožňuje správcům nastavit určitou míru

citlivosti detekčních a reportovacích algoritmů jak ale najít správnou

rovnováhu? Tato otázka vůbec není jednoduchá a po pravdě řečeno, odpověď na ni

ani neexistuje. Každá síť je totiž jiná, každá má svá specifika, na každou se

vztahují jiné okolnosti…

Proto je celkem pochopitelné, že na systémy IDS jsou kladeny různé nároky což

je rozdíl oproti třeba antivirovým programům, kde je všude vyžadována

stoprocentní detekce. Přitom právě citlivost systémů IDS v daném prostředí je

při jejich pořizování velmi důležitým faktorem. Jak ji ale brát v potaz?

Každý systém IDS má při určitém nastavení odpovídající hodnotu FPR (False

Positive Rate). Toto je hodnota vyjadřující frekvenci, s jakou IDS systémy

reportují jinak korektní aktivitu jako útok či jako podezření na útok. Takovéto

chyby jsou noční můrou každého administrátora, neboť vyžadují pozornost, ale

veškerá vynaložená energie je v konečném důsledku zbytečná. A krom toho otupují

pozornost takže když se potom něco doopravdy děje, administrátor může nad

problémem jen mávnout rukou s tím, že jde asi zase o další falešný poplach.

Další hodnotou, kterou bychom u systémů IDS měli sledovat, je FNR (False

Negative Rate). Jedná se o hodnotu vyjadřující frekvenci, s jakou IDS selhává

tedy s jakou nevyvolává poplach v případě, že ke skutečnému útoku dochází. V

praxi jsou hodnoty FPR a FNR úzce provázané, protože při zvýšení citlivosti

systému klesá hodnota FNR a roste FPR. Existuje tedy menší pravděpodobnost, že

nějaký útok bude úspěšný, ovšem daní za to je více falešných poplachů. A

naopak: Snížení citlivosti systému znamená nižší FPR, ale vyšší FNR. Falešných

poplachů výrazně ubude, ale zároveň narůstá riziko, že při menší citlivosti

zůstanou některé útoky neodhalené.

V praxi proto zavádíme ještě třetí hodnotu CER (Crossover Error Rate), která

vychází z FPR a FNR. Je to hodnota používaná pro porovnání různých IDS za

různých podmínek. Musíme si totiž uvědomit, že citlivost a detekční schopnost

IDS v různých sítích je různá. A tak jediným skutečně vypovídajícím faktorem je

srovnání účinnosti jednotlivých systémů IDS ve stejných podmínkách, tedy v

rámci jedné konkrétní sítě.

CER je hodnota, kdy se stejnou frekvencí dochází k FPR i FNR. Jinými slovy:

Jedná se o jakýsi rovnovážný bod. Není nic jednoduššího, než několik různých

systémů IDS porovnat na jedné síti za stejných podmínek a stanovit bod CER pro

každý systém. A pak už můžete vybírat. Pokud máte zájem o systém s vyváženými

hodnotami FPR a FNR, pak si vyberte systém vykazující nejnižší CER. Pokud je

ale vaší prioritou systém co nejbezpečnější, vyberte si systém s nejnižším FNR.

V takovém případě ovšem počítejte s vysokým FPR.

Systémy detekce neoprávněných průniků se rychle stávají nezbytnou součástí

vybavení sítí připojených k internetu stejně jako antivirová či antispamová

ochrana nebo firewall.