Informační technologie se staly běžnou součástí našeho života. Řada firem je dnes závislá na správném fungování svého informačního systému a na jeho vysoké dostupnosti. Takový informační systém většinou zahrnuje servery provozující kritické aplikace databázového charakteru, prezentační internetové a intranetové web servery a jeho součástí je i privátní síť LAN či WAN a připojení do internetu. S rozvojem informačních technologií rostou i rizika napadení informačního systému vnějším či vnitřním útočníkem.

Cílem útoků je často vyřadit z provozu některou součást informačního systému, a znemožnit tak jeho správnou funkčnost nebo získat neoprávněný přístup k citlivým datům firmy. Touto cestou může být negativním způsobem ovlivněn chod firmy a následně její úspěšnost na trhu.

Důkladné zabezpečení firemních informačních systémů by mělo být proto samozřejmostí. Základní způsob ochrany se dnes běžně realizuje s využitím specializovaných zařízení - firewallů - která umožňují definovat a kontrolovat povolené komunikace v hraničních částech počítačové sítě, resp. mezi chráněnými síťovými segmenty a okolním světem. Moderní firewally často detekují i některé neoprávněné, útočné aktivity, ale jejich funkčnost je v tomto směru omezená.

Systémy pro detekci neoprávněného průniku umožňují zvýšit zabezpečení informačních systémů před útoky ze sítě internet či z vnitřních sítí organizace, a jsou tak vhodným doplňkem k firewallové ochraně. V následujícím textu stručně představíme technologické možnosti budování těchto systémů a zmíníme typické způsoby jejich začlenění do informačního systému.

Hlavní metody detekce neoprávněného průniku
Systém pro detekci neoprávněného průniku (Intrusion Detection System - dále IDS) je tvořen kombinací softwarového a hardwarového vybavení vhodně zakomponovaného do počítačové sítě, která je schopna odhalit neoprávněné, nesprávné nebo anomální aktivity v síti. IDS detekuje útoky na aktivní prvky počítačové sítě nebo na servery. Kromě samotné detekce útoků poskytuje IDS také různé možnosti odezvy na útoky.

Hlavní metody detekce neoprávněného průniku jsou:

. Detekce vzoru - Systémy využívající tuto detekční metodu porovnávají datový provoz na síti s databázi signatur známých útoků (signatura je množina podmínek, které když jsou splněny, indikují pokus o neoprávněný průnik). Tato metoda je jednoduchá, přesná, ale zároveň málo pružná. Detekce nových nebo modifikovaných útoků je problematická, protože závisí na existenci popisu daného útoku v databázi signatur. Obvykle se tato metoda omezuje pouze na inspekci jediného datového paketu, a je tedy snadno oklamatelná.

. Stavová detekce vzoru - Rozšíření předchozí metody, které umožňuje analyzovat datový tok (např. TCP stream) a detekovat signatury i v případě, že jsou rozděleny do více paketů.

. Dekódování protokolu - Systém nejprve detekuje používaný protokol komunikace mezi entitami a následně na něj aplikuje pravidla definovaná v RFC (Request for Comments) a identifikuje případné porušení těchto pravidel.

. Heuristická analýza - Tato metoda využívá statistické vyhodnocování parametrů monitorovaného provozu. Takto se dají například snadno detekovat útoky typu port sweep.

. Detekce anomálií - Systémy s tímto mechanismem detekují odchylky od typického chování sítě. Největším problém u této metody je stanovit, co je tímto typickým chováním. Při implementaci těchto systémů se proto často používají algoritmy umělé inteligence, např. neuronové sítě. Při jakýchkoliv změnách v chování sítě IDS detekuje tyto změny a generuje alarm. Je tedy obtížné rozlišit skutečné útoky od falešných a také mohou nastat situace, kdy útok není detekován vůbec, protože se neodlišuje od normálního chování sítě. Naproti tomu výhodou tohoto mechanizmu je, že je schopen detekovat nové, doposud neznámé útoky.

Reálné IDS obvykle využívají kombinaci více detekčních metod. Odpovědí IDS na detekovaný útok může následně být reset podezřelého TCP spojení, zahájení filtrace nebezpečného provozu na směrovači nebo firewallu a záznam podezřelé aktivity do logu. V prvních dvou případech IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků.

Architektura IDS
IDS zpravidla sestává ze dvou druhů komponent - tzv. senzorů provádějících detekci a z dohledového systému IDS. IDS senzory lze dále rozdělit dle umístění:

Host-based IDS Senzory
Host-based IDS hledají útoky na úrovni operačního systému počítače. Jsou to softwarové produkty, které jsou instalovány na tyto koncové stanice a umožňují proto okamžitě určit, zda došlo k útoku na daný počítač a zda byl úspěšný či nikoli a dokáží řadě útoků zabránit. Tyto systémy monitorují systémová volání, chybová hlášení, logy a administrátorem určené důležité soubory. Existují typy útoků, které jsou snadno odhalitelné pouze těmito systémy. Nevýhodou těchto systémů je skutečnost, že chrání pouze koncové počítače a neposkytují ochranu pro celou síť, a také skutečnost, že nepodporují všechny operační systémy, a tudíž nemohou poskytovat ochranu pro heterogenní sítě.

