Koncepce fie‰ení Ochrana před ohrožením zevnitř i zvenčí pomocí Juniper Network Content Security
Ochrana pfied ohroÏením zevnitfi i zvenãí Strana 2
Úvod Jak vzrůstá počet a rozmanitost útoků ze sítě, nemohou si již manažeři IT systémů dovolit spoléhat se výhradně na ochranu před jedním typem útoku a očekávat, že jejich síť zůstane bez zásahu. Zejména firemní sítě jsou vystaveny všem typům útoků. Poměrně jednoduché útoky ze sítě se změnily v komplexní útoky, které k tomu aby, dosáhly svého zákeřného cíle, využívají prvky jak na síťové tak i na aplikační vrstvě. Se vzrůstajícím počtem společností, které poskytují přímý přístup na web, koncoví uživatelé mimovolně vstupují na stránky, které mohou být již známy jako zdroje malwaru, nebo nevědomky sdělují osobní či firemní důvěrné údaje (čísla platebních karet, hesla, obchodní tajemství společnosti apod.) na podvodné adresy elektronické pošty nebo prostřednictvím programů pracujících na pozadí, které tyto údaje shromažďují a předávají. To znamená, že IT manažer musí nejen zabránit všem útokům na síťové vrstvě, v aplikaci a obsahu, ale musí bránit síť před ohrožením jak zvenčí, tak i zevnitř.
Správn˘ nástroj pro tento úkol Jestliže je obousměrná ochrana základní složkou, je neméně významné implementovat prvky řešení, které se soustřeďují na určité druhy útoků. Žádná ze složek nedokáže sama o sobě zastavit celou dlouhou řadu útoků na síťové nebo aplikační vrstvě nebo skrytých v obsahu. Například viry jsou skryty v souborech, jako příloha nebo jako spustitelný soubor. Pro dosažení maximální možné ochrany proti virům by měli IT manažeři implementovat souborovou antivirovou ochranu (AV), která dokáže bez zpomalení provozu soubor nebo skript dekódovat, vyhodnotit z hlediska potenciálního napadení virem, znovu jej složit a odeslat k adresátovi. AV řešení založená na popisu sítě sledují pouze omezený objem dat, například pakety nebo streamy, což přináší jen falešný pocit jistoty. Takové nabídky AV řešení, která se soustřeďují výhradně na síťové toky, neposkytnou odpovídající ochranu, protože nejsou schopna dekódovat řadu souborů a jejich formátů, od dokumentů Wordu, přes tabulky Excelu, obrázky GIF po archivy ZIP atd.
- Ohrožení zvenčí je takové, které má svůj původ mimo firemní síť, např. u útočníka v Internetu, který hodlá narušit firemní ochranná opatření. Tato ohrožení jsou představována téměř všemi typy útoků – od červů, přes viry, spyware až po phishingové e-maily. - Ohrožení zevnitř je takové, které je způsobeno někým uvnitř firemní sítě, například zaměstnancem, který je k ní připojen a jehož počítač je nevědomky zneužit a nyní se z něj šíří červi nebo viry do firemní sítě. Jiným příkladem ohrožení zevnitř jsou uživatelé, kteří odpovídají na phishingové útoky a sdělují své osobní údaje na nekalé webové stránky, nebo spyware, který je usazen v počítači některého ze zaměstnanců a v tichosti odesílá citlivé firemní informace nějakému podloudníkovi v Internetu.
Pro ochranu sítě před útoky na aplikační úrovni, které se přes síť zaměřují na zranitelná místa v softwaru, jako jsou zejména síťoví červi nebo zasílání citlivých údajů o platebních kartách ze systémů napadených spywarem, doporučujeme Intrusion Prevention System (IPS – systém ochrany před narušením). AV a IPS jsou dvě navzájem se doplňující řešení chránící proti různým typům útoků. IPS hledí hlouběji do nižších úrovní komunikace aplikací, kde detekuje útoky. I v tomto případě je nutno zvolit řešení, které provádí více než jen zběžnou kontrolu paketů na síťové vrstvě nebo které dekóduje více než jen několik protokolů na 7. vrstvě. Řešení by mělo znát a kontrolovat všechny druhy provozu aplikací, plně znát všechny podrobnosti jednotlivých protokolů a využívat kombinaci metod – např. podrobnou kontrolu aplikační vrstvy, detekci odchylek a další heuristické metody, které chrání před ohrožením.
