Monitoruj i zapobiegaj
Transkrypt
Monitoruj i zapobiegaj
TESTY NETASQ UTM U250 Urządzenia UTM Monitoruj i zapobiegaj Scentralizowane zarządzanie zagrożeniami wymaga wielu różnorodnych funkcji i dużej mocy obliczeniowej. Sprawdźmy, jak radzi sobie z tym zadaniem urządzenie Netasq UTM U250. Artur Cieślik N a rynku od pewnego czasu możemy znaleźć urządzenia zwane ogólnie UTM. Pod nazwą Unified Threat Management kryją się wielofunkcyjne firewalle, zawierające w jednym „pudełku” wiele usług zabezpieczających przed różnymi zagrożeniami. Potrafią się propagować zarówno od strony sieci publicznej, jak i w sieci wewnętrznej organizacji. Zadaniem UTM-a jest ograniczanie ryzyka przedostania się wirusa, malware lub intruza do chronionego obszaru sieci, niezależnie od przyjętej metody ataku. Testowane urządzenie to UTM Netasq U250. Producent opisuje je jako system bezpieczeństwa, zapewniający pełną ochronę styku z Internetem. U250 umożliwia kontrolę połączeń sieciowych, blokowanie włamań oraz szyfrowanie transmisji dla użytkowników mobilnych i zdalnych lokalizacji. Działa także jako stateful firewall (zapora ogniowa z nadzorowaniem połączeń), IPS (Intrusion Prevention System – system zapobiegania włamaniom), brama antywirusowa wykorzystująca silnik Kaspersky’ego lub ClamAV oraz mechanizm filtracji treści i adresów stron WWW. Ponadto UTM oferuje możliwość tworzenia do 512 tuneli VPN wykorzystujących SSL oraz połączeń szyfrowanych IPSec. SPECYFIKACJA: Przepustowość firewalla i IPS (Mbps): 850 Przepustowość IPSec VPN (AES): 190 Interfejsy 10/100/1000: 6 Jednoczesne połączenia: 400 000 Nowe sesje/sekundę: 8500 VLAN-y 802.1Q: 128 Liczba tuneli IPSec VPN: 1000 Liczba tuneli SSL VPN: 512 Maksymalna liczba reguł filtrowania: 8000 Jednoczesne klienty PPTP: 96 Redundantne połączenia WAN: 8 Technologie: routing w oparciu o reguły, silnik ASQ, wykrywanie i analiza protokołów, sygnatury kontekstowe, ochrona VoIP, opcjonalnie: wewnętrzny audyt sieci SEISMO CENA: Urządzenie U250: ok. 3000 EUR + VAT Podstawowy serwis na 1 rok dla urządzenia U250: ok. 720 EUR + VAT ALTERNATYWNE PRODUKTY: Netasq UTM U30 – cena ok. 2700 PLN + VAT FortiGate 200A – cena b.d. >>>>>>>> Wielkość sieci ma znaczenie Producent podaje wydajność firewalla z IPS na poziomie 850 Mbps, możliwość obsługi 400 000 połączeń jednoczesnych oraz 8500 nowych sesji na sekundę. Daje 26 | MARZEC 2010 www.itwadministracji.pl to duże możliwości, jednak w przypadku, gdy potrzebujemy innej wydajności, możemy zdecydować się na inny model urządzenia, mającego praktycznie identyczną funkcjonalność. Jeżeli większą, możemy zdecydować się na U450 lub U1100, które dysponują odpowiednio wydajnością firewalla z IPS na poziomie 1000 Mbps i 2800 Mbps oraz liczbą jednoczesnych połączeń równą maks. 600 000 oraz 800 000. W przypadku TESTY mniejszych wymagań dobrym rozwiązaniem byłyby U120 lub U70, oferujące odpowiednio wydajność 700 Mbps oraz 600 Mbps, a także liczba obsługiwanych połączeń jednoczesnych na poziomie 200 000 oraz 100 000. W testowanym UTM-ie zastosowano rozwiązania gwarantujące wysoką dostępność oraz wydajność urządzenia. Jest to połączenie wydajnego sprzętu oraz oprogramowania systemowego, którego centrum stanowi ASQ (Active Security Qualification). Jest to technologia IPS wbudowana w system operacyjny urządzeń Netasq, która ogranicza czas wykonywania operacji poprzez analizę ruchu sieciowego na poziomie mniejszej liczby modułów niż w przypadku standardowych rozwiązań. Producent podaje, że w klasycznym przypadku UTM