Why choose Kerio WinRoute Firewall over Microsoft

Why choose Kerio WinRoute Firewall over Microsoft

Przegląd Techniczny
INTRUSION DETECTION
I PREVENTION SYSTEM
IPS w Kerio Control
Kerio Control, rozwiązanie Unified Threat Management, bazuje na architekturze analizy pakietów opartej o podpisy, znanej jako Intrusion
Prevention System (IPS) i Intrusion Detection System (IDS), która transparentnie monitoruje wchodzącą i wychodzącą komunikację sieciową
w celu identyfikacji podejrzanych zachowań. W zależności od charakteru potencjalnego zagrożenia danego działania, Kerio Control może
logować i blokować komunikację. Nowe sygnatury są regularnie dodawane do bazy reguł dając zabezpieczenie przed ciągle ewoluującymi
zagrożeniami.
System stworzony jest do ochrony serwerów za firewallem przed nieautoryzowanymi połączeniami, najczęściej pochodzących z botów bądź
hackerów starających się wykorzystać słabe punkty aplikacji i usług. IPS daje także możliwość ochrony sieci przed nieświadomym pobieraniem
złośliwych zawartości czy malware.
Bezpieczeństwo serwera
W wielu wdrożeniach serwery umieszczane są za firewallem i tylko hostowane usługi mogą nawiązać połączenie. W zależności od rodzaju
hostowanej usługi (np. serwer SQL) firewall może nie mieć możliwości inspekcji aktualnej komunikacji pomiędzy klientem a serwerem. Firewall
jest w pierwszej linii odpowiedzialny za zapewnienie żądanego połączenia, uniemożliwiając jednocześnie wszystkie inne zakulisowe połączenia
z innymi usługami dostępnymi na tym serwerze. Tego typu konfiguracja nie zajmuje się, jednak, potencjalnymi zagrożeniami zapytań czy
komend, które nastawione są na wykorzystywanie słabych punktów oprogramowania serwerowego.
Jeden z najbardziej znanych przypadków takiego rodzaju ataku miał miejsce w 2001 roku, kiedy stworzono robaka, którego zadaniem było
atakowanie systemów serwerów webowych Microsoft Internet i Information Server. Nazwany “Code Red”, robak został zaprogramowany do
wysyłania serii poleceń przez HTTP, które powodowały buffer overflow w przestrzeni pamięci oprogramowania serwerowego. Umożliwiało
to atakującemu wprowadzenie i wykonanie dowolnego kodu na serwerze. Część tego kodu wykonywała natychmiastową redystrybucję
wpływając na inne serwery z oprogramowaniem Microsoft IIS. Taki atak skutkuje odmową dostępu do usług na zaatakowanym serwerze.
Dodawanie warstwy IPS
IPS utrzymuje lokalną bazę sygnatur, z której korzysta w celu identyfikacji znanych zagrożeń. Bez interpretowania komunikacji pomiędzy
klientem a serwerem, system IPS może wygenerować sygnatury komunikacji sieciowe i wyszukać ich w lokalnej bazie. Taki typ architektury jest
wysoce skuteczny w walce z zagrożeniami nastawionymi na ataki serwerowe.
Inne typy ataków serwerowych to także odczytywanie haseł bądź brute force, dystrybuowanie odmowy usługi, skanowanie portów lub
przejmowanie sesji. Te typy ataków to ogólnie próby przejęcia informacji o oprogramowaniu serwerowym, jak wersja czy dostawca. Dzięki
tym informacjom, hackerzy mogą wyszukać słabe punkty w oprogramowaniu i spróbować uzyskać nieautoryzowany dostęp do systemu
czy przeprowadzić inne złośliwe ataki w celu uniemożliwienia poprawnego funkcjonowania serwera. We wszystkich tych przypadkach, IPS
powiadomi administratora o tym podejrzanym zachowaniu i zablokuje każdą komunikację, jeśli jest ona znana jako powodująca szkody w
serwerze ochranianym przez firewall.
Connect. Communicate. Collaborate. Securely. | www.kerio.pl
Łagodzenie efektów Trojanów, robaków, spyware i innego malware
Obok wykorzystywania dostępnych usług i słabych punktów aplikacji, istnieją inne sposoby przejmowania systemów operacyjnych. Jednym
z najbardziej popularnych sposobów jest dołączanie się do darmowych wersji oprogramowań. Użytkownik nieświadomie instaluje malware
podczas instalacji innej aplikacji albo wchodzi na stronę, która skryptem po stronie klienta instaluje malware. Takie typy aplikacji mogą
pozostawać niewidoczne dla użytkownika a mogą być zaprogramowane tak, aby wskazywać wybrane informacje znalezione na infekowanym
komputerze. Mogą także obniżyć wydajność komputera bądź spowodować niewłaściwe funkcjonowanie pewnych aplikacji. Jako, że te
programy mogą być wyświetlane jako legalnie i poprawnie zainstalowane, mogą nie zostać właściwie zidentyfikowane przez oprogramowanie
antywirusowe.