Zastavit všechny druhy útoků zvenčí nebo zevnitř vyžaduje soustředěné řešení pokrývající co nejvíce vrstev a chránící před poškozením sítě, majetku společnosti i koncových uživatelů.
Internet
OhroÏení zvenãí • Viry pro Windows, makroviry a skripty, vytváfiení „zadních vrátek“ (Backdoors). • Spyware, Adware, Keyloggers. • Spam, Phishing. • âervi, trojské konû, útoky DDoS, SoS, skenování a prÛzkum portÛ.
OhroÏení zevnitfi • StaÏení spywaru, adwaru a malwaru. • ·ífiení virÛ a trojsk˘ch koní v souborech. • Odpovûì na phishingové útoky. • ·ífiení ãervÛ a trojsk˘ch koní.
Omezit ãetnost útokÛ fiízením pfiístupu Často přehlíženým prvkem ochrany před napadením je schopnost řídit přístup ke známým zdrojům malwaru – stránkám, z nichž se stahuje. Nasazením metody ochrany před útoky, která obsahuje filtrování obsahu webových stránek, aby zabránila přístupu na známé podvodné webové stránky, mohou IT manažeři snížit počet podvodných downloadů, které jsou zatahovány do sítě. Dalším způsobem, který pomáhá ke snížení počtu útoků zvenčí je implementace antispamového řešení na bráně (gateway), které může fungovat jako předběžný filtr tím, že blokuje známé zdroje spamu a phishingu.
Strana 3 Koncepce fie‰ení
¤e‰ení Juniper Networks – nejlep‰í technologie i partner ve své tfiídû Aby zajistila ochranu před ohrožením zvenčí i zevnitř, zapracovala společnost Juniper Networks do své řady firemních firewallových platforem úplnou sadu funkcí pro kontrolu obsahu, které jsou nejlepšími ve své třídě a obvykle jsou označovány jako funkce Universal Threat Management (UTM – Univerzální ochrana před ohrožením). Díky využití výsledků vývoje, podpory a průzkumu trhu prováděných řadou předních partnerů z oblasti ochrany obsahu je společnost Juniper Networks schopna nabídnou sadu těch nejlepších UTM funkcí. Ostatní dodavatelé rozprostřeli své vývojářské kapacity příliš široce a snaží se všechny prvky UTM vyvinout vlastními silami. Někteří další naopak využívají open source řešení, která ovšem mívají nevyrovnanou kvalitu i míru zachycení (catch-rate). Naše partnerství s nejlepšími odborníky zaručuje zákazníkům, že jejich sítě budou chráněny před všemi druhy útoků. Ochrana pfied útoky zvenãí i zevnitfi, viry, spywarem i adwarem Začleněním nejlepší nabídky antivirového systému pro bránu od společnosti Kaspersky Lab jsou integrované bezpečnostní aplikace společnosti Juniper Networks schopny chránit webový provoz, elektronickou poštu i webovou poštu před viry, červy, vytvářením zadních vrátek, trojskými koni i malwarem obsaženým v souborech. Správa, jejímž základem jsou pravidla (policy), umožňuje sledování příchozího i odchozího provozu a tím chrání síť před útoky zvenčí i před těmi, které vznikají uvnitř sítě. Na rozdíl od ostatních integrovaných antivirových řešení, jejichž základem je popis paketu nebo sítě, provádí řešení Juniper-Kaspersky rozbor provozu i obsahu souborů všech typů, vyhodnocuje je z hlediska možných virů a poté je opět skládá a odesílá je dál. Řešení Juniper-Kaspersky detekuje a chrání před více než 500 000 druhy virů, červů, škodlivých zadních vrátek, dialerů, „keyboard-loggerů“, zlodějů hesel, trojských koní a dalšími druhy škodlivých kódů. Toto kompletní řešení obsahuje i nejlepší detekci spywaru, adwaru a dalších malwarových programů. Na rozdíl od některých jiných řešení, která