I TechWorld nummer 8-2008 skrev vi om diskussion och förvirring kring ids och ips. Nu drygt två år senare återvänder vi till stridsplatsen och ser att rök och damm skingrats. Ironiskt nog har ett moln bidragit till att sikten förbättrats, även om vi i dag tvingas blanda in ytterligare några begrepp, till exempel nac och 802.1X.
Vi har pratat med experter från Check Point, Cisco, Juniper och Symantec. Alla är skönt överens om att den stora trenden för två år sedan, att ids och ips-funktioner integreras i andra maskiner, fortfarande gäller.
– I allra högsta grad. Dels att ips och ids integreras i brandväggar. Dels att brandväggarna integreras med andra funktioner i nätverket som kontrollerar åtkomst. Och informationen från de här maskinerna korreleras med information från andra maskiner i logglösningar, säger Stefan Lager, teknikansvarig på Junipers säkerhetsenhet.
Fredrik Johansson, teknisk säljare på Check Point, ser även en trend att kunderna litar mer på sina ips:er i dag.
– Historiskt sett har ips:er ofta installerats som ids:er eftersom många inte vågat slå på skyddet utan bara kört i övervakningsläge på grund av för mycket trafik skulle blockeras. Fast i takt med att ips:erna mognar blir det vanligare att även blockering av trafik aktiveras så att det verkligen blir en ips som stoppar skadlig kod, säger Fredrik Johansson.
Håkan Nohre, systemingenjör på Cisco, menar att vi bör ha klart för oss vad brandväggar, ids och ips egentligen är och hur de arbetar.
– Man kan definiera en brandvägg som något som säkerställer policies och regler för vilka applikationer som ska tillåtas mellan olika nätsegment. Ett ips eller ids är mer fokuserad på att hitta och stoppa attacker, maskar och liknande skadligt beteende. De allra flesta kunder vill ha båda funktionerna i en och samma låda. Man kan säga en ids endast larmar, medan en ips också blockerar nätverkspaket, säger Håkan Nohre på Cisco.
– Inom till exempel högskolevärlden finns kunder som bara vill ha ips och inte brandvägg. De kanske inte har någon anledning att begränsa vilka applikationer som ska tillåtas. Vissa fakulteter kanske skriver sina egna applikationer. I stället vill de bara blockera det som är dåligt.
Håkan Nohre fortsätter med att berätta att precis som för två år sedan arbetar både brandvägg och ips huvudsakligen på nivå tre, fyra och sju av osi-modellen. När det gäller funktioner framhåller han att Ciscos brandväggar kan filtrera över 30 applikationer på nivå sju, inte bara sip (session initiation protocol).
Fristående ids – en utrotningshotad art
I dag är fristående ids:er ovanliga. En ids är numera i de flesta fall inte en specifik ids-maskin utan en ips som inte aktiverat filtreringsfunktioner utan bara loggar trafiken.
Enligt Anders Stenwall på Juniper väljer en del kunder att köpa en ips men låter den bara logga trafik. Det kan till exempel vara för att uppfylla något regelverk, till exempel pci-dss, eller för transaktioner där det är extra viktigt att inte tappa paket – små fel kan korrigeras i efterhand.
– Det kan även vara för att de vill spara loggar länge för att senare kunna utreda vem som gjort vad. Det är inte alltid vi vet varför, det finns ibland stor sekretess, säger Anders Stenwall.
Varnar för udda trafik
För två år sedan var funktionerna Protocol Anomaly Detection och Stateful Signatures högsta mode inom ips och ids. Alla vi intervjuat nu är överens om att samma funktioner fortfarande är viktigast för ips och ids. Protocol Anomaly Detection varnar om trafik som utger sig för att följa ett visst protokoll börjar avvika från det. Den andra funktionen, Stateful Signatures, innebär att ips:en kan hålla hela applikationstillståndet i minnet och reagera på skadligt beteende utifrån förutbestämda signaturfiler. En fördel med det är att ips:en då kan arbeta utifrån signaturer som kräver att flera villkor är uppfyllda. Det gör dels att en signatur kan stoppa flera olika hot, dels att mängden falsklarm kan minskas eftersom en angripare inte lika lätt kan överlasta en ips genom många enkla anrop som låtsas vara en allvarlig attack.
En tredje funktion, som är ny för dagens ips:er, är molnbaserad ryktesteknik för ip-adresser. Adresser som tillhör en partner som skött sig väl bedöms som mindre riskabla än adresser som hör till bredbandsdatorer i fjärran land som ser ut att vara del av ett botnät. Den installerade basen av ips:er rapporterar in till tillverkaren som skapar signaturer på attacker och listor på suspekta IP-adresser. Dessa distribueras via internet till ips:erna ute hos kunder. Hos Cisco kallas funktionen Global Correlation.
- 802.1X (IEEE 802.1X): Autentiseringsstandard för funktionen pbnac (se nedan).
- eap, extensible authentication protocol. Används ofta för att skicka autentiseringsinformation från en mobil klient till en trådlös accesspunkt. Eap-trafiken kan bakas in i Radius- och tcp/ip-trafik.
- ids, intrusion detection system: I dag i praktiken oftast en ips som bara lyssnar och loggar misstänkta intrång och annat skumrask.
- ips, intrusion prevention system: Stoppar datapaket som bedöms som skadliga enligt det regelverk administratören satt upp.
- nac, network access control: Lösningar för att bara släppa in datorer på ett nätverk ifall de är uppdaterade med de senaste skydden.
- pbnac, port-based network access control: Säkerhetsfunktion på osi-nivå 2, alltså datalänk-nivån.
- pci-dss, payment card industry data security standard: Regeluppsättning som kreditkortsföretagen Mastercard och Visa kräver ska följas för att en butik ska få hantera kreditkortsinformation.
- personlig brandvägg: brandvägg på en persondator. Har sämre prestanda än en fristående brandvägg i nätverket, men bättre koll på vilka program som gör vilka anrop.
I TechWorld 7-2010 testade vi brandväggar med avancerade säkerhetsfunktioner.
Kolla in tinytw.se/firewalls
