Kompleksowa ochrona sieci małych i średnich
Transkrypt
Kompleksowa ochrona sieci małych i średnich
Kompleksowa ochrona sieci małych i średnich przedsiębiorstw w oparciu o urządzenia ZyWALL UTM firmy ZyXEL Communication. Termin UTM (ang. Unified threat management) po raz pierwszy został przedstawiony i szeroko opisany przez Charles’a J. Kolodgy, dyrektora działu badań w zakresie zabezpieczeń internetowych w firmie IDC (doc #33997). Według Kolodgy’ego technologia UTM określa produkty, w których zaimplementowano wielowymiarowe mechanizmy bezpieczeństwa. Aby produkt był zgodny z technologią UTM, musi posiadać co najmniej wbudowany firewall, sondę IDS/IDP, silnik antywirusowy i antyspam oraz filtry treści URL. Na przestrzeni ostatnich lat wraz z pojawieniem się nowych możliwości wynikających z dynamicznego rozwoju Internetu pojawiły się nowe nadużycia i zagrożenia. Dziś już nikogo nie trzeba przekonywać, że przyłączenie do globalnej sieci bez jakiegokolwiek zabezpieczenia jest ruchem co najmniej nierozważnym. Ilość i różnorodność zagrożeń wymaga od administratorów sieci sporej wiedzy, a od przedsiębiorstw dużych nakładów finansowych. Z jednej strony możemy wyróżnić duże firmy i instytucje świadome zagrożeń z obszernymi zasobami IT, z drugiej zaś, firmy sektora SMB z ograniczonym budżetem IT. Bezpieczeństwo w małych i średnich firmach jest istotnym zagadnieniem, ponieważ są one tak samo narażone na ataki, jak wszystkie inne firmy. To co dla dużej instytucji może być niegroźnym naruszeniem polityki bezpieczeństwa, dla nieodpowiednio zabezpieczonych małych firm, może okazać się katastrofalną w skutkach awarią. Produkty dedykowane dla dużych przedsiębiorstw są w tym przypadku nieadekwatne w skali dla sieci małych i średnich przedsiębiorstw. Wdrożenie mechanizmów gwarantujących odpowiedni poziom zabezpieczeń musi być łatwe i tanie, a administracja takim systemem prosta i maksymalnie zautomatyzowana. Rozwiązaniem problemu, dedykowanym między innymi dla segmentu SMB, są zintegrowane firewalle UTM. UTM to stosunkowo nowa grupa rozwiązań. Pojawiła się na rynku dopiero w 2003r. ale z uwagi na swoje zalety takie, jak: kompleksowość ochrony, prostota użycia oraz przystępna cena idealnie trafia w potrzeby małych i średnich sieci. System UTM obok podstawowych funkcji takich, jak: firewall i kontrola dostępu, pozwala wykryć i zablokować wirusy, ataki, niechcianą pocztę, czy dostęp do stron o niepożądanej treści. Firma ZyXEL dodatkowo wyposaża swoje urządzenia serii ZyWALL w funkcjonalność koncentratora VPN, mechanizmy zapewniania odpowiedniego poziomu jakości usług QoS, czy równoważenia obciążenia HA/LB (High Availability i Load-Balancing). Obecnie UTM zdobywa rynek kosztem dotychczasowych rozwiązań firewall/VPN oraz innych zabezpieczeń realizowanych punktowo. Firewall, dlaczego ściany ogniowe to za mało? Podstawowym elementem ochrony sieci wewnętrznej przed zagrożeniami pochodzącymi z zewnętrz jest firewall. Obecnie najbardziej rozpowszechnionym modelem działania zapór ogniowych jest tzw. Statefull firewall. Jego działanie polega na filtrowaniu przechodzącego przez niego ruchu na poziomie pakietów IP z kontrolą stanu sesji TCP/IP. Filtrowanie pakietów polega na monitorowaniu informacji zawartych w nagłówkach pakietów IP (adresy IP, porty protokoły, itp.) oraz, w przypadku firewalli SPI, śledzeniu stanu sesji (tablice stanów) przechodzących przez firewall. Przynależność pakietu do danej sesji odbywa się na zasadzie oceny numeru sekwencyjnego TCP. Skoro odpowiednio skonfigurowane reguły w jasny sposób określają dozwolone i niedozwolone ruchy, dlaczego więc