Behatolás detektáló- és megelőző rendszerek, avagy a McAfee IntruShield IDS/IPS rendszere Általánosságban véve az Intrusion Detection System (IDS) behatolás detektáló rendszer egy szoftver vagy szoftver/hardver kombináció, amely felderít és reagál a fellépő behatolásokra, melyek a védett hálózat felé irányulnak. A behatolás detektálás és védelem Intrusion Detection, Prevention System (IDS/IPS) a jogosulatlan hálózati hozzáférések felderítésére illetve az azokra történő reagálásokra hivatott, megelőzve így az illetéktelen használatot a károkozást, és a hálózati rendszerek feltörését. Az IDS/IPS rendszer detektálja, felderíti és válaszokat küld a hálózati- és rendszerbehatolásokra. Az IDS/IPS rendszer kiegészíti a tűzfal illetve antivírus szoftverkörnyezetet és a mélyreható hálózati forgalom vizsgálati képességével képes analizálni a hálózati támadásokat, amelyeket egy tűzfal a beágyazott forgalom során a tűzfal normál adatforgalomnak ítél meg. A McAfee IntruShield IDS/IPS rendszere kombinálja a nagyteljesítményű hálózati szenzor berendezést a legújabb generációjú felderítési technikával, hogy a leggyorsabb csomag ellenőrzésre legyen képes valós időben. Ha az eszköz rosszindulatú tevékenységet észlel, a McAfee IntruShield különböző válaszokat tud adni a támadásra, ezek a válaszok kezdve az esemény naplózásától, az eseményre történő üzenetküldésen át, egészen a támadó csomag eldobásáig terjedhet, így megakadályozható azt, hogy a behatoló elérje a kritikus célpontját. Megannyi gyártó IDS/IPS rendszere szoftveres alapokon és PC nyugszik nem egy közülük egyportos kiépítésű. Az McAfee IntruShield szenzorok egy új generációs eszközök, amelyek teljesítményre és magas számító kapacitásra lettek kifejlesztve, amellyel a behatolás megelőzése „real-time” módon kivitelezhető. A McAfee IntruShield egy nagy teljesítményű, skálázható hibátlanul felderítő hardver eszköz, amellyel az ismert és ismeretlen támadások felderíthetőek. A McAfee IntruShield szenzornak több, különböző kiépítése létezik, rajta egy real-time operációs rendszer fut, hardvergyorsítással, amellyel flexibilis módon helyt tud állni a nagyvállalati környezet által deklarált követelményeknek.
Mire képes a McAfee IntruShield IDS/IPS? o Megbízható érzékelés és valós idejű megelőzés egyetlen platformon o Felismeri a potenciális fenyegetéseket Ismert és ismeretlen támadások széles körű érzékelése Titkosított támadások felderítése VoIP fenyegetések és sebezhetőség Fejlesztett minta alapú-, anomália-, és DoS érzékelés (DoS, DDoS és SYN alapú támadások) Titkosított és VLAN csatornák nagy teljesítményű vizsgálata Spyware, Cyber-támadások és malware-ek elleni védelem Finoman szabályozható biztonsági szabályok kikényszerítése, akár integrált tűzfal modullal is Skálázható rendszer, sokféle telepítési lehetőséggel Hálózati férgek, Trójai férgek elleni védelem Instant Messaging és Peer-to-Peer applikációk védelme Adware és más potenciálisan nem kívánatos programok (PUP) o Integrált hálózati és hoszt alapú IPS megoldás (In-line, Tap, SPAN, Port clustering, HA) o Beazonísthatóvá teszi a kompromittált rendszereket o Lerövidíti az probléma illetve támadásra szánt elháírtási időt o Így: megállítja a támadást mielőtt azok fel tudnának lépni! 2.
Hogyan Képes erre a McAfee IntruShield IDS/IPS? A McAfee IntruShield-nek van jelenleg a piacon olyan hatékony és szofisztikált támadás felderítő rendszere ami egyedülállóvá teszi a versenytársaival szemben. A McAfee IntruShield rendkívüli pontosságú detektáló rendszere használja a szignatúra alapú detektáló módszert, amely szisztematikusan pásztázza a hálózati forgalmat figyelve és összehasonlítva azt a szignatúra patternekkel amelyek az ismert támadásokra illeszkednek. Ez a metódus nagyon hatékony az ismert és dokumentált támadások ellen, de nem képes felismerni az úgynevezett “Zero Day” támadásokat. Ebben nyújt egyedülálló segítséget a McAfee Anomália detektáló, meghatárózó és kivédő rendszere. Amely képes a normál működésű hálózati forgalomból kiszűrni az ismeretlen illetve a “Zero Day” támadásokat. A McAfee IntruShield az egyetlen olyan IPS a mai piacon amely eredményesen tudja integrálni ezen felderítő metódusokat egyetlen eszközben úgy, hogy egyedülállőan hatékony védelmet nyújt a fenyegetések és sérülékenységek széles spektruma ellen. A McAfee az alábbi teljeskörű védelmet szolgáltatja a hálózati IDS/IPS platformon: • Szignatúra alapú vizsgálat • Stateful alapos csomag vizsgálat • Anomália vizsgálat o Protokoll Anomália vizsgálat o Applikáció Anomália vizsgálat o Viselkedési Anomália vizsgálat
Milyen reakciói vannak a McAfee IntruShield IDS/IPS-nek? A “Passzív” módozatú McAfee IDS szenzorok alaphelyzetben csak elkapják, ún. sniffelik a hálózati csomagokat, és továbbítják a cél felé, és naplóbejegyzést generálnak. De a „Reaktív” McAfee IPS szenzorok képesek a fellépő hálózati behatolásokra reagálni, pl.: a kérdéses felhasználót kiléptetni a rendszerből, illetve a megfelelő tűzfalrendszert újraprogramozni, amellyel a támadót eliminálni lehet a rendszerből. Ahhoz hogy az IPS, avagy a preventív funkcionalitásokat ki tudjuk aknázni, ajánlott, hogy a McAfee IPS szenzor a hálózati adatforgalomba legyen elhelyezve.
