Kompleksowa ochrona sieci małych i średnich przedsiębiorstw w oparciu o urządzenia ZyWALL UTM firmy ZyXEL Communication.

Transkrypt

1 Kompleksowa ochrona sieci małych i średnich przedsiębiorstw w oparciu o urządzenia ZyWALL UTM firmy ZyXEL Communication. Termin UTM (ang. Unified threat management) po raz pierwszy został przedstawiony i szeroko opisany przez Charles a J. Kolodgy, dyrektora działu badań w zakresie zabezpieczeń internetowych w firmie IDC (doc #33997). Według Kolodgy ego technologia UTM określa produkty, w których zaimplementowano wielowymiarowe mechanizmy bezpieczeństwa. Aby produkt był zgodny z technologią UTM, musi posiadać co najmniej wbudowany firewall, sondę IDS/IDP, silnik antywirusowy i antyspam oraz filtry treści URL. Na przestrzeni ostatnich lat wraz z pojawieniem się nowych możliwości wynikających z dynamicznego rozwoju Internetu pojawiły się nowe nadużycia i zagrożenia. Dziś już nikogo nie trzeba przekonywać, że przyłączenie do globalnej sieci bez jakiegokolwiek zabezpieczenia jest ruchem co najmniej nierozważnym. Ilość i różnorodność zagrożeń wymaga od administratorów sieci sporej wiedzy, a od przedsiębiorstw dużych nakładów finansowych. Z jednej strony możemy wyróżnić duże firmy i instytucje świadome zagrożeń z obszernymi zasobami IT, z drugiej zaś, firmy sektora SMB z ograniczonym budżetem IT. Bezpieczeństwo w małych i średnich firmach jest istotnym zagadnieniem, ponieważ są one tak samo narażone na ataki, jak wszystkie inne firmy. To co dla dużej instytucji może być niegroźnym naruszeniem polityki bezpieczeństwa, dla nieodpowiednio zabezpieczonych małych firm, może okazać się katastrofalną w skutkach awarią. Produkty dedykowane dla dużych przedsiębiorstw są w tym przypadku nieadekwatne w skali dla sieci małych i średnich przedsiębiorstw. Wdrożenie mechanizmów gwarantujących odpowiedni poziom zabezpieczeń musi być łatwe i tanie, a administracja takim systemem prosta i maksymalnie zautomatyzowana. Rozwiązaniem problemu, dedykowanym między innymi dla segmentu SMB, są zintegrowane firewalle UTM. UTM to stosunkowo nowa grupa rozwiązań. Pojawiła się na rynku dopiero w 2003r. ale z uwagi na swoje zalety takie, jak: kompleksowość ochrony, prostota użycia oraz przystępna cena idealnie trafia w potrzeby małych i średnich sieci. System UTM obok podstawowych funkcji takich, jak: firewall i kontrola dostępu, pozwala wykryć i zablokować wirusy, ataki, niechcianą pocztę, czy dostęp do stron o niepożądanej treści. Firma ZyXEL dodatkowo wyposaża swoje urządzenia serii ZyWALL w funkcjonalność koncentratora VPN, mechanizmy zapewniania odpowiedniego poziomu jakości usług QoS, czy równoważenia obciążenia HA/LB (High Availability i Load-Balancing). Obecnie UTM zdobywa rynek kosztem dotychczasowych rozwiązań firewall/vpn oraz innych zabezpieczeń realizowanych punktowo. Firewall, dlaczego ściany ogniowe to za mało? Podstawowym elementem ochrony sieci wewnętrznej przed zagrożeniami pochodzącymi z zewnętrz jest firewall. Obecnie najbardziej rozpowszechnionym modelem działania zapór ogniowych jest tzw. Statefull firewall. Jego działanie polega na filtrowaniu przechodzącego przez niego ruchu na poziomie pakietów IP z kontrolą stanu sesji TCP/IP. Filtrowanie pakietów polega na monitorowaniu informacji zawartych w nagłówkach pakietów IP (adresy IP, porty protokoły, itp.) oraz, w przypadku firewalli SPI, śledzeniu stanu sesji (tablice stanów) przechodzących przez firewall. Przynależność pakietu do danej sesji odbywa się na zasadzie oceny numeru sekwencyjnego TCP. Skoro odpowiednio skonfigurowane reguły w jasny sposób określają dozwolone i niedozwolone ruchy, dlaczego więc wprowadzono dodatkowe mechanizmy takie, jak systemy wykrywania włamań IDP/IDS? Sam firewall nie jest w stanie wychwycić i zablokować ataku w sytuacji, gdy ten jest prowadzony w ramach poprawnie otwartej sesji. Zapora ogniowa nie ma możliwości śledzenia ruchu w ramach aplikacji i kontekstu przesyłanych danych.