wprowadzono dodatkowe mechanizmy takie, jak systemy wykrywania włamań IDP/IDS? Sam firewall nie jest w stanie wychwycić i zablokować ataku w sytuacji, gdy ten jest prowadzony w ramach poprawnie otwartej sesji. Zapora ogniowa nie ma możliwości śledzenia ruchu w ramach aplikacji i kontekstu przesyłanych danych. Jeżeli nasz serwer WWW jest dostępny w Internecie, to firewall musi przepuszczać ruch do niego, a w konsekwencji również atak na ten serwer WWW będzie przepuszczony przez klasyczny system zaporowy. Jeżeli administrator nie dba o aktualizację systemu operacyjnego serwera nie instalując najnowszych poprawek, może to skutkować nieautoryzowanym dostępem do chronionych danych. Wyższy poziom bezpieczeństwa IDP/IDS Systemy IDS/IPS (Intrusion Destection System & Intrusion Prevention System) zaprojektowano przede wszystkim z myślą o analizie ruchu w warstwie aplikacyjnej. Narzędzia te działają jako uzupełnienie zapór ogniowych. Ideą funkcjonowania systemów IDS/IPS jest możliwość wykrycia i zablokowania ataku zanim dotrze on do celu. IDS jest mechanizmem monitorującym i wykrywającym zdarzenie, zaś IPS uczestniczy aktywnie w przesyłaniu ruchu i może w zależności od określonych reguł zablokować określone pakiety i/lub sesje. Zasada działania jest podobna jak w systemach antywirusowych, gdzie sonda IDS klasyfikuje dany przepływ na podstawie bazy wzorów ataków/anomalii. System porównuje dany ruch z zachowanymi sygnaturami w czasie rzeczywistym. Baza sygnatur jest uaktualniana na bieżąco. Informacje o bazie sygnatur znajdą Państwo na stronach mysecurity.zyxel.com. Jest to istotne podczas budowy konfiguracji od początku, szczególnie dla mniej doświadczonych administratorów. Każda sygnatura jest opisana z wyszczególnieniem informacji dotyczących odpowiadającemu danemu atakowi systemowi operacyjnemu, platformy oraz stopnia zagrożenia, jakie niesie dany atak. Dodatkowo, dzięki mechanizmom IDS/IDP, dziecinnie proste staje się blokowanie aplikacji typu Peer to Peer. Wystarczy wybrać kategorię P2P i zaznaczyć jako akcję np. Reset Both dla sygnatury P2P eDonkey Server Login, blokując możliwość korzystania z tej aplikacji. Raz poprawnie zbudowana konfiguracja reguł IDS/IPS powinna dość dobrze chronić nas przed atakami z sieci zewnętrznej. O aktualizacji bazy danych sygnatur zazwyczaj dowiemy się z maila wysyłanego przed zespół ZyXEL’a na adres wskazany podczas rejestracji produktu/licencji. Pobranie nowych sygnatur można zaprogramować automatycznie. Przed wyborem urządzenia warto sprawdzić, czy istnieje możliwość backup’owania samych ustawień IDS/IPS, co jest szczególnie przydatne podczas przenoszenia skonfigurowanych reguł na inne urządzenia UTM rozlokowane w poszczególnych oddziałach naszej firmy. O ile urządzenia IDS/IPS mogą wykryć i zablokować znane ataki/robaki/anomalie, które przedostają się do wnętrza sieci przez firewall, o tyle ataki ukryte w szyfrowanych tunelach np. SSL, SSH często nie są skanowane. Skanowanie antywirusowe Koncepcja UTM definiuje potrzebę skanowania pakietów pod kątem zawartości wirusów/robali na granicy sieci. Dane są skanowane na bieżąco w czasie rzeczywistym. System wykrywa i eliminuje pojawiające się zagrożenia, zanim wirus/robal zdąży przeniknąć do istotnych aplikacji biznesowych. Firma ZyXEL zaimplementowała w swoich firewallach UTM mechanizmy skanowania popularnych protokołów takich, jak: SMTP, POP3, HTTP i FTP. Administrator ma możliwość zdefiniowania protokołu który powinien być skanowany. Dodatkowo seria ZyWALL UTM umożliwia skanowanie w locie zarchiwizowanych plików. Sygnatury wirusów przetrzymywane są lokalnie na