A legszélesebb körű támadás elleni védelem!
9 Ismert támadások 9 Mutációs Ismert támadások 9 Ismeretlen támadások 9 DoS támadások 9 Szabályrendszer áthágás Támadás érzékelés megelőzés az IntruShield Rendszerrel A McAfee IntruShield IDS/IPS rendszere az egyetlen átfogó hálózati alapú IPS megoldás amely képes az felhasználónak, hogy detektálni tudja az ismert- (szignatúra használatával) és az új/ismeretlen (használva az anomália detektáló technológiát) és Szolgáltatás 3.
Megtagadás (DoS, DDoS) támadásokat, mindezeket a hibrid algoritmusok és statisztikai és heurisztikus metódusok segítségével. Hálózati adatforgalom felderítés a McAfee IntruShield-del túlmutat az egyszerű string matching metóduson, mint ahogy azt a konkurens gyártók képesek kezelni! A McAfee IntruShield szenzor analizálja, érvényesíti és kiértékeli a csomagforgalmat a teljes adatforgalom tekintetében. A McAfee IntruShield szenzor magas teljesítménnyel képes a IP darabolásra és újraillesztésre, és TCP folyam újraszerkesztésre, alapos protokoll analízissel egészen az applikációs layer-ig. A szignatúra motor az adatfolyamban alaposan analizálja a OSI Layer 2 szinttől egészen a OSI Layer 7-es szintig, ezen analízis közben ellenőrzi, hogy a forgalmazott csomag megfelelő az adott protokoll specifikációnak vagy sem. Ezután átadja a csomagot a DoS, Szignatúra és az Anomaly detektáló rendszernek. Mindezen folyamatok olyan hardver gyorsítással támogatottak, hogy a McAfee IPS termékei a piacon a legmagasabb teljesítményt nyújtják. Abban az esetben ha a motor behatolást érzékel, akkor riasztást küld szenzoron futó Managenemt processznek, amely elvégzi a megfelelő –a központi policyn alapuló- reakciót, és további riasztást küld a Központ IntruShield Manager Platformra. Ha a McAfee IntruShield szenzor „In Line” (lásd később) módba van kötve képes a teljes támadást megakadályozni, ily módon a támadó nem éri el célját.
A McAfee IntruShield platformja A McAfee IntruShield IDS/IPS rendszere egy Speciális Hardver alapokon nyugvó beágyazott rendszer amelynek ASICs a neve. Ezen beágyazott rendszereknek köszönheti a piacvezetően magas átviteli teljesítményét és sebességét mind normál módú feldogozásnál mind SSL alapú feldogozások során is. A McAfee IntruShield IDS/IPS alatt egy real-time operációs rendszer a VxWorks fut. A piacvezető elismeréseket az alábbi fórumok igazolják: Market-share Leader IDC (2004), Infonetics (4Q’03, 1Q’04, 2Q’04,3Q‘04). Technology Leader Gartner (2004),Frost & Sullivan (2004) Proven Deployment Leader Most IPS Customer, Largest IPS Deployments
A McAfee IntruShield architektúra felépítése A McAfee IntruShield architektúra három nagy komponensből, a IntruShield Managerből, a web bázisú kliensével (GUI) és az IntruShield szenzorból és IntruShield Update Server-ből (a McAfee központjában) áll. További komponense még az adminisztrációs web kliens gép. Az McAfee IntruShield szenzor az alábbi fő részekből áll: a Packet Capture részből, a Stateful Analysys module, Detection Correlation module, Intrusion Prevention module, az Encrypted Attack Detection-ból Hardver Acceleration modulból, és Virtualizációs egységből.
4.
A IntruShield szenzor és a Manager szerver között Secure Channel kommunikáció van kiépítve. Maga az IntruShield Manager öt fő logikai komponensből áll, így környezet konfiguráció, ahol a profile-okat, az IPS tartományokat és a biztonsági házirendeket lehet kezelni, threat adatbázis itt vannak eltárolva a IPS szignatúrái, forensic analysis ezen modulban végzi IntruShield Manager szoftver a naplózást, riasztási kiértékelést, és a riportolást. További logikai komponense még az IntruShield Manager rendszernek a Data Fusion modul ahol a anomália számításhoz kapcsolódó aggregációs és korrelációs feladatokat végzi el. A Response System alrendszer felelős a fellépő behatolásokra történő megfelelően szabályzott módokon deklarált reakciók ellátására. Maga az IntruShield Manager biztonságos SSL alapú kapcsolatban áll az IntruShield Update Serverrel, amely a McAfee központi szerverfarmjában található, acélból, hogy a letölthesse a szükséges frissítéseket az McAfee IntruShield rendszerhez. Illetve maga az adminisztrátor, aki a konfigurációk elvégzése céljából ismételten a Manager rendszerre csatlakozik a saját gépéről a böngészőjének SSL alapú kapcsolata segítségével. A IntruShield Manager mögött egy MySQL adatbázis dolgozik. Az IntruShield Manager úttörő módon képes proaktív értesítést küldeni új minta adatbázis kiadásakor, amelyet automatikusan le tud tölteni a McAfee szerveréről, és a meghatározott házirendnek megfelelően alkalmazza ezeket a szenzorokon. Ismételten felhívandó a figyelmet a hatékony McAfee Manager és szenzor együttműködésre, a frissített adatbázist a rendszer a szenzor leállítása nélkül (!)képes érvényre juttatni. Az IntruShield Manager hatékony felületet biztosít arra, hogy a mind az eszközök menedzselését, az online adatok vizsgálatát illetve a riportok elkészítését elvégezhessük. A valós idejű konzollal szinte látható az adathálózat forgalma, a riasztásokkal nyomonkövethető az események lezajlása. Egyedülállóan jól szervezett, átlátható eszközt biztosít arra, hogy mindig a fontos és releváns információkat tudja szolgáltatni a felhasználó 5.