Network-based IDS Senzory
Tyto systémy monitorují všechny pakety v síti pomocí NIC (Network Interface Card) rozhraní v promiskuitním módu a porovnáním těchto paketů se signaturami detekují útoky. Umožňují tak chránit celou síť a díky "neviditelnosti" monitorovacího rozhraní jsou těžko zranitelné.

Hlavní problém při implementaci těchto systémů je šířka pásma sledovaných linek či segmentů, která v současné době dosahuje řádově Gbit/s. Při překročení přenosové rychlosti monitorovacího rozhraní IDS systému dochází ke ztrátě paketů. Kapacita současných IDS systémů dosahuje 100Mbit/s a v nejnovějších verzích dosahuje rychlosti 1 Gbit/s.

Další nevýhodou těchto systémů je nemožnost detekovat útoky v šifrovaném provozu, tudíž je vhodné umístit monitorovací rozhraní do segmentů, kde nejsou data kryptována.

Dohledový systém IDS
Správu prvků systému IDS usnadňuje specializovaný dohledový software, který usnadňuje administrátorům IDS provádění vzdálené konfigurace IDS senzorů. Jednotlivé IDS senzory komunikují s dohledovou stanicí, předávají jí informace o realizovaných útocích. Dohledový systém umožňuje konfigurovat reakci IDS systému na určité typu útoků. IDS senzor je pak např. schopen provést reset TCP spojení, prostřednictvím kterého probíhá domnělý útok, nebo dynamicky aplikovat filtrovací pravidla na směrovač nebo firewall, a znemožnit tak nevhodné aktivity útočníka. Dohledová stanice je schopna upozornit na probíhající útok administrátora např. elektronickou poštou nebo zprávou na pager. Prostřednictvím tohoto softwaru se rovněž realizuje aktualizace databáze signatur, která obsahuje charakteristiky známých útoků.

Design sítí se systémy pro detekci neoprávněného průniku
Network-based IDS je vhodné umístit zejména do hraničních částí počítačové sítě. Typické je doplnění firewallové ochrany systémem IDS, kdy firewall realizuje filtraci provozu dle nastavených pravidel a systém IDS monitoruje datový provoz, upozorňuje na útoky a případně spolupracuje s firewallem nebo hraničním směrovačem při eliminaci neoprávněné aktivity. IDS lze umísťovat do segmentu mezi směrovač do internetu a firewall, resp. mezi firewall a vnitřní část sítě, do demilitarizovaných zón, ke směrovačům zabezpečujícím vzdálený přístup uživatelů do podnikové sítě. Další zónou, kde lze s výhodou využít vlastností IDS, je rozhraní mezi produkční sítí a mezi sítí se stanicemi pro dohled a správu produkční sítě. Segmenty, ve kterých se nacházejí kritické aplikační a databázové servery, jsou dalším místem, kde lze s výhodou využít vlastností IDS.

Host-based IDS nalézají své uplatnění na důležitých serverech organizace, a to jak na web serverech v demilitarizovaných zónách firewallů, tak i na aplikačních a databázových serverech uvnitř podnikové sítě v datových centrech. Svou vazbou na hostitelský operační systém tento typ IDS doplňuje ochranu realizovanou firewally a síťovými IDS systémy, a dále tak zvyšuje celkové zabezpečení informačního systému.

Dohledový systém IDS se zpravidla umisťuje do sítě se stanicemi pro dohled a správu produkční sítě.

Důležitou součástí implementace IDS je pravidelné vyhodnocování informací zaznamenaných systémem a následné ladění konfigurace systému. Tato procedura významně snižuje množství falešných poplachů způsobených např. přílišnou citlivostí systému na aktivity, které mohou být v daném případě neškodné a souvisejí s normálním fungováním informačního systému.

Závěr
Systémy pro detekci neoprávněného průniku využívají pro odhalení útoků různé metody, přičemž nejlepší výsledky lze dosáhnout se systémy implementujícími kombinaci více různých metod detekce. Kombinací síťových IDS a IDS umisťovaných přímo na serverech potlačíme nevýhody spojené s implementací jediného IDS systému, a dále tak zvýšíme zabezpečení jednotlivých subsystémů. Nedílnou součástí nasazení IDS musí být i související organizační opatření, která zajistí pravidelné vyhodnocování informací získaných z IDS a následnou úpravu parametrů systému. V době stále se rozvíjejících informačních technologií roste i potencionální riziko napadení podnikových informačních systémů, a to jak z vnějšku, tak i zevnitř organizace. Implementace systému IDS je vhodnou součástí souboru opatření zvyšujících bezpečnost podnikového informačního systému.

Autor článku, Ing. Petr Panáček, pracuje ve společnosti ANECT jako projektant a následně konzultant v oblasti komunikačních systémů.