Cisco Network Security - Operacje i implementacje IPS

1. Podobnie jak plik virus.dat używany przez skanery wirusów, sygnatura to zestaw reguł, które IDS i IPS używają do wykrywania typowej aktywności intruzów. Sygnatury jednoznacznie identyfikują konkretne wirusy, robaki, anomalie protokołów i szkodliwy ruch (np. ataki DoS).

2. Czujniki IPS muszą być dostrojone do szukania pasujących sygnatur lub nieprawidłowych wzorców ruchu. Gdy czujniki skanują pakiety sieciowe, używają sygnatur do wykrywania znanych ataków i reagują zdefiniowanymi wcześniej działaniami.

3. Atrybuty sygnatur:
  • typ 
  • wyzwalacz (alarm)
  • akcja (co zrobi IPS)
4. Niektóre zagrożenia można zidentyfikować w jednym pakiecie, podczas gdy inne zagrożenia mogą wymagać wielu pakietów i ich informacji o stanie (tj. adresów IP, numerów portów i innych) do zidentyfikowania zagrożenia.

Istnieją dwa typy sygnatur:
  • Sygnatura Atomowa - Jest to najprostszy typ sygnatury, ponieważ pojedynczy pakiet, aktywność lub zdarzenie identyfikuje atak. IPS nie musi utrzymywać informacji o stanie, a analiza ruchu zazwyczaj może być przeprowadzana bardzo szybko i efektywnie.
  • Sygnatura Kompozytowa - Nazywana również sygnaturą stanową, ponieważ IPS wymaga kilku elementów danych do dopasowania sygnatury ataku. IPS musi również utrzymywać informacje o stanie, które są określane jako horyzont zdarzeń. Długość horyzontu zdarzeń różni się od jednej sygnatury do drugiej.
5. Alarmem sygnatury (wyzwalaczem) dla czujnika IPS może być czymkolwiek, co może niezawodnie sygnalizować wtargnięcie lub naruszenie polityki bezpieczeństwa. Alarm sygnatury IPS jest analogiczny do alarmu w systemie zabezpieczeń domu. Mechanizmem wyzwalającym alarm włamania może być detektor ruchu. Gdy alarm włamania jest włączony, wykrywany jest ruch osoby wchodzącej do pomieszczenia. To wyzwala alarm.

6. Kategorie mechanizmów wyzwalania:
  • wykrywanie na podstawie wzorców/sygnatur (wyszukuje on konkretny i zdefiniowany wcześniej wzorzec atomowy lub kompozytowy. Czujnik IPS porównuje ruch sieciowy z bazą danych znanych ataków i wyzwala alarm lub zapobiega komunikacji, jeśli znajdzie dopasowanie).
  • wykrywanie na podstawie anomalii/profilu (polega na zdefiniowaniu profilu tego, co jest uważane za normalną aktywność sieciową lub hosta. Ten normalny profil jest zazwyczaj definiowany poprzez monitorowanie ruchu i ustalanie punktu odniesienia. Po zdefiniowaniu, każda aktywność przekraczająca określony próg w normalnym profilu wygeneruje wyzwalacz sygnatury i działanie).
  • wykrywanie na podstawie polityki/zachowania (administrator ręcznie definiuje zachowania, które są podejrzane na podstawie analizy historycznej. Użycie zachowań pozwala pojedynczej sygnaturze pokryć całą klasę aktywności bez konieczności określania każdej indywidualnej sytuacji).
  • wykrywanie na podstawie pułapki (wykrywanie na podstawie pułapki polega na użyciu serwera jako serwera przynęty, aby przyciągnąć ataki. Celem serwera przynęty jest odciągnięcie ataków od urządzeń produkcyjnych. Pozwala to administratorom na analizę nadchodzących ataków i wzorców szkodliwego ruchu w celu dostrojenia sygnatur ich czujników).
7. Gdy sygnatura wykryje aktywność, dla której jest skonfigurowana, wyzwala jedno lub więcej działań. 