2 Jeżeli nasz serwer WWW jest dostępny w Internecie, to firewall musi przepuszczać ruch do niego, a w konsekwencji również atak na ten serwer WWW będzie przepuszczony przez klasyczny system zaporowy. Jeżeli administrator nie dba o aktualizację systemu operacyjnego serwera nie instalując najnowszych poprawek, może to skutkować nieautoryzowanym dostępem do chronionych danych. Wyższy poziom bezpieczeństwa IDP/IDS Systemy IDS/IPS (Intrusion Destection System & Intrusion Prevention System) zaprojektowano przede wszystkim z myślą o analizie ruchu w warstwie aplikacyjnej. Narzędzia te działają jako uzupełnienie zapór ogniowych. Ideą funkcjonowania systemów IDS/IPS jest możliwość wykrycia i zablokowania ataku zanim dotrze on do celu. IDS jest mechanizmem monitorującym i wykrywającym zdarzenie, zaś IPS uczestniczy aktywnie w przesyłaniu ruchu i może w zależności od określonych reguł zablokować określone pakiety i/lub sesje. Zasada działania jest podobna jak w systemach antywirusowych, gdzie sonda IDS klasyfikuje dany przepływ na podstawie bazy wzorów ataków/anomalii. System porównuje dany ruch z zachowanymi sygnaturami w czasie rzeczywistym. Baza sygnatur jest uaktualniana na bieżąco. Informacje o bazie sygnatur znajdą Państwo na stronach mysecurity.zyxel.com. Jest to istotne podczas budowy konfiguracji od początku, szczególnie dla mniej doświadczonych administratorów. Każda sygnatura jest opisana z wyszczególnieniem informacji dotyczących odpowiadającemu danemu atakowi systemowi operacyjnemu, platformy oraz stopnia zagrożenia, jakie niesie dany atak. Dodatkowo, dzięki mechanizmom IDS/IDP, dziecinnie proste staje się blokowanie aplikacji typu Peer to Peer. Wystarczy wybrać kategorię P2P i zaznaczyć jako akcję np. Reset Both dla sygnatury P2P edonkey Server Login, blokując możliwość korzystania z tej aplikacji. Raz poprawnie zbudowana konfiguracja reguł IDS/IPS powinna dość dobrze chronić nas przed atakami z sieci zewnętrznej. O aktualizacji bazy danych sygnatur zazwyczaj dowiemy się z maila wysyłanego przed zespół ZyXEL a na adres wskazany podczas rejestracji produktu/licencji. Pobranie nowych sygnatur można zaprogramować automatycznie. Przed wyborem urządzenia warto sprawdzić, czy istnieje możliwość backup owania samych ustawień IDS/IPS, co jest szczególnie przydatne podczas przenoszenia skonfigurowanych reguł na inne urządzenia UTM rozlokowane w poszczególnych oddziałach naszej firmy. O ile urządzenia IDS/IPS mogą wykryć i zablokować znane ataki/robaki/anomalie, które przedostają się do wnętrza sieci przez firewall, o tyle ataki ukryte w szyfrowanych tunelach np. SSL, SSH często nie są skanowane. Skanowanie antywirusowe Koncepcja UTM definiuje potrzebę skanowania pakietów pod kątem zawartości wirusów/robali na granicy sieci. Dane są skanowane na bieżąco w czasie rzeczywistym. System wykrywa i eliminuje pojawiające się zagrożenia, zanim wirus/robal zdąży przeniknąć do istotnych aplikacji biznesowych. Firma ZyXEL zaimplementowała w swoich firewallach UTM mechanizmy skanowania popularnych protokołów takich, jak: SMTP, POP3, HTTP i FTP. Administrator ma możliwość zdefiniowania protokołu który powinien być skanowany. Dodatkowo seria ZyWALL UTM umożliwia skanowanie w locie zarchiwizowanych plików. Sygnatury wirusów przetrzymywane są lokalnie na urządzeniu. Aktualizacja