Cisco Network Security - System zapobiegania intruzom

1. Atak zero-day, czasami nazywany zagrożeniem zero-day, to cyberatak, który próbuje wykorzystać luki w oprogramowaniu, które są nieznane lub nieujawnione przez dostawcę oprogramowania.. Termin zero-day opisuje moment, gdy zidentyfikowano wcześniej nieznane zagrożenie.

W czasie, który upływa od momentu, gdy dostawca oprogramowania rozwija i wydaje poprawkę, sieć jest narażona na te ataki, jak pokazano na rysunku. Obrona przed tymi szybko poruszającymi się atakami wymaga od profesjonalistów ds. bezpieczeństwa sieci przyjęcia bardziej zaawansowanego podejścia do architektury sieci. Nie jest już możliwe zahamowanie wtargnięć w kilku punktach sieci.

2. Aby zapobiec wykorzystaniu złośliwego oprogramowania, administrator powinien ciągle monitorować sieć i analizować pliki dziennika generowane przez urządzenia sieciowe. Narzędzia SOC (centrum operacji bezpieczeństwa), takie jak SIEM (zarządzanie informacjami i zdarzeniami związanymi z bezpieczeństwem) i SOAR (systemy orkiestracji, automatyzacji i reakcji na bezpieczeństwo), automatyzują ten proces. Mimo najlepszych obron, złośliwe oprogramowanie dostanie się do sieci, dlatego konieczne jest wielowarstwowe podejście do ochrony. Pliki dziennika pomagają zidentyfikować atak, jego cechy i zakres szkód.

Systemy wykrywania intruzji (IDS) monitorują ruch w sieci biernie i porównują go z znanymi złośliwymi sygnaturami. Praca IDS w trybie offline ma swoje zalety, ale nie jest w stanie zatrzymać jednopakietowych ataków przed dotarciem do celu.

Lepszym rozwiązaniem jest użycie systemu zapobiegania intruzjom (IPS), który może natychmiast wykryć i zatrzymać atak.

3. Aby obronić się przed szybkimi i ewoluującymi atakami, wymagana jest zmiana paradygmatu architektury sieciowej, która musi obejmować opłacalne systemy wykrywania i zapobiegania, takie jak IDS lub bardziej skalowalne IPS. Technologie IDS i IPS są wdrażane jako czujniki w różnych formach urządzeń i używają sygnatur do wykrywania wzorców w ruchu sieciowym. Przy implementacji IDS lub IPS ważne jest zrozumienie dostępnych typów systemów, ich rozmieszczenia, roli kategorii sygnatur i możliwych działań, które może podjąć router Cisco, gdy wykryty zostanie atak.

4. Systemy wykrywania intruzji (IDS) działają w trybie offline, co oznacza, że nie wpływają na wydajność sieci ani nie wprowadzają opóźnień czy innych problemów z przepływem ruchu. Jeśli czujnik IDS ulegnie awarii, nie wpływa to na funkcjonalność sieci, tylko na zdolność IDS do analizy danych. Jednak IDS ma swoje ograniczenia. Nie może zatrzymać pakietów, które wywołały alarm, co czyni go mniej skutecznym w wykrywaniu wirusów e-mailowych i automatycznych ataków, takich jak robaki. Ponadto, dostrojenie czujników IDS może być bardzo czasochłonne i wymaga dobrze zaprojektowanej polityki bezpieczeństwa oraz dobrego zrozumienia wdrożeń IDS.

Z drugiej strony, systemy zapobiegania intruzjom (IPS) są wdrażane w trybie inline, co oznacza, że mogą natychmiast wykryć i zatrzymać atak. Czujnik IPS może być skonfigurowany tak, aby odrzucać pakiety wyzwalające, pakiety związane z połączeniem lub pakiety pochodzące z adresu IP źródłowego. Ponieważ czujniki IPS są inline, mogą używać normalizacji strumienia, techniki służącej do odtworzenia strumienia danych, gdy atak występuje w wielu segmentach danych. Jednak wdrożenie IPS inline ma swoje wady. Błędy, awarie i przeciążenie czujnika IPS zbyt dużym ruchem mogą negatywnie wpływać na wydajność sieci. Czujnik IPS może wprowadzać opóźnienia i jitter, co może wpływać na wydajność sieci.

Można wdrożyć zarówno IPS, jak i IDS. Użycie jednej z tych technologii nie wyklucza użycia drugiej. W rzeczywistości, technologie IDS i IPS mogą się uzupełniać. Na przykład, IDS może być wdrożony do walidacji działania IPS, ponieważ IDS może być skonfigurowany do głębszego badania pakietów w trybie offline. Pozwala to IPS skupić się na mniejszej liczbie, ale bardziej krytycznych wzorców ruchu w trybie inline. Wybór między IDS a IPS zależy od celów bezpieczeństwa organizacji, jak określono w ich polityce bezpieczeństwa sieciowego.