potrzebuje 31 kroków, aby zanalizować ruch sieciowy, natomiast UTM z silnikiem ASQ już tylko 12. ASQ jest technologią rozwijaną w laboratoriach Netasq od 1998 roku. Bazuje ona na kontroli transmisji w odniesieniu do wykorzystywanych protokołów, kontekstu analizy pakietu, ale zawiera także mechanizm heurystycznego wykrywania zagrożeń. Przez zastosowanie sygnatur kontekstowych Netasq UTM ogranicza zjawisko tzw. false positive, czyli oznaczania jako szkodliwego kodu w ruchu sieciowym, który w rzeczywistości nie stanowi zagrożenia dla sieci. Dzięki zmniejszeniu rozmiarów zjawiska false positive administrator nie jest zarzucany dużą liczbą przeznaczonych do dalszej analizy incydentów, które – choć na pewno zmieszczą się w dziennikach zdarzeń na zastosowanym w urządzeniu dysku o pojemności 70 GB – niepotrzebnie wprowadzałyby administratora w błąd. Urządzenie oferuje także redundancję na poziomie sprzętu i połączenia z siecią WAN. UTM może działać w trybie High Availability (jako klaster), czyli wysokiej dostępności, równolegle z drugim U250. Dysponując sześcioma portami Ethernet, możemy przeznaczyć dwa z nich do obsługi łączy internetowych, które mogą działać w trybie failover. Sprzęt i uruchomienie Netasq U250 ma solidną obudowę metalową o wysokości 1U oraz wymiarach umożliwiających montaż w szafie 19”. Z przodu urządzenia znajdują się: sześć portów Gigabit Ethernet, port USB, port monitora i klawiatury oraz RS232 dla konsoli tekstowej. Całość sygnalizacji znajduje się również na przednim panelu, przy czym przy każdym porcie Ethernet umieszczono diodę sygnalizującą stan portu i prędkość połączenia. Nie zostały umieszczone konkretne oznaczenia portów, np. LAN, WAN, DMZ, zastosowano wyłącznie numerację portów. W zestawie znajdują się kable Ethernet potrzebne do podłączenia urządzenia do sieci LAN oraz kabel do konsoli CLI (command line interface). Aby rozpocząć konfigurację, wystarczy podłączyć komputer do jednego z portów, a komputer otrzyma odpowiedni adres IP przekazany przez serwer DHCP z podsieci podanej w skróconej instrukcji obsługi. Konfiguracja połączenia z urządzeniem odbywa się początkowo poprzez przeglądarkę internetową, po czym właściwą konfigurację UTM-a rozpoczynamy po instalacji dołączonego oprogramowania Netasq Unified Manager. po lewej stronie interfejsu, a w centrum znajdują się informacje o aktywnej konfiguracji oraz rodzajach licencji. Dostępne grupy opcji dotyczą sieci, IPS, SEISMO (analizatora podatności), wysyłki powiadomień przez e-mail, logów, aktualizacji, kalendarzy, harmonogramu stosowania zestawów zasad, certyfikatów i PKI, polityk zabezpieczeń, autentykacji, VPN, proxy, analizy treści oraz standardowych usług sieciowych, np. DHCP. Po rozwinięciu poszczególnych opcji mamy dostępnych wiele funkcji, które mogą służyć ochronie przed zagrożeniami, jak również kontroli pracy użytkowników. Na pierwszy rzut oka możemy być zdezorientowani, od czego zacząć. Na szczęście jednak do urządzenia dołączono płytę ze skróconą dokumentacją w języku polskim, dzięki której zaczniemy w miarę sprawnie poruszać się po angielskojęzycznym >> Werdykt IPS z dużą liczbą sygnatur Filtrowanie treści dla 4 najważniejszych protokołów Częste aktualizacje sygnatur FOT. MATERIAŁY PRODUCENTA >>>>>>> Ochrona sieci Nazwę użytkownika i hasło, które podajemy podczas logowania, możemy zapisać w oferowanej przez oprogramowanie książce adresowej. Książka przechowywana jest w zaszyfrowanej bazie na dysku komputera administratora. Opcje zorganizowane są hierarchicznie