HP TippingPoint Intrusion Prevention System

TippingPoint je lider na tržištu za Intrusion Prevention System (IPS), bez premca u sigurnosti, performansama, visokoj dostupnosti (eng. high availability) i jednostavnosti u korištenju. TippingPoint Intrusion Prevention System je nagrađen od NSS Gold Award i stekao je certifikat kao prvi multi-gigabitni mrežni IPS od strane ICSA Labsa.

TippingPoint IPS djeluje "in-line" u mreži, blokirajući zlonamjerni i neželjeni promet, time omogućavajući da regularni promet prolazi neometano. U principu, TippingPoint optimizira performanse regularnog prometa kontinuiranom inspekcijom te omogućava prioritet aplikacijama koje su kritično neophodne. TippingPoint-ove visoke performanse i izvanredna prevencija napada su redefinisali mrežnu sigurnost, te iz temelja promijenili načine osiguravanja mreža u organizacijama.

Više nema potrebe za ad-hoc i hitnom intervencijom nadogradnji, te su aplikacije kao što su Peer-to-Peer i Instant Messaging stavljene pod kontrolu. Napadi uskraćivanja usluga Denial of Service (DoS) koji guše Internet promet ili uskraćuju aplikacije koje pružaju kritične usluge su stvar prošlosti.

TippingPoint rješenja smanjuju troškove za IT sigurnost eliminirajući ad-hoc nadogradnje i reakcije na upozorenja dok istovremeno povećavaju produktivnost i profitabilnosti IT-a kroz uštede propusnosti i zaštite kritičnih aplikacija.

Također, omogućava normalizaciju prometa kako bi se uklonili neregularni paketi, te vrši ponovno sastavljanje TCP paketa i IP defragmentaciju, čime se povećava propusnost mreže. TippingPoint može djelovati i kao stateful firewall na kojem se saobraćaj može filtrirati na osnovu IP-a i portova. Osim toga, limitirajući propusnost, TippingPoint štedi propusnost i kapacitet servera. TippingPoint obavlja inspekciju sveobuhvatnog protoka ukupnog paketa kroz sloj 7 sa kontinuiranim čišćenjem Internet i intranet prometa kako bi spriječio napade (crvi, virusi, trojanci, phishing, spyware, VoIP prijetnje, DoS, DDoS, backdoors, bandwidth hijacking) prije nego dođe do havarije. TippingPoint štiti mrežnu infrastrukturu blokirajući napade prema routerima, switchevima, DNS-u i drugoj infrastrukturnoj opremi.

Digital Vaccine Real-Time Inoculation

TippingPoint nudi prevenciju putem Digital Vaccine usluge. Digital Vaccine su kreirane ne samo da bi se odnosile na specifične propuste već i na potencijalne nove napade poznate kao zero-day napadi. Digital Vaccine se isporučuju korisnicima dva puta sedmično, ili odmah kada se pojave kritične ranjivosti, a mogu se primjenjivati automatski bez interakcije s korisnikom. Ovaj jedinstveni servis omogućava korisnicima učinkovitiji proces sigurnosnih nadogradnji.

TippingPoint-ov DVLabs tim je vodeća sigurnosna i istraživačka organizacija za analizu ranjivosti. U 2007. godini su priznati kao organizacija sa najbržim rastom pronađenih novih ranjivosti te kao lider u otkrivanju Microsoft propusta visokih rizika. Tim se sastoji od industrijskih priznatih sigurnosnih istraživača koji primjenjuju inženjering, reverzni inženjering i talent u svakodnevnom radu. Kao rezultat toga je stvaranje filtera za ranjivosti koji se automatski isporučuju TippingPoint korisnicima i IPS-u kroz Digital Vaccine.

DVLabs Web služi kao portal u istraživačkim laboratorijima sa sjedištem u Austinu, Texas. Portal obuhvaća upute, novosti kao i blogove i RSS-ove sa drugih izvora. TippingPoint je, također, primarni autor SANS @ RIZIK newslettera, koji sadrži najnovije informacije za nove i postojeće ranjivosti mrežne sigurnosti. Koordinacijom sa SANS Institut, SANS @ RIZIK newsletter rezimira novootkrivene ranjivosti i djeluje na informisanju organizacija sa uputama šta poduzeti za zaštitu svojih korisnika.

Slika preuzeta iz službene dokumentacije TippingPoint-a: “HP TippingPoint Security Management System User Guide SMS Version 3.2

TippingPoint SMS

TippingPoint Security Management System (SMS) je uređaj koji pruža globalni pregled i kontrolu za TippingPoint IPS. SMS je odgovoran za otkrivanje, praćenje, konfigurisanje, dijagnosticiranje i izvještavanje za više TippingPoint sistema. TippingPoint SMS je uređaj koji je pogodan za rack montažu te ima Java klijent okruženje koje pruža izvještaje, analizu izvještaja, korelacije i real-time grafove sa statistikama prometa, filtrirane napada, mrežne hostove i servise.