5. Systemy wykrywania intruzji (IDS) działają w trybie offline, monitorując i analizując podejrzane działania bez wpływu na wydajność sieci. Jednak nie mogą zatrzymać pakietów, które wywołały alarm. Systemy zapobiegania intruzjom (IPS) są wdrażane w trybie inline, co pozwala im natychmiast wykrywać i zatrzymywać ataki, ale mogą wpływać na wydajność sieci. IDS i IPS mogą się uzupełniać, a wybór między nimi zależy od celów bezpieczeństwa organizacji. Wdrożenie zarówno IPS, jak i IDS, zapewnia skuteczną ochronę sieci.

6. Sensory IPS oparte na sieci, takie jak Cisco Firepower NGIPS, mogą być implementowane na różne sposoby, w tym na urządzeniach Cisco Firepower, zapory sieciowej ASA, routerze ISR lub jako wirtualny NGIPS dla VMware. Są one dostrojone do analizy prewencji intruzji i utwardzane poprzez usunięcie niepotrzebnych usług sieciowych. Składają się z trzech komponentów: NIC, procesora i pamięci, które są niezbędne do efektywnego i dokładnego wykrywania ataku. IPS oparte na sieci zapewniają menedżerom bezpieczeństwa wgląd w czasie rzeczywistym w bezpieczeństwo ich sieci i są łatwe do wdrożenia w przypadku dodawania nowych sieci.

7. Tryby wdrożenia (Modes of Deployment) to sposoby, w jakie sensory IDS i IPS mogą działać. Wyróżniamy dwa główne tryby: tryb inline (znany również jako tryb pary interfejsów inline) oraz tryb promiskuitywny (znany również jako tryb pasywny).
  • Tryb promiskuitywny: W tym trybie pakiety nie przepływają przez sensor. Sensor analizuje kopię monitorowanego ruchu, a nie rzeczywisty przekazywany pakiet. Zaletą działania w trybie promiskuitywnym jest to, że sensor nie wpływa na przepływ pakietów z przekazywanym ruchem. Wadą działania w trybie promiskuitywnym jest to, że sensor nie może zatrzymać złośliwego ruchu przed dotarciem do zamierzonego celu dla pewnych typów ataków, takich jak ataki atomowe (ataki jednopakietowe). Działania odpowiedzi implementowane przez urządzenia sensora promiskuitywnego są odpowiedziami po zdarzeniu i często wymagają pomocy od innych urządzeń sieciowych (na przykład routerów i zapór ogniowych) w celu odpowiedzi na atak.
  • Tryb inline: Działanie w trybie inline umieszcza IPS bezpośrednio w przepływie ruchu i spowalnia szybkość przekazywania pakietów, dodając opóźnienie. Tryb inline pozwala sensorowi zatrzymać ataki poprzez odrzucanie złośliwego ruchu zanim dotrze do zamierzonego celu, zapewniając tym samym usługę ochronną. Urządzenie inline przetwarza nie tylko informacje na warstwach 3 i 4, ale także analizuje zawartość i ładunek pakietów pod kątem bardziej zaawansowanych osadzonych ataków (warstwy 3 do 7). Ta głębsza analiza pozwala systemowi identyfikować i zatrzymywać lub blokować ataki, które przeszłyby przez tradycyjne urządzenie zapory ogniowej.
8. Sensory IPS składają się z silnika wykrywania i egzekwowania oraz pakietu sygnatur ataków. Mogą działać na różnych platformach, w tym na starszych routerach Cisco 800, 1900, 2900, 3900 Series ISRs oraz na routerach Cisco 4000 Series ISRs i Cisco Cloud Services w serii 1000v. Włączenie routera do pracy jako IPS jest ekonomicznym sposobem ochrony sieci biur oddziałów. Gdy Cisco IOS IPS wykrywa podejrzane działanie, reaguje, zanim bezpieczeństwo sieci może zostać naruszone. Administrator sieci może konfigurować Cisco IOS IPS, aby wybrać odpowiednią odpowiedź na różne zagrożenia.