w drzewku www.itwadministracji.pl Integracja z Active Directory/LDAP Dokumentacja w języku polskim Czasami skomplikowana konfiguracja Nieefektywne narzędzie do analizy logów Ocena końcowa: 4/5 | MARZEC 2010 27 TESTY Edycja zasad filtrowania we wbudowanym firewallu >> interfejsie konfiguracyjnym. W Netasq Unified Manager nie znajdziemy opcji związanych z monitorowaniem w czasie rzeczywistym urządzenia oraz odczytem logów. Do tego służą dwie osobne aplikacje, odpowiednio: Netasq Realtime Monitor oraz Netasq Event Reporter. Przyjrzyjmy się konfiguracji dwóch najważniejszych usług bezpieczeństwa, firewalla oraz IPS. Filtr pakietowy znajdziemy w grupie funkcji Policy pod nazwą Filtering. Po wybraniu tej opcji pojawia się okienko, które służy do wyboru slotu. Pod tym pojęciem producent ukrył zestawy zasad, które możemy konfigurować niezależnie i stosować w różnym czasie samodzielnie bądź automatycznie – za pomocą harmonogramu. Przykładem może być zestaw reguł urzędu, stosowany od godziny 7.30 do 15.30, umożliwiający normalną pracę wszystkim uprawnionym użytkownikom, a następnie zestaw w slocie nr 2, który jest stosowany po godzinie 15.30, pozwalający na dostęp do odpowiednich zasobów sieci Internet jedynie administratorowi. Reguły firewalla, przetwarzane kolejno, możemy skonfigurować z dużą dokładnością, opierając się na obiektach tworzonych w książce adresowej. Mamy możliwość zdefiniowania reguły na podstawie nazwy hosta, zakresu adresów, podsieci, grup (hostów, sieci) oraz usług lub grup usług. Możemy również zdefiniować kierunek sprawdzanego ruchu sieciowego, decyzję firewalla czy choćby interfejs, na którym reguła będzie funkcjonować. Podobnie są zorganizowane reguły NAT, które umożliwiają dokładną definicję reguł dotyczących translacji adresów lub przekierowania ruchu sieciowego do odpowiedniej usługi sieciowej, np. proxy. Na szczęście nie musimy konfigurować wszystkich reguł, część z nich może być utworzona automatycznie w zależności od uruchomionej funkcji przez tzw. implicit rules. Są to reguły automatyczne, stosowane w pierwszej kolejności, jeszcze przed regułami administratora, które są niezbędne do uruchomienia komunikacji, np. VPN, SMTP, POP3 itp. Na przykład: uruchamiając usługę IPSec VPN, automatycznie tworzone są zasady ogólne (implicit rules) dla pakietów ESP oraz ISAKMP, powiązane z interfejsem zewnętrznym firewalla. przez IPS-a pod kątem zgodności ze standardami RFC. Ruch niezgodny z zasadami zdefiniowanymi na podstawie dokumentów RFC jest blokowany. Ponadto kontroli podlegają pojedyncze pakiety oraz ich fragmenty, połączenia sieciowe oraz ustanowione sesje. Za analizę protokołów odpowiedzialne są wtyczki (pluginy), które analizują transmisję, np. FTP, MySQL, SIP. Niektóre z nich, jak plug-in FTP, udostępniają opcje konfiguracyjne do określenia maksymalnych dozwolonych buforów dla poszczególnych składowych protokołu, jednakże większość działa zupełnie automatycznie, nie pozwalając administratorowi na zmianę parametrów. Porównanie z bazą sygnatur ataków i zagrożeń jest kolejnym elementem ochrony w IPS U250. Testowany UTM zawiera wzorce zawartości pakietów odpowiadających poszczególnym rodzajom zagrożeń. Baza sygnatur systemu IPS może zawierać dużą liczbę wzorców, przez co może stanowić źródło tzw. false positive, czyli wykrywać ataki lub zagrożenia, których nigdy nie było. IPS, przez analizę w odpowiednim kontekście, pozwala na ograniczenie wspomnianych błędów. UTM Netasq U250 ma zestaw sygnatur kontekstowych, odpowiedzialnych