Обзор IBM Security Network Intrusion Prevention System

В современных условиях защита одного периметра сети реализованная в виде файервола, не может обеспечить должной степени безопасности от внешних угроз. Атаки постоянно становятся все более изощренными, поэтому простая блокировка портов оказывается недостаточно эффективной защитой. Возникает необходимость в использовании более продвинутых систем класса IPS (Intrusion Prevention System – система обнаружения вторжений), более глубоко анализирующих трафик. Среди них есть и лидеры.

Возможности IBM Security Network Intrusion Prevention System

Разработчик: IBM
Web: www.ibm.com/ru
Реализация: программно-аппаратная, образ VMware
Лицензия: коммерческая

Решение от IBM обеспечивает блокировку от сетевых атак, ботнетов, червей, комплексную защиту приложений, веб-приложений и данных, при сохранении высокой пропускной способности и минимальными задержками. Функции брандмауэра позволяют разрешить доступ только по определенным портам и IP, без необходимости привлечения дополнительного устройства. Интегрированный модуль DLP обеспечивает мониторинг конфиденциальной информации проходящей через сеть. Система может заглянуть внутрь протокола, определить и блокировать паразитный сетевой трафик (вроде P2P и IM).

PAM поддерживает несколько технологий

PAM поддерживает несколько технологий


Как и остальные разработки, IBM Security для детектирования использует запатентованную технологию анализа протоколов обеспечивающую превентивную защиту, в том числе и от 0day угроз. Его основой является PAM (Protocol Analysis Module, модуль анализа протоколов, goo.gl/3tKlI) сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор, включающий в себя большое количество эвристических механизмов (Shellcode Heuristics, Injection Logic Engine и т.д.), позволяющий не полагаться на статические сигнатуры. Всего для анализа трафика используется более 3000 алгоритмов, 200 из них распознают DoS атаки. Также PAM различает более 200 протоколов уровня приложений (атаки на HTTP, RPC, VoIP, RPC и т.д.) и форматы данных (DOC, XLS, PDF, ANI, JPG) и может предугадывать место, куда может быть внедрен вредоносный код.
Линейка устройств IBM Security Network IPS состоит из аппаратных и программных решений

Прошивка 4.6

В настоящее время актуальной в устройствах версией прошивки является 4.6 (вышла в конце марта 2013), включающая в себя ряд новых функций. В основе лежит SNORT 2.9.3.1 с новыми политиками по умолчанию. Формат журнала SNORT изменен, чтобы лучше отслеживать установки политик. При анализе события можно просмотреть правило его вызвавшее. Также теперь отображаются данные URL HTTP запросов (конфигурируется в Secure Protection Settings > Advanced IPS > SNORT Configuration and Rules). Формат данных передаваемых внешней SIEM системы изменен на IPFIX (IP Flow Information Export), а для переадресации журнала используется LEEF (Log Event Enhanced) форматы, которые совместимы с QRadar SIEM (соотвествующие настройки находятся в Manage System Settings > Appliance > Remote Data Flow Collection и LEEF Log Forwarding (syslog)). Для работы этой функции требуется также обновление модуля PAM. Правда некоторые модели не поддерживают новый формат (GX6116, GX7412, GX7412-05 и др.). В политике Security Interfaces (находится Manage System Settings > Network) появился параметр Report link показывающий состояние порта, которое отображается в данных о состоянии агента. Его отключение позволит например не выводить ошибки неиспользуемых портов. В Tuning Parameters (Secure Protection Settings > Advanced IPS) добавлено почти 20 новых параметров позволяющих более тонко настроить работу IPS, сбор статистики и журналирование пакетов. Изменены некоторые виды отчетов. Для GV200 и GV1000 официально поддерживаются VMware ESXi 5.0 и 5.1. Поддержка v4.3 будет прекращена в апреле 2013, v4.4 — август 2013, v4.5 — апрель 2014 года.

