IT-Shield Mss
®
Managed Next-Generation Firewalls
Menedzselt következő generációs tűzfalak vállalati hálózatok védelmére
www.it-shield.hu
Áttekintés Amióta néhány évvel ezelőtt a Gartner publikálta a „next-generation firewall” (NGFW) koncepcióját, szinte minden hálózatbiztonsági gyártó elkészítette a saját tűzfalát a következő generáció kategóriában különböző eredményekkel. Számos ilyen típusú eszköz nem tartalmaz next-gen. funkciókat és sajnos képtelen megfelelően ellátni a hagyományos hálózati tűzfalas védelmet is. Egyre több támadás éri a webes alkalmazásokat és szolgáltatásokat a hálózatba történő illetéktelen belépési céllal, amiknek a kivédésére számos szolgáltató fejleszt következő generációs tűzfalakat, azonban sok esetben hiányoznak az alapvető hálózatbiztonsági funkciók. A vállalatoknak más rétegben – layerben – együtt kell telepíteni ezeket az eszközöket. Az elemzők arra hívják fel a figyelmet, hogy a hagyományos támadási technológiák, malwareek és vírusok mindig ellenünk lesznek. Ennél fogva a vállalatoknak mérlegelniük kell a biztonsági fenyegetettségeket a védelmi platformok kiválasztásánál. Egy NGFW eszköznek tartalmaznia kell legalább a behatolás megelőző rendszert (Intrusion Prevention System-et | IPS-t), mély csomagszűrést, képesnek kell lennie azonosítania és felügyelnie a hálózaton futó alkalmazásokat, azonosítani a felhasználókat és a végrehajtani a megfelelő szabályzatokat, valamint az olyan alapvető funkciókat, mint a hagyományos csomagszűrés, teljes körű protokollfigyelő és a VPN funkciók is.
Kihívások Hagyományos biztonsági fenyegetettségek A hagyományos fenyegetettségekkel is ugyanazon szinten kell számolni, mint az új típusú veszélyekkel. Ezt mi sem példázza jobban, mint az elmúlt években nagy port kavart Koobface vírus, ami hatalmas ütemben terjedt a közösségi hálózatok kihasználásával, mint a Myspace, Twitter és a Facebook és működésének célja a felhasználói adatok ellopása volt. A Koobface mellett számos más vírus is képes a sérülékenységek kihasználásával terjedni, mivel a széles körben elterjedt alkalmazások gyártóinak nem feltétlen áll az érdekében olyan biztonsági megoldásokat biztosítani a végfelhasználóik számára, mint például a megfelelő SSL titkosítás vagy előírni az erős jelszó követelményét, mivel ez frusztrálhatja a felhasználókat. Hasonlóképpen sok más vállalkozás és felhasználó is még mindig áldozatául esik számtalan ismert támadásnak azáltal, hogy azáltal, hogy hajlamosak olyan egyszerű hibákat elkövetni, mint az antivirus szignatúráinak patch-eknek a frissítésének elhagyása, vagy a nem megfelelően beállított, telepített biztonsági eszközök. Mivel sok ilyen sérülékenység több éve ismert, a jól dokumentált videók és leírások alapján a „script kiddie”-k is könnyen meg tudják tanulni, ki tudják használni ezeket a sérülékenységeket. Ennél fogva a vállalat védelmi stratégiájának megtervezése során figyelembe kell venni a régebbi fenyegetettségeket is az újak mellett. 2
A fenyegetettségek felgyorsult evolúciója Web-alapú támadások Az Internet sztenderd alapú webes interfésze és a temérdek sok alkalmazás, remek lehetőséget biztosíthat a kiberbűnözők számára, hogy információkat lopjanak vagy megzavarjanak szolgáltatásokat pénzügyi motivációból. Az egyre szofisztikálltabb támadások kombinálják a technológiát és a különböző social engineering trükköket és a felhasználók megtévesztésével juttatnak be ártalmas payload-okat, amik begyűjtik a bizalmas információkat.