Visoka dostupnost (high availability)

TippingPoint Intrusion Prevention Systems su bez premca kada je u pitanju visoka dostupnost, a osmišljen je kako bi se osiguralo da mrežni promet uvijek prolazi žičanom brzinom i u slučaju pojavljivanja grešaka, te grešaka unutar uređaja, ili čak potpunog gubitka.

Dva komplementarna High Availability načina rada – Intrinsic High Availability i Stateful Network Redudancy, osiguravaju maksimalan uptime i raspoloživost i za IPS uređaj i SMS upravljački uređaj. Nekoliko ugrađenih opcija IPS-u omogućava Intrinsic High Availability. Zbog Intrinsic High Availability, svi TippingPoint IPS uređaji imaju dvostruko napajanje, dok tzv. watchdog timer kontinuirano prate sigurnosni i upravljački engine. Ako je interna greška otkrivena, TippingPoint se može automatski ili ručno vratiti na jednostavniji Layer 2 uređaj, podesiv po segmentu. Osim toga, TippingPoint nudi Zero Power High Availability (ZPHA) opciju preko cooper interfejsa. U slučaju potpunog gubitka napajanja data centra, interfejsi se mogu prebaciti na ZPHA vanjski relej za prolazak kompletnog prometa.

Slika preuzeta iz službene dokumentacije TippingPoint-a: “TippingPoint Best Practices Guide and Advanced Discussions”

Stateful Network Redudancy omogućava da dva TippingPoint IPS-a mogu biti podešena za rad na transparentan High Availability način. U slučaju ako jedan link na jednom IPS-u otkaže, saobraćaj se automatski prebacuje na drugi IPS odnosno redudantni link. Sinhronizacija oba uređaja se obavlja preko SMS-a. Zbog toga što je IPS "bump in the wire", nema IP adresa i ne sudjeluje u protokolima za routiranje, parovi TippingPoint sistema mogu biti raspoređeni u postojećim high availability mrežama bez mijenjanja konfiguracije mreže. High availability routing protkoli kao što su Virtual Router Redundancy Protocol (VRRP), Open Shortest Path First (OSPF) i Cisco Hot Standby Router Protocol (HSRP) su transparentni po TippingPoint IPS-u i stoga rade jednako dobro s TippingPoint IPS in-line. Par TippingPoint sistema može biti konfigurisan bilo u Active-Active ili Active-Passive načine prikladno da dijele informacije stanja, tako da zaštitu od napada u potpunosti održavaju tijekom i nakon prekida mreže.

Slika preuzeta iz službene dokumentacije TippingPoint-a: “TippingPoint Best Practices Guide and Advanced Discussions”

Politike i filteri za inspekciju mrežnog prometa i napada na mrežu

TippingPoint IPS je namijenjen za:

- IPS je razmješten neprimjetno u mreži bez IP adresa ili MAC adresa i odmah počinje filtriranje zlonamjernog i neželjenog prometa.
- Ekstremno visoke brzine i niske latencije IPS-u omogućavaju implementaciju u samo jezgro mreže, štiteći kako od vanjskih tako i od unutrašnjih prijetnji. TippingPoint omogućuje traffic shaping kao podršku kritičnim aplikacijama i infrastrukturi, a također pruža izolaciju od napada otkrivanje zaraženih uređaja na mreži.
- Postavke "Preporučeni filteri" dopuštaju instant raspoređivanje "out-of-the-box".

TippingPoint IPS može se postaviti prije i poslije firewalla u mrežnoj topologiji. Zavisno od modela IPS-a, IPS nudi više fizičkih segmenata što ga čini fleksibilnim jer se može postaviti da osigurava internu mrežu (prije firewalla), prijetnje koje dolaze sa Interneta (poslije firewalla), ili pak na DMZ. Svaki segment se sastoji od dva fizička Ethernet porta, preko jednog porta ulazi saobraćaj koji se želi filtrirati, te drugog kao izlaznog na kojem se propušta filtrirani sadržaj.

Primjer postavljanja IPS-a poslije firewalla:

Primjer postavljanja IPS-a prije firewalla u cilju preventivnog djelovanja:

Filteri i Digital Vaccine paketi se mogu distribuirati na svaki segment posebno. Tako da za zaštitu u internoj mreži (prije firewalla) korisnik može kreirati jedan skup filtera odnosno jednu politiku, dok na drugom segment (npr. poslije firewalla) može kreirati drugačiju politiku.

Također, organizacija može da ima dva uređaja, IPS1 i IPS2, što znači da može da ima odvojenu segment grupu za odjel inženjeringa i financija, a jedan za DMZ. Promet kroz segmente se razlikuje zavisno do potrebe. Na primjer, možda želite blokirati kompletan NetBIOS saobraćaj koji dolazi sa Interneta, a dopustiti ga interno. Možete postaviti sve NetBIOS filtere na block na Perimetar profilu koji se distribuira na grupu DMZ segment.