számára. A McAfee IPS/IDS konfigurációs feladatok, illetve a technikai- és vezetői szintű riportolási feladatok (események, trendjelentések) az IntruShield Managerrel testreszabottan elvégezhetőek. Az IntruShield Manager attól függően, hogy hány eszközt menedzsel megkülönböztetünk, Starter 2 eszköz menedzselésére alkalmas, IntruShield Manager-t amely 6 eszköz, és IntruShield Global Manager-t amely korlátlan McAfee IDS/IPS eszköz kezelésére szolgál. Az alábbi ábra segítségével áttekintést kaphatunk a McAfee IntruShield eszközök tagozódásáról. A teljesítménye alapján Small Business kategóriába sorolható az IntruShield Család 1200 és 1400-as tagja, a 2700 és 3000-es eszköz már a nagyvállalati igényeknek is meg tud felelni. A 3000 –től nagyobb kategóriájú IDS/IPS rendszerek nagyvállalati gerinchálózat felügyeletére, illetve szolgáltató adathálózat védelmére alkalmas teljesítményt tudnak szolgáltatni. Mindegyik McAfee IntruShield eszközről nagyon fontos megjegyezni, hogy a feltűntetett teljesítmény adatai valós értéken alapulnak, azaz effektíve ezzel az adattal kell számolni a méretezés során. Ezen teljesítmény adatok a McAfee kompetitív társaiénál jóval komolyabb értéket reprezentálnak. A belépő szintű IntruShield 1200 és az IntruShield 1400 eszköz költséghatékony megoldást jelent egy közepes vállalat számára. A 100 és 200 MegaBites effektív sávszélesség érhető el, az IntruShield 4010 2GigaBites teljesítményével és 12 Gigabites portjával élenjáró a IDS/IPS piacon. Az IntruShield 2700 –tól kezdődően lehet Gigabites interface-t (GBIC) csatlakoztatni az eszközökre. Az újabb típusú SFP GBIC-ek az IntruShield 3000 és a 4010 IntruShield eszközökbe illeszthetőek. Az SMB szintű eszközök, így az IntruShield 1200 és IntruShield 1400 alap konfigurációban „fail open” beállításúak, tehát egy fellépő meghibásodás esetén a rajtuk átfolyó forgalmat zavartalanul továbbengedik; nem így a IntruShield termékcsalád további tagjai az IntruShield 2700 és nagyobb eszközök alapértelmezetten „fail close” módban üzemelnek, az előző analógiát folytatva, hiba esetén a továbbítandó forgalmat elzárják. Mindezen konfigurációk az „In Line” hálózati bekötés során relevánsak. A McAfee IntruShield rendszere a „response port”-on keresztül képes további hálózati aktív elemek konfigurációjára szabványos módon, itt megjegyzendő, hogy megfelelően beállított IntruShield IDS/IPS rendszerkörnyezet képes OPSEC platformon kommunikálni tűzfalakkal, tipikusan a Check Point © tűzfal rendszerével, acélból, hogy a rosszindulatú támadót hatástalaníthassa. Az alábbi táblázat tartalmazza a jelenleg elérhető IPS szenzorokat, és azok tulajdonságait (beleértve az új M-series szenzorokat is):
Hardware Type Type Network Location Performance Performance Concurrent connections Ports 10 Gigabit Ethernet 1 Gigabit Ethernet Fast Ethernet Fast Ethernet response port Fast Ethernet
M-8000 Core
M-6050 Core
I-4010 Core
I-4000 Core
I-3000 Core
I-2700 Perimeter
I-1400 Branch Office
I-1200 Branch Office
Up to 10 Gbps 4.000.000
Up to 5 Gbps 2.000.000
Up to 2 Gbps 1.000.000
Up to 2 Gbps 1.000.000
Up to 1 Gbps 500.000
Up to 600 Mbps 250.000
Up to 200 Mbps 80.000
Up to 100 Mbps 40.000
12 16 1
8 8 1
12 2
4 2
12 2
2 6 3
4 1
2 1
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
6.