Разработкой PAM занимается одна из самых известных исследовательских групп безопасности в мире — IBM X-Force (xforce.iss.net), которая совместно с центром обеспечения безопасности GTOC (webapp.iss.net/gtoc) круглосуточно отслеживает угрозы, отвечают и за обновление правил. Сигнатуры могут создавать сами пользователи, интерфейс предоставляет все необходимое, а процесс подробно описан в документе «OpenSignature User Guidelines» (goo.gl/yLwZT).
Модульность PAM позволяет оперативно добавлять поддержку протоколов и специфические обработчики, поэтому его функциональность постоянно развивается. В настоящее время PAM поддерживает несколько технологий:

Как видно возможности IPS от IBM гораздо шире чем традиционные решения обеспечивающие в основном анализ сетевого трафика, но не умеющих заглядывать внутрь пакета, обеспечивая безопасность конфиденциальной информации, веб-трафика и блокировку приложений. Учитывая, что веб-ресурсы открыты и доступны в режиме 24/7 атаки на них наиболее распространены, а специфика требует особого подхода. Поэтому модуль Web application security очень востребованная функциональность.
Анализ сетевых пакетов параллельно модулю PAM производит и IDS/IPS SNORT. Причем учитывая, что используется единая очередь, первым обработку и выдачу решения может произвести как PAM, так и SNORT, в журналах могут появляться лишние записи. Например, SNORT проверил пакет и сгенерировал событие, которое попало в журнал, а PAM его сразу отбросил. Ничего страшного в таком поведении нет, просто нужно быть в курсе.
Кроме IBM Security QRadar поддерживается интеграция и с некоторыми другими продуктами IBM. Например с прошивки 4.1 появилась возможность интеграции с IBM Security AppScan (ранее IBM Rational AppScan), который позволяет тестировать приложения используя различные возможные векторы атаки, на предмет наличия уязвимостей, позволяя обнаружить пробелы в безопасности и создавать на основе полученных данных новые профили защиты. Интеграция с IBM Security Network IPS позволяет клиентам, использующим AppScan для создания политик защиты веб-приложений показать, что должно быть защищено.

Место в сети

Устройства IBM Network IPS работают на втором (канальном) уровне модели OSI, поэтому их внедрение происходит прозрачно и не требует внесения изменений в конфигурацию сети. Просто подключаем в «разрыв» и IPS готова к работе. И главное такую систему безопасности не имеющую IP, труднее обнаружить и распознать. Реализовано три режима работы: мониторинг — пассивное обнаружение (режим IDS), активная защита (Prevention, режим IPS) и имитация (Simulation, режим обучения IPS, без блокирования). При обнаружении атаки предусмотрено ряд действий: блокировка или помещение в карантин удаленного узла (по умолчанию 1 час), отправка предупреждения, игнорирование, запись трафика атаки (файл совместим с tcpdump) и настраиваемое пользователем действие. Одно устройство поддерживает нескольких зон безопасности, включая VLAN и может защищать несколько доменов. Предусмотрен очень широкий диапазон по установкам политик, раздельные политики указываются для каждого устройства, порта, тэга VLAN, IP-адреса или IP-диапазона.
В прошивке 4.6 появилась возможность использования Log Event Enhanced формата
При наличии в сети двух и более устройств IPS активация режима High Availability гарантирует, что в случае выхода из строя одного из них трафик пойдет через другое, установленные соединения при этом не прервутся. Устройства при этом могут работать в одном из двух режимов работы — active/active (кластер) или active/passive (обрабатывает только один, второй находится в горячем резерве). Высокая готовность обеспечивается, благодаря возможности переключения «на лету» между географически распределенными устройствами IPS. В этом случае второе устройство подхватывает все соединения, и что немаловажно, что текущие сессии при этом не прерываются (для этого трафик со второго устройства зеркалируется). Причем возможны тонкая настройка параметров инспектирования пакетов в режиме HA. Например по умолчанию SNORT и PAM анализируют все соединения пришедшие с зеркалированого порта (без ответной реакции), это позволяет увеличить охват и позволяют с большей вероятностью обнаружить атаку, хотя и нередко приводит к созданию дублирующих сообщений в SiteProtector (в локальной консоли события с зеркального порта не отображаются). При необходимости такую функцию легко отключить.
Управление функциями IBM IPS производится при помощи веб-консоли