k detekci různých druhů malwaru využívají několik skenovacích „mimosouborových“ algoritmů, je řešení Juniper-Kaspersky založeno na jednotném všeobecném a přitom nejlepším skeneru, databázi a aktualizační proceduře, a chrání tak proti všem podvodným a malwarovým programům. OkamÏitá („day-zero“) ochrana pfied útoky na aplikaãní úrovni Do firewallové platformy společnosti Juniper Networks je plně integrován firewall Deep Inspection, který je ověřeným IPS řešením 3. generace, vystavěným na základech podrobné (Stateful) kontroly a který v sobě integruje mechanismus detekce anomálií popisů a protokolů, čímž poskytuje „vnější“ ochranu před útoky jak na síťové tak na aplikační vrstvě. Pomocí správy orientované podle pravidel mohou správci vybrat a zvolit, které protokoly budou kontrolovány na neobvyklé jevy nebo na podrobné podpisy, které typy útoků se budou vyhledávat a jaká akce se provede v případě zjištění útoku. Obrana před útoky
může být upravena podle konkrétních požadavků na ochranu jedním ze čtyř různých balíků popisů (Signature Pack1) • Základní balík – ochrana protokolů a služeb komunikujících s Internetem obsahující širokou škálu popisů červů, útoků typu klient-server i server-klient. • Serverový balík – detekuje a blokuje útoky zvenčí, které míří na serverovou infrastrukturu. • Klientský balík – blokuje trojské koně, červy a další malware obsahující útočné objekty zaměřené na klientské aplikace. •„Anti-červový“ balík – detekuje červy typu klient-server a server-klient a celkově tak chrání před rychlým rozšířením červů. ¤ízení pfiístupu ke znám˘m zdrojÛm virÛ Při blokování přístupu k podvodným webovým stránkám se společnost Juniper Networks spojila se společnosti SurfControl a nabízí řešení pro filtrování webového provozu, které je plně integrováno do firewallu. Pomocí administrativního GUI rozhraní může správce stanovit vhodná pravidla webového provozu založená na 54 různých kategoriích, které pokrývají více než 13 milionů URL adres (jejichž počet každým dnem roste). Blokování obvykl˘ch spamov˘ch a phishingov˘ch útokÛ zvenãí Společnost Juniper Networks se spojila se Symantec Corporation a ve svých platformách pro malé a středně velké firmy využívá jejího špičkového antispamového řešení i ověřených služeb, aby omezila příliv nežádoucí elektronické pošty a možných útoků, které s sebou nese. Antispamové jádro je instalováno na bráně (gateway) Juniper Networks FW/VPN a zde působí jako první linie ochrany – filtruje příchozí poštu, zda neobsahuje známé odesílatele spamu nebo phishingu. Pokud přichází známý podvodný e-mail, je zablokován nebo označen, aby e-mailový server mohl provést příslušnou akci. Shrnutí Firewally společnosti Juniper Networks obsahují funkce UTM které jsou vytvořeny na základě partnerství se špičkovými společnostmi. Jejich sloučením se špičkovými síťovými zařízeními je možno vytvořit výkonné řešení, které je schopno celou síť LAN nebo WAN ochránit před útoky zvenčí i zevnitř. 1 Souãasnû mÛÏe b˘t instalován pouze jeden balík
Ochrana pfied ohroÏením zvenãí a zevnitfi Strana 4
Antivirová ochrana (Kaspersky Lab) Skenované protokoly
SMTP, POP3, Webmail, FTP, IMAP, HTTP
Ochrana pfied útoky zvenãí/zevnitfi
Ano/Ano
Reakce na nové viry
prÛmûrnû 1,5 hodiny
âetnost aktualizací
kaÏdou hodinu
Poãet popisÛ virÛ
100 000+
Archivy a Extractory