Intrusion Prevention System odgrywa znaczącą rolę w identyfikowaniu systemów zainfekowanych przez takie typy aplikacji. IPS może
wskazać, że użytkownik nieświadomie próbuje pobrać niepożądaną aplikację i zakończyć takie połączenie, powstrzymując plik zanim dotrze
on do komputera danego użytkownika. W przypadku próby wpięcia do sieci komputera, który już wcześniej został zainfekowany, IPS może
rozpoznać i zablokować działanie zainstalowanego malware. IPS w Kerio Control pracuje w połączeniu z firewallem i filtrowaniem zawartości
uniemożliwiając rozprzestrzenienie się malware po całej sieci.
Architektura
(1) Lokalizacja. W typowym przypadku, Intrusion Detection System rezyduje w miejscu, gdzie sieć odbiera transmisję całej aktywności
sieciowej. IPS musi rezydować na routerze bądż fiewallu bramowym, który jest odpowiedzialny za transport ruchu IP pomiędzy różnymi
segmentami sieci i Internetem. Jako firewall na bramie, Kerio Control implementuje “oparty na sieci” Intrusion Prevention. Innymi słowy, każdy
ruch przechodzący przez firewall, pomiędzy chronionymi sieciami i Internetem, będzie ochraniany także przez IPS w Kerio Control.
(2) Analiza pakietów. Rdzeń technologii skanującej w Kerio Control stanowi zintegrowany analizator pakietów oparty o Snort. Snort to system
IDS/IPS typu open source, który transparentnie skanuje całą komunikację sieciową i dostarcza szkieletu do inkorporacji personalizowanych
reguł. Więcej informacji na ten temat dostępnych jest na stronie www.snort.org.
(3) Baza danych.
Kerio Control implementuje zestaw reguł utrzymywanych przez projekt Emerging Threats. Każda reguła jest
podpisywana cyfrowo aby zapewnić autentyczność aktualizacji, chroniąc przed każdego rodzaju próbą naruszenia zawartości. Reguły oparte
są na wieloletnich doświadczeniach specjalistów branżowych i nieustannie uaktualniane. Więcej informacji znajduje się na stronie www.
emergingthreats.net.
Intrusion Prevention System w Kerio Control umożliwia trzy różne działania, w zależności od potencjalnej szkodliwości ataku:
•
•
•
niska (bez podejmowania działań)
średnia (tylko rejestrowanie)
wysoka (rejestrowanie i blokowanie)
Są to ustawienia domyślne, jednakże podejmowane akcje mogą być dostosowywane w zależności od potrzeb organizacji. Istotność oparta jest
na kwalifikacjach wbudowanych w regułę. Reguły wysokiej istotności mają największe prawdopodobieństwo bycia autentycznymi atakami
sieciowymi. Przykładem może być wykrycie działalności sieciowej aplikacji Trojana. Wydarzenia o średniej istotności są definiowane jako
podejrzane i potencjalnie szkodliwe ale istnieje możliwość, że ich działania są zgodne z ich zastosowaniem, np. połączenie po standardowym
porcie przy wykorzystaniu niestandardowego protokołu. Niska istotność może dotyczyć podejrzanych zachowań, które nie powodują
natychmiastowych szkód, np. skanowanie portu sieciowego.
Czarne listy IP
Jako dodatek do bazy reguł obejmującej sygnatury zachowań sieciowych, Kerio Control zachowuje w pamięci bazę adresów IP, które są
bezwzględnie powstrzymywane od każdego rodzaju połączeń przez firewall. Adresy IP zawarte w tej bazie danych znane są z powodowania
ataków różnych rodzajów. W wielu przypadkach te adresy IP były przypisane do prawowitych firm, jednak zostały wykorzystane do
niepożądanych celów, jak rozsyłanie spamu. Ta baza zbierana jest z wielu różnych źródeł internetowych i zarządzana przez organizacje takie jak
Dshield i Spamhaus. Listy te są przechowywane lokalnie i automatycznie aktualizowane.