urządzeniu. Aktualizacja odbywa się automatycznie w przedziałach czasowych zdefiniowanych przez administratora lub może być wymuszana ręcznie. Liczba przetrzymywanych sygnatur też jest ograniczona z racji na ograniczoną pamięć RAM zainstalowaną w urządzeniu. Sam silnik antywirusowy zaimplementowany na urządzeniu może pochodzić od jednego ze znanych producentów tradycyjnego oprogramowywania antywirusowego, jak np. Kaspersky czy Trend Micro Podstawowa administracja polega na zdefiniowaniu interfejsów, pomiędzy którymi ruch ma być skanowany, zaplanowaniu harmonogramu aktualizacji bazy sygnatur oraz określeniu mechanizmów powiadamiania o zdarzeniach. Pliki zawierające szkodliwy kod mogą być kasowane na urządzeniu, lub przesyłane dalej do użytkownika ze zmienioną sumą kontrolną. Koniec z niechcianą pocztą Walka ze spamem opiera się na odpowiedniej analizie nagłówków otrzymanego maila oraz treści wiadomości. Podstawową metodą jest konfiguracja filtrów statycznych definiowanych na urządzeniu w oparciu o charakterystyczne wartości przenoszone w nagłówku lub treści wiadomości. Coraz więcej producentów implementuje w swoich urządzeniach mechanizmy filtrowania poczty na zasadzie scoringu (np. MailShell), polegające na wycenie punktowej dla każdej wiadomości pocztowej, w zależności od tego, czy spełnia ona określone kryteria. Filtry definiowane przez Administratora na urządzeniu mogą bazować na dwóch rodzajach list. Spersonalizowane czarne listy umożliwiają użytkownikom blokowanie korespondencji z konkretnych adresów email, domen bądź adresów IP serwerów. Białe listy umożliwiają odblokowanie korespondencji z konkretnych adresów email mimo blokowania wiadomości od innych użytkowników danej domeny internetowej, bądź serwera pocztowego. Umieszczenie adresu, nazwy domeny, bądź adresu serwera na białej liście jest nadrzędne do pozostałych systemów blokujących i filtrujących, zapewniając ciągłość korespondencji z wybranymi adresatami niezależnie od głównych, automatycznych zabezpieczeń antyspamowych. Filtrowanie może również bazować na określonych słowach kluczowych znajdujących się w temacie oraz treści wiadomości, wskazujących Ocena wiadomości przez MailShell jednoznacznie na cechy charakterystyczne dla niechcianej korespondencji. Zarówno pojedyncze Procedura oceny wiadomości w oparciu o serwer Mailshell słowa, jak i określone zwroty w połączeniu z zawiera się w czterech etapach. Pierwszy etap detekcji spamu analizą domeny i serwera wysyłającego pocztę opiera się na analizie wpisów w bazie danych MailShell. Jeżeli wzorzec danej wiadomości już występuje w bazie danych, pozwalają na automatyczne zaklasyfikowanie wiadomość z dużym prawdopodobieństwem zawiera treści wiadomości, jako spam i zablokowanie jej bądź reklamowe. dopisania odpowiedniego Tagu w temacie Silnik SpamRepute to drugi etap filtrowania, który wiadomości. określa reputację nadawcy wiadomości. Podczas sprawdzania Niektórzy producenci, jak na przykład nadawcy listu MailShell korzysta z zewnętrznych serwerów DNSBL zawierających wpisy o adresach nadawców, nazw DNS, adresach ZyXEL, umożliwiają określenie dowolnego IP serwerów, z których rozsyłany jest SPAM. Dodatkowo parametru w nagłówku MIME i śledzenia jego sprawdzane są takie wartości, jak: adresy IP występujące w wartości. Dzięki analizie poszczególnych pól w nagłówku, nazwy DNS, fingerprint nadawcy, fingerprint nagłówku MIME, możemy stwierdzić z jakich wiadomości. Uzupełnieniem tych atrybutów mających wpływ na adresów IP jest wysyłany do nas spam i jakie ocenę nadawcy, jest kraj pochodzenia wiadomości, właściciel domeny, nazwa serwera oraz urząd