Web 2.0 Alkalmazások Az olyan fogyasztó orientált alkalmazások, ahol a felhasználó által létrehozott tartalom van, mint a Facebook oldalak, vagy a Twitter feed-ek, minden vállalat számára kihívást jelentenek, mivel meg kell oldani az adoptálását és levédeni a generálódott biztonsági réseket. A Web 2.0 alkalmazások megbízható portokon csatornáznak, saját titkosítási algoritmusokat használnak, ezáltal, az ártalmas tartalom könnyen kikerüli a hagyományos tűzfalak által alkalmazott azonosítási és blokkolási technológiákat. Így egyszerűbben juttatható tartalom a vállalti hálózatba észrevétlenül és vice versa.
A hagyományos tűzfalak nem hatékonyak többé A csomagszűrő képességekkel rendelkező tűzfalak teljes mértékben tudták blokkolni a nemkívánatos alkalmazásokat, egyszerűen azért, mert a legtöbb ilyen alkalmazás a számítógép egy adott portját és protokollját használta a hálózati kommunikációhoz. Így a rendszergazda, miután megállapította, hogy az alkalmazás ártalmas, vagy felesleges lehet, gyorsan meg tudta előzni, hogy a felhasználók elérjék egyszerű tűzfal szabálymódosítással, az adott portok és protokollok tiltására vonatkozóan. Napjainkban a portalapú blokkolás nem praktikus többé. Például a 80-as port tiltása az egész webhez való hozzáférést tiltaná.
1. ábra: A hagyományos hálózatbiztonsági technológiák szükségesek, de nem teljes megoldások
3
Migráció a következő generációs hálózatokba A nagyvállalatok és a szolgáltatók már realizálták, hogy a meglévő hálózatok nem megfelelőek, hosszú- és rövidtávon sem tudják kiszolgálni a növekedéshez szükséges feltételeket és ennek érdekében felgyorsították a rugalmasabb hálózati architektúrák migrációját. Ezek az új generációs hálózatok sokrétű feladatra alkalmasak, mint például a nagyobb fiókirodák kritikus információinak biztonságos elérésének biztosítása, a virtualizált adatközpontok és alacsony késleltetésű felhő alapú alkalmazások bekapcsolása vagy a magas színvonalú üzleti és biztonsági szolgáltatások biztosítása. A következő generációs hálózatoknak elég rugalmasnak kell lenni ahhoz is, hogy egyszerre támogassák a nagyszámú IPv4 és IPv6 forgalmat úgy, mint a médiák által használt protokollokat lassulás nélkül és átfogó előnyöket kell biztosítaniuk. A magas rendelkezésre állás és áteresztőképesség érdekében a hálózatokhoz szükségesek a biztonsági eszközök fojthatják le forgalom szűrésével, malware és fenyegetés ellenőrzésével. A védelem érdekében az eszközöknek bizonyított, jól skálázható és egyszerűen kezelhetőeknek kell lenniük.
Következő Generációs Tűzfal Platformok: az IT biztonság evolúciójának következő lépcsője Napjaink hálózatai olyan teljes spektrumú védelmet igénylenek, melyet sok divatos NGFW jelzővel ellátott eszköz nem, vagy csak részben tud kiszolgálni. A vállalati és a szolgáltató szintű környezetek, ahol komplex multi-protokoll-os hálózati architektúrák migrációjának, nagy mennyiségű forgalom mellett, a magas szintű skálázhatóság és rugalmasság igénye alapvető. Azok az NGFW céleszközök, amik nem biztosítják a hagyományos és az új generációs fenyegetések elleni védelmet egyaránt, azok nem tudják megfelelően megvédeni ezeket a környezeteket. Azonban a vállalatoknak szükségük van a következő generációs biztonsági platformokra és a kapcsolódó céleszközökre, amik képesek az új keletű és hagyományos fenyegetésekkel szemben is védelmet biztosítani és méretezhetőségük kielégíti a jövőbeni üzleti növekedéshez és az új szolgáltatásokhoz kapcsolódó igényeket. A IT-Shield által üzemeltetett biztonsági céleszközök széles körben bizonyítottak már és az alapvető biztonsági technológiák mellett tartalmazzák az új generációs fenyegetések és malware-ek ellen szükséges biztonsági funkciókat egyaránt. A forgalmazott gyártók belső fejlesztésű és a nyílt forráskódú alkalmazások megfelelő alkalmazása biztosítja a vállalat specifikus finomhangolási lehetőségeket. A hardveres gyorsítású védelem gyorsan integrálható bármilyen méretű vállalat vagy szolgáltató részére.