ACER, ARJ, Alloy, Astrum, BZIP2, BestCrypt, CAB, CABSFX, CHM, Catapult, CaveSFX, CaveSetup, ClickTeam, ClickTeamPro, Commodore, CompiledHLP, CreateInstall, DiskDupe, DiskImage, EGDial, Effect Office, Embedded, Embedded Class, Embedded EXE, Embedded MS Expand, Embedded PowerPoint, Embedded RTF, FlyStudio, GEA, GKWare Setup, GZIP, Gentee, Glue, HA, HXS, HotSoup, Inno, InstFact, Instyler, IntroAdder, LHA, MS Expand, MSO, Momma, MultiBinder, NSIS, NeoBook, PCAcme, PCCrypt, PCInstall, PIMP, PLCreator, PaquetBuilder, Perl2Exe, PerlApp, Presto, ProCarry, RARv 1.4 a vy‰‰í, SEA, SbookBuilder, SetupFactory, SetupSpecialist, SilverKey, SmartGlue, StarDust Installer, Stream 1C, StubbleMan, Sydex, TSE, Tar, TeleDisk, Thinstall, ViseMan, WinBackup, WiseSFX, ZIP
Semi-spustitelné pfiípony pro WIN
pif, lnk, reg, ini (Script.ini atd.), cla (Java Class), vbs (Visual Basic Script), vbe (Visual Basic Script Encrypted), js (Java Script), jse (Java Script Encrypted), htm, html, htt (HTTP stránky), hta – HTA (HTML aplikace), asp (Active Server Pages), chm – CHM (komprimovan˘ HTML), pht – PHTML, php – PHP, wsh, wsf, the (.theme)
Pfiípony MS Office
doc, dot, fpm, rtf, xl*, pp*, md*, shs, dwg (Acad2000), msi (MS Installer), otm (makro pro Outlook), pdf (Acrobat Reader), swf (Shockwave-flash), prj (projekt MapInfo), jpg, jpeg, emf (Enhanced Windows Metafile), elf
Spustitelné pfiípony pro DOS
com, exe, sys, prg, bin, bat, cmd, dpl (soubory Borland Delphi), ov*
Spustitelné sobory WIN
dll, scr, cpl, ocx, tsp, drv, vxd, fon 386
Pfiípony souborÛ elekt. po‰ty
eml, nws, msg, plg, mbx (databáze Eudora)
Pfiípony souborÛ nápovûdy
hlp
Dal‰í pfiípony názvÛ souborÛ
sh, pl, xml, itsf, reg, wsf, mime, rar, pk, lha, arj, ace
Antispamová ochrana (Symantec) âetnost aktualizace seznamu spamu
antispamov˘ seznam je aktualizován dvakrát za hodinu
ObsaÏené druhy spamu
zombie, otevfiené zprostfiedkování, podezfiení na spam
Podíl z celosvûtového objemu elektr. po‰ty vyuÏit˘ pro tvorbu seznamu
Pro úãely tvorby antispamového seznamu je analyzováno pfiibliÏnû 20–25 % celosvûtového provozu elektronické po‰ty
Poãet zpÛsobÛ (míst apod.) vyuÏit˘ch pro shromaÏìování a provedení anal˘z
Antispamov˘ seznam je generován na základû údajÛ z pfiibliÏnû 3 milionÛ míst ve více neÏ 25 rÛzn˘ch zemích
IPS (Deep Inspection FW) Metody detekce
2 metody detekce 1. podrobné popisy 2. anomálie protokolÛ (okamÏitá – zero-day –Ochrana)
Worm Ochrana proti ãervÛm
Ano
Ochrana proti trojsk˘m koním
Ano
Ochrana proti jinému malwaru
Ano
PrÛzkumná ochrana
Ano
Ochrana proti útokÛm klient-server a server-klient
Ano
Vytváfiení popisÛ specifick˘ch útokÛ
Ano
Kontext aplikací pro úpravy popisÛ
90+
Popisy streamÛ pro detekci ‰ífiení ãervÛ
Ano – v rámci anti-ãervového balíku. V ostatních popisn˘ch balících je vyuÏit Stream256
Poãet moÏností reakce
1. Uzavfiení: Pfieru‰í spojení a za‰le RST na klient-server 2. Uzavfiení serveru: Pfieru‰í spojení a za‰le RST na server 3. Uzavfiení klienta: Pfieru‰í spojení a za‰le RST na klienta 4. Pfieru‰ení: Pfieru‰í spojení, aniÏ by komukoli zaslal RST 5. Pfieru‰ení paketu: Pfieru‰í dan˘ paket, ale neru‰í spojení 6. Ignorovat: Po zji‰tûní popisu útoku nebo anomálie provede zafiízení NetScreen záznam do protokolu a ukonãí kontrolu – nebo ignoruje – zbytek spojení 7. Îádná: Îádná akce
Mechanismy ohlá‰ení útokÛ
1. 2. 3. 4. 5. 6.
