V minulosti systémy ochrany proti nedovoleným průnikům do sítě (Intrusion Prevension Systems – IPS) vyžadovaly specifické fyzické zařízení s dedikovanými bezpečnostními týmy, které byly zaměřeny pouze na ochranu sítě před narušením a útokem. Dnes se strategie IPS pohybuje směrem k integraci na úrovni softwarové aplikace do již existujících přístupových bran v rámci podnikové infrastruktury a jsou spravovány běžným administrativním týmem.


IPS systémy se vyvinuly na konci 90tých let minulého století k řešení nejasností v oblasti pasivního monitorování sítě a působili jako detekční systémy. Ranné IPS by se z dnešního hlediska daly označit za IDS (Intrusion Detection Systems) se schopností vydávat preventivní příkazy firewallům a řídit změny přístupu ve směrovačích. Tato technika však brzy zaostala, jelikož se jednalo o závod mezi detekčními pravidly a útočníky snažících se projít přes kontrolní mechanismus.
Dnešní IPS lze považovat za technologii, která překračuje a dále posouvá schopnosti firewallu. IPS může rozhodovat o řízení přístupu na základě obsahu datového toku a ne jen dle IP adresy nebo portu, jako to dělají tradiční firewally. Nicméně s cílem zvýšení výkonnosti a přesnosti klasifikace monitorování, využívá již většina IPS ve svých signaturách i cílový port. Pro zajištění nízkého počtu falešných poplachů musí být IPS stále velmi dobrým IDS (detekčním systémem). Některé z nich jsou tak schopny bránit podnikovou síť i před ještě neobjevenými útoky, které mohou být způsobeny například přetečením zásobníku.
Systém IPS lze nasadit ve dvou základních variantách: jako samostatné zařízení nebo jako integrovanou síťovou aplikaci. Výhoda samostatných IPS zařízení je ve specializovaném hardwaru k prevenci narušení sítě. Oproti tomu integrovaná IPS aplikace nabízí prevenci narušení napříč celou bezpečnostní infrastrukturou a nasazení do již stávajících přístupových bran, typicky se jedná o firewally.
Donedávna byl nejčastější způsob nasazení IPS formou samostatného zařízení. Zatímco dříve byl tento přístup dobře odůvodnitelný, současnost je na straně integrování IPS funkcí v rámci stávajících bezpečnostních přístupových bodů.

Fyzické IPS zařízení

Než budeme popisovat rostoucí trend integrovaných IPS, je třeba pochopit silné a slabé stránky fyzických IPS zařízení, a to včetně několika klíčových faktorů, které v minulosti podněcovali jejich růst.

Řízení organizace

Minulost: Řadu let spadaly IPS systémy pod pravomoc samostatného oddělení nezávislého na divizi odpovědné za stávající bezpečnostní přístupové body. Firewally a VPN brány byly řízeny síťovými administrátory, zatímco IPS byla řízena samostatnými bezpečnostními pravidly a specialisty na síťovou bezpečnost.
Současnost: Dnes jsou ve většině organizací oblasti týkající se bezpečnosti dat a sítí konsolidovány pod jednu skupinu administrátorů, kteří zajišťují celkové zabezpečením sítě. Osoby odpovědné za technologii IPS jsou tak součástí skupiny odpovědné za firewally, směrovače a ostatní síťové prvky.

To nejlepší svého druhu

Minulost: Jelikož za posledních pět let probíhá vývoj IPS technologií velmi intenzivně, považuje většina firem tuto technologii za neustále živou a rozvíjenou. Z tohoto důvodu společnosti často volily samostatná IPS zařízení, která přinášela nelepší hodnotu poměru ceny a možné výměny vzhledem k inovacím.
Současnost: Tak jak IPS technologie postupně vyzrála a její funkčnost byla přidána do hlavních bezpečnostních síťových prvků, mění se i pohled zákazníků, kteří ji začínají považovat za nedílnou součást své bezpečnostní strategie.

