Saturday, November 1, 2008

Где разместить IDS/IPS, в аналогиях

Я принимаю участие в проекте по построению безопасного шлюза в Интернет. Шлюз состоит из межсетевого экрана (МЭ), системы фильтрации Web-трафика с функцией кеширования (прокси-сервер) и системы IPS или IDS. Что касается того, где разместить прокси-сервер, то здесь вопросов не возникало: всем интуитивно понятно, что проси надо размещать за межсетевым экраном со стороны внутренней сети, а вот местоположение IDS/IPS почему-то не для всех является так очевидным. Вообще, вещи, о которых тут пойдет речь кажутся более чем понятными интуитивно, поэтому, для кого нет секретов в местоположении точки включения IDS/IPS в схеме безопасного шлюза в Интернет, – не тратьте время на чтение этого поста.


Традиционный МЭ, как правило, не «заглядывает» в сетевые пакеты выше уровня 4 модели OSI: он выполняет пакетную фильтрацию с контролем состояний (stateful) по IP-адресам и портам TCP/UDP. Да, последнее время популярны МЭ с тонкой фильтрацией до уровня приложения и встроенным IPS, – так называемые, UTM, но это – совсем другая история, не наш случай (да и вообще, мне кажется, неразумным хранить все яйца в одной корзине). Прокси–сервер уровня приложения, обычно, знает несколько протоколов, которые он проксирует. Он, как правило, не знает о существовании сетевых атак, не проводит анализ поведения, не выявляет отклонения от RFC (хотя, иногда можно, настроить прокси так, чтобы он проксил только соответствующий RFC трафик) и прочие аномалии.


IPS. Если очень поверхностно, то IPS – система прецизионной фильтрации сетевого трафика. Она анализирует не только все уровни модели OSI – до уровня приложения включительно, но еще, как минимум, может смотреть отклонения от RFC (или прочих стандартов) известных ей протоколов, блокировать известные сетевые атаки на основании сигнатурного анализа, вести статистический учет сетевого трафика на основании разнообразных метрик, проводить анализ поведения объектов в сети и на его основе различным образом реагировать. В этой связи IPS можно сравнить с системой тончайшей очистки… Представьте себе водоочистную станцию, состоящую из ряда фильтров: фильтр грубой механической очистки, фильтр тонкой очистки и фильтр тончайшей очистки. Разумное расположение этих фильтров таково, что из водозабора грязная вода сначала проходит фильтр грубой механической очистки, где очищается все то, что не стоит пить: камни, песок, крупные примеси. Затем логично поставить фильтр тонкой очистки, который превратит воду в практически питьевую, но только, скажем, после кипячения. Непосредственно перед потребителем имеет смысл поставить фильтр тончайшей очистки, который сделает из «практически» питьевой воды, просто питьевую, которую не надо будет дополнительно для этого обрабатывать, удалив все известные на сегодня бактерии и прочие отклонения от нормы. Если «подставить слагаемые»: МЭ – грубая очистка, Прокси – тонкая, IPS – тончайшая, то логично, на мой взгляд, IPS ставить ближе к защищаемому объекту, потребителю, следовательно, схема подключения будет такая Пользовательские рабочие станции – IPS – прокси – МЭ – Интернет.


IDS может определять все то же самое, что и IPS, но отличается возможностями по реагированию. IDS, в случае обнаружения чего-либо будет ругаться, но активно что-то предпринять не сможет, тогда как IPS, включенная в разрыв (Inline) может сразу и заблокировать обнаруженное Зло. Здесь IDS можно сравнить с неким индикатором состояния, термометром…. Представьте себе тело человека, зима. На человеке одета куртка, защищающая его, скажем от осадков, свитер, не пропускающий холод. Где мы будем мерить температуру тела человека? Между курткой и улицей? Наверно нет. А может, между курткой и свитером? Скорее всего, тоже нет. Логично располагать градусник ближе к телу, мы же его состояние хотим проанализировать. Следовательно, ситуация с IDS ровно такая же как и с IPS – точку съема трафика располагаем между рабочими станциями пользователей и Прокси.


Если кому понравилась предыдущая аналогия с очисткой воды, пожалуйста, она здесь тоже работает превосходно: вместо фильтра тончайшей очистки у нас есть диагностический комплекс, постоянно анализирующий степень очистки воды. На комплексе загорается красная лампочка, в случае отклонения качества воды от заданной нормы, эту лампочку видит оператор и предпринимает действия в соответствии со своими руководящими документами.


Надеюсь, что это чтиво не было для Вас утомительным, и, также как у меня, у Вас на лице была улыбка.


2 comments:

Unknown said...

Аналогия годится.
Единственное что - IDS/IPS - это средство о двух частях и в зависимости от базы знаний может выполнять роли как тонкого, так и грубого фильтра.

Уже не говоря о распределенных решениях...

Amiran Alavidze said...

Аналогия хорошая, но есть еще один существенный фактор, говорящий в пользу размещения IDS внутри периметра. Несмотря на то, что это случается довольно редко, в IDS/IPS системах тоже выявляются уязвимости. Если IDS "торчит наружу", то мы получаем еще одну потенциальную "дырку" во внутреннюю сеть.