Vytvofiení a uplatnûní pfiíslu‰n˘ch politik vyuÏití aplikací
Ano – napfi. „messengery“ a aplikace typu „peer-to-peer“
âetnost aktualizací
mûsíãnû a v pfiípadû nutnosti
Integrovaná filtrace webového provozu (SurfControl) Databáze URL adres
> 13,7 milionu – doplÀována kaÏd˘ den
Poãet stránek odpovídajících databázi
> 2,5 miliardy
Poãet novû doplÀ. stránek
> 50 000 t˘dnû
Poãet obsaÏen˘ch kategorií
54, vãetnû: phishing a zneuÏití, spyware, erotika, sex, alkohol a tabák, zloãinné aktivity, gambling, hacking, zakázané látky, netolerance a nenávist, nechutnost a útok, násilí, zbranû
Poãet jazykÛ
72
Poãet zemí
210
záznam paketÛ spojení souhrn relace elektronická po‰ta SNMP systémov˘ protokol (syslog) webové trendy (webtrends)
Strana 5 Koncepce řešení Antivir*
Antispam
Filtrování webového provozu (integrováno / přesměrování)**
IPS (Deep Inspection FW)
SSG - 550M
Ano
Ano
Ano / Ano
Ano
SSG - 520M
Ano
Ano
Ano / Ano
Ano
SSG - 350M
Ano
Ano
Ano / Ano
Ano
SSG - 320M
Ano
Ano
Ano / Ano
Ano
SSG - 140
Ano
Ano
Ano / Ano
Ano
SSG - 20
Ano
Ano
Ano / Ano
Ano
SSG - 5
Ano
Ano
Ano / Ano
Ano
* Včetně ochrany proti phishingu, spywaru, „key-loggerům“ a adwaru **Včetně ochrany proti phishingovým a spywarovým stránkám (odchozí provoz)
O partnerech společnosti Juniper Networks v oblasti ochrany obsahu SurfControl – integrovaná a přesměrovaná filtrace webového provozu Více než 60 odborníků společnosti SurfControl pracujících ve více než 20 zemích světa trvale sleduje a analyzuje ohrožení vznikající na webu a která přicházejí z webu, elektronické pošty, „instant messengerů“ a sdílení souborů v sítích typu „peer-topeer“. Výsledkem je nejvýkonnějších ochrana proti neustále se rozvíjejícím ohrožením, poskytovaná ve formě databáze URL adres obsahující více než 13 milionů adres představujících více než 2,5 miliardy stránek 54 kategorií, která je neustále doplňována o dalších přibližně 50 000 stránek každý týden. Websense – přesměrované filtrování webového provozu Společnost Websense představuje světovou špičku v oblasti zabezpečení webu a softwaru pro filtraci webového provozu, které byla svěřena ochrana více než 24 milionů zaměstnanců na celém světě. Websense aktivně vyhledává ohrožení existující na webu – např. spyware, phishingové útoky, viry a nebezpečný „crimeware“ software – a svým zákazníkům poskytuje nejvyšší možnou ochranu proti nim, aniž by tito museli vynakládat výrazné úsilí. Díky různým partnerstvím a integracím posiluje Websense sítě a úroveň bezpečnosti prostředí našich zákazníků.
