Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Transkrypt

1 Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich do aktualnych zagrożeń. Obecnie większość aplikacji internetowych działa na bazie protokołów HTTP i HTTPS, używa dynamicznych portów lub zaszyfrowanych tuneli. Konwencjonalne zabezpieczenia firewall identyfikują aplikacje na podstawie numerów portów, co uniemożliwia wykonywanie właściwej kontroli komunikacji sieciowej. Dla przykładu firewall rozpoznaje ruch Web (80, 443-tcp), a działają w nim setki innych, często niebezpiecznych aplikacji jak P2P, IM, Skype, gry online, file sharing, poczta, itd. W rzeczywistej sieci ponad 60% aplikacji jest ukryta dla firewalli. W ograniczonym zakresie rozwiązaniem mogą być zabezpieczenia Intrusion Prevention System (IPS), które potrafią wykrywać i blokować niektóre aplikacje. Aplikacje identyfikowane są przez IPS za pomocą zdefiniowanych dla nich sygnatur ataków. Jest to rozwiązanie mało efektywne, ponieważ administrator zabezpieczeń musi znać wszystkie niebezpieczne aplikacje i wskazać je w konfiguracji IPS jako ataki. Takie podejście jest niezgodne z zasadami i dobrymi praktykami ochrony sieci. Potrzebne są zabezpieczenia, które właściwe rozpoznają i w swojej polityce wyraźnie ustalają wszystkie dozwolone aplikacje, a pozostałe są zablokowane. Kolejny problem to kontrola aplikacji korzystających z komunikacji szyfrowanej. Dla przykładu, szyfrowane aplikacje P2P (np. BitTorrent, emule) są niewidoczne dla zabezpieczeń firewall i IPS, zaś użytkownicy korzystający z aplikacji Tor mogą swobodnie surfować po dowolnych serwerach Web - zabezpieczenia Web Filtering nie rozpoznają takiego ruchu. Jeszcze większy problem dla bezpieczeństwa systemu informatycznego stanowi powszechnie stosowany protokół HTTPS (HTTP szyfrowane protokołem SSL). Konwencjonalne zabezpieczenia sieci nie potrafią analizować ruchu HTTPS, przez który intruzi i złośliwy kod mogą z łatwością włamać się do sieci wewnętrznych (m.in. atak exploit na przeglądarkę Web, Spyware, Worm, Trojan). Potrzebne są zabezpieczenia, które deszyfrują niezaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, anty-wirus, itd.). 1

2 Rysunek 1. Koncepcja włamania poprzez połączenie szyfrowane Inne problemy bezpieczeństwa, z którymi nie radzą sobie konwencjonalne systemy zabezpieczeń to m.in.: skuteczna identyfikacja i kontrola użytkowników stacje robocze w sieci posiadają adresy IP nadawane dynamicznie (DHCP), co sprawia trudności w kontroli i rozliczaniu działań użytkowników, kontrola treści przesyłanych informacji niedokładna identyfikacja i kontrola aplikacji w sieci sprawia, że poufne dane mogą łatwo zostać przekazane do Internetu (np. numery kart kredytowych, ważne dokumenty), wydajność zabezpieczeń włączenie inspekcji aplikacyjnej (IPS, AV, itd.) powoduje dużą degradację wydajności zabezpieczeń, elastyczność pracy zabezpieczeń właściwa ochrona sieci wymaga, aby zabezpieczenia działały w zależności od potrzeb w rożnych trybach pracy (L2, L3, Sniffer), co powoduje konieczność zastosowania dużej liczby urządzeń. System zabezpieczeń Palo Alto Networks (PAN) został opracowany z myślą o rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie konwencjonalne zabezpieczenia. Umożliwia wdrożenie dodatkowych mechanizmów ochrony bez konieczności zmiany istniejącej sieci. Rozwiązanie bazuje na sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych wymagań i zagrożeń. PAN jest rozwijany przez światowej klasy ekspertów bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer. Identyfikacja oraz kontrola aplikacji i użytkowników System zabezpieczeń PAN rozpoznaje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki zabezpieczeń w sposób jednoznaczny ustalają, które aplikacje są dozwolone (patrz rysunek 2). Rozpoznawanie aplikacji odbywa się za pomocą sygnatur i heurystyki. Identyfikowanych jest ponad 700 aplikacji - tygodniowo pojawia się 5-10 nowych. 2