4
Következő generációs biztonsági technológiák Az üzleti világ számára is egyre inkább realizálódik, hogy a hálózatvédelemnek tartani kell a lépést a kor kihívásaival és nem elegendőek a tűzfalak IPS/IDS rendszerek és a hoszt antivírusok. Ezt az is alátámasztja, hogy az adatlopás és rendszerkárosodás lehetősége évről évre nő, valamint a kormányzati – 2013/L. törvény – és az egyéb követelményrendszereknek is meg kel felelni, mint a PCI DSS, HIPPA, HITECH stb. Sok vállalati vezető felelős az alkalmazottak tevékenységéért és rajtuk kívül az informatikai szakemberek is egyre jobban aggódnak a felhasználók által megtekintett és letöltött tartalmakért. Tehermentesítse az informatikát és bízza szakemberekre a hálózatbiztonság menedzselését.
2. ábra: Következő Generációs Hálózatbiztonsági Technológiák
Alkalmazás felügyelet A következő generációs hálózatbiztonság egyik legfontosabb követelménye az alkalmazásfelügyelet. Az adatszivárgás megelőzés és az új keletű fenyegetések kezelése mellett, a vállalatoknak fel kell ügyelni az üzleti és az újfajta Internet alapú alkalmazásokat egyaránt. A „Next-Gen” alkalmazás felügyeletnek muszáj képesnek lennie azonosítani, monitorozni és kontrollálni alkalmazás elérhetőségét, felhasználását és a kapcsolódó forgalmat a végpontokon és az árjárókon függetlenül az alkalmazott porttól és protokolltól. Mindezek mellett követelmény még, hogy kapcsolatnak fel kell épülnie az alkalmazás és a felhasználó között a megfelelő hozzáférési jogokkal és a kapcsolódó biztonsági szabályokkal.
Alkalmazás felügyeleti listák A rendszergazdának lehetősége van kifejezetten az adott alkalmazást felügyelni azáltal, hogy beüti a nevét a tűzfal szabályok listájába. Az alkalmazás felügyeleti listákba számos alkalmazást fel lehet venni és külön-külön konfigurálni, hogy az tiltásra, engedélyezésre vagy forgalomkorlátozásra kerüljön. A fehérlista magas biztonsági követelményű rendszereknek ideális, ahol csak a megadott alkalmazások mehetnek át.
5
Az alkalmazások titkosított forgalmának azonosítása A protokoll dekóderek normalizálják és felfedezik azokat a forgalmakat, amikkel az alkalmazás megpróbálja elkerülni az azonosítást, mint a nem standard portok, protokollok használata. Így ezen alkalmazások forgalma is átvizsgálásra kerül gyanús payload-ok kiszűrésére és a megfelelő tűzfalszabályok végrehajtására. Az alkalmazás kontroll dekódere azonosítja és dekriptálja a csatornázott IPsec és SSL VPN forgalmat valamint a HTTPS, POP3S. SMTPS. IMAPS titkosított kommunikációs protokollokat. Alkalmazás felügyeleti adatbázisok Ha sikerült dekódolni a hálózati forgalmat az eszköznek képesnek kell lennie azonosítani a alkalmazást az egyedi szignatúrájáról. Adatbázisunk 1600 egyedi web alkalmazást, hálózati szolgáltatást és portot tart nyílván, amit folyamatosan frissítünk. Felhasználók alkalmazáshoz rendelése Amikor a felhasználó megpróbál elérni egy hálózati forrást a céleszköz azonosítja a nevét, IO címét AD tagságát a lokális listákból. A csatalakozási kérelem csak akkor lesz elfogadva, ha a felhasználó tagja a jogosultak körének. Az alkalmazásfelügyelet granularitása Az eszköz különbséget tud tenni a közösségi hálózati oldalak különböző alkalmazásai között is. Például azonosítani és egyedileg végre tudja hajtani a szabályokat a Facebook Chat és Video alkalmazásokon. Továbbá lehetőég van az egyes alkalmazások sávszélességének korlátozási vagy más alkalmazások priorizáltságához szükséges szabályok létrehozására. Alkalmazások forgalmának szabályzása Lehetőség van, hogy egy vagy több alkalmazás száméra limitálni vagy garantálni tudjunk bizonyos sávszélességet. Ezt akár az idő függvényébe n is meg lehet, hogy a szabály egész napra vagy csak bizonyos időközökre legyen érvényes. Alkalmazások monitorozása és jelentések A funkció segítségével összegyűjthető az alkalmazások által generált forgalomra vonatkozó információk. Ennek a segítségével gyorsan, grafikus módon is megjeleníthetőek a hálózat forgalmi adatai. Alkalmazás felügyeleti csomagnaplózás Lehetőség van az alkalmazások által generált hálózati csomagok naplózására mélyebb elemzés, forensic vagy a fals pozitívek kiszűrésére. Alkalmazás felügyelet a végpontokon Az alkalmazás felügyeleti listák felhasználhatóak a végpontok biztonsági profiljaihoz egyaránt. Továbbá a végpontok által használt alkalmazások kontrollálhatóak a kliens oldali tűzfalak segítségével, amik szintén központilag menedzselhetőek az eszközből.