nových ohrožení a vytváření nových utilit pro vnitřní a uživatelské využití. Více než desetileté zkušenosti zajišťují rychlou reakci na nové hrozby a poskytují uživatelům nástroje na odstranění virů i informace pro aktivní ochranu proti nim. Virová laboratoř (Virus Lab) společnosti Kaspersky Lab má jednu z nejrozsáhlejších sbírek definic virů na světě obsahující přes 150 000 definic a počtů (counts). Mnozí z analytiků společnosti Kaspersky jsou uznávanými odborníky v oblasti „počítačové virologie“, účastní se konferencí o zabezpečení a jsou autory profesionálních publikací. Symantec Společnost Symantec představuje světovou špičku mezi poskytovateli řešení pro soukromníky i společnosti všech oborů, která zajišťují bezpečnost, dostupnost a neporušenost jejich informací. Společnost sídlí v kalifornském Cupertinu, ale své pobočky má ve více než 40 zemích světa. Symantec Brightmail AntiSpam poskytuje společnostem pokročilý ochranný systém před spamem a dalšími hrozbami přicházejícími elektronickou poštou. Toto několikrát oceněné řešení je umístěno na internetové bráně, a využitím několika účinných technologií, znalostí provozních středisek rozprostřených po celém světě, patentované sítě pro identifikaci spamu a filtrování v reálném čase zvyšuje zabezpečení i výkon elektronické pošty.
Kaspersky Lab – antivir (antispyware, antiadware, antiphishing) Kasperského mezinárodní tým virových analytiků a vývojářů neustále pracuje na shromažďování informací, vyhodnocování
PRAHA - Nagano III, U nákladového nádraží 10, 130 00 Praha 3, Tel.: +420 - 266 109 211, Fax: +420 - 283 840 236 , www.soft-tronik.cz OSTRAVA - Tvorkovských 5, 709 00 Ostrava-Mariánské Hory, Tel.: +420 - 597 488 811, Fax: +420 - 596 622 486, www.soft-tronik.cz BRATISLAVA - Hattalova 12/A, 831 03 Bratislava, Tel.: +421 - 244 631 232, Fax: +421 - 244 631 233, www.soft-tronik.sk
ÚSTŘEDÍ SPOLEČNOSTI A ÚSTŘEDÍ PRODEJE
OBLASTNÍ KANCELÁŘ PRO VÝCHODNÍ POBŘEŽÍ
OBLASTNÍ ÚSTŘEDÍ PRODEJE PRO ASIJSKO-PACIFICKOU OBLAST
OBLASTNÍ ÚSTŘEDÍ PRODEJE PRO EVROPU, STŘEDNÍ VÝCHOD A AFRIKU
pro Severní a Jižní Ameriku Juniper Networks, Inc. 1194, North Mathilda Avenue Sunnyvale, CA 94089 USA Telefon: +1-888-JUNIPER (+1-888-586-4737) nebo +1-408-745-2000 Fax: +1-408-745-2100
(East Coast Office) Juniper Networks, Inc. 10, Technology Park Drive Westford, MA 01886-3146 USA Telefon: +1-978-589-5800 Fax: +1-978-589-0800
Juniper Networks (Hongkong) Ltd. Suite 2507-11, Asia Pacific Finance Tower Citibank Plaza, 3 Garden Road Central, Hong Kong Telefon: +852-2332-3636 Fax: +852-2574-7803
Juniper Networks (UK), Limited Juniper House Guildford Road Leatherhead Surrey, KT22 9JH, Velká Británie Telefon: +44(0)1372-385500 Fax: +44(0)1372-385501
www.juniper.net Copyright 2006, Juniper Networks, Inc. Všechna práva vyhrazena. Juniper Networks a logo Juniper Networks jsou zapsané ochranné značky společnosti Juniper Networks, Inc., v USA a v dalších státech. Ostatní ochranné značky, názvy služeb, zapsané ochranné značky nebo zapsané značky služeb uvedené v tomto dokumentu jsou vlastnictvím společnosti Juniper Networks nebo jejich vlastníků. Vyhrazujeme si právo na změnu technických údajů bez předchozího oznámení. Společnost Juniper Networks nenese žádnou odpovědnost za nepřesnosti uvedené v tomto dokumentu, ani nemá povinnost informace uvedené v tomto dokumentu aktualizovat. Společnost Juniper Networks si vyhrazuje právo na změnu, úpravu nebo jinou revizi této publikace bez předchozího oznámení.
351202-001 květen 2006