odbywa się automatycznie w przedziałach czasowych zdefiniowanych przez administratora lub może być wymuszana ręcznie. Liczba przetrzymywanych sygnatur też jest ograniczona z racji na ograniczoną pamięć RAM zainstalowaną w urządzeniu. Sam silnik antywirusowy zaimplementowany na urządzeniu może pochodzić od jednego ze znanych producentów tradycyjnego oprogramowywania antywirusowego, jak np. Kaspersky czy Trend Micro Podstawowa administracja polega na zdefiniowaniu interfejsów, pomiędzy którymi ruch ma być skanowany, zaplanowaniu harmonogramu aktualizacji bazy sygnatur oraz określeniu mechanizmów powiadamiania o zdarzeniach. Pliki zawierające szkodliwy kod mogą być kasowane na urządzeniu, lub przesyłane dalej do użytkownika ze zmienioną sumą kontrolną. Koniec z niechcianą pocztą Walka ze spamem opiera się na odpowiedniej analizie nagłówków otrzymanego maila oraz treści wiadomości. Podstawową metodą jest konfiguracja filtrów statycznych definiowanych na urządzeniu w oparciu o charakterystyczne wartości przenoszone w nagłówku lub treści wiadomości. Coraz więcej producentów implementuje w swoich urządzeniach mechanizmy filtrowania poczty na zasadzie scoringu (np.

3 MailShell), polegające na wycenie punktowej dla każdej wiadomości pocztowej, w zależności od tego, czy spełnia ona określone kryteria. Filtry definiowane przez Administratora na urządzeniu mogą bazować na dwóch rodzajach list. Spersonalizowane czarne listy umożliwiają użytkownikom blokowanie korespondencji z konkretnych adresów , domen bądź adresów IP serwerów. Białe listy umożliwiają odblokowanie korespondencji z konkretnych adresów mimo blokowania wiadomości od innych użytkowników danej domeny internetowej, bądź serwera pocztowego. Umieszczenie adresu, nazwy domeny, bądź adresu serwera na białej liście jest nadrzędne do pozostałych systemów blokujących i filtrujących, zapewniając ciągłość korespondencji z wybranymi adresatami niezależnie od głównych, automatycznych zabezpieczeń antyspamowych. Filtrowanie może również bazować na określonych słowach kluczowych znajdujących się w temacie oraz treści wiadomości, wskazujących jednoznacznie na cechy charakterystyczne dla niechcianej korespondencji. Zarówno pojedyncze słowa, jak i określone zwroty w połączeniu z analizą domeny i serwera wysyłającego pocztę pozwalają na automatyczne zaklasyfikowanie wiadomości, jako spam i zablokowanie jej bądź dopisania odpowiedniego Tagu w temacie wiadomości. Niektórzy producenci, jak na przykład ZyXEL, umożliwiają określenie dowolnego parametru w nagłówku MIME i śledzenia jego wartości. Dzięki analizie poszczególnych pól w nagłówku MIME, możemy stwierdzić z jakich adresów IP jest wysyłany do nas spam i jakie serwery pośredniczą w przesłaniu listu. Wykorzystując tą informację możemy zdefiniować pole w nagłówku MIME i odpowiednią akcję, jaką podejmie urządzenie, jeśli wartość w tym polu będzie odpowiadała dokonanemu przez nas wpisowi. Filtrowanie poczty na zasadzie scoringu na urządzeniach UTM opiera się na mechanizmach gwarantowanych przez wyspecjalizowane firmy. Jedną z takich firm jest MailShell. Wykorzystanie mechanizmów filtrowania wiadomości wiąże się jednak z koniecznością wykupienia odpowiedniej licencji na określony czas. W zależności od klasy urządzenia zróżnicowane są ceny licencji. Przykładowo licencja dla urządzenia