6
Integrált behatolás megelőző, azonosító rendszerek (IPS/IDS) A frissítések és patchek telepítése a nagy és sokrétű hálózatokon időigényes és komplex feladat. A patch megjelenését követően sokszor eltart akár hetekig vagy hónapokig az érintett rendszer javítása, ami felesleges kockázatnak teszi ki a vállalati infrastruktúrát. A menedzselt behatolás megelőző (IPS/IDS- Intrusion Prevention/Detection System) rendszerünk. védelmet biztosít az ismert és ismeretlen (0day, vagy zeroday) sérülékenységek részére, blokkolja a támadásokat, amik a patch-ek hiányosságát akarják kihasználni. Számos funkciót használunk a gyanús, káros hálózati aktivitások monitorozására és blokkolására, mint például: előre megadott és egyedi szignatúrák, protokoll dekóderek, egykarú IPS mód ( outof-band mód) csomagnaplózás és IPS szenzor. Az IPS szenzor központosított lehetőséget biztosít az IPS eszközök arzenáljának telepítésére és konfigurálására, így jó hatékonyággal védhetők meg a kritikus üzleti alkalmazások a külső és belső támadások ellen egyaránt. IPS szenzor Az IPS szenzor konfigurálható egy adott szignatúra specifikus elfogására az adott forgalomból, valamint lehetőség van a csomagok naplózására is az egyes szignatúrák alapján. Másrészről megelőzhető vele támadás is a támadás forrásából származó, vagy irányába tartó forgalom karanténba helyezésével. Az IPS szenzor számos szűrővel és egyedi szignatúrával van betelepítve, attribútumokat lehet beállítani a forgalom a szűréséhez, mint a cél(kliens/server, OS, protokoll, alkalmazás, stb. Több vagy kevesebb attribútum megadásával tudjuk tágítani vagy szűkíteni a szenzor fókuszát. Az egyedi szignatúra bejegyzések hozhatók létre annak megfelelően, hogy tartalmazzák vagy kizárják a szignatúrát egyedi alapon. Az egyedi szignatúrákhoz rendelhetőek specifikus feladatok is, mint a naplózás, csomagnaplózás, szűrés, támadó karanténba helyezése és IP cím mentesítési beállítások. Előre megadott IPS szignatúrák Az előre felvett szignatúrák segítségével több, mint 400 különböző típusú támadást tudunk szűrni, a nem patch-elt operációs rendszer sérülékenységek elleni támadásoktól, a hibás ellenőrzőösszeget tartalmazó UDP csomagokig. Egyedi IPS szignatúrák Lehetőség van a védelem kiterjesztésére egyedi szignatúrák létre hozásával például, egy nem szokványos vagy specifikus alkalmazás vagy platform védelmére az ismert és ismeretlen támadások ellen. Továbbá használhatók a hálózati forgalom elemzésérére és mintaegyezés ellenőrzésre. Protokoll dekóderek A protokoll dekóderek azonosítják az abnormális hálózati mintákat, amik nem felelnek meg felállított követelményeknek, magszabott standardoknak. Például egy HTTP dekóder monitorozza a hálózatot, hogy azonosítsa azokat a HTTP csomagokat, amik nem felelnek meg a HTTP protokoll standardnak. A protokoll dekóderek jellemezően típus szerint, mintsem portok alapján azonosítják a forgalmat, megszüntetve az egyedi portok fenntartásának szükségét. 7