rejestrujący nazwę DNS. serwery pośredniczą w przesłaniu listu. Trzeci etap analizy poczty to silnik SpamContent. Analizowane są Wykorzystując tą informację możemy tutaj następujące elementy: zdefiniować pole w nagłówku MIME i • Pola To i Subject • Język wiadomości odpowiednią akcję, jaką podejmie urządzenie, • Kraj pochodzenia • Zawartość grafiki jeśli wartość w tym polu będzie odpowiadała • Słownictwo, formatowanie • Odnośniki http tekstu, wzorce słowne dokonanemu przez nas wpisowi. • Format wiadomości, projekt i rozmieszczenie Filtrowanie poczty na zasadzie scoringu poszczególnych elementów w treści na urządzeniach UTM opiera się na wiadomości mechanizmach gwarantowanych przez Podczas analizy treści wiadomości MailShell wykorzystuje filtry wyspecjalizowane firmy. Jedną z takich firm jest bayesa. Filtr tworzy na swój użytek rodzaj słownika, w którym każdemu z poznanych słów przypisuje odpowiednie MailShell. Wykorzystanie mechanizmów prawdopodobieństwo wystąpienia tego słowa w wiadomości filtrowania wiadomości wiąże się jednak z spamowej. Podczas analizy filtr dzieli wiadomość na pojedyncze koniecznością wykupienia odpowiedniej licencji wyrazy i przypisuje im odpowiednie prawdopodobieństwa na określony czas. W zależności od klasy otrzymane ze słownika. Na końcu obliczane jest urządzenia zróżnicowane są ceny licencji. prawdopodobieństwo całkowite z prawdopodobieństw przypisanych do pojedynczych wyrazów, na podstawie którego identyfikuje się Przykładowo licencja dla urządzenia ZyWALL 70 wiadomość. Przy ocenie punktacji implementuje się algorytmy UTM firmy ZyXEL na 2 lata kosztuje około 300$. logiki rozmytej, zwiększając w ten sposób prawdopodobieństwo Mechanizm oceny wiadomości typu mail poprawnej identyfikacji wiadomości. scoring polega na przechwyceniu wiadomości Jedną z tendencji, jakie ostatnio można zauważyć, jest oraz przesłaniu fingerprintu tej wiadomości do coraz częstsze wykorzystywanie w wiadomościach spamowych tekstów w formie grafiki, wplątanie odnośników do stron WWW, serwera klasyfikującego. Na podstawie bazy czy manipulacje wartościami pól w nagłówkach wiadomości. danych przetrzymywanej na serwerach W takiej sytuacji konieczne jest implementowanie wiadomość jest oceniana w zakresie od 0 do 100 mechanizmów rozpoznających tricki stosowane przez spamerów. punktów. Im większa liczba przyznanych przez Czwarty etap filtrowania wiadomości przez MailShella to serwer punktów tym większe SpamTricsk engine. Dodatkowo na tym poziomie identyfikowane są maile typu pishing mające na celu oszukańcze pozyskanie prawdopodobieństwo, że wiadomość jest poufnej informacji osobistej, jak hasła czy szczegóły karty spamem. Na urządzeniu UTM administrator musi kredytowej, przez udawanie osoby godnej zaufania. jedynie ustalić próg, powyżej którego wiadomości będą klasyfikowane jako spam. Rozwiązanie jest proste i ekonomiczne w użyciu. Wiadomości nie są przesyłane do serwera klasyfikującego, jedynie odciski palca tych wiadomości. Ponadto wymagania stawiane urządzeniom pod względem zaimplementowania tego mechanizmu nie są wysokie, dzięki czemu cena tych urządzeń jest utrzymywana na stosunkowo niskim poziomie. Kto pracuje, a kto plotkuje ? W środowisku biznesowym filtrowanie stron internetowych powoli zaczyna stawać się koniecznością. Strata produktywności pracowników wykorzystujących Internet do prywatnych celów, czy zmniejszenie przepustowości firmowej sieci są tylko prostymi przykładami. Gorzej jeśli na komputerze jednego z pracowników znajdziemy nielegalne pliki lub oprogramowanie ściągnięte z nielegalnych stron WWW. Filtrowanie treści stron WWW jest