Obavy z výkonnosti

Minulost: Organizace zajímající se o integrované řešení IPS volí spíše samostatné hardwarové IPS řešení a to z obavy, že integrace IPS do firewallu by mohla snížit jeho výkon až k jeho zastavení.
Současnost: Výkon je neustále důležitým kritériem, které musí být při výběru posuzováno. Různí dodavatelé řešení mají rozdílné charakteristiky výkonu, které mohou nebo nemusí být vhodné pro konkrétních potřeby dané organizace. Nicméně, integrované řešení IPS s multi-gigabitovou propustností k pokrytí hrozeb již existuje, takže výkon by již neměl být překážkou pro výběr a nasazení integrované varianty IPS řešení.

Výhody integrované IPS ochrany

Podle mnoha oborových analytiků ukazují nedávné trendy v implementaci IPS řešení prudký nárůst využívání integrovaných IPS. Mnozí z těchto analytiků tvrdí, že integrace IPS do firewallu má dokonce zrychlující se trend. Přínosy integrovaného IPS zahrnují:

Snížené náklady

Nákup a nasazení většího množství bezpečnostních zařízení je obvykle dražší než nasazení integrovaného řešení, které činí implementaci IPS levnější. Některé z úspor nákladů zahrnují přímé výdaje, jako například nákup zařízení, tak i nepřímé náklady, jako je vzdělávání a následná správa. Konsolidace také poskytuje vyšší úspory prostoru v serverové skříni, na kabeláži, chlazení i napájení.

Snížení prodlevy

Funkce IPS a firewallu společně řeší zabezpečení provozu a dat z internetového, intranetového či extranetového prostředí. Vzhledem k tomu, že firewall již kontroluje veškerou komunikaci týkající se jeho části sítě, je zde tedy logické místo i pro kontrolu prostřednictvím IPS. Dobře koncipované integrované řešení kontroluje datový provoz pouze jednou a pro obě funkce zároveň, čímž se minimalizují dopady, způsobené dvojí kontrolou provozu (což se typicky stává v případě samostatných IPS zařízení).

Soudržnější bezpečnostní politiky

Větší počet hardwarových komponent v bezpečnostním řešení logicky zvyšuje i složitost bezpečnostních politik a pravidel. Tím se také násobí potenciální příležitosti k selhání a chybovosti. Tato komplexnost zvyšuje pravděpodobnost, že některé bezpečnostní hrozby nebo útoky 'proklouznou' skrze trhliny v nastaveném systému a datový tok tak musí být pro jistotu kontrolován vícekrát, což rozhodně není žádoucí postup. Integrované řešení oproti tomu nabízí jedinou soudržnou bezpečnostní politiku.

Běžná správa a školení

Více řešení od různých dodavatelů vyžaduje složitější řízení i školení zaměstnanců. Integrované řešení IPS snižuje nejen náklady spojené s vedením a vzdělávání (méně dodavatelů, jednotná bezpečnostní struktura), ale také snižuje chybovost a riziko přehlédnutí (jednotné prostředí, společná administrace).

Snadnější nasazení IPS

Jelikož jsou firewally již součástí moderních podnikových sítí, přidáním funkcionality IPS do firewallů je finančně a organizačně jednodušší, než nákup a instalace dalších samostatných zařízení.

Kdy je samostatné IPS zařízení potřebné

Zatímco v příštích několika letech pravděpodobně proběhne rychlé přijetí integrovaných IPS, některé scénáře pro nasazení samostatných zařízení IPS zůstávají. Samostatný IPS se nejlépe hodí pro použití v konkrétní části sítě, kde lokální datový provoz nesmí procházet přes firewall, takže nasazení samostatného IPS zařízení může být žádoucí. Také v případě, že jsou firewally a IPS spravovány různými odděleními zabezpečení sítě, lze ospravedlnit z praktických důvodů nasazení samostatných IPS zařízení, i když je integrované řešení hypoteticky vhodnější.

Závěr

Výhody různých způsobů nasazení IPS systémů jsou závislé na konkrétní situaci v dané organizaci a to bez ohledu na to, v jaké konečné podobě společnost zvolí své řešení. A jelikož ochrany IPS (ať už samostatné nebo integrované) nejsou srovnatelné, musí organizace zvažující nasazení IPS pečlivě zkoumat každého dodavatele, jeho bezpečnostní arzenál, historii v oblasti ochrany dat a zjistit, zda splňuje dané potřeby. Dnes již nasazení integrovaného IPS nevyžaduje žádné bezpečnostní kompromisy a nabízí plnou ochranu.

David Řeháček
marketingový manažer
Check Point Software Technologies