Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte zostało wiele funkcji, tzn. firewall, VPN, IPS, antywirus, antyspam i filtracja URL. Możliwości produktów UTM są często stawiane na równi ze specjalizowanymi rozwiązaniami zabezpieczeń. UTM posiadają zaimplementowanych wiele modułów ochrony, ale ich jakość i funkcjonalność jest bardzo ograniczona. Firmy dokonujące wyboru określonego rozwiązania zabezpieczeń powinny nie tylko sugerować się ceną produktów, ale także sprawdzić czy oferowane funkcje bezpieczeństwa są odpowiednie. W opracowaniu zostały przedstawione funkcje AV dostępne w UTM na przykładzie urządzeń Fortigate firmy Fortinet oraz funkcje specjalizowanego rozwiązania AV na przykładzie rozwiązania esafe firmy Aladdin Knowledge Systems. Omówione zostały tylko podstawowe, dostępne w konsoli graficznej, elementy konfiguracji AV urządzeń UTM oraz specjalizowanych rozwiązań zabezpieczeń (tzn. bez ustawień w plikach konfiguracyjnych i linii poleceń CLI). W przypadku specjalizowanych rozwiązań zabezpieczeń AV nie ma możliwości, aby przedstawić w sposób interesujący dla czytelnika wszystkie ich właściwości i dostępne ustawienia konfiguracyjne. Funkcje AV dostępne w urządzeniu UTM: Zasady skanowania antywirusowego AV. Blokowanie plików określonego typu. Blokowanie niebezpiecznych aplikacji (m.in. Spyware, Adware). Ochrona antyspamowa AS. Filtracja zawartości WWW (m.in. blokowanie ActiveX i JAVA)). Przegląd logów nt. kontroli AV. Funkcje AV specjalizowanego rozwiązania zabezpieczeń: Reguły polityki bezpieczeństwa AV dla poszczególnych protokołów. Dostrajanie reguł kontroli AV (m.in. w zakresie przeciwdziałania email spoofing, mail relay i mail bombing ). Konfiguracja AV w zakresie ochrony przed złośliwymi aplikacjami Spyware i Adware. Dostrajanie konfiguracji AV w zakresie ochrony przed aplikacjami kategorii Spyware i Adware (m.in. definiowanie wyjątków). Inspekcja zawartości stron HTML i blokowanie kodów exploit. Konfiguracja AV w zakresie ochrony przed kodami exploit przesyłanymi poprzez wiadomości pocztowe. Mechanizmy ochrony przed techniką "Phishing". Ustawienia konfiguracyjne AV dotyczące inspekcji aplikacji ActiveX i JAVA. Ustawienia konfiguracyjne AV dotyczące inspekcji skryptów Visual Basic i JavaScript. Ustawienia konfiguracyjne AV dotyczące inspekcji dokumentów MS Office. Rodzaje plików blokowane bez inspekcji. Blokowanie groźnych aplikacji (tzw. wandalów) przez system zabezpieczeń AV na podstawie ich nazwy. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
Wykrywanie "File spoofing" poprzez analizę rozszerzenia pliku i zawartości binarnej. Ustawienia konfiguracyjne AV dotyczące inspekcji ruchu sieciowego i zezwalania na działanie protokołów tylko na typowych, ustalonych przez standardy portach. Inspekcja ruchu sieciowego na dowolnych portach i wykrywanie aplikacji typu Instant Messengers, Chat oraz P2P. Blokowanie aplikacji sieciowych Audio i Video oraz transferu plików tego typu. Inspekcja całości ruchu sieciowego i blokowanie ataków robaków (Works/TCP Exploits). Inspekcja ruchu sieciowego i blokowanie aplikacji typu Trojan i KeyLogger. Dostrojenie zabezpieczeń AV w zakresie inspekcji zawartości poczty elektronicznej (m.in. konwersji email HTML w zwykły tekst, usuwania linków HTML, standaryzacji formatu email, blokowania wiadomości email poddanych fragmentacji, przestrzegania standardów RFC i trybów kodowania i usuwania zniekształconych załączników). Podstawowa konfiguracja kontroli przeciw spamom pocztowym AS (m.in. na podstawie nagłówka email, poprawności serwera poczty, poprawności nadawcy/serwera w DNS oraz przeszukiwania określonych słów i wyrażeń). Zaawansowana kontrola AS w zakresie ustawienia różnych metod wykrywania spamów (m.in. sygnatury, analiza tekstu, klasyfikacja tekstu, kontrola przepływu, heurystyka, kategorie URL, znane URL spamów, analiza struktury wiadomości email) oraz reakcji systemu zabezpieczeń w sytuacji, gdy spam zostanie wykryty. W konfiguracji AS dostępne są bazy adresów i kategorii URL specyficznych dla spamów pocztowych. Konfiguracja AS umożliwia zdefiniowanie, zwykle fikcyjnych adresów email, których obecność w odbieranych wiadomościach pocztowych wskazuje na spam (Honey Pot). Dostrajanie konfiguracji AS m.in. poprzez definiowane list i wyjątków. Przegląd zawartości oraz obsługa kwarantanny dla wirusów (złośliwego kodu) oraz spamów pocztowych. Konfiguracja alarmowania administratorów oraz powiadamiania użytkowników po nieprawidłowościach (np. nadawców i odbiorów poczty o wykrytych wirusach). Informacje nt. najnowszych wirusów, jakie się pojawiły i mogą stanowić zagrożenie. Monitorowanie pracy zabezpieczeń i raporty z pracy modułów AV. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 2