Slika preuzeta iz službene dokumentacije TippingPoint-a: “HP TippingPointSecurity Management System User Guide SMS Version 3.2.”

Prikaz izgleda osnovnog okruženja IPS-a i SMS-a te izvještaji

Tipično, mreže sa TippingPoint implementacijom se sastoje od SMS klijenta (Secure Java), centraliziranog sistema upravljanja (SMS), te više TippingPoint IPS sistema.

Slika preuzeta iz službene dokumentacije TippingPoint-a: “HP TippingPointSecurity Management System User Guide SMS Version 3.2.”

Vrlo učinkovita komponenta TippingPoint SMS je "SMS dashboard". Ovaj dashboard prikazuje pregled trenutnih performansi za sve TippingPoint sisteme u mreži, uključujući notifikacije za nadogradnje i potencijalne probleme na koje treba obratiti pažnju. Svaki IPS, također, ima ugrađen Local Security Manager (LSM) i Command Line Interface (CLI). LSM je Web GUI aplikacija koja omogućava administraciju, konfiguraciju i kreiranje izvještaja putem osiguranog web interfejsa.

Pokretanjem Java GUI klijenta i spajanjem na IPS korisniku se prikazuje dashboard:

Izgled Java GUI interfejsa:

Izgled Web interfejsa LSM za IPS:

Izvještaje je moguće kreirati ili preko IPS-a ili preko SMS-a. Izvještaji preko SMS-a su dosta detaljniji i nude korisniku fleksibilnost u kreiranju izvještaja shodno ličnim potrebama, dok IPS nudi samo osnovne izvještaje koji se mogu prebaciti u CSV format.

Primjer izvještaja preko SMS-a za Top 10 napada:

Primjer izvještaja preko IPS LSM-a za Top 10 napada:

Analiza detekcija propusta na konkretnom primjeru

Filter IPS je detektirao napad HTTP: ASN.1 Bitstring Processing Heap Overflow:

Opis

Ovaj filter otkriva tzv. heap-based buffer overflow ranjivost u Microsoft ASN.1 (Abstract Syntax Notation) parser biblioteci tj. msasn1.dll. Ranjivost može biti iskorištena za izvršavanje proizvoljnog kôda na ranjivim Windows sistemima tako što napadač može izvršiti proizvoljni kôd (koji može biti štetan) koji dovodi do realokacije non-null pointera i uzrokuje prepisivanje funkcije na prethodnu oslobođenu memoriju.

Ovaj napad se može izvesti preko HTTP zahtjeva, tačnije HTTP autentifikacije. U slučaju da napadač uspješno iskoristi ovaj propust, bio bi u stanju da u potpunosti preuzme kontrolu nad sistemom uključujući instalaciju programa, pregledavanje podataka, mijenjanje podataka, brisanje podataka, ili stvaranje novih korisničkih računa s punim ovlastima. U tom slučaju, ostali sigurnosni sistemi kao što su stateful firewalli ili antivirusni proizvodi, ne bi bili u stanju zaštiti mrežni sistem iz razloga što se radi o "legitimnom" HTTP prometu iako u sadržaju tog "legitimnog" TCP prometa može biti sadržan zlonamjerni kôd koji iskorištava ovu ranjivost

Ovaj propust je idealan primjer za demonstraciju uspješne funkcionalnosti TippingPoint IPS-a. Da bi se ovakav propust odnosno napad prepoznao, potrebno je analizirati ne samo header odnosno zaglavlje IP paketa (što mogu uraditi i ostali uređaji, razni tipovi firewalla koji vrše kontrolu na nižim slojevima TCP/IP modela), već i sadržaj samog paketa, u potrazi za malicioznim kôdovima. U ovom slučaju radi o "legitimnom" HTTP saobraćaju u mreži koji se odvija preko dozvoljenog porta 80 na firewallu (pod pretpostavkom da politika firme dozvoljava HTTP promet). Bez IPS-a, firewall će propustiti ovakav paket ako je otvoren port 80, ali sadrži "skrivene" dijelove kôda koje napadači veoma vješto mogu skriti (primjer su tzv. "shellcode" kôdovi u heksadecimalnom obliku).

Rezime

Za razliku od klasičnih firewalla, antivirusnih rješenja te drugih sistema zaštite na tržištu, TippingPoint IPS djeluje preventivno i proaktivno štiteći vašu mrežu od raznih vrsta opasnosti koje svakodnevno kruže Internet prometom. TippingPoint-ov Digital Vaccine će vas zaštiti od najnovijih tzv. zero-day napada te omogućiti da se vaše poslovanje neometano razvija.

Dženan Sirčo, dipl.el.ing
EMC d.o.o

* Pojedini dijelovi ovog teksta se zasnivaju na službenoj TippingPoint dokumentaciji za IPS uređaje te ovaj tekst nije potpuno autorsko vlasništvo.