Интерфейс управления

Управление всеми версиями IBM IPS производится при помощи веб-консоли (Local Management Interface, LMI), построенной с использование Java технологий (по умолчанию работает на стандартном https/443 порту). С его помощью можно: контролировать состояние устройства, настроить режимы работы IPS, параметры брандмауэра и политики безопасности, просматривать оповещения и т.д. Официально поддерживаются веб-браузеры IE или FF, также требуется установленный JRE 1.6/1.7 (x64 JRE не поддерживаются). Для запуска LMI требуется около 1Гб ОЗУ, поэтому компьютер администратора должен обладать соответствующими ресурсами и работать под управлением Win XP-7. Стоит отметить, что при таких мощных возможностях IPS, управление остается очень простым и интуитивным.
SiteProtector обеспечивает управление несколькими устройствами
Внешний вид веб-консоли можно назвать классическим. После входа тебя встречает Appliance Dashboard выводящая основную информацию и графики с информации о состоянии устройства, сети, количестве инциндентов, заполненности корневого раздела жесткого диска/ОЗУ и т.п. На самом видно месте показывается ТОП 10 атак, атакующих и атакуемых. Панели настраиваемые, это позволяет вывести востребованные установки и ключевые показатели на видное место и отслеживать их состояние когда потребуется. Во многих вопросах, в том числе и при редактировании политик помогают мастера и чтобы добавить или изменить параметр необходимо лишь заполнить предложенные поля.
Назначение других вкладок понятно из названия: Monitor (состояние и статистика), Secure (установки безопасности), Manage (установки системы) и Review (анализ и диагностика). При наведении на любой из указанных пунктов появляется всплывающее меню, также визуально разделенное на подпункты, позволяющее быстро получить доступ к нужной функции или настройке. Каждый подпункт также содержит панель Dashboard в котором показаны все основные связанные события, но более полно раскрывающее проблемы. Например в разделе Monitor находим подпункты Network (состояние сети и пропускная способность), Security (информация по инцидентам, ТОП атак, атакующих и атакуемых ресурсов и др.) и System (состояние, доступные и занятые ресурсы). Окно просмотра событий безопасности Security Events показывает не только события (протокол, важность, описание и т.п.), но и позволяет сразу установить действие — игнорировать или блокировать. При добавлении пользовательского события появляется окно мастера в котором задается название, домен, действие и т.д. Но есть здесь одна тонкость — для переопределенных пользователем событий (User Overridden), к ним в последствии нельзя применить X-Force Virtual Patch. Политики Web application security позволяют защитить несколько доменов. Чтобы активировать ответную реакцию достаточно просто перейти в подменю и установить соответствующие флажки (включить, отобразить или заблокировать). Аналогично просто настраиваются правила firewall, нажимаем Add и в заполняем/выбираем значения в окне Add Firewall Rules.
Все находишь там где ищешь. В итоге не смотря на большое количество функций, разобраться с конфигурацией представляя, что нужно делать очень легко. Чтобы освоиться достаточно потратить часок второй времени. О простоте настроек говорит то что курсы обучения занимают всего один день.
Для управления предусмотрено несколько типов учетных записей (локально разрешено входить только встроенным root и admin), для аутентификации может использоваться LDAP, в том числое и Active Directory.
Кроме LMI возможно управление рядом настроек при помощи консоли (подключение по SSH) и кнопок лицевой панели. Для получения статуса поддерживается интеграция по SNMP с продуктами третьих фирм.
При наличии нескольких устройств обычно приобретается IBM Proventia Management SiteProtector, обеспечивающий централизованное управление всей линейкой продуктов ISS и третьих фирм, сбор и отображение событий в реальном режиме времени, их фильтрация и анализ, создание отчетов.

Поставка

Линейка устройств IBM Security Network IPS состоит из аппаратных решений с производительностью от 10 Мбит/с до 15 Гбит/сек и поддерживающие 10 Гбит интерфейсы, программный модуль обеспечивающий на платформе Crossbeam скорость до 40 Гбит/с. Аппаратная платформа гарантированно обеспечивает высокую пропускную способность (до 160 000 соединений), низкую задержку (< 150 микросек) и большое время безотказной работы. Младшие модели GX3002 и GX4002 предназначены для удаленных филиалов (GX3002 поставляется в десктопном формфакторе), старшие - для защиты больших сетей. Внутри устройств все подсистемы дублированы: RAID, два блока питания, два вентилятора охлаждения. Встроенные и внешние bypass модули (например, IBM Security Network Active Bypass) позволяют передавать данные в обход устройства в случае системной ошибки или сбоя в электропитании. Также представлены два варианта IPS (GV200 и GV1000) в виде виртуальной системы (Virtual Appliance) предназначенный для защиты как виртуальных, так и физических сетей с тем уже уровнем безопасности, что и аппаратные решения. Для установки используются продукты VMware. Во время установки Virtual Appliance будет создано три сетевых интерфейса: управления (Management port), защищаемой сети (Two Layer 2 sensing) и IPS (для сброса TCP соединений).

Вывод

Возможности IBM Security Network IPS впечатляют, этот продукт не зря отмечали во время многочисленных тестов проводимых независимыми экспертами по безопасности и компьютерными изданиями. Также можно отметить действительно простое внедрение, качественную документацию (на английском), наличие нескольких обучающих роликов, позволяющих быстрее разобраться с настройками устройств.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)