5673056341

Strategie i techniki ochrony systemów informatycznych

Niektórzy producenci IDS implementują mechanizmy automatycznej rekonfiguracji zabezpieczeń Firewall. Sama koncepcja jest ciekawa i pozornie wydaje się być przydatna. Dla przykładu, w razie gdy system IDS wykryje atak samodzielnie połączy się z Firewall i zablokuje na nim adres IP intruza. W rzeczywistości mają one jednak charakter bardziej marketingowy, ponieważ są mało skuteczne, a nawet niebezpieczne dla chronionego systemu. Duża część ataków może być wykonywana z dowolnie wybranych adresów. Nietrudno wyobrazić sobie sytuację, że intruz będzie wykonywał ataki na sieć korporacji z adresów IP należących do jej partnerów i klientów, a IDS widząc ataki doprowadzi do zablokowania tych adresów na Firewall, pomijając już fakt, iż w praktyce często normalna komunikacja sieciowa jest przez systemy IDS interpretowana jak ataki.

Obecnie dużą popularność zyskuje nowa kategoria systemów wykrywania intruzów tzw. in-line IDS. Systemy te posiadają architekturę zbliżoną do Firewall. Ruch sieciowy wchodzi do urządzenia IDS jednym interfejsem, jest wewnątrz poddawany analizie i wychodzi poprzez drugi interfejs sieciowy (patrz rysunek 3). Dzięki temu kontrola ruchu sieciowego jest łatwiejsza, ataki mogą być skutecznie blokowane w czasie rzeczywistym i nie ma zagrożenia, że IDS „zgubi pakiety”. Zastrzeżenia budzi jednak wydajność tych rozwiązań. Wg informacji podawanych przez producentów posiadają one przepływność od 100 do 400 Mb/s. Ich zakres zastosowań jest więc ograniczony do ochrony pojedynczych segmentów sieci. Przykładem rozwiązań in-line IDS jest Check Point SmartDefence, ISS RealSecure Guard i NetScreen IDP (dawniej OneSecure).

Rys 3) Koncepcja funkcjonowania in-line IDS

© 2003 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 5