ZyWALL 70 UTM firmy ZyXEL na 2 lata kosztuje około 300$. Mechanizm oceny wiadomości typu mail scoring polega na przechwyceniu wiadomości oraz przesłaniu fingerprintu tej wiadomości do serwera klasyfikującego. Na podstawie bazy danych przetrzymywanej na serwerach wiadomość jest oceniana w zakresie od 0 do 100 punktów. Im większa liczba przyznanych przez serwer punktów tym większe prawdopodobieństwo, że wiadomość jest spamem. Na urządzeniu UTM administrator musi jedynie ustalić próg, powyżej którego wiadomości będą klasyfikowane jako spam. Ocena wiadomości przez MailShell Procedura oceny wiadomości w oparciu o serwer Mailshell zawiera się w czterech etapach. Pierwszy etap detekcji spamu opiera się na analizie wpisów w bazie danych MailShell. Jeżeli wzorzec danej wiadomości już występuje w bazie danych, wiadomość z dużym prawdopodobieństwem zawiera treści reklamowe. Silnik SpamRepute to drugi etap filtrowania, który określa reputację nadawcy wiadomości. Podczas sprawdzania nadawcy listu MailShell korzysta z zewnętrznych serwerów DNSBL zawierających wpisy o adresach nadawców, nazw DNS, adresach IP serwerów, z których rozsyłany jest SPAM. Dodatkowo sprawdzane są takie wartości, jak: adresy IP występujące w nagłówku, nazwy DNS, fingerprint nadawcy, fingerprint wiadomości. Uzupełnieniem tych atrybutów mających wpływ na ocenę nadawcy, jest kraj pochodzenia wiadomości, właściciel domeny, nazwa serwera oraz urząd rejestrujący nazwę DNS. Trzeci etap analizy poczty to silnik SpamContent. Analizowane są tutaj następujące elementy: Pola To i Subject Język wiadomości Kraj pochodzenia Zawartość grafiki Słownictwo, formatowanie Odnośniki http tekstu, wzorce słowne Format wiadomości, projekt i rozmieszczenie poszczególnych elementów w treści wiadomości Podczas analizy treści wiadomości MailShell wykorzystuje filtry bayesa. Filtr tworzy na swój użytek rodzaj słownika, w którym każdemu z poznanych słów przypisuje odpowiednie prawdopodobieństwo wystąpienia tego słowa w wiadomości spamowej. Podczas analizy filtr dzieli wiadomość na pojedyncze wyrazy i przypisuje im odpowiednie prawdopodobieństwa otrzymane ze słownika. Na końcu obliczane jest prawdopodobieństwo całkowite z prawdopodobieństw przypisanych do pojedynczych wyrazów, na podstawie którego identyfikuje się wiadomość. Przy ocenie punktacji implementuje się algorytmy logiki rozmytej, zwiększając w ten sposób prawdopodobieństwo poprawnej identyfikacji wiadomości. Jedną z tendencji, jakie ostatnio można zauważyć, jest coraz częstsze wykorzystywanie w wiadomościach spamowych tekstów w formie grafiki, wplątanie odnośników do stron WWW, czy manipulacje wartościami pól w nagłówkach wiadomości. W takiej sytuacji konieczne jest implementowanie mechanizmów rozpoznających tricki stosowane przez spamerów. Czwarty etap filtrowania wiadomości przez MailShella to SpamTricsk engine. Dodatkowo na tym poziomie identyfikowane są maile typu pishing mające na celu oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania. Rozwiązanie jest proste i ekonomiczne w użyciu. Wiadomości nie są przesyłane do serwera klasyfikującego, jedynie odciski palca tych wiadomości. Ponadto wymagania stawiane urządzeniom pod względem zaimplementowania tego mechanizmu nie są wysokie, dzięki czemu cena tych urządzeń jest utrzymywana na stosunkowo niskim poziomie.