3 Rysunek 2. Reguły polityki zabezpieczeń PAN PAN chroni system informatyczny przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). Oprócz standardowych funkcji ochrony jak Anty-Wirus, Anty-Spyware i Web Filtering realizuje zadania inspekcji i filtrowania danych przesyłanych przez aplikacje w sieci: Data Filtering - blokowanie wycieku wrażliwych informacji (m.in. SSN, CC#) z zaufanego obszaru sieci (obiekty danych definiowane są jako wyrażenia regularne - regex), File Filtering - filtrowanie określonych plików przesyłanych przez aplikacje (identyfikacja na podstawie typu MIME i nagłowka pliku, nie rozszerzenia). System zabezpieczeń PAN transparentnie ustala tożsamość użytkowników sieci (integracja z Active Directory). Polityka zabezpieczeń precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet, gdy użytkownik zmieni lokalizację i adres IP. Polityki operują na nazwach/grupach użytkowników. Dzięki korelacji adresów IP z użytkownikami aplikacji działania i incydenty przypisane są do konkretnych użytkowników. Integracja z Active Directory odbywa się przez PAN Agent, który komunikuje się z kontrolerami domeny lub stacjami użytkowników. Dla gości dostępny jest mechanizm Captive Portal ferujący standardowe uwierzytelnianie użytkowników przez Web lub mechanizm MS Windows (NTLM). Wgląd w aplikacje, użytkowników i zawartość System zabezpieczeń PAN zapewnia szczegółowy wgląd i politykę kontroli aplikacji, 3

4 użytkowników i zawartości. Administrator otrzymuje dedykowane, graficzne narzędzia do wizualizacji ruchu - patrz rysunek 3. Monitorowanie i raportowanie odbywa się w czasie rzeczywistym. Rysunek 3. Szczegółowe monitorowanie aplikacji, użytkowników i zawartości komunikacji Inspekcja zawartości ruchu szyfrowanego System zabezpieczeń PAN chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Rysunek 4 przedstawia koncepcję kontroli zawartości ruchu szyfrowanego. Inspekcja zawartości protokół SSL odbywa się dla ruchu ychodzącego do Internetu jak i przychodzącego do serwerów firmy. PAN utrzymuje wewnętrzny Urząd Certyfikacji do dynamicznego generowania certyfikatów (root CA lub podrzędny względem firmowego CA). Rysunek 4. Koncepcja kontroli zawartości ruchu HTTPS 4

5 Dla ruchu wychodzącego polityka inspekcji HTTPS precyzyjnie określa, które serwery są niezaufane i wymagają kontroli. Identyfikowanie zaufanych serwerów HTTPS odbywa się z wykorzystaniem pre-definiowanych kategorii Web Filtering (np. Finanase-and-investment, Shopping) lub adresów znanych serwerów. Kontrola aplikacyjna bez degradacji wydajności Inspekcja ruchu aplikacyjnego w konwencjonalnym systemie klasy UTM dokonywana jest na wielu modułach inspekcji (IPS, anty-wirus, itd.), które wzajemnie przekazują sobie dane. Powoduje to bardzo duże obniżenie wydajności. System zabezpieczeń PAN został zaprojektowany w taki sposób, że wykonuje pełną inspekcję aplikacyjną bez degradacji wydajności. Rysunek 5. Konstrukcja sprzętowa zabezpieczeń PAN PAN posiada jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli IPS, Anty-Wirus, Anty-spyware, itd. Zastosowana została przy tym dedykowana konstrukcja sprzętowa (patrz rysunek 5) posiadająca następujące własności: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe (Flash Matching HW, SSL/IPSec Enc. HW, Network Processor), rozdzielenie modułu zarządzania i przetwarzania ruchu. System zabezpieczeń PAN wykonuje zadania ochrony na interfejsach sieciowych w rożnych trybach pracy (L2 z VLAN, Vwire - transparentne L2, L3, Tap - sniffer). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w rożnych trybach. Interfejsy VLAN mogą być definiowane dla trybu L2 i L3. W razie urządzenie może zostać podzielone na wiele wirtualnych ruterów i systemów. 5

6 Unikalne własności zabezpieczeń Palo Alto Networks 1) System zabezpieczeń identyfikuje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki Firewall w sposób jednoznaczny ustalają, które aplikacje są dozwolone. 2) System zabezpieczeń chroni użytkowników surfujących w Internecie przed Groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). 3) System zabezpieczeń chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). 4) Firewall transparentnie ustala tożsamość użytkowników sieci (integracja z Active Directory). Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. 5) System zabezpieczeń wykonuje zadania ochrony na interfejsach sieciowych w rożnych trybach pracy (L2, L3, Tap, VLAN w L2 i L3). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w rożnych trybach. 6) System zabezpieczeń wykonuje inspekcję aplikacyjną (IPS, AV, itd.) bez degradacji wydajności (wspólna baza uniwersalnych sygnatur, dedykowana konstrukcja sprzętowa). 7) System zabezpieczeń zapewnia szczegółowy wgląd i politykę kontroli aplikacji, użytkowników i zawartości. 6