Detekce a prevence útoků
IPS v Kerio Control
Kerio Control, zařízení pro unifikované zabezpečení sítí, obsahuje též systém pro analýzu signatur paketů známý jako Detekce a Prevence útoků (IPS). IPS transparentně monitoruje příchozí i odchozí síťovou komunikaci a je schopen detekovat nebezpečné aktivity. V závislosti na závažnosti každé aktivity může Kerio Control tuto komunikaci zaznamenat nebo zablokovat.
Systém je vytvořen k ochraně serverů za firewallem před neautorizovanými spojeními, která většinou vytvářejí roboti v internetu nebo hackeři ve snaze zneužít dostupné služby. Systém IPS též chrání uživatele před nechtěným stažením nebezpečného obsahu nebo malware, případně zmírňuje následky kompromitace systému.
Bezpečnost serverů
V mnoha případech jsou servery umístěny za firewallem a pouze určité služby jsou otevřené příchozím spojením. V závislosti na typu nabízené služby (například SQL server) firewall nemusí být schopen kontrolovat aktuální výměnu informací mezi serverem a klientem. Firewall je primárně zodpovědný za sestavení spojení bez možnosti povolit jakákoliv zadní vrátka k ostatním službám na serveru. Tento scénář nasazení nepokrývá situaci, kdy je útok veden vysláním požadavku nebo příkazu, který zneužije slabé místo v software serveru.
Pravděpodobně nejznámější příklad tohoto typu útoku se objevil v roce 2001, kdy byl vypuštěn červ útočící na webové servery Microsoft Internet Information Server. Červ nazvaný „Code Red“ byl naprogramovaný tak, aby posílal série příkazů přes službu http. Tyto série příkazů mohly způsobit přetečení zásobníku v paměti serveru. To pak útočníkovi dovolilo nahrát či spustit škodlivý kód na serveru. Část tohoto kódu ihned poté velmi rychle rozeslala sama sebe na další servery s běžícím Microsoft IIS. Tento specifický útok způsobil nedostupnost služeb napadeného serveru.
Přidání vrstvy prevence útoků (IPS)
Pro ochranu serverových aplikací před útoky tohoto typu je kriticky důležité udržovat serverový software aktuální. Výrobci pravidelně aktualizují svůj software kvůli odstranění slabých a zneužitelných míst. V některých případech ovšem nelze tuto aktualizaci provést nebo ještě není od výrobce k dispozici. Přidáním systému prevence útoků (IPS) získáte další bezpečnostní vrstvu pro ochranu před útoky typu „Code Red“.
Systém IPS je založen na databázi signatur, které používá k identifikaci známých typů útoků. Bez interpretace komunikace mezi klientem a serverem systém IPS vygeneruje signaturu síťového spojení a tu zkusí vyhledat v lokální databázi. Tato architektura ochrany je vysoce efektivní v boji proti útokům různých červů.
Ostatní typy útoků mohou být následující: zjišťování hesel metodou brutální síly, distribuovaný DoS, skenování portů nebo násilné převzetí sestavených spojení. Tyto typy útoků obecně zahrnují pokusy o získání informací o použitém serverovém software a jeho výrobci. S těmito znalostmi pak útočník může snáze vyhledávat slabá místa serverového software a získat neautorizovaný přístup do systému, kde pak může provádět zlomyslné akce, které vedou k vyřazení serveru z funkce. Ve všech těchto případech bude IPS systém upozorňovat administrátora na podezřelé chování a blokovat jakoukoliv komunikaci známou jako útok na servery chráněné firewallem.
Zmírnění účinků trojských koní, červů, spyware a dalšího malware
Kromě zneužití dostupných služeb zákeřnými aplikacemi existují i další cesty, jak napadnout operační systém. Jedním z nejčastějších postupů útočníků je rozšířit nějakou aplikaci jako volně stažitelný soubor. Uživatel je oklamán a malware se instaluje během instalace jiné aplikace nebo jednoduše přístupem na webové stránky, které obsahují skript, jenž spustí instalaci malware. Tyto aplikace nemusí být pro uživatele viditelné, ale mohou být naprogramovány tak, že zveřejní citlivé firemní informace nalezené na infikovaném počítači. Též mohou ponížit výkon serveru nebo způsobovat pády aplikací. A protože tyto programy se tváří jako legálně nainstalované, nemusí je odhalit antivirový software.