4 Kto pracuje, a kto plotkuje? W środowisku biznesowym filtrowanie stron internetowych powoli zaczyna stawać się koniecznością. Strata produktywności pracowników wykorzystujących Internet do prywatnych celów, czy zmniejszenie przepustowości firmowej sieci są tylko prostymi przykładami. Gorzej jeśli na komputerze jednego z pracowników znajdziemy nielegalne pliki lub oprogramowanie ściągnięte z nielegalnych stron WWW. Filtrowanie treści stron WWW jest czwartym wymaganym punktem na liście funkcjonalności urządzeń UTM. Podobnie jak podczas definiowania statycznych filtrów anty-spam, tak i tutaj mamy do dyspozycji białe i czarne listy. Proste filtry treści opierają się na definicji porcji adresów stron WWW lub słów kluczowych występujących w adresie URL. Filtr podczas pracy dokonuje porównania wzorca nazwy URL z wprowadzonym łańcuchem znaków. Jeżeli porównanie daje wynik pozytywny, na ekranie użytkownika zostanie wyświetlona stosowna wiadomość. Logi świadczące o próbie dostępu do miejsc sieciowych, których adresy URL są filtrowane, są zapisywane i mogą być wysyłane pocztą elektroniczną. Umieszczenie nazwy domeny, bądź słowa kluczowego występującego w adresie URL na białej liście jest nadrzędne do pozostałych filtrów blokujących. Bardziej zaawansowane urządzenia umożliwiają przypisanie każdemu z użytkowników innych praw dostępu. Dodatkowo różnego rodzaju ograniczenia mogą obowiązywać w określonych odstępach czasu. Druga metoda wymagająca wykupienia odpowiedniej licencji to popularnie nazywane filtrowanie z bazy polegające na przeglądaniu adresów stron w bazie danych zawierającej sklasyfikowane adresy URL. Podejście to pomaga zgrupować strony webowe w przydatne kategorie, tworzone na podstawie zawartości stron, minimalizuje dwuznaczność i nakładanie się kategorii, dzięki czemu zwiększa się dokładność filtrowania. Mimo, że filtrowanie z bazy danych jest dokładne w stu procentach, istnieje ryzyko, że w tej bazie nie znajdują się wszystkie pojawiające się na bieżąco strony. Utrzymywanie takiej bazy danych po stronie klienta sektora SMB jest oczywiście praktycznie niemożliwe, dlatego urządzenia UTM korzystają z zewnętrznych komercyjnych baz danych, jak np. Cerberian (teraz BlueCoat). Zgromadzone w bazie dane podzielone są na kategorie, administrator systemu może w prosty sposób zabronić lub zezwolić na dostęp pracowników firmy do określonych grup, korzystając z takich wyznaczników, jak użytkownik, pora dnia itp. Za każdym razem, kiedy użytkownik zechce odwiedzić którąś ze stron WWW, UTM wyśle zapytanie o kategorię, po otrzymaniu odpowiedzi sprawdzi, czy dana strona jest w jednej z kategorii zastrzeżonej przez administratora. Niektóre urządzenia umożliwiają wpuszczanie użytkownika na strony należące do określonej kategorii, z ostrzeżeniem, że jego poczynania są logowane do Jak działa filtrowanie w bazie Cerberian (BluaCoat)? W momencie przechwycenia przez urządzenie UTM żądania URL uruchamiany jest następujący proces: 1) Żądany adres URL jest wysyłany przez agent BlueCoat zainstalowanego na bramie UTM do zewnętrznego serwera (BlueCoat Service Point) 2) W tym samym momencie Agent może: a. zatrzymać żądanie skierowane do określonego serwera WWW, b. wysłać żądanie wyświetlania strony i czekać na odpowiedź z Service Point. 3) W momencie otrzymania adresu URL od agenta, Service Point przegląda lokalną bazę danych (Rating Cache Database). 4) Jeżeli strona została sklasyfikowana, kategoria jest przesyłana do urządzenia UTM. 5) Po otrzymaniu kategorii agent sprawdza czy: a. kategoria jest odblokowana - sesja HTTP jest nawiązywana. b. kategoria jest zablokowana - wyświetlane jest ostrzeżenie, nazwa użytkownika, czas i adres są logowane. 6) Jeżeli adres URL nie został znaleziony w bazie, Blue Coat uruchamia dynamiczny mechanizm oceny zawartości strony w czasie rzeczywistym (Dynamic Real-Time Rating DRTR). Po zaklasyfikowaniu strony ponownie wykonywane są punkty 4 i 5 7) Jeżeli DRTR nie jest w stanie określić klasyfikacji dla danej strony URL, strona jest klasyfikowana jako nieznana. Jej adres URL jest przekazywany do modułu DBR (Dynamic Background Rating) w celu głębszej analizy. Administrator ma możliwość zdefiniowania czy strony niesklasyfikowane ( unknown ) mają być wyświetlane, monitorowane czy zablokowane.

