TippingPoint UnityOne

Transkript

1 TippingPoint UnityOne TippingPoint UnityOne je bezpenostní produkt, jenž je schopen blokovat narušení podnikové sít ješt pedtím, než útok poškodí nebo znií pátení IT infrastrukturu. Jde o produkt s certifikací EAL2 z roku 2003 a adou ocenní odborných asopis a organizací. Co je TippingPoint a UnityOne? TippingPoint je samostatná divize spolenosti 3Com, stala se její souástí po akvizici v lednu UnityOne je unikátní bezpenostní produkt, schopný blokovat kybernetické narušení podnikové sít ješt ped tím, než útok nakazí, poškodí nebo znií pátení IT infrastrukturu. V souasné dob systémy UnityOne filtruje pes 2000 druh vir, erv, trojských ko, hybridních útok, datových a statistických anomálií, DoS a DDoS útok a chrání jednotlivé ásti podnikové infrastruktury. Navíc umožuje chránit výkon sít ízením Peer to Peer aplikací nebo omezením Spyware. O jeho kvalit svdí mimo jiné i to, že získal ocenní Best Security Solution for 2005 od SC Magazinu a zárove je to jediný IPS/IDS produkt, který získal ocenní Gold Award v testu agentury NSS. Bezpenostní situace Nedávný przkum spolenosti Van Dyke Software mezi spolenostmi, jejichž systémy byly njakým zpsobem narušeny, ukázal, že nejvtším zdrojem narušení byly viry (78% spoleností), vnjší nepátelské prniky do systém (50%), DoS útoky (40%), vnitní narušení (29%), spoofing (28%), datová nebo síová sabotáž (20%) a neoprávnné prniky zevnit sít (16%). A to pesto, že drtivá vtšina spoleností používala vstupní firewall v perimetru sít. Problémem je, že mnoho útok dokáže využít nedostatky v protokolech, které mají prostupovat vstupním firewallem a maskovat útok do užiteného provozu. asto jsou rovnž zneužívány vystavené webové servery, na kterých si útoník pipraví základnu pro další útoky. Navíc firewall v perimetru nedokáže zabránit útokm z vnitní ásti sít a zavleeným virm, jak ukazují nedávná hromadná rozšíení erv Slammer nebo Blaster ve velkých organizacích. K emu je IPS? TippingPoint UnityOne patí k tzv. síovým IPS systémm (Intrusion Prevention System, sytém pro detekci a prevenci prnik), který se vazuje do datové cesty (In-Line), aby odfiltroval škodlivý provoz. Jakmile IPS systém detekuje škodlivý paket, zapíše jej do logu a

2 zahodí tento paket a všechny následující pakety datového toku, náležející k škodlivému paketu. Díky tomu UnityOne odstraní z datového toku napíklad všechny souásti probíhajícího Denial Of Service útoku, aniž by ml jakýkoliv vliv na probíhající užitenou datovou komunikaci. Zde je významný rozdíl oproti IDS systémm (Intrusion Detection Systém), které nebezpený provoz pouze DETEKUJÍ, ale neodstraní jej z datového toku. UnityOne provádí kompletní inspekci paket až po 7.(aplikaní) vrstvu a istí internetový nebo intranetový provoz od vir, erv, trojských koní, chrání vnitní sí ped útoky typu DoS (Denial of Service), DDoS (Distributed Denial of Service), ped útoky využívajícími otevených zadních vrátek, škodlivými aplikacemi kradoucími pásmo i ped rznými smíšenými útoky. UnityOne lze nasadit jako univerzální síovou záplatu, která umožní oddálit nebo úpln nahradit instalaci záplat na jednotlivé stanice a servery s nároným testováním kompatibility aplikací, protože UnityOne probíhající útok na servery i stanice z datového toku odstraní. UnityOne chrání síovou infrastrukturu blokováním útok proti routerm, pepínam, DNS serverm a dalším. UnityOne IPS s unikátním paralelním zpracováním filtr disponuje vynikajícími výkonovými parametry s minimálním zpoždním, které umožuje in-line nasazení. Díky tomu je možné jej použít nejen v perimetru sít, ale je vhodný k ochran server a síových zdroj na výkonných linkách, k oddlení skupin uživatel, WAN, vzdálených uživatel nebo bezdrátových klient. Obr: Píklad nasazení UnityOne v podnikovém prostedí k ochran perimetru, DMZ, server, stanic a mobilních klient Hlavní funkce UnityOne krom IPS funkcí slouží k ochran: - Aplikací a OS - Infrastruktury - Výkonu Ochrana aplikací a operaních systém