Systém prevence útoků je schopen rozpoznat systémy napadené tímto typem aplikací. IPS může identifikovat, že uživatel nevědomky stahuje nechtěnou aplikaci a může toto spojení ukončit, čímž zabrání úspěšnému stažení souboru do uživatelova počítače. V případě, že je do sítě zapojen již infikovaný počítač, je systém IPS schopen identifikovat a blokovat aktivitu instalovaného malware. Systém IPS v Kerio Control spolupracuje s firewallem a filtrem obsahu na obraně proti rozšíření malware v síti.
Architektura
(1) Umístění.
Typicky se systém detekce útoků (IDS) umisťuje na takové místo v síti, kde je schopen přijímat všesměrová vysílání všech síťových aktivit. Systém prevence útoků (IPS) musí být umístěn na síťové bráně, obvykle na firewallu nebo routeru, který zodpovídá za IP komunikace mezi různými síťovými segmenty a internetem. Jinými slovy, přenosy směrované přes firewall mezi chráněnými sítěmi av Internetem budou chráněny systémem IPS v Kerio Control.
(2) Analýza paketů.
Jako základ skenovací technologie je v Kerio Control integrovaný paketový analyzátor založený na Snort. Snort je open source IDS/IPS systém, který transparentně skenuje všechnu síťovou komunikaci a je základem pro začlenění zákaznických pravidel. Více informací naleznete na adrese www.snort.org.
(3) Databáze.
Kerio Control implementuje sadu pravidel spravovaných projektem zvaným Emerging Threats. Každé pravidlo je digitálně podepsáno pro zajištění autenticity aktualizací jako obrana před neodbornou manipulací. Pravidla jsou vytvářena díky mnohaletým příspěvkům IT profesionálů a jsou průběžně aktualizována. Více informací naleznete na www.emergingthreats.net.
Systém prevence útoků v Kerio Control poskytuje tři různé reakce v závislosti na závažnosti útoku:
- Nízká závažnost: (žádná akce)
- Střední závažnost: (zaznamenat)
- Vysoká závažnost: (zaznamenat a zahodit)
Toto jsou přednastavené hodnoty, které je pochopitelně možno měnit dle potřeb zákazníka. Každé pravidlo též určuje závažnost útoku. Pravidla pro vysokou závažnost s největší pravděpodobností popisují aktuální útok na síť. Příkladem může být detekce síťové aktivity trojského koně. Události střední kategorie jsou definovány jako nebezpečně a potenciálně škodlivé, ale s jistou pravděpodobností může jít o legitimní aktivity, například spojení na standardním portu ale používající nestandardní protokol. Útoky nízké závažnosti mohou být považovány za podezřelé aktivity, které ale neškodí přímo, například skenování portů.
Blacklisty IP adres
Databáze pravidel síťových aktivit je v Kerio Control doplněna databází IP adres, které jsou explicitně blokovány pro jakýkoliv přístup skrz firewall. IP adresy obsažené v databázi jsou známé jako původci určitých typů útoků. V mnoha případech byly tyto IP adresy přiřazeny legitimním společnostem, ale byly zneužity pro nelegální aktivity jako je například distribuce spamu. Tato databáze IP adres se získává z různých zdrojů v internetu a je spravována organizacemi jako je Dshield nebo Spamhaus. Tyto seznamy jsou uloženy lokálně a automaticky aktualizovány.
Falešná pozitiva a výjimky
Technologie detekce útoků není zcela bezchybná. Podobně jako v detekci spamu je normální zaznamenat určité malé procento falešných pozitiv. Jinými slovy, korektní síťová komunikace, která splňuje popis v pravidlech, může být chybně identifikována. Je proto nezbytně nutné vytvořit jednoduchý postup pro vytváření výjimek z databáze pravidel.
Jak doladit systém IPS
- Prohlédněte záznam „Security“. Jakákoliv komunikace blokovaná jádrem systému IPS je zaznamenána do záznamu „Security“. Detaily každé události včetně ID pravidla jsou v záznamu. Pokud uživatel hlásí problém se spojením konkrétní aplikace na povoleném portu, je doporučeno prohledat záznam „Security“ pro případné chybně vyhodnocená útoků.