management External Fil-open control port Console and aux port Fail-open Fail-close Mode of Operation Span port monitoring Tap mode In-line mode Port Clustering No. of virtual IPS systems Trafic monitoring of A / A links Trafic monitoring of A / P links Monitoring of asymmetric routing High Availability Redundant power Device failure detection Link failure detection Physical Dimensions
14
8
6
2
6
1
-
-
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Optional Yes
Optional Yes
Optional Yes
Optional Yes
Optional Yes
Yes, for FE Yes
Yes Yes
Yes Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Optional Yes Yes 1.000
Optional Yes Yes 1.000
Optional Yes Yes 1.000
Optional Yes Yes 1.000
Optional Yes Yes 1.000
Yes, for FE Yes Yes 100
Yes Yes Yes 32
Yes Yes Yes 16
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Optional Yes
Optional Yes
Optional Yes
Optional Yes
Optional Yes
Optional Yes
No Yes
No Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
2 x 2RU rack mountable 2 x 450W
2RU rack mountable
2RU rack mountable
2RU rack mountable
2RU rack mountable
2RU rack mountable
1RU rack mountable
1RU rack mountable
450W
350W
350W
350W
250W
100W
100W
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
Yes Yes Yes
5.000
5.000
5.000
5.000
300
120
100
Power consumption Software Stateful traffic inspection IP defragmentation Yes and TCP stream reassembly Detailed protocol Yes analysis Asymmetric traffic Yes monitoring Protocol Yes normalization Advanced evasion Yes protection Forensic data No collection Protocol tunneling Yes Protocol discovery Yes Stacked VLAN Yes Signature detection User-defined Yes signatures Real-time signature Yes updates Anomaly detection Statistical anomaly Yes Protocol anomaly Yes Application anomaly Yes DoS detection Threshold-based detection Self-learning profilebased detection Maximum DoS 5.000 profiles Intrusion prevention
7.
Stop attacks in Yes progress in real time Drop attack Yes packets/sessions Host Quarentine Yes Initiate TCP reset, Yes ICMP unreachable Packet logging Yes Automated and Yes user-initiated prevention Encrypted attack protection Stops encrypted No attacks in real time Internal firewall Blocks unwanted Yes and nuisance traffic Granular security Yes policy enforcement High Availability Stateful failover Yes Management Command line interface (console) Manager communication
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
Yes Yes
No
Yes
Yes
Yes
Yes
No
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes, for FE ports
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Secure channel
Secure channel
Secure channel
Same for all models
Same for all models
Same for all models
Same for all models
Same for all models
McAfee IntruShield eszközök, teljesítményük, IDS/IPS funkcionalitásuk és portkiosztásuk
Működés, üzembe helyezés A McAfee IntruShield IDS/IPS rendszerét a funkcionalitásának, illetve a lehetőségeknek megfelelően különbőző módon lehet üzembe helyezni. Az alábbi áttekintő ábra segítséget nyújt ebben. Alapvetően 4 különböző fajta bekötési módja lehet a McAfee IntruShield IDS/IPS rendszernek. Mindazon túl, hogy a McAfee IDS/IPS rendszer képes ezen hálózati módozatú működésre alkalmas még OPSEC (Open Platform for Security) funkcionalitási lehetőségének kihasználásával további OPSEC eszköz kezelésére, vezérlésére. Jó példa erre, hogy ezen OPSEC illesztésen keresztül képes a McAfee IntruShield IDS/IPS rendszer a Check Point tűzfal konfigurációjára és a policy végrehajtására. Az alábbi bekötési módozatokat támogatja:
8.
“In Line” módú bekötés Ahogy a magyarázó ábrán is nyomonkövethető, az IN LINE bekötés során a McAfee IntruShield IPS rendszer az adatforgalomban van elhelyezve, így átfolyik rajta a teljes hálózati adatforgalom. Az “In Line” bekötés a hálózati biztonsági megvalósítás legprecízebb változata, hisz csak így lehet az eszköz teljes preventív (IPS) funkcionalitását kihasználni. Ebben az esetben már nem IDS-ről, inkább IPS-ről beszélünk. Az alábbi megvalósítás erősen javasolt, hiszen a támadásoktól teljeskörűleg ezen módú bekötéssel lehet megvédni a hálózatot. Fontos információ, hogy az összes InstruShield szenzor használható “In LINE” módban. Attól függően, hogy az esetleges szenzor hiba esetén az adatforgalmat az eszköz megszakítsa létezik úgynevezett “fail-open” és “fail-close” módozat, az előbbi a hiba fellépése esetén az adatforgalmat továbbítja, míg az utóbbi lezárja az adatcsatornát megakadályozván a kommunikációt. Mindezen kiépíteseknél alaposan figyelembe kell venni az adott vállalat házirendjét.
“SPAN” módú bekötés A normál megvalósítása az IDS megoldásoknak a SPAN (Switch Port Analyzer) típusú bekötési metódus. A SPAN mód, amely ismert még úgy nevezett SNIFFING néven is, ezen bekötés -ellentétben az „IN-LINE” bekötéssel szemben- nem képes a hálózati forgalomban zajló támadás megakadályozására. Ebben az esetben (SPAN Mód), a szenzor megkapja a teljes hálózat forgalom másolatát Ezen fajta beillesztést abban az esetben érdemes választani, amikor nincs mód arra, hogy az IPS funkcionalitás használassuk, illetve előnye még, hogy csekély konfigurációval egy IDS funkcionalitást kap a felhasználó, amelyet későbbi lépésben a rendszer átkonfigurálásával kihasználhatja az eszköz IPS funkcionalitását. További előnye lehet még a SPAN módú bekötésnek, hogy lehetőség nyílhat a „response” válaszadó port használatára, melynek használatával a McAfee eszköz vezérelni tud aktív hálózati elemeket.