9. Sensory IPS, takie jak Snort, są częścią urządzeń sieciowych, takich jak routery Cisco. Snort, najczęściej wdrażane na świecie rozwiązanie IPS, analizuje ruch sieciowy w czasie rzeczywistym i generuje alerty, gdy wykryje zagrożenia. Może działać w trybie IDS (tylko wykrywanie) lub IPS (wykrywanie i zapobieganie). Snort działa w wirtualnym kontenerze na routerach Cisco 4000 Series ISRs, co pozwala na skalowanie bezpieczeństwa bez wpływu na inne funkcje. Sygnatury Snort IPS są dostarczane automatycznie przez Cisco Talos, a logi zdarzeń są wysyłane do zewnętrznego serwera logów lub sysloga IOS.
  • Tryb IDS - Snort sprawdza ruch i raportuje alerty, ale nie podejmuje żadnych działań w celu zapobiegania atakom. 
  • Tryb IPS - Oprócz wykrywania intruzji, podejmowane są działania w celu zapobiegania atakom. W trybie wykrywania i zapobiegania intruzjom sieciowym, 
Snort wykonuje następujące działania:
  • Monitoruje ruch sieciowy i analizuje go na podstawie zdefiniowanego zestawu reguł. 
  • Przeprowadza klasyfikację ataków. 
  • Wywołuje działania przeciwko dopasowanym regułom. 
  • Snort IPS monitoruje ruch i raportuje zdarzenia do zewnętrznego serwera logów lub do sysloga IOS.
  • Włączenie rejestrowania do sysloga IOS może wpływać na wydajność ze względu na potencjalną objętość komunikatów logów. 
  • Do zbierania i analizy logów można użyć zewnętrznych narzędzi monitorujących obsługujących logi Snort.
10. Codzienne działanie sieci składa się z typowych wzorców przepływu ruchu, wykorzystania przepustowości i dostępu do zasobów. Razem te wzorce identyfikują normalne zachowanie sieci. Analitycy bezpieczeństwa muszą być dobrze zaznajomieni z normalnym zachowaniem sieci, ponieważ nietypowe zachowanie sieci zwykle wskazuje na problem. Aby określić normalne zachowanie sieci, musi być zaimplementowane monitorowanie sieci. Do odkrywania normalnego zachowania sieci używa się różnych narzędzi, w tym IDS, analizatorów pakietów, SNMP, NetFlow i innych.
Niektóre z tych narzędzi wymagają przechwyconych danych sieciowych. Istnieją dwie powszechne metody używane do przechwytywania ruchu i wysyłania go do urządzeń monitorujących sieć:
  • Zawory sieciowe, czasami znane jako punkty dostępu do testów (TAPs)
  • Lustrowanie ruchu za pomocą Switch Port Analyzer (SPAN) lub innych podejść do lustrowania portów.
11. Sieciowy TAP to zazwyczaj pasywne urządzenie rozdzielające, umieszczone na linii między urządzeniem monitorowanym a siecią. Tap przekazuje cały ruch, w tym błędy na warstwie fizycznej, do urządzenia analizującego, jednocześnie umożliwiając ruchowi dotarcie do miejsca docelowego.

TAP jednocześnie wysyła zarówno strumień danych transmitujących (TX) z wewnętrznego routera, jak i strumień danych odbieranych (RX) do wewnętrznego routera na oddzielnych, dedykowanych kanałach. Dzięki temu wszystkie dane docierają do urządzenia monitorującego w czasie rzeczywistym. Dlatego wydajność sieci nie jest wpływana ani degradowana przez monitorowanie połączenia.

TAPy są zazwyczaj również odporne na awarie, co oznacza, że jeśli ulegnie awarii lub straci zasilanie, ruch między zaporą sieciową a wewnętrznym routerem nie jest zakłócany.

12. Przełączniki sieciowe segmentują sieć według projektu. Ogranicza to ilość ruchu, która jest widoczna dla urządzeń monitorujących sieć. Ponieważ przechwytywanie danych do monitorowania sieci wymaga przechwycenia całego ruchu, muszą być zastosowane specjalne techniki, aby ominąć segmentację sieci narzuconą przez przełączniki sieciowe. Mirroring portów to jedna z tych technik. Wspierany przez wiele przełączników korporacyjnych, mirroring portów umożliwia przełącznikowi kopiowanie ramek, które są odbierane na jednym lub więcej portach, do portu analizatora przełącznika (SPAN), który jest podłączony do urządzenia analizującego.
  • Ruch przychodzący (Ingress traffic) -  Ruch, który wchodzi do przełącznika.
  • Ruch wychodzący (Egress traffic) - Ruch, który opuszcza przełącznik.
  • Porty źródłowe (Source (SPAN) port) są monitorowane, ponieważ ruch wpływający do nich jest replikowany (zwierciadlany) do portów docelowych.
  • Port docelowy (SPAN) (Destination (SPAN) port) często łączą się z urządzeniami analizującymi, takimi jak analizator pakietów lub IDS.
13. Związek między portami źródłowymi a portem docelowym nazywa się sesją SPAN. W ramach jednej sesji można monitorować jeden lub wiele portów. Na niektórych przełącznikach Cisco ruch z sesji może być kopiowany do więcej niż jednego portu docelowego. Alternatywnie można określić VLAN źródłowy, w którym wszystkie porty w VLANie źródłowym stają się źródłami ruchu SPAN. Każda sesja SPAN może mieć porty lub VLANy jako źródła, ale nie oba.

Funkcja SPAN na przełącznikach Cisco wysyła kopię każdej ramki wprowadzanej do portu źródłowego na port docelowy i do analizatora pakietów lub systemu IDS.

Do identyfikacji sesji SPAN używany jest numer sesji. Przykłady pokazują polecenie monitor session, które jest używane do powiązania portu źródłowego i portu docelowego z sesją SPAN. Dla każdej sesji używane jest oddzielne polecenie monitor session. Zamiast fizycznego portu można określić VLAN.
 Switch(config)# monitor session number source [interface interface | vlan vlan]
Switch(config)# monitor session number destination [interface interface | vlan vlan]