Csomagok naplózása és a támadó karanténba helyezése IPS csomagnaplózás engedélyezhető, hogy elmentse azokat a csomagokat, amik egy vagy több IPS szignatúrával megegyeznek. A csomagok log üzenetként mentődnek el és log üzenetelemző eszközökkel tekinthetők meg, vizsgálhatók. A csomag naplózó funkció diagnosztikai eszköznek lett tervezve jól szűkíthető szkóppal. Az IPS eszközt biztosít arra is, hogy a támadót karanténba helyezzük és megjelenítsük a „Tiltott felhasználók listáján”. A támadó karanténba helyezhető az IP címe, az áldozata IP címe vagy a használt bejövő interfészen keresztül. A tiltás szólhat órára, napra vagy örökre. IPS out-of-band mód Az IPS telepíthető out-of-band módban, ami együtt tud működni az IDS-el, ami képes azonosítani, riasztani, riportolni, de nem képes reagálni. Az out-of-band sniffer módot a hálózati diagnosztikánál alkalmazzuk. Hálózatvédelmi szolgáltatásunk Automatikus valós idejű frissítésekkel, több ezer egyedi támadási minta segítségével törekszünk a támadások megállítására, amik elkerülhetik a hagyományos vagy nem megfelelően konfigurált tűzfalakat. Az anomália alapú azonosítás pedig lehetőséget ad azoknak a fenyegetéseknek az azonosítására, amikhez még nem fejlesztettek szignatúrát. Az ismert és ismeretlen fenyegetés megelőző rendszer kombinálásával állunk a rendelkezésére a vezetékes, vezeték nélküli, extranet, vagy a csatlakoztatott telephelyek védelmében.
Adatszivárgás, adatvesztés megelőzés | DLP – Data Loss/Leakage Prevention Még a megbízható munkatársak is gyakran küldenek kritikus adatokat véletlenül nem megbízható zónákba. A DLP menedzselt szolgáltatásunk szofisztikált mintaegyezési technikákat és felhasználó azonosítást alkalmaz, hogy észlelje, és megelőzze a kritikus adatok és fájlok nem hitelesített kommunikációját a határvédelmi eszközökön. A szolgáltatás tartalmazza dokumentumfájlok ujjlenyomatozását és a dokumentumfájl forrás számos megfigyelés technikáját (proxy és flow alapú), fejlett mintaegyeztetést és adatarchiválást. Számos kommunikációs protokoll – beleértve a HTTP, HTTPS, FTP, FTPS, email (POP3, POP3S, IMAP, IMAPS, SMTP, és SMTPS), NNTP az azonnali üzenetküldők (AIM, ICQ, MSN, and Yahoo!,) monitorozható kritikus információk után. Az alkalmazott keresőmotor tartalom alapon és a mintaegyezési alapon is tud keresni, mint a wild card-ok, vagy Perl regular expression. Minta egyezés például használható a személyes adatok kereséséhez a hálózati forgalomban. Egyezés esetén a kritikusadat tiltható, továbbítható vagy archiválható és generálódik egy lehetséges szivárgás üzenet. A DLP alkalmazható a kimenő és bejövő forgalom ellenőrzésére egyaránt. DLP szenzor A dokumentumforrásokat, ujjlenyomatokat, megfigyelési módot, a fejlett mintákat és az archiválást központilag itt tudjuk megadni és a szenzor számos DLP szűrőt tartalmaz. 8
Dokumentum ujjlenyomatolás A dokumentumok ujjlenyomat készítése ellenőrzőösszegekkel tárolásával történik, ami lehetőséget ad azonosítani és blokkolni a specifikus kritikus dokumentumot, vagy fájt. Emellett alkalmazható az archív fájlok közötti kereséshez is. Proxy alapú vs. flow alapú DLP elfogás Az igényeknek megfelelően mind a kettővel van lehetőség operálni az előnyeik és hátrányaiknak megfelelően. A proxy alapú magas szintű elemzést biztosít megvizsgálva a tartalom elemit, ugyanakkor nagyobb is az erősforrás igénye. A flow alapú elfogás ellenben gyorsabb, kevesebb rendszer erősforrást igényel, mivel csak darabokat kap el, ezáltal kevésbé pontos és megbízható. DLP tartalomarchiválás A tartalomarchiválási funkciónk engedélyezhető, hogy az összes tartalmat, vagy csak a kiválasztottat archiválja. Konfigurálható csak a kritikus adatra vonatkozóan vagy csak az adott protokollt használókra. Hasznos lehet a törvény által előírt vagy megfelelőségi auditok alkalmával vagy egyszerűen a hálózati forgalom ellenőrzésének céljából. A teljes DLP tartalomarchiválás elmenti a web oldalakat, emaileket és a fájlokat teljes egészében.