czwartym wymaganym punktem na liście funkcjonalności urządzeń UTM. Podobnie jak podczas definiowania statycznych filtrów anty-spam, tak i tutaj mamy do dyspozycji białe i czarne listy. Proste filtry treści opierają się na definicji porcji adresów stron WWW lub słów kluczowych występujących w adresie URL. Filtr podczas pracy dokonuje porównania wzorca nazwy URL z wprowadzonym łańcuchem znaków. Jeżeli porównanie daje wynik pozytywny, na ekranie użytkownika zostanie wyświetlona stosowna wiadomość. Logi świadczące o próbie dostępu do miejsc sieciowych, których adresy URL są filtrowane, są zapisywane i mogą być wysyłane pocztą elektroniczną. Umieszczenie nazwy domeny, bądź słowa kluczowego występującego w adresie URL na białej liście jest nadrzędne do pozostałych filtrów blokujących. Bardziej zaawansowane urządzenia umożliwiają przypisanie każdemu z użytkowników innych praw dostępu. Dodatkowo różnego rodzaju ograniczenia mogą obowiązywać w określonych odstępach czasu. Druga metoda wymagająca wykupienia odpowiedniej licencji to popularnie nazywane filtrowanie z bazy polegające na przeglądaniu Jak działa filtrowanie w bazie Cerberian (BluaCoat) ? adresów stron w bazie danych zawierającej sklasyfikowane adresy W momencie przechwycenia przez urządzenie UTM żądania URL uruchamiany URL. Podejście to pomaga zgrupować jest następujący proces: strony webowe w przydatne kategorie, tworzone na podstawie zawartości stron, minimalizuje dwuznaczność i nakładanie się kategorii, dzięki czemu zwiększa się dokładność filtrowania. Mimo, że filtrowanie z bazy danych jest dokładne w stu procentach, istnieje ryzyko, że w tej bazie nie znajdują się wszystkie pojawiające się na bieżąco strony. Utrzymywanie takiej bazy danych po stronie klienta sektora SMB jest oczywiście praktycznie niemożliwe, dlatego urządzenia UTM korzystają z zewnętrznych komercyjnych baz danych, jak np. Cerberian (teraz BlueCoat). 1) Żądany adres URL jest wysyłany przez agent BlueCoat zainstalowanego Zgromadzone w bazie dane na bramie UTM do zewnętrznego serwera (BlueCoat Service Point) 2) W tym samym momencie Agent może: podzielone są na kategorie, a. zatrzymać żądanie skierowane do określonego serwera WWW, administrator systemu może w b. wysłać żądanie wyświetlania strony i czekać na odpowiedź z prosty sposób zabronić lub zezwolić Service Point. na dostęp pracowników firmy do 3) W momencie otrzymania adresu URL od agenta, Service Point określonych grup, korzystając z przegląda lokalną bazę danych (Rating Cache Database). 4) Jeżeli strona została sklasyfikowana, kategoria jest przesyłana do takich wyznaczników, jak urządzenia UTM. użytkownik, pora dnia itp. Za 5) Po otrzymaniu kategorii agent sprawdza czy: każdym razem, kiedy użytkownik a. kategoria jest odblokowana - sesja HTTP jest nawiązywana. zechce odwiedzić którąś ze stron b. kategoria jest zablokowana - wyświetlane jest ostrzeżenie, nazwa WWW, UTM wyśle zapytanie o użytkownika, czas i adres są logowane. 6) Jeżeli adres URL nie został znaleziony w bazie, Blue Coat uruchamia kategorię, po otrzymaniu odpowiedzi dynamiczny mechanizm oceny zawartości strony w czasie rzeczywistym sprawdzi, czy dana strona jest w (Dynamic Real-Time Rating DRTR). Po zaklasyfikowaniu strony jednej z kategorii zastrzeżonej przez ponownie wykonywane są punkty 4 i 5 administratora. Niektóre urządzenia 7) Jeżeli DRTR nie jest w stanie określić klasyfikacji dla danej strony URL, umożliwiają wpuszczanie strona jest klasyfikowana jako nieznana. Jej adres URL jest przekazywany do modułu DBR (Dynamic Background Rating) w celu użytkownika na strony należące do głębszej