5 wglądu dla administratora i kierownictwa. Bazy URL umieszczane są na serwerach udostępnionych w Internecie. Nie ma potrzeby ściągać aktualizacji, dzięki czemu wymagania sprzętowe są niewielkie, a rozwiązania takie mogą być stosowane także w małych biurach. UTM same zalety? Możliwości produktów UTM są często stawiane na równi ze specjalizowanymi rozwiązaniami zabezpieczeń. Posiadają one wiele wbudowanych modułów ochrony, jednak ich funkcjonalność jest ograniczona. Dlatego przed dokonaniem zakupu należy dokładnie sprawdzić specyfikacje poszczególnych modułów i ocenić oferowane przez producenta funkcje w stosunku do wymagań stawianych naszej sieci. Ważną kwestią na jaką należy zwrócić uwagę przed dokonaniem zakupu to parametry wydajnościowe urządzenia. Głębokie skanowanie pakietów we wszystkich warstwach sieci, wpływa na obciążenie procesora i pamięci. Konieczność przechowywania baz danych sygnatur ataków i wzorców wirusów dodatkowo zajmuje znaczną cześć pamięci, co skutkuje spadkiem wydajności przełączania pakietów między interfejsami urządzenia. ZyXEL wyposaża swoje urządzenia w dodatkowy procesor (np. SecuAsic - Application Specific Integrated Circuit) i dodatkowe karty pamięci podnoszące wydajność urządzeń. Aktywacja wszystkich modułów bezpieczeństwa wiąże się z dodatkowymi kosztami wynikającymi z konieczności zakupu odpowiedniej licencji. Jeżeli wymagane jest np. dynamiczne filtrowanie URL w oparciu o serwery zewnętrznych partnerów np. BlueCoat, istnieje konieczność wykupienie rocznej licencji na używanie dobrodziejstwa tej funkcji. Ta sama reguła dotyczy funkcji zabezpieczeń antywirus, antyspam i IDS/IDP. Za możliwość otrzymywania subskrypcji i korzystania z zewnętrznych baz danych musimy zapłacić. Warto więc sprawdzić koszty licencji u poszczególnych producentów i uwzględnić je przed dokonaniem zakupu. Decyzja o zakupie i wykorzystaniu dodatkowych mechanizmów ochrony powinna być przemyślana, co często wiąże się z kwestią przetestowania danego rozwiązania. Na szczęście ZyXEL udostępniaja licencje testowe umożliwiające przetestowanie kompletnego rozwiązania. Tak więc zakup licencji można rozważyć po dokładnym przetestowaniu rozwiązania po stronie klienta i analizie, które mechanizmy w naszej infrastrukturze działają poprawnie i powinny być na stałe aktywne. Trzeba pamiętać, że urządzenia UTM są ukierunkowane generalnie na ochronę granic sieci. W kontekście zagrożeń wewnętrznych konieczne jest opracowanie polityki bezpieczeństwa i ewentualnie zakup dodatkowego oprogramowania eliminującego, chociażby czynnik ludzki. Dostęp do poszczególnych zasobów, polityka dotycząca haseł czy możliwość przenoszenia wirusów na pamięciach przenośnych muszą być uwzględnione podczas planowania polityki bezpieczeństwa sieci. Zintegrowane bezpieczniki, mimo pewnych ograniczeń wynikających z samej idei UTM, są tak czy inaczej doskonałym rozwiązaniem dla małych i średnich przedsiębiorstw, a także dla oddziałów większych przedsiębiorstw, gdzie brak odpowiedniego zaplecza finansowego oraz technicznego do zarządzania kompleksowym systemem zabezpieczeń sieciowych jest barierą nie do przeskoczenia. Zakup, instalacja, konfiguracja i zarządzanie wieloma urządzeniami dostarczonymi przez różnych producentów są czasochłonne oraz pociągają za sobą znaczne koszty, wynikające z potrzeby przeszkolenia pracowników firmy oraz konieczności zawarcia kilku umów serwisowych.