Span Mód Normál bekötéssel
Span Mód Response port bekötéssel
“TAP” Módú bekötés A “TAP” Módú bekötés demonstrálja, hogy az adatforgalmi csomagok egy külső “TAP“ eszközön keresztül haladnak mindez egy external Fiber Tap-on keresztül GBIC portok esetében, vagy a normál 10/100 monitoring porton keresztül. Ebben a módozatban a szenzor monitorozza, sniffeli a csomagokat a hálózati szegmensben. 9.
Hátránya a “TAP” módú bekötésnek, ellentétben az “In Line” bekötéssel, nem tudjuk az eszköz IPS funkcionalitását kihasználni. Ahogy a “SPAN” Módú bekötés is a “TAP” módú bekötés is passzív módón alapvetően sajnos csak látja a rosszundulatú adatforgalmas és továbbítja azt. Mi is az a “TAP”? Olyan eszköz amelyen az adatkommunikáció akadálytalanul továbbhalad, és gyűjtőtt infromációkat továbbítja a szenzor felé. Habár a működése sokban hasonlít a “SPAN” Módú bekötéshez, a “TAP” módhelyett az “In Line” módú bekötés javallott.
“Port Clustering” módú bekötés A “Port Clustering” metódussal többszörös portokat lehet definiálni egy szenzorra, acélból, hogy több útvonalas hálózatokat logikailag egyként lehessen kezelni. Maga az IntruShield Manager “Interface Groups”nak hívja a “Port Clustering”-et. Akkor érdemes használni, amikor aszimetrikusan rútolt és vagy Load Ballancer-rel adaptált hálózatba kell az IDS/IPS illeszteni. Ilyen típusú aszimetrikus hálózatoknál a hálózati forgalom megoszlik több útvonalon, de a Port Clustering IPS módozatú kiépítésnél, sikeresen monitorozható a bonyolultabb hálózatok adatforgalma is. Összefoglalva, mikor ajánlatos ezen “Port Clustering” metódust használni? Abban az esetben ha a normál adatforgalom további útvonalakra oszlik, és minden interfész megkapná és analizálnia kellene a csomagforgalom egy részét ebben az esetben (“Port Clustering” hiányában) érzékennyé válhatna a szenzor a kommunikációs adatokra és “false positive” és “false negative” riasztásokat küldhetne. Ezen “Port Clustering” metódussal komoly kihívásoknak tud megfeleli a McAfee IntruShield IPS rendszere.
Funkcionális tulajdonságok Átfogó védelem A McAfee protokoll szintű védelmi stratégiájának része az IntruShield, mely átfogó behatolás megelőző megoldással rendelkezik és képes megvédeni mind a belső mind a külső hálózati infrastruktúrát a külső fenyegetettségektől és támadásoktól. Az átfogó védelmét kombinálja az egyedülálló fenyegetettség megelőző technológiákkal – titkosított támadás megelőzés és a belső tűzfal intergráció - ezáltal újra definiálja a behatolás megelőzést. Valósidejű titkosított támadások megelőzése – Az iparágban első és egyetlen hálózati IPS megoldás, amely védelmet nyújt mind a titkosítatlan (clear-text) mind a titkosított támadások ellen (pl.: kémprogramok által használt kommunikációs csatornák). Azok az információk, melyek megkövetelik az SSL titkosítást a természetükből adódóan kritikusak. Napjainkban dinamikusan nőnek a fenyegetettségek, a HTTP csak egy azon közkedvelt protokollok közül, melyeket a támadók számára teljes mértékben nyitottak, olvashatóak. Nem csak ez az egy jelentős indok arra, hogy a web szervereken lévő érzékeny adatokat megvédjük, bár a modern e-commerce megoldások tipikusan adatbázis kiszolgálón tárolják az információkat, melyek a hálózat központjában vannak. Az SSL-el 10.
védett infrastruktúra kritikus mivel nem csak a web szerverről származó adatot kell megvédeni, hanem azt a csatornát is, amely a megbízható belső hálózatba irányul. IntruShield áttörést jelent a behatolás megelőzés technológiában, biztosítja az átfogó védelmet mind a titkosítatlan (clear-text) mind a titkosított támadások ellen. Forradalmi képesség az SSL forgalom dekódolása és vizsgálata - mely kiterjeszti a hálózat biztonság hatósugarát – ezáltal képes a proaktívan észlelni és tiltani a titkosított fenyegetettségeket. •
SSL forgalomelemzés – Az IntruShield hardveresen gyorsított SSL elemzési technológiával rendelkezik, mely képessé teszi a szenzort az SSL adat folyamat másolására, dekódolására és elemzésére, ehhez a biztonságosan tárolt SSL privátkulcsot használja fel. Miután az SSL adatfolyamot titkosítatlan adatfolyamra konvertálja a szenzor a forgalmat megvizsgálja az IntruShield protokoll és alkalmazás anomália, statisztikai szolgáltatás megtagadás és szignatúra alapú motorja. Ha nem talál semmilyen veszélyt, akkor az eredeti titkosított adatfolyamot minimális késleltetéssel továbbítja.
•
SSL titkosított támadás megelőzés – Az IntruShield titkosított fenyegetettség védelme proaktívan tiltja a rosszindulatú csomagot melyet előtte támadásként detektált.
•
SSL biztonsági figyelmeztetés – Az IntruShield szenzor beállítható, hogy az SSL riszatás esetén az elfogott és titkosítattlan formában tárolt csomag másolatát az IntruShield Manager megkapja. Az elfogott csomagok a szenzor és a Manager között titkosított csatornán mennek át.