za wykrywanie np. malware, zagrożeń przesyłanych z witryn WWW, ataków typu SQL injection. Pomimo zastosowanych technik można jednak zauważyć, że w standardowej konfiguracji IPS stanowi czasami dla użytkowników źródło problemów, ponieważ reaguje na zagrożenia bez przyczyny, np. blokując część zawartości bardziej rozbudowanej strony Sieci. Choć istnieje tu opcja bypass, która pozwala na ominięcie kontroli IPS dla wskazanej grupy hostów, to nie zawiera ona opcji wyłączenia tylko jednej sygnatury dla wskazanej grupy. Możemy wyłączyć kontrolę z dokładnością do „końcówek” transmisji, np. komputera w sieci lokalnej i witryny WWW, lecz wyłączenie będzie obowiązywać dla wszystkich sygnatur systemu IPS. Netasq U250 potrafi działać w sposób transparentny. Uzyskujemy go przez konfigurację interfejsów sieciowych w trybie mostka. Jest to możliwość często wykorzystywana przez administratorów, >>>>>>>>> 28 | MARZEC 2010 Niemiły dla włamywacza Ochrona przed włamaniami jest centralnym punktem zabezpieczeń w tego typu urządzeniach. Netasq U250 zawiera funkcję IPS, podzieloną na 3 grupy: analiza protokołów, analiza heurystyczna oraz porównanie analizowanego ruchu sieciowego ze zdefiniowanymi sygnaturami zagrożeń i ataków. W analizie protokołów, podczas przesyłania pakietów przez UTM, ruch sieciowy jest kontrolowany www.itwadministracji.pl TESTY którzy nie chcąc zmieniać konfiguracji sieci, wpinają urządzenie kontrolujące ruch sieciowy w trybie inline. Jeżeli dysponujemy własnymi serwerami WWW, FTP lub poczty SMTP/POP3, możemy wykorzystać Netasq U250 do ich ochrony przez utworzenie strefy DMZ (DeMilitarized Zone – strefa zdemilitaryzowana). W UTM możemy przeznaczyć dowolny port, do którego chcielibyśmy podłączyć nasz serwer, a w oprogramowaniu urządzenia wystarczy uruchomić odpowiednie reguły wykrywania włamań i kontroli na wskazanym interfejsie. W przypadku hostów znajdujących się w strefie DMZ ryzyko ataku jest wysokie, szczególnie zagrożenie ze strony DoS (Denial of Service) lub exploitów wykorzystujących przepełnienie buforów. Jest ono jednak minimalizowane przez wiele sygnatur IPS, przeznaczonych do wykrywania zagrożeń serwerów i aplikacji WWW. Kontrola aplikacji W testowanym UTM U250 jest kilka ważnych funkcji, podnoszących poziom bezpieczeństwa komputerów znajdujących się wewnątrz sieci LAN. Zestaw usług proxy, przechwytujących komunikację SMTP, POP3, HTTP, FTP, pozwala na sprawdzenie treści przesyłanych tymi protokołami za pomocą modułu antywirusowego, antyspamowego oraz filtracji URL. Antywirus wykorzystuje dwa silniki: Kaspersky oraz ClamAV. Domyślnie włączony jest ClamAV, a z ochrony aplikacji Kaspersky’ego możemy korzystać po wykupieniu dodatkowej opcji. Podobnie wygląda kontrola dostępu do kategorii URL. Bez konieczności dodatkowych opłat mamy dostęp do ograniczonej bazy danych niebezpiecznych adresów, jednakże po wykupieniu odpowiedniej subskrypcji dostępna jest również duża liczba kategorii Optenet. Reguły dostępu do odpowiednich witryn WWW możemy w tym module kontrolować za pomocą podobnych reguł jak w przypadku firewalla, z tą różnicą, że opieramy je na grupie hostów i użytkowników oraz wskazanej kategorii witryn. Przykładem mogą być kategorie takie jak proxy i anonimizery, portale społecznościowe, serwery P2P, news, games itd. Wskazując, które z grup Podsumowanie UTM Netasq U250 jest jednym z urządzeń z rodziny zintegrowanych rozwiązań zabezpieczeń bramy dostępu do Internetu. Cechuje się rozbudowaną funkcjonalnością, przeznaczoną przede wszystkim