Web tartalomszűrés A web tartalomszűrése a hagyományos URL listablokkolással kezdődik és ezek az eljárások kiterjeszthetők a számos más biztonsági funkcióval, mint a megfigyelés, arányok megszabása és egyéb granuláris műveletek. Az üzemeltetett céleszközök segítségével lehetőség van a webes forgalom osztályozására és szűrések számos előre megszabott vagy egyedi kategóriák és kivételszabályok alapján. Az céleszközök támogatják a Web Cache Communication Protokol-tl (WCCP) ami webes forgalom figyelésének felgyorsítását segíti elő, azáltal, hogy lehetőséget ad az eszköznek, hogy cache motorkánt vagy routerként üzemeljen. Ha routerként operál az eszköz elfogja a webes böngészései kéréseket a kliensek böngészőjéből és továbbítja a cache motornak. A cache motor ezt követően továbbítja a böngészőnek a kérésének megfelelően
Dual-stack IPv4 és IPv6 támogatás A közelmúltban felmerült a probléma az IPv4-es címek hiánya kapcsán számos vállalat elkezdet az IPv6-os címek migrációját. Az IPv6 drasztikusan megváltoztatja a IP címek készletét, mivel az eddigi 4 billió cím helyett 340 trillió-trillió-trillió IPv6-os cím áll a rendelkezésre. Az IPv6 nagyobb biztonságot is ígér, továbbfejlesztett címzést, hatékonyabb routolást, és QoS-t. Az IPv6-os architektúra beleértve a számos funkciót a jövő globális end-to-end kommunikációjának igényeit célozza. Ahogy egyre több tartalom és szolgáltatás kezd átváltani IPv6-os-ra muszáj lesz telepíteni olyan hálózatbiztonsági céleszközöket, amik ugyanazt a biztonsági szintet képviselik IPv4-es és IPv6os szinten egyaránt. Vannak mechanizmusok az IPv4 és IPv6-os címek közötti kommunikációk 9
megteremtésére például vagy a dual-strack vagy a tunneling. A dual-stack prioritást élvez mivel lehetőséget biztosít a biztonsági céleszköz számára, hogy műveleteket végezzen a IPv4 És IPv6-os címekkel egyaránt. Másrészről a tunneling becsomagolja az IPv6-os csomagot egy IPv4-es headerbe, aminek a segítségével a csomag továbbítható, de nem figyelhető meg. A korlátozott IPv6 támogatás biztonsági szempontból kockázattal járhat, mivel nem lehet megfigyelni a csomagokat, ezáltal tartalmazhatnak nemkívánatos, ártó szándékú vagy nem engedélyezett tartalmat, amik beszivároghatnak a hálózatba. Az IT-shield menedzselt informatikai biztonsági szolgáltatás során kihelyezett céleszközök támogatják a dual-stack architektúrát, ami azonosítja és külön routolja az IPv4-es és IPv6-os forgalmat, egyazon alapvető biztonságot nyújtva ezzel mindkét Internet protokollnak.
Központosított menedzsment A Menedzselt Informatikai Biztonság – MSS – szolgáltatásunk során a kihelyezett biztonsági céleszközök segítségével központilag, szabályok alapján hajtjuk végre a szabályokat és a szükséges konfigurálást központilag. Az elemzésekhez szükséges logokat biztonságosan gyűjtjük a céleszközökből és a syslog kompatibilis eszközökből, hogy átfogó személyre szabott jelentéseket készíthessünk minden forgalomról, eseményről, webes tartalomlekérésről, levelezés adatról, stbről.
