Практические аспекты управления инфраструктурой IDS/IPS

Андрей Дугин
старший системный администратор
по направлению IT-безопасность
компании "МТС-Украина"

При работе с инфраструктурой систем обнаружения и предотвращения вторжений перед администратором информационной безопасности, кроме всего прочего, возникают следующие задачи:

• расчет либо прогноз пропускной способности интерфейсов коммутаторов, на которые “зеркалируется” трафик (на основании этих данных вычисляется приблизительная стоимость обеспечения безопасности сети с помощью систем обнаружения вторжений);
• определение требований к системе управления IDS;
• определение соответствия заявленных поставщиками характеристик сетевых сенсоров с учетом специфики корпоративной сети;
• анализ трафика для получения информации о текущем состоянии корпоративной сети, о возможных произведенных без согласования реорганизациях инфраструктуры либо об авариях.

Расчет пропускной способности

Анализ сетевого трафика на наличие аномалий либо нарушений политик безопасности, как правило, производится без потенциального влияния на сетевые сервисы. Как исключение, использование систем предотвращения вторжений может быть в режиме inline IPS (Intrusion Prevention Systems) либо с возможностью внедрения в TCP-сессию и принудительного ее обрыва.

Также возможно использование интеграции систем обнаружения вторжений и активного сетевого оборудования с настройкой возможности блокирования источника аномальной активности. В данной статье рассматривается использование полной копии всех пакетов (SPAN-сессия) для обработки на устройствах IDS. Пакеты направляются на выделенный, “зеркалированный”, или SPAN-порт, к которому подключается сетевой сенсор систем обнаружения вторжений. В зависимости от производителя, версии аппаратной платформы и программного обеспечения коммутатора возможно выборочное копирование входящих/исходящих пакетов определенных физических либо логических интерфейсов на SPAN-порт. Для осуществления эффективного анализа пропускная способность SPAN-порта и, соответственно, агента IDS должна быть не менее расчетной пиковой суммарной нагрузки на анализируемые интерфейсы.

Требования к системе управления IDS

Сетевые сенсоры систем обнаружения вторжений, как правило, не рассчитаны на длительное локальное хранение и обработку событий безопасности, на которые настроены срабатывать. Хранение событий производится на отдельном сервере управления и мониторинга, который записывает полученную с систем обнаружения вторжений информацию в базу данных согласно правилам, установленным администратором. От возможностей системы зависит ее стоимость.

Обязательные компоненты систем управления сетевыми сенсорами с функциями, без которых управление и мониторинг IDS/IPS не будет полноценным, описаны в табл. 1.

В зависимости от поставщика и реализации решения система управления может также содержать в своем составе дополнительные модули (табл. 2).

Статистические параметры работы систем IDS

При анализе загрузки процессоров, объеме и пакетности обрабатываемого сенсорами IDS-трафика, можно решить возникающие в ходе развития и эксплуатации инфраструктуры систем обнаружения вторжений следующие проблемы:

• рациональность использования мощностей;
• соответствие реальных возможностей официально заявленным;
• рациональность распределения агентов IDS различной производительности   по   разным участкам сети;
• целесообразность понижения нагрузки на сенсор IDS;
• возможность наращивания инспектируемого трафика;
• необходимость подключения дополнительного сенсора IDS;
• агрегация SPAN-сессий из разных коммутаторов для инспектирования на одном сенсоре любого производителя;
• получение дополнительной информации об изменениях сетевой активности;
• получение информации о проведенных несогласованных работах по реорганизации сети либо о произошедшей аварии;
• определение степени влияния работ на предоставляемый пользователям сервис;
• воздействие внешних факторов (температура, отключение штатного электропитания);
• программный/аппаратный сбой в работе сенсоров.

Заключение

Правильный расчет нагрузки, вызываемой копией трафика на SPAN-порт коммутатора, может помочь выделить интерфейс необходимой пропускной  способности  и  выбрать подходящий сетевой сенсор для каждого сегмента сети. Рекомендуемая пропускная способность не должна быть ниже суммарной пиковой нагрузки на интерфейсы, сетевой трафик с которых будет копироваться, во избежание потери пакетов. Системы управления IDS/IPS должны обладать определенным набором параметров, без которых они не могут полноценно и качественно выполнять возложенные на них функции, а также опционально дополнительными возможностями, облегчающими работу с обнаруженными событиями безопасности. При анализе загрузки систем обнаружения вторжений, существует возможность получения ряда дополнительных сведений, на основании которых можно сделать выводы о рациональности использования ресурсов, соответствия официальных параметров действительным данным, получать информацию об авариях, несогласованных работах либо появлении аномалий в сети и т.п.