8. NGIPS to specjalistyczne urządzenia IPS. Bazują na otwartym rdzeniu technologii Snort i wykorzystują reguły IPS skupione na podatnościach oraz wbudowaną inteligencję bezpieczeństwa opartą na IP, URL i DNS, dostarczaną przez Cisco Talos.

Funkcje NGIPS obejmują następujące elementy:
  • Reguły IPS identyfikujące i blokujące ruch ataku skierowany na podatności sieciowe.
  • Ściśle zintegrowaną obronę przed zaawansowanym złośliwym oprogramowaniem, która obejmuje zaawansowaną analizę aktywności sieciowej i punktu końcowego.
  • Technologię piaskownicy, która wykorzystuje setki wskaźników behawioralnych do identyfikacji ataków typu zero-day i trudnych do wykrycia.
  • Zawiera również funkcje Widoczności i Kontroli Aplikacji (AVC), Zaawansowanej Ochrony przed Złośliwym Oprogramowaniem Cisco (AMP) dla sieci oraz Filtrowania URL.
9. Snort to otwarte oprogramowanie IPS sieciowe, które wykonuje analizę ruchu w czasie rzeczywistym i generuje alerty, gdy na sieciach IP wykryte są zagrożenia. Może również przeprowadzać analizę protokołów, wyszukiwanie lub dopasowywanie treści oraz wykrywać różnego rodzaju ataki i sondy (np. przepełnienia bufora, ukryte skany portów i wiele innych). Snort został wprowadzony do InfoWorld Open Source Hall of Fame jako jedno z największych dzieł otwartego oprogramowania.

10. Snort IPS na serii 4000 ISR zapewnia następujące funkcjonalności:
  • Tryb IDS i IPS - Konfiguracja trybu wykrywania lub zapobiegania zagrożeniom. W trybie zapobiegania, ruch ataku zostanie odrzucony. 
  • Trzy poziomy sygnatur - Snort zapewnia trzy poziomy ochrony sygnatur: łączność (najmniej bezpieczna), zrównoważona (opcja środkowa) i bezpieczeństwo (najbardziej bezpieczna). Poziom bezpieczeństwa jest najbardziej bezpieczny, ponieważ umożliwia weryfikację największej liczby sygnatur. 
  • Lista dozwolona - Zapewnia możliwość wyłączenia niektórych sygnatur i pomaga unikać fałszywych alarmów, takich jak prawidłowy ruch wywołujący działanie IPS. Na liście dozwolonej może być obsługiwanych do 1000 wpisów. 
  • Monitorowanie stanu Snort - Oprogramowanie Cisco IOS śledzi stan silnika Snort, który działa w kontenerze usługi. 
  • Awaria otwarta i zamknięta - W przypadku awarii silnika IPS, router może być skonfigurowany tak, aby blokować przepływ ruchu lub omijać sprawdzanie IPS do momentu odzyskania silnika Snort.
  • Aktualizacja sygnatur - Obsługiwane są aktualizacje automatyczne i manualne. 
  • Rejestrowanie zdarzeń - Logi IPS mogą być wysyłane do niezależnego zbieracza logów lub dołączane do strumienia syslog routera. Wysyłanie logów IPS oddzielnie pomaga, jeśli narzędzie do zarządzania zdarzeniami bezpieczeństwa różni się od regularnego serwera syslog.
11. Snort może być włączony w trybie IDS lub w trybie IPS. Tryb IDS Snort może wykonać trzy akcje:
  • Alert - Wygeneruj alert za pomocą wybranej metody alertowania.
  • Log - Zaloguj pakiet.
  • Pass - Zignoruj pakiet.
Tryb IPS Snort może wykonać wszystkie akcje IDS oraz następujące:
  • Drop - Zablokuj i zaloguj pakiet.
  • Reject - Zablokuj pakiet, zaloguj go, a następnie wyślij reset TCP, jeśli protokołem jest TCP, lub wiadomość ICMP o nieosiągalnym porcie, jeśli protokołem jest UDP.
  • Sdrop - Zablokuj pakiet, ale go nie loguj.