Funkcje AV w urządzeniu UTM (przykład Fortigate) Konsola administratora urządzenia Fortigate dostępna jest przez przeglądarkę WWW 1. W zakresie ochrony przed wirusami (AV) konfiguracja odbywa się w dwóch sekcjach: File Block (blokowanie plików określonego typu) i Config (blokowanie i skanowanie). Sekcja Config w konfiguracji AV zawiera listę wirusów (zakładka Virus List), ograniczenia wielkości pamięci urządzenia przeznaczonej na skanowanie plików (zakładka Config) oraz listę niebezpiecznych aplikacji (zakładka Greyware). Dostrajanie konfiguracji AV jest możliwe przez polecania CLI. 1 Administracja Fortigate może także odbywać się za pomocą oddzielnego urządzenia FortiManager. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 3
W zakresie kontroli zawartości WWW możliwe jest blokowanie stron zawierających podane słowa lub wyrażenia (zakładka Content Block), adresów URL (zakładka URL Block), stron zawartych w bazie URL utrzymywanej na serwerze producenta (zakładka Category Block) oraz skryptów (zakładka Script Filter). W zakresie blokowania spamów pocztowych możliwe jest blokowanie email zawartych w bazie utrzymywanej na serwerze producenta (zakładka FortiGuard), email z podanych adresów IP, email zawartych w bazach utrzymywanych na serwerach w Internecie (zakładka DNSBL & ORDBL), email od podanych nadawców, email zawierających podane nagłówki MIME (zakładka MIME Headers) oraz podane słowa lub wyrażenia (zakładka Banned Word). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 4
Informacje nt. działania AV można odczytać z logu urządzenia 2. 2 Do zbierania logów i tworzenia raportów można także wykorzystać oddzielne urządzenie FortiAnalyzer lub oprogramowanie FortiReporter instalowane na Microsoft Windows odbierające logi za pomocą Syslog. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 5
Funkcje AV w specjalizowanym rozwiązaniu zabezpieczeń (przykład esafe) Konfiguracja i monitorowanie pracy zabezpieczeń esafe odbywa się z graficznej konsoli econsole Manager. Konfiguracja polityki kontroli AV odbywa się w sekcjach FTP, HTTP, SMTP i POP3, odnoszących się do poszczególnych protokołów. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 6
Graficzna konsola econsole Manager umożliwia precyzyjne dostrajanie konfiguracji AV. Dla przykładu, w zakresie kontroli protokołu SMTP zabezpieczenia esafe w razie potrzeby mogą zostać skonfigurowane tak, aby przeciwdziałać wielu zagrożeniom poczty elektronicznej, m.in. email spoofing (podszywanie się pod innych użytkowników), mail relay (wykorzystanie serwera poczty do przesyłania email, np. spamów do innych serwerów) oraz mail bombing (ataki DOS polegające na przesyłaniu bardzo dużej liczby wiadomości email). Konfiguracja AV w zakresie ochrony przed złośliwymi aplikacjami przenoszących się za pomocą serwisu WWW odbywa się w sekcji Spyware/Adware Protection. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 7
Konsola econsole umożliwia precyzyjne dostrajanie konfiguracji AV w zakresie ochrony przed niebezpiecznymi aplikacjami kategorii Spyware i Adware (m.in. definiowanie wyjątków). Dostępny w esafe moduł zabezpieczeń XploitStopper odpowiada za inspekcję zawartości stron HTML i blokowanie kodów exploit, za pomocą których intruzi mogą przejąć kontrolę na komputerami użytkowników (np. instalując aplikacje Trojan). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 8
Konfiguracja esafe zawiera oddzielną sekcję dedykowaną ochronie przed kodami exploit przesyłanymi poprzez wiadomości pocztowe. "Phishing" to niebezpieczna technika włamań do systemów komputerowych polegająca na wysyłaniu wiadomości email w imieniu zaufanego nadawcy, która nakłania odbiorcę poczty do wykonana określonej akcji (np. odwiedzenia strony Web zawierającej kod Trojana). System zabezpieczeń posiada rozbudowane mechanizmy ochrony przez techniką "Phishing". 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 9
Ustawienia konfiguracyjne esafe dotyczące inspekcji aplikacji ActiveX i JAVA. Ustawienia konfiguracyjne esafe dotyczące inspekcji skryptów Visual Basic i JavaScript. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 10