- Ověřte, zda aplikace není kompromitována. Pokud je komunikace určité aplikace blokována systémem IPS, musí být aplikace přezkoumána, zda není kompromitována a zda se skutečně chová legitimně.
- Vytvořte výjimku. Pokud chcete vytvořit výjimku z databáze pravidel, vezměte ID pravidla ze záznamu „Security“ a přidejte na seznam ignorovaných pravidel v pokročilém nastavení IPS.
Správa aktualizací
Podobně jako viry jsou každý den rozpoznány nové a nové útoky. Proto je nutné zajistit pravidelnou aktualizaci databáze pravidel. Kerio Control kontroluje aktualizace jednou denně, ale může být též nastavena kontrola každou hodinu.
Základní pravidla IPS
Vestavěná hloubková paketová inspekce v Kerio Control se chová jako další vrstva obrany díky transparentnímu monitorování specifických protokolů, zda všechny pakety splňují specifikaci. Taktéž filtruje nebezpečný obsah, který nemohl být rozpoznán databází pravidel. Jako doplněk v blacklistu a databázi pravidel kombinuje Kerio Control celou řadu automatických vlastností k posílení schopnosti prevence útoků:
- Peer-to-peer eliminátor. Pokud je povolen, monitoruje spojení přes určité porty a identifikuje a blokuje aktivitu známých P2P aplikací, které často slouží k distribuci malware.
- Blokování nepovolených binárních dat v HTTP. Jako součást paketové inspekce firewall zabraňuje použití nepovolených binárních dat v http spojeních.
- Filtr zranitelnosti GDI+JPEG. Speciálně upravený obrazový soubor JPEG může způsobit přetečení zásobníku v nezáplatovaném operačním systému Windows. Kerio Control rozpozná a zablokuje přenos tohoto specifického souboru.
- Certifikační testování ICSA Labs. Jako součást ICSA Labs certifikace musí Kerio Control průběžně plnit množství bezpečnostních auditů.
[
Více...]
Shrnutí
Prevence útoků je vysoce sofistikovaná technologie založená na velké množině různých pravidel. Každá síť je unikátní, stejně tak bychom se mohli přít o přesný význam termínu „útoků“. Systém IPS vestavěný v Kerio Control je navržen tak, aby blokoval útoky tak přesně, jak to jen jde, a to při zajištění optimální úrovně síťové propustnosti.
Kerio Control Web Filter
Kerio Control Web Filter je bezpečnostní služba, která správcům sítí umožňuje omezit webové stránky a internetové služby, ke kterým mají uživatelé přístup.
Tento výkonný filtr:
- Chrání uživatele a infrastrukturu tím, že zamezuje navštěvování známých zákeřných stránek nebo stránek, ze kterých dochází k phishingovým útokům nebo krádežím identity.
- Blokuje problematické stránky pro zajištění souladu s pravidly a vaši ochranu před vznikem odpovědnosti.
- Zvyšuje produktivitu práce omezením přístupu ke stránkám s určitou kategorií obsahu v konkrétních časech, pro konkrétní uživatele nebo konkrétní skupiny uživatelů.
S Kerio Control Web Filter můžete blokovat/povolovat stránky na základě kategorie jejich obsahu. Kerio Control Web Filter průběžně aktualizuje svůj seznam čítající více než 6 miliard stránek, které řadí do více než 141 kategorií, takže nemusíte průběžně sledovat nové stránky nebo změny stávajících stránek. Kerio Control Web Filter udělá tuto práci za vás.
Kerio Control Web Filter je součástí hardwarových zařízení Kerio Control Box a je dostupný jako volitelný doplněk pro Kerio Control nainstalovaný jako software nebo virtuální zařízení.