Alapvető technológiák Tűzfal – Teljes értékű forgalom elfogás és csomagszűrés Legyen szó akár nagyvállalatról, szolgáltatóról vagy egy kisebb vállalkozásról a csomagszűrő tűzfal minden szempontból a legalapvetőbb hálózatbiztonsági eszköz. A képességei segítségével szelektív módon engedélyezhető/letiltható a privát adatforrások külső elérése. A tűzfal a legközelebb működik a hálózati infrastruktúrához, így meg tudja vizsgálni és határozni, hogy az egyes csomagokat hova kell továbbítani a megadott szabályok alapján. A cégünk által alkalmazott megoldások kombinálják a teljes értékű elfogási képességeket az integrált alkalmazás biztonsági eszközök arzenáljával a komplex fenyegetések lehető legjobb arányú azonosítása és blokkolása végett. Beépített virtuális biztonsági domain-ek és biztonsági zónák segítségével szegmentálhatóak a különböző üzleti és személyes egységek vagy bármilyen más fizikai vagy logikai divízió a szabályok granularitásának növelésére és a több rétegű biztonság megteremtéséhez.
VPN | Virtuális magánhálózatok A vállalat hálózatai, munkatársai, partnerei és leányvállalatai közötti biztonságos kommunikáció sosem volt olyan fontos, mint napjainkban. Adatlopások, az információ nem szándékos szivárgásai, a fertőzött hálózatok óriási üzleti és nemzetbiztonsági kockátokat hordozhatnak. 10
A Menedzselt Informatikai Biztonsági szolgáltatás – MSS – során használt VPN technológia lehetőséget ad a biztonságos kommunikációs csatornák felépítésére és az adatvédelemre több hálózat és hoszt között IPsec és SSL VPN protokollok alkalmazásával. Mindkét típus esetén a VPN szolgáltatást speciális processzoros titkosítással szolgáltatjuk a hálózati forgalom gyors kódolása/ dekódolása érdekében. Amikor a forgalom dekódolva lett számos fenyegetés szűrőn megy át, mint az antivírus, behatolás megelőzés (IPS), alkalmazás felügyelet, email és web szűrés, amit a VPN csatorna minden csomagjára érvényesíteni tudunk. Az IPsec VPN tunnelling tipikusan Layer 3-as szinten működik az OSI hálózati modellje alapján. A távoli elérés engedélyezéséhez az eszköz titkosított hálózati kapcsolatot létesít a távoli node és a belső hálózat között. Az SSL VPN beállításai egyszerűbbek és az OSI modell legfelső szintjén dolgozik, függetlenül az alatta működő hálózati architektúrától. Mivel az SSL-es és az IPsec-es VPN megoldásunk is integrálva van más biztonsági funkciókkal, mint a tűzfal, antivírus, web szűrés, behatolás megelőző rendszer (IPS), ezáltal sokkal átfogóbb védelmet kínál, mint a kizárólag VPN-t tudó eszközök.
URL szűrés Az URL szűrést tipikusan arra használjuk, hogy blokkoljuk a felhasználók által elérhető veszélyes, vagy szabályzatnak nem megfelelő weboldalakat. Lehetőségünk van kifejezetten adott oldalak tartalmát letiltani, kategória alapján vagy a biztonsági laborokból érkező információk alapján nem veszélyes ismert és ismeretlen oldalakat. Szöveges és Reg.exp (regular experssion)-ek alapján is lehet tiltani, fehér- és feketelista alapján egyaránt. • Blokkolás Megelőzi, hogy a felhasználók veszélyes vagy a szabályzatnak nem megfelelő oldalt érjenek el. A felhasználókat személyre szabott üzenetekben tudjuk értesíteni valamit az események naplózásra kerülnek. • Engedélyezés Specifikusan engedélyezhetünk bizonyos oldalakat egyes felhasználók, vagy felhasználói csoportok számára a biztonsági vizsgálatok elvégzése mellett. • Továbbítás Specifikusan engedélyezhetünk bizonyos oldalakat egyes felhasználóknak, hogy bizonyos biztonsági funkciókat kikerülhessenek Ez csak a teljes megbízható oldalaknál használható. • Mentesítés Specifikusan engedélyezhetünk bizonyos oldalakat egyes felhasználóknak, hogy bizonyos biztonsági funkciókat kikerülhessenek. A kapcsolat örökli menetesség, ami azt jelenti, hogy a kapcsolat későbbi használata is mentesít a biztonsági ellenőrzések alól. A menetesség megszűnik, amint a kapcsolat túllépi az időt