•
Egyedülálló SSL kulcs biztonság – Az SSL privát kulcsok védelme alapvető feladat. Biztosítani kell a kulcs bizalmasságát és sértetlenségét, a kulcs biztonságosan exportálható az IntruShield Manager-be titkosított formában. Az intruShield Manager a lokális tároláshoz újra titkosítja a privát kulcsot a szenzor nyilvános kulcsával. Amíg az SSL forgalom elemzést végzi, addig az IntruShield szenzor biztonságosan tárolja az SSL privát kulcsot a memóriában és biztosítja, hogy ezen kulcsnak dekódolt másolata ne lehessen a rendszerben.
Szignatúra, anomália és DoS vizsgálat – Az IPS képes a szignatúra, anomália és DoS alapú elemzés által az ismert, a „zero-day” valamint a szolgáltatás megtagadást célzó támadások kivédésére. Szignatúra alapú elemzés és megelőzés Az IntruShield szenzorok erőteljes szignatúra alapú elemzést végeznek, melyek pontos védelmet nyújtanak az ismert támadásokkal szemben (több mint háromezer IntruShield szignatúra). A támadások egyediségével kikerülhetőek a szignatúra alapú védelmek, de az IntruShield a támadások több variációját képes felismerni szignatúrafrissítés nélkül is. A McAfee IntruShield szignatúra alapú vizsgálatának jellemzője, hogy hálózati forgalom hatékony “string/pattern” kiértékelésének módozatán nyugszik, redukálva a false pozitív riasztásokat. • Állapottartó detektálás, használva a pontos szignatúrákat • “Multiple-string, multiple pattern” kontextus ellenőzrés a teljes protokoll dekódolás után • Felhasználó által készített szignatúrák • Real Time szignatúrafrissítés a teljes „up to date” védelem érdekében
11.
•
Erőteljes szignatúra alapú felismerő motor – IntruShield szenzor egy szabadalmaztatott erőteljes szignatúra alapú felismerő motort alkalmaz. Ez képessé teszi a környezetfüggő szignatúra alapú felismerésre, kihasználja az adat csomag állapotának információját, felhasználja a többszörös token illesztést és felfedezi a támadás mintáját, ha azt a csomag vagy a folyam tartalmazza.
•
Signatúra specifikus nyelv – IntruShield szenzorok szabadalmaztatott magas szintű szignatúra specifikus nyelvet alkalmaznak.
•
Valósidejű szignatúrafrissítés – IntruShield szenzorok egy újítás tartalmaznak, amely az automatikus szignatúrafrissítés. Ez egy automatikusan végbemenő folyamat, melyben az IntruShield Manager szoftver valósidőben leszedi a szignatúrafrissítéseket. A szabály alapú beállítások alapján ezeket a frissítéseket az IntruShield Manager automatikusan, valósidőben teríti a szenzoroknak. IntruShield szenzorok felhasználják a legutolsó szignatúrákat anélkül, hogy újraindítást kellene végrehajtani, ezáltal szakadásmentes védelmet tudnak nyújtani.
•
Felhasználó által definiált szignatúrák – A felhasználó által létrehozott szignatúrákat is képesek a szenzorok felhasználni, ezeket az IntruShield Manager grafikus felhasználói felületén lehet létrehozni. Ezekkel a szignatúrákkal tovább növelhető az eszköz hatékonysága.
Anomália érzékelés és megelőzés Az IntruShield anomália érzékelés funkcionalitással rendelkezik, mely képes azonosítani a skifinomult „zero-day” és a nem ismert támadásokat, a jelentősen javított támadás érzékelővel. • •
Statisztikai, protokoll, alkalmazás anomáliák – A szenzor képes az átfogó anomália érzékelésre a felhasznált statisztika, protokoll és alkalmazás anomália felismerő technikákkal. „Buffer overflow” érzékelés – Napjainkban az új sebezhetőségeknek több mint a fele „buffer overflow” típusú támadás. Az IntruShield anomália érzékelési technikája hatékony védelmet nyújt az ilyen típusú támadások ellen.
Szolgáltatás megtagadására irányuló támadások érzékelése és megelőzése Az IntruShield egyedülálló képessége a pontos DoS támadások érzékelése és az ezekre adott válaszlépések, mellyel proaktívan képes letiltani a támadást. •
Öntanuló profilok és határérték alapú érzékelés – A szenzor képes a határérték alapú érzékelésre valamint az öntanuló, profil alapú DoS detektálásra, mely egy szabadalmaztatott algoritmust használ, hogy elkülönítse a kis mennyiségű támadást a nagy mennyiségű normális forgalomtól.
•
Nagy finomságú DoS érzékelés – Szenzor példátlan finomságú DoS érzékelésre képes, melyhez a profil alapú technikát használ. A profil létrehozásakor az IP címek egy tartományát vagy különálló hosztokat lehet megadni. Az IntruShield arhitektúra szenzoronként néhány száz profilt képes kezelni. Minden a normális forgalomtól való eltérést DoS-nak jelez. Ha egy 12.