analizy. Administrator ma możliwość zdefiniowania czy strony określonej kategorii, z ostrzeżeniem, niesklasyfikowane („unknown”) mają być wyświetlane, monitorowane że jego poczynania są logowane do czy zablokowane. wglądu dla administratora i kierownictwa. Bazy URL umieszczane są na serwerach udostępnionych w Internecie. Nie ma potrzeby ściągać aktualizacji, dzięki czemu wymagania sprzętowe są niewielkie, a rozwiązania takie mogą być stosowane także w małych biurach. UTM – same zalety ? Możliwości produktów UTM są często stawiane na równi ze specjalizowanymi rozwiązaniami zabezpieczeń. Posiadają one wiele wbudowanych modułów ochrony, jednak ich funkcjonalność jest ograniczona. Dlatego przed dokonaniem zakupu należy dokładnie sprawdzić specyfikacje poszczególnych modułów i ocenić oferowane przez producenta funkcje w stosunku do wymagań stawianych naszej sieci. Ważną kwestią na jaką należy zwrócić uwagę przed dokonaniem zakupu to parametry wydajnościowe urządzenia. Głębokie skanowanie pakietów we wszystkich warstwach sieci, wpływa na obciążenie procesora i pamięci. Konieczność przechowywania baz danych sygnatur ataków i wzorców wirusów dodatkowo zajmuje znaczną cześć pamięci, co skutkuje spadkiem wydajności przełączania pakietów między interfejsami urządzenia. ZyXEL wyposaża swoje urządzenia w dodatkowy procesor (np. SecuAsic - Application Specific Integrated Circuit) i dodatkowe karty pamięci podnoszące wydajność urządzeń. Aktywacja wszystkich modułów bezpieczeństwa wiąże się z dodatkowymi kosztami wynikającymi z konieczności zakupu odpowiedniej licencji. Jeżeli wymagane jest np. dynamiczne filtrowanie URL w oparciu o serwery zewnętrznych partnerów np. BlueCoat, istnieje konieczność wykupienie rocznej licencji na używanie dobrodziejstwa tej funkcji. Ta sama reguła dotyczy funkcji zabezpieczeń antywirus, antyspam i IDS/IDP. Za możliwość otrzymywania subskrypcji i korzystania z zewnętrznych baz danych musimy zapłacić. Warto więc sprawdzić koszty licencji u poszczególnych producentów i uwzględnić je przed dokonaniem zakupu. Decyzja o zakupie i wykorzystaniu dodatkowych mechanizmów ochrony powinna być przemyślana, co często wiąże się z kwestią przetestowania danego rozwiązania. Na szczęście ZyXEL udostępniaja licencje testowe umożliwiające przetestowanie kompletnego rozwiązania. Tak więc zakup licencji można rozważyć po dokładnym przetestowaniu rozwiązania po stronie klienta i analizie, które mechanizmy w naszej infrastrukturze działają poprawnie i powinny być na stałe aktywne. Trzeba pamiętać, że urządzenia UTM są ukierunkowane generalnie na ochronę granic sieci. W kontekście zagrożeń wewnętrznych konieczne jest opracowanie polityki bezpieczeństwa i ewentualnie zakup dodatkowego oprogramowania eliminującego, chociażby czynnik ludzki. Dostęp do poszczególnych zasobów, polityka dotycząca haseł czy możliwość przenoszenia wirusów na pamięciach przenośnych muszą być uwzględnione podczas planowania polityki bezpieczeństwa sieci. Zintegrowane „bezpieczniki”, mimo pewnych ograniczeń wynikających z samej idei UTM, są tak czy inaczej doskonałym rozwiązaniem dla małych i średnich przedsiębiorstw, a także dla oddziałów większych przedsiębiorstw, gdzie brak odpowiedniego zaplecza finansowego oraz technicznego do zarządzania kompleksowym systemem zabezpieczeń sieciowych jest barierą nie do przeskoczenia. Zakup, instalacja, konfiguracja i zarządzanie wieloma urządzeniami dostarczonymi przez różnych producentów są czasochłonne oraz pociągają za sobą znaczne koszty, wynikające z potrzeby przeszkolenia pracowników firmy oraz konieczności zawarcia kilku umów serwisowych.