11
Menedszelt Antimalware/Antivírus A hálózat malware-es fertőződése esetén a szerverek, a munkaállomások és a rajtuk tárolt adatok is kockázatnak vannak kitéve. Ezt megelőzendő átjáró szinten szolgáltatjuk a kombinált antivírus technológiát, ami szignatúra alapú és a heurisztikus azonosító motort használja a több szintű, valós idejű védelem érdekében. Védelmet kínál a vírusok, spyware-ek és számos más típusú malware támadás ellen, a webezés, emailezés és a fájlküldés során. Specifikus processzoros gyorsítású antivírus motorokat alkalmazunk, mind szignatúra alapú, mind a heurisztikus/anomália azonosításra biztosítva a magas teljesítményt és skálázhatóságot. A menedzselt tűzfalak antivírus motorjai nagy teljesítményű flow alapú antivírus motorral is tudnak működni. A flow alapú opció lehetőséget biztosít bármilyen méretű lés tömörített fájlok szkennelésére is rendszer behatás nélkül, teljesítményvesztés nélkül. Az opció segítségével megteremthető a megfelelő biztonság/teljesítmény egyensúly az igények alapján. A titkosítási és visszafejtési képesség minden népeszű csatornázási protokollon működik, beleértve a PPTP, L2TP, IPsec, SSL és szükséges integritás ellenőrzést, hogy például a titkosított csomagok megfigyelhető-e, amik a VPN kapcsolaton keresztül továbbítódnak. Ezen felül ellenőrizni tudjuk antivírus-sal az SMTP, POP3, IMAP, FTP, HTTP, IM, P2P protokollokat és minden nagyobb tömörítési formátumot.
Antispam A kéretlen levelek számos problémát okoznak a kisvállalatoktól a kormányzatokig mindenkinek. A munkatársaknak időt kell szakítani a levelek kiválogatásával és törlésével, miközben a szerverek és a hálózat feleslegesen terhelődik a megnövekedett forgalom miatt. Mindamellett gyakran ártalmas szándékúak és gyakran tartalmaznak malware-t, linkelést vagy űrlapmezőket adatlopási, botnet generálási indíttatással.Antispam szűrő megoldásaink átfogó, több szintű védelmet biztosítanak a kéretlen levelek elhárítására és számos szektorban bizonyítottak már. Az integrált eszközök gyártó és a szakmai közösségek által folyamatosan frissített adatbázisok segítségével hatékonyan szűrjük ki a spam leveleket szignatúra és IP reputáció alapján. Alkalmazott technológiák: • RPD (Recurrent Pattern Detection™) hírszolgáltatási technológia alkalmazása, mely a spam kitöréseket azonosítja • Valósidejű fekete lyuk listák (RBLs) • Betárcsázós hálózat blokkolás • Szürke listázás • BATV ( Bounce Address Tag Verification) • SPF (Sender Policy Framework) rekordok ellenőrzése • Kifejezés szűrés • Címzett hitelesítés • Reverse-DNS és HELO syntax elleőrzés • E-mailek elutasítása mielőtt a törzsátvitel megtörténne • stb. 12
Konklúzió A vállalatok és kormányzatok ellen irányuló informatikai adatlopási kísérletek és a kibertámadások száma évről-évre drasztikusan nő. A kiberbűnözők kihasználva az újabb technológiákat egyre szofisztikáltabb támadásokat tudnak végrehajtani, amit érdemes megfelelően és időben kezelni. Ahhoz, hogy fel lehessen venni a versenyt az új keletű fenyegetésekkel szemben olyan platformokra van szükség, amik képesek ezt a védelmet biztosítani, mindamellett skálázhatóak, hogy kiszolgálhassák a növekedést és az újabb szolgáltatásokat. Az IT-shield által menedzselt informatikai biztonsági szolgáltatások közül az egyik legalapvetőbb a következő generációs – NGFW – tűzfalak megfelelő üzemeltetése. Személyre szabott megoldásinkat nemcsak integráljuk és finom hangoljuk, de napi szükséges feladatokat is ellátjuk, így véve le az IT biztonság kezelésének terhét vállalatról.
13
BLACK CELL KFT. 1085 Budapest, Salétrom utca 7. Magyarország Telefon: +36-1-951-2991 Email:
[email protected]
Legjobb biztonsági stratégiák vállalkozásának!
www.it-shield.hu ©2014 IT-Shield - Black Cell Kft. – All rights reserved.
Created June 2014
IT-Shield
®