S Kerio Control Web Filter můžete selektivně blokovat více než 141 kategorií webového obsahu:
-
PORNOGRAFIE / NAHOTA - Fotografie zneužívání dětí, Nahota, Pornografie
-
OBJEDNÁVKY - Aukce a tržiště, Katalogy, Kupóny, Marketingové služby, Online reklama, Online obchody, Recenze produktů a srovnání cen
-
SPOLEČNOST / VZDĚLÁNÍ / NÁBOŽENSTVÍ - Potraty, Potraty - argumenty pro, Potraty - argumenty proti, Ateismus a agnosticismus, Biotechnologie, Vzdělávací instituce, Vzdělávací materiály a studium, Homosexuálové, lesby a bisexuálové, Státem podporované organizace, Právo, politika, zákony, Vojenství, Příroda a její ochrana, Netradiční náboženství a okultismus, Filantropické organizace, Fyzická ochrana, Náboženství, Domovy důchodců a pečovatelské služby, Sexuální výchova a těhotenství, Školní taháky
-
KRIMINÁLNÍ AKTIVITY - Internetové roboty (botnety), Centra řízení a kontroly, Kriminální aktivity, Hacking, Pirátství a porušování autorských práv
-
EXTRÉMY - Nenávist, Rouhání, Násilí
-
ZÁBAVA / KULTURA - Architektura a stavitelství, Umění, Animované filmy a komiksy, Bulvární zprávy a stránky celebrit, Zábavní podniky a akce, Humor, Stránky pro děti, Hudba, Sdílení fotografií, Televize a filmy, Elektornické pohlednice
-
INFORMACE / KOMUNIKACE - Komunitní diskusní fóra, Soutěže a průzkumy, Chat, Vyhledávání obrázků, Zasílání rychlých zpráv, Internetová telefonie a VOIP, Přihlašovací stránky, Mobilní telefony, Zprávy, Online správa informací, Portálové stránky, Průvodci a mapy, Nevhodné pro děti a mládež, Vyhledávače, Textové zprávy a SMS, Překladač, E-mail, Portály typu Wiki
-
IT - Anonymizér, Servery poskytující obsah, Informační bezpečnost, Osobní úložiště dat, Přesměrování (Redirect), Vzdálený přístup, Software, hardware a elektronika, Technologie (obecně), Webhosting, poskytovatelé internetového připojení a telekomunikace
-
DROGY - Alkohol, Ilegální drogy, Marihuana, Tabákové výrobky
-
ŽIVOTNÍ STYL - Zemědělství, Astrologie a horoskopy, Seznamování, Móda a krása, Fitness a rekreace, Stravování a restaurace, Koníčky a volný čas, Bytový a kancelářský nábytek, Dům, zahrada a rodina, Literatura a knihy, Výživa a diety, Parky, sportovní a rekreační zařízení, Zvířata a domácí mazlíčci, Závislost a svépomoc, Sociální a přidružené organizace, Bojové sporty, Sportovní lov, Sport, Plavky, Hračky, Cestování
-
OSOBNÍ STRÁNKY - Osobní stránky a blogy, Privátní IP adresy
-
FINANCE / INVESTICE - Bankovnictví, Finance (obecně), Pojištění, Online finanční kalkulačky a nabídky, Online obchod s akciemi, Reality
-
LÉKAŘSTVÍ - Zdraví a medicína, Farmacie, Doplňky stravy
-
SPAM - Phishing / zneužití identity, Spam
-
ZÁKEŘNÉ PROGRAMY (MALWARE) - Napadené stránky, Zákeřné programy (malware), Distribuce zákeřných programů (malware), Spyware a software pochybného původu
-
BYZNYS - Advokátní a obchodní asociace, Obchody a služby (obecně), Ruční výroba, Zasilatelství a logistika
-
PRO DOSPĚLÉ - Nevhodné pro děti, Spodní prádlo, vyzývavé a erotické prádlo, Sex a erotika
-
STAHOVÁNÍ - Úložiště souborů, Peer–to–peer (P2P) sítě, Streaming a zvukové soubory ke stažení, Streaming a videosoubory ke stažení, Repozitáře torrentů
-
RŮZNÉ - Stránky bez obsahu, Zaparkované domény, Nedostupné stránky, Různé
- HAZARDNÍ HRY
- HRY
- NABÍDKY ZAMĚSTNÁNÍ
- MOTOROVÁ VOZIDLA
- ZBRANĚ
- SOCIÁLNÍ SÍTĚ
- PROFESNÍ SOCIÁLNÍ SÍTĚ
- PLACENÉ BROUZDÁNÍ PO INTERNETU
[
Více...]