Connect. Communicate. Collaborate. Securely. | www.kerio.pl
Fałszywe pozytywy i wyjątki
Technologia Intrusion Detection jest niezawodna. Podobnie jak przy antyspamie, istnieje mały procent fałszywych pozytywów. Innymi słowy,
poprawna komunikacja sieciowa, której sygnatury odpowiadają podejrzanym zachowaniom, może zostać niepoprawnie zidentyfikowana. Z
tego względu musi istnieć prosta metoda tworzenia wyjątków do bazy podpisów.
Jak dostroić IPS
(1) Przeglądaj Security log.
Każda komunikacja blokowana przez silnik IPS jest raportowana do loga “Security”. Szczegóły każdego
zdarzenia, w tym “rule ID” są dostępne w dzienniku. Jeśli użytkownik informuje o problemie z komunikacją z pewną aplikacją korzystającą z
dopuszczalnego protokołu, warto przejrzeć security log pod kątem błędnie zidentyfikowanego potencjalnego ataku.
(2) Sprawdź aplikację.
Jeśli komunikacja z aplikacją jest blokowana przez IPS, aplikacja powinna być sprawdzona pod kątem jej
integralności i czy na pewno zachowuje się właściwie.
(3) Stwórz wyjątki.
Jeśli należy stworzyć wyjątek w bazie sygnatur, rule ID pobrana z dziennika może zostać dodana do “Ignorowanych
sygnatur” w zaawansowanych ustawieniach interfejsu zarządzania IPS.
Zarządzanie aktualizacjami
Tak jak wirusy, nowe zagrożenia są identyfikowane każdego dnia. Jest więc konieczne zapewnienie aktualności sygnatur w bazie i ich regularna
aktualizacja. Silnik IPS w Kerio Control sprawdza aktualizacje raz dziennie, może być także ustawiony na co godzinną kontrolę.
Środowisko skupione wokół emergingthreats.net codziennie dodaje nowe reguły i sygnatury. Kerio regularnie wspiera nieustanną pracę nad
sygnaturami, zachęcając jednocześnie administratorów korzystających z IPS w Kerio Control do włączenia się do prac nad identyfikacją nowych
zagrożeń i asystowaniu przy tworzeniu nowych reguł. Więcej informacji na stronie www.emergingthreats.net.
Nieodłączne reguły IPS
Wbudowana głęboka inspekcja pakietów w Kerio Control działa jak dodatkowa warstwa bezpieczeństwa, transparentnie monitorując określone
protokoły w taki sposób, aby nie naruszyć komunikacji sieciowej. Filtruje ona także złośliwą zawartość, która może nie zostać rozpoznana przez
bazę sygnatur. Obok czarnych list i bazy sygnatur, Kerio Control łączy w sobie także szereg automatycznych opcji dla wzmocnienia ochrony
przed zagrożeniami:
• blokowanie peer-to-peer – przy włączonej funkcji, firewall będzie monitorował połączenia po konkretnych portach w celu identyfikacji i
blokowania znanych aplikacji P2P, które w dużym procencie są odpowiedzialne za rozsiewanie malware.
• blokowanie nielegalnych danych binarnych w HTTP – jako element inspekcji pakietów, firewall będzie blokował niewłaściwe użycie danych
binarnych w połączeniach HTTP.
• filtr wrażliwości GDI+JPEG – konkretnie do tego celu stworzony plik image JPEG jest w stanie wywołać buffer overflow w niewłaściwie
zabezpieczonych systemach operacyjnych Windows, umożliwiając wykonanie niepożądanego kodu (MS04-028). Kerio Control identyfikuje i
blokuje transfer tego pliku za pośrednictwem protokołów Email i Web.
• ciągłe testy certyfikacyjne ICSA Labs – jako element certyfikacji ICSA (International Computer Security Association) Labs, Kerio Control musi
bezustannie pozytywnie przechodzić szereg audytów, jak TCP syn flooding, FTP bounce, Man-in-the-middle attacks i innych ewaluujących
zagrożeń.
Podsumowanie
Intrusion Prevention to wysoce zaawansowana technologia, oparta na szerokiej gamie reguł. Każda sieć jest wyjątkowa a tzw. “zagrożenie”
może być pojęciem względnym. IPS wbudowany w Kerio Control został stworzony do identyfikacji i blokowania ataków tak właściwie jak to
tylko możliwe, przy jednoczesnym zachowaniu optymalnego poziomu wydajności sieci.
Brian Carmichael
Sales Engineer
Kerio Technologies Inc.
Copyright © 2010 Kerio Technologies Inc. All rights reserved.
Wydanie kwiecień 2010.
Connect. Communicate. Collaborate. Securely. | www.kerio.pl