dla organizacji średniej wielkości. Przewidziano montaż urządzenia w szafie teleinformatycznej 19’’, a dzięki umieszczeniu najważniejszych portów na panelu przednim kontrola fizycznych połączeń nie nastręcza problemów. Konfigurację ułatwia przejrzysta aplikacja służąca do zarządzania urządzeniem. Jednak niektóre funkcje wymagają miejscami skomplikowanych i jednocześnie słabo udokumentowanych operacji, których opis dostępny jest wyłącznie w angielskojęzycznej bazie wiedzy Netasq. Istnieje możliwość integracji z Active Directory, która działa poprawnie, jednakże uruchomienie autoryzacji typu Single Sign-On jest skomplikowane i słabo udokumentowane. Dostęp zdalny do sieci LAN może być realizowany za pomocą IPSec VPN oraz SSL VPN, a liczba tuneli jest wystarczająca dla większości zastosowań. Monitorowanie w czasie rzeczywistym jest mocną stroną U250, natomiast najsłabszym elementem zestawu jest aplikacja służąca do odczytu historycznych logów z urządzenia. Urządzenie polecamy zaawansowanym administratorom, mającym wcześniejsze doświadczenie z systemami firewall oraz IPS. Przyda się na pewno znajomość systemów Linux/Unix/BSD, ponieważ w niektórych bardziej skomplikowanych problemach będziemy zmuszeni do poruszania się po bardzo podobnym systemie operacyjnym za pomocą konsoli tekstowej. Urządzenie oferuje bardzo dobry poziom ochrony, zapewniając najważniejsze funkcje zabezpieczeń dla sieci jednostek administracji publicznej. użytkowników mogą pobierać treści z odpowiednich grup witryn WWW, ograniczamy ryzyko dostępu malware do komputera lub przesłania informacji poza sieć wewnętrzną za pomocą portali WWW czy też wiadomości e-mail. W opisywanym module brakuje jednak możliwości tworzenia własnych zasad, które umożliwiałyby przechwytywanie zdefiniowanych słów lub wyrażeń w przesyłanej treści. Przykładem monitorowanych treści mogą być informacje wrażliwe z punktu widzenia urzędu czy chociażby dane osobowe. Podobny problem dotyczy IPS-a. Jest on wprawdzie często aktualizowany, jednakże dobrze byłoby mieć możliwość utworzenia własnej reguły wyszukującej odpowiedni typ pakietów, mogących świadczyć o pojawieniu się zagrożenia. Serwery proxy dają nam jeszcze jedną możliwość: otrzymania informacji o autoryzacji użytkownika w LDAP lub Active Directory do urządzenia Netasq. W U250 mamy dostępny portal autoryzacyjny, w którym użytkownik musi podać właściwe dane o autoryzacji, aby skorzystać z zasobów sieci Internet. Zaimplementowana została również metoda SSO (Single Sign-On), która pozwala na automatyczne przekazanie informacji o autoryzacji użytkownika w Active Directory bez potrzeby ponownego podawania loginu i hasła przez użytkownika. Niestety, jest ona skomplikowana w konfiguracji i wymaga sporo pracy administratora. Serwery proxy jednak nie zawsze działają niezawodnie. Podczas testów serwer SMTP proxy przy wysyłaniu dużej liczby maili opóźniał wysyłanie wiadomości nawet o godzinę. Po zgłoszeniu problemu wsparcie techniczne przesłało informację, że niestety może się tak zdarzyć, a problem rozwiązać można wyłącznie przez skorzystanie z konsoli tekstowej, edycję pliku konfiguracyjnego proxy oraz restart urządzenia. > >>>>>>> www.itwadministracji.pl Autor jest wieloletnim menedżerem Działu Integracji Systemów. Obecnie jest audytorem bezpieczeństwa systemów sieciowych oraz trenerem kadr IT w sektorze administracji publicznej. Specjalizuje się w zabezpieczeniach systemów i aplikacji oraz projektowaniu wielopoziomowych rozwiązań bezpieczeństwa. | MARZEC 2010 29