gép/alhálózat gigabites hálózaton támadás alá kerül – elég ha a forgalom csak néhány Mb/s – a szenszor finom DoS érzékelése észreveszi ezt a támadást. IPS és a belső tűzfal – Az integrált IPS és a beépített tűzfal egyedül álló módon képes kikényszeríteni a belső hálózatra vonatkozó szabályokat, ezáltal csökkenteni a hálózati infrastruktúrát érintő fenyegetettségeket. Napjainkban a tűzfalak biztosítják a perimetria védelmét. IntruShield úttörő a következő generációs techonlógiában, hogy a belső tűzfalat integrálta a hálózati behatolás megelőző rendszerrel egy előre megtervezett és megépített platformon. Az integrált IPS és belső tűzfal magasabb szintű biztonságot szolgáltat, mely egyedülálló kontrollt, rugalmasságot ad a hálózati biztonság érvényesítéséhez. Integrált hálózati és hoszt IPS védelem – Az IntruShield Manager gondoskodik a hoszt (McAfee Entercept) és a hálózati (IntruShield) IPS –ek által küldött biztonsági események összefésülésére és rendezésére egyetlen IntruShield Manager konzolban. Az integrált hoszt és hálózati IPS-ek az iparágban található IPS-eknél átfogóbb védelmet biztosítanak a teljes hálózat számára. Magas rendelkezésre állású telepítési opció – A magas rendelkezésre állású környezetben is képes a védett rendszernek biztosítani a virtuális és az egyedülálló proaktív IPS megoldást. A magas rendelkezésre állású rendszer kialakításban résztvevő eszközök aktív-aktív kapcsolatban állnak egymással.
Pontos védelem Napjainkban dinamikusan nő a fenyegetettségek száma, ezáltal a hálózati operátorok számára kritikus a pontos észlelés. A hálózati behatolás érzékelő rendszer (IDS) által küldött vakriasztás a hálózati operátoroknak bosszúságot okoz, a hálózati IPS-től jövő vakriasztás még kritikusabb, mivel a megfelelő, engedélyezett adatforgalmat teljesen letilthatja. Ezért az IntruShield-nek először megfelelő IDS-nek kell lennie, hogy In-Line módba állítva megfelelő IPS-ként tudjon működni. Protokoll elemzés – Az IntruShield az átmenő forgalomban több mint száz protokollt képes alaposan átellenőrizni a több mint háromezer multi-token/multi-trigger szignatúra, fejlett kikerülés elhárító képességeivel, ezáltal képes biztosítani az üzletileg kritikus rendszerek védelmét. Az IntruShield példátlan védelmet nyújt a kémprogramok, az ismert, a zero-day és a szolgáltatás megtagadásra irányuló támadások ellen az integrált szignatúra, anomália és a DoS támadások elemzésével, mind titkosítattlan mind a titkosított rosszindulatú forgalomban. Az IntruShield teljes forgalom elemzést hajt végre több mint száz protokollon és a párhuzamos folyamatok állapotát is kezeli egy millió folyamatig, az átvizsgált protokollokon a szignatúra, anomália és a DoS alapú elemzést is elvégzi. Virtuális IPS és a belső tűzfal – Az IntruShield egyedülálló virtualizációs tulajdonsággal rendelkezik, mely segítségével képes kibővíteni mind az IPS mind a belső tűzfal képességeit. Ezáltal az a felhasználó aki első alkalommal implementál virtuális perimetriát a kritikus erőforrások köré, olyan védelem kap mely megvédi azoktól a támadásoktól is melyek sikeresek lennének a külső vagy a belső tűzfalak ellen. A finomhangolt virtuális IPSek képesek megvédeni a hálózat egy szegmensét, a gépek egy csoportját vagy egyedülálló rendszereket az egyedi biztonsági szabályokkal. Ezek az egyedire alakított, finoman hangolt biztonsági szabályzatok drámaian csökkentik a vakriasztások számát. 13.
IntruShield szenzor erőteljes virtualizációs elképzelést támogat, így egy IntruShield szenzorból ezer virtuális szenzor hozható létre, melyben minden virtuális szenzor teljesen testre szabott, finomított biztonsági szabállyal rendelkezik – beleértve az egyedileg meghatározott támadás felismerést és a hozzá rendelt válaszlépést is. A virtuális szenzor egy tiltandó IP címhez, egy vagy több VLAN-hoz vagy a szenzor egy adott portjához köthető, definiálható. A virtualizált szenzorban elérhető mind az IPS mind a belső tűzfal funkcionalitás. Az IntruShield a finomhangolt biztonsági szabályokat különálló hálózati szegmensre, gépek egy csoportjára vagy egyedülálló gépekre képes érvényesíteni. Ezekkel a tulajdonságokkal virtuális határvédelmet lehet létrehozni, melyben egy szegmenst, vagy egy adott gépet lehet elkülöníteni. Az IntruShield „Virtual Perimeter” technológiája egyedülálló belső hálózati biztonsági megoldás. Ezzel a technikával csökkenthető a biztonsági kockázat és példa nélkül álló védelmet lehet biztosítani a belső hálózaton, amely többnyire védtelenebb, valamint a biztonsági szabályzat is nehezebben kikényszeríthető. A virtuális képességek lehetővé teszik a biztonsági szakértők számára, hogy létrehozzanak és kikényszerítsenek egy heterogén biztonsági szabályzatot egyetlen IntruShield szenzoron. Ez a rugalmasság megengedi, hogy az adott szervezeten belül különböző biztonságot lehessen használni, ezáltal a különböző részek egymástól eltérő biztonsági megoldásokat használjanak. A virtualizáció segít abban is, hogy az eszközök számát csökkenteni lehessen, ezáltal a teljes hálózatra vetített költségeket csökkentse.