Ustawienia konfiguracyjne esafe dotyczące inspekcji dokumentów MS Office. Określone rodzaje plików mogą być także blokowane bez inspekcji. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 11
W zasobach sieci Internet dostępnych jest wiele gotowych do użycia groźnych aplikacji (tzw. wandalów). Aplikacje te są blokowane przez system zabezpieczeń AV na podstawie ich nazwy. "File spoofing" to często stosowane metoda przenoszenia Trojanów i innych groźnych aplikacji. Zabezpieczenia esafe wykrywają "File spoofing" poprzez analizę rozszerzenia pliku i zawartości binarnej. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 12
Sekcja "Protocol Enforcement" zawiera ustawienia konfiguracyjne esafe dotyczące inspekcji ruchu sieciowego i zezwalania na działanie protokołów tylko na typowych, ustalonych przez standardy portach. System zabezpieczeń esafe poddaje ruch sieciowy inspekcji i na dowolnych portach wykrywa aplikacje Instant Messengers, Chat oraz P2P. W zależności od przyjętej polityki bezpieczeństwa aplikacje te mogą być blokowane. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 13
Aplikacje sieciowe Audio i Video oraz transfer plików tego typu mogą konsumować pasmo sieciowe, uniemożliwiając poprawne działanie innym aplikacjom systemu informatycznego. W zależności od przyjętej polityki aplikacje te mogą być przez esafe blokowane. Robaki rozprzestrzeniają się w sieci z wykorzystaniem kodów exploit (zwykle przez wykorzystanie błędów aplikacji) na analogicznej zasadzie jak intruzi podczas włamań do systemów komputerowych. System zabezpieczeń esafe poddaje inspekcji całość ruchu sieciowego i blokuje ataki robaków. Ustawienia konfiguracyjne dotyczącej tej funkcji znajdują się w sekcji Works/TCP Exploits. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 14
Jednymi z najgroźniejszych rodzajów zagrożeń aplikacyjnych są Trojany i KeyLogger. System zabezpieczeń esafe poddaje inspekcji ruch sieciowy i blokuje tego typu aplikacje. Sekcja "Email Security" umożliwia dostrojenie zabezpieczeń esafe w zakresie inspekcji zawartości poczty elektronicznej m.in. konwersji email HTML w zwykły tekst, usuwania linków HTML, standaryzacji formatu email, blokowania wiadomości email poddanych fragmentacji, przestrzegania standardów RFC i trybów kodowania i usuwania zniekształconych załączników. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 15
Konfiguracja kontroli przeciw spamom pocztowym AS składa się z sekcji podstawowej "Basic Anti-spam Service" i zaawansowanej Advanced Anti-spam. W sekcji podstawowej AS dokonywane są ustawienia kontroli wiadomości pocztowych na podstawie nagłówka email, poprawności serwera poczty, poprawności nadawcy/serwera w DNS oraz przeszukiwania określonych słów i wyrażeń. Konsola esafe posiada zdefiniowane bazy AS z możliwością ich rozbudowy. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 16
Sekcja zaawansowana AS umożliwia konfigurację różnych metod wykrywania spamów (m.in. sygnatury, analiza tekstu, klasyfikacja tekstu, kontrola przepływu, heurystyka, kategorie URL, znane URL spamów, analiza struktury wiadomości email) oraz reakcji systemu zabezpieczeń w sytuacji, gdy spam zostanie wykryty. Dodatkowo w konfiguracji AS dostępne są bazy adresów i kategorii URL specyficznych dla spamów pocztowych. Sekcja "Honey Pot" w konfiguracji AS umożliwia zdefiniowanie, zwykle fikcyjnych adresów email, których obecność w odbieranych wiadomościach pocztowych wskazuje na spam. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 17
Konsola graficzna systemu zabezpieczeń esafe umożliwia precyzyjne dostrajanie konfiguracji AS m.in. poprzez definiowane list i wyjątków. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 18
Przegląd zawartości oraz obsługa kwarantanny. W systemie zabezpieczeń esafe utrzymywane są kwarantanny dla wirusów (złośliwego kodu) oraz oddzielnie dla spamów pocztowych. Konfiguracja alarmowania administratorów oraz powiadamiania użytkowników po nieprawidłowościach (np. nadawców i odbiorów poczty o wykrytych wirusach). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 19
Na bieżąco aktualizowane informacje nt. najnowszych wirusów, jakie się pojawiły i mogą stanowić zagrożenie. Konsola econsole Manager na żądanie administratorów generuje raporty z pracy zabezpieczeń AV. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 20