Behatolás intelligencia – Az IntruShield képessége mellyel részletes, pontos és megbízható információt képes adni a behatolás azonosításáról, fontosságáról, irányáról, hatásáról és analíziséről. Napjainkban egyre jobban elterjednek az új, hibrid típusú támadások. Ezek észleléséhez és tiltásához a vállalatnak és a szolgáltatóknak egyaránt szüksége van egy stratégiára, amely proaktívan képes megelőzni a jelentkező kockázatokat. Az Intrusion Intelligence az IntruShield-nek egy olyan egyedülálló tulajdonsága, mely elemzi az ismert és a „zero-day” típusú fenyegetéseket és támadásokat. Ezzel képes az IntruShield a reaktív behatolás érzékelőből proaktív behatolás megelőzővé válni, mely megállítja a támadásokat azelőtt, hogy azok elérhették volna a céljukat.
14.
Méretezés és kezelhetőség Vállalati szintű méretezés – A teljes sorozat megoldást nyújt a száz Mb/s forgalomtól a több gigabites sávszélességig. Az IntruShield átfogó védelmet biztosít a hálózat központjától egészen a hálózat perimetriájáig, akár a külső telephelyeken is. Képes megvédeni az ület kritikus megoldásokat, melyek a vállalati környezetben helyezkednek el. Rugalmas telepítés – Egyedülálló rugalmassággal rendelkezik az IPS vagy IDS telepítésben – beleértve az In-Line, Port-Clustering, magas rendelkezésre állású, Span és Tap módban – bármely hálózati biztonsági arhitektúrába való illesztéskor. Automatikus valósidejű fenyegetettség frissítés – Újítás az az automatikusan végbemenő folyamat, mely valósidőben teríti és érvényesíti a szignatúrafrissítéseket a szenzorok újra indítása nélkül. Ezáltal biztosítja a védelmet az új felfedezett sebezhetőségekkel szemben. Ez a funkció felszámolja a manuális frissítést, valamint az ebből adódó hálózat leállási időt. Összefoglalás Összefoglalva az Intrusion Prevention technológia által biztosított lehetőségeket, a mai hálózati környezetek tekintetében magasfokú biztonságot kínál a McAfee IntruShield IDS/IPS rendszere. Manapság nincs olyan szervezet, vállalat, amely figyelmen kívül hagyhatná adathálózatának biztonságos kialakítása során a behatolás detektálás, behatolás megelőzés által nyújtott biztonsági támogatást, így azok a vállalatok, amelyeknek fontos az adathálózatának biztonsága, kiemelt figyelmet fordít a hálózatbiztonsági technológiák megvalósításra, hogy lépést tudjon tartani a nap mint nap fellépő követelményekkel.
Peremfeltételek A McAfee IntruShield telepítéséhez szükség van egy menedzsment gépre amelyen az IntruShield Management szoftver fut. Ennek a szoftvernek az alábbiak a minimális rendszerkövetelményei: • • • •
Microsoft Windows 2000 (Professional vagy Server) 1 GB RAM (2 GB ajánlott) 2,6 GHz Pentium 4 processzor (dual 2 GHz processzor ajánlott) 80 GB szabad háttértár (ajánlott RAID 5-be rendszerbe szervezve)
Ahhoz, hogy a McAfee IntruShield megfelelő behatolás megelőző eszközként tudjon működni, előtte megbízható behatolás érzékelő rendszernek kell lennie. Azaz az IntruShield eszközt elsőként „SPAN” vagy „TAP” módban kell telepíteni és az adott hálózatra kell finom hangolni. Fontos, hogy az eszköz a végleges helyén kerüljön beillesztésre, mivel az anomália kiszűréshez szükséges forgalmi statisztika készítést csak ezen a ponton tudja elvégezni. Ennek a finomhangolásnak a folyamán az észlelt vakriasztásokat megfelelő módon való lekezelése szintén kulcsfontosságú, mivel az eszköz valós üzembe állításakor (In-Line mód) a hálózati operátoroknak rengeteg bosszúságot okozhat, az engedélyezett kapcsolatok tiltásával. Az SSL kapcsolatokban való teljes ellenőrzéshez szükséges az IntruShield-ben az SSL kulcsok létrehozása. 15.
Az eszköz tökéletes méretezéséhez, a megvédendő zónák kialakításához elengedhetetlenül fontos a meglévő hálózat fizikai és logikai felépítését tartalmazó hálózati rajzok. Ezek alapján lehetséges az eszközben kialakítani a virtuális IDS/IPS megvalósítást is.
Függőségek Az IntruShield Manager szoftvernek a telepítés során szüksége van internet kapcsolatra, mivel ezen a kapcsolaton keresztül kapja meg a McAfee-től a liszenszhez szükséges adatokat. A Real Time frissítési metódushoz is szükség van internet kapcsolatra, de ezt úgy is meg lehet oldani, hogy az adminisztrátor letölti a friss szignatúracsomagot és azt a menedzsment gépen manuálisan beimportálja, ezáltal a menedzsment gépnek nincs szüksége internet kapcsolatra. Az IntruShield HA kialakítása során a két szenzor aktív-aktív kapcsolatban van, ezáltal bármely eszköz kiesése esetén a másik automatikusan átveszi a kiesett eszköz szerepét. Ezenfelül az aktív-aktív kapcsolat miatt ez az átállási idő jóval gyorsabb mint az iparágban használt más megoldások (pl.: spanning tree). Az IntruShield nem függ a hálózaton használt IP protokoll verziójától, mivel mind az IPv4 mind az IPv6 protokollokat támogatja.
16.