3 UnityOne v perimetru nebo mezi VLAN zabrání útokm proti zranitelným aplikacím a operaním systémm Microsoft, SUN, IBM, Macintosh a další a umožní odložit nebo nahradit asov nároné upgrady a testování aplikací použitím síové záplaty. Ochrana síové infrastruktury UnityOne obsahuje filtry, jež zabrání útokm proti nov objeveným bezpenostním dírám DNS služeb, 3Com infrastruktue, Cisco IOS a dalších síových prvk s možností aplikace pístupových filtr ACL. Dále chrání proti DoS útokm, které odhalují bezpenostní díry, proti známým DDoS nástrojm (napíklad TFN, Loki, Stacheldraft, ), chrání proti záplavovým paketm nastavením limitu pro zvolené ICMP, TCP nebo UDP paketm. Dále obsahuje ochranu proti rzným typm záplavových paket vedoucích k odepení služeb. Ochrana výkonu UnityOne umožuje tvarovat data a potlait škodlivá data normalizací datového provozu, ízením nenormálního provozu nastavením limit, napíklad pro Peer-to-Peer aplikací sdílení dat, aplikací Instant Messagingu i Spyware. Oceované funkce Pi testech bezpenostních IPS systém TippingPoint UnityOne vynikal nad ostatními produkty pedevším v následujících innostech: - rozpoznání útok a vir - rychlá reakce na nové typy útok - malá latence <250 s - vysoká prchodnost - odolnost proti nesprávn použitým filtrm (falešný poplach) - ochrana proti záplavovým útokm - správa systému a editor pravidel - redundance Reakce na nové typy hrozeb Rychlost reakce na nové typy hrozeb jsou klíovým parametrem bezpenostních produkt. Zatímco v pedešlých letech dostaovaly odezvy v rozsahu dn, v souasné dob se rychlost šíení erv poítá na hodiny. Proto je dležité mít filtry co nejdíve, aby byly k dispozici na píklad ped zveejnním exploitu na internetu (Exploit je program, který využívá specifické zranitelnosti systém). Protože nelze z pochopitelných dvod garantovat budoucí reakce na neznámé bezpenostní situace, pikládáme na konci dokumentu pro ilustraci reakce spolenosti TippingPoint na nkteré minulé bezpenostní hrozby. Výkon Jednou z klíových a oceovaných vlastností jsou paralelní kontrolní procesy, kdy je tok dat paraleln konfrontován s nahranými filtry. Tento proces má minimální zpoždní díky speciálnímu hardwaru zvanému TSE (Threat Suppression Engine), což je kombinace obvod ASIC (Application Specific Integrated Circuits) a síových procesor. Nezávislé testy potvrzují prmrné zpoždní menší než 250 mikrosekund; napíklad v hodnocení na je uvedena pro typ Unity-1200 maximální mez 116 mikrosekund. Odstranní škodlivých tok má minimální vliv na tok dat aplikací (viz napíklad výsledky nezávislých test spolenosti Tolly Group). Jednotlivé produkty umožují škálovat prchodnost od 50 Mb/s do 5 Gb/s, pro nasazení podle úelu použití, v perimetru sít nebo na výkonných serverových nebo páteních linkách. Srovnání tradiní metody softwarového filtru s ešením UnityOne poskytují obrázky.

4 Srovnání tradiní metody softwarového filtru s ešením UnityOne Obr: Softwarové ešení zpracovává pakety sériov a nemže efektivn násobit poet filtr bez snížení výkonnosti. (1) Packet vstupuje do systému a je klasifikován, (2) je podrobován kontrole na každý platný filtr, (3) v pípad shody jsou pakety zahozeny a (4) další paket je zpracován. Obr: UnityOne Threat Suppression Engine pracuje na 2 Gbps se zpoždním pod milisekundu. (1) Paket je klasifikován, (2) všechny platné filtry jsou zpracovány souasn v paralelním poli, zatímco další paket je klasifikován, (3) výsledek srovnání paralelního porovnání filtr urí, zda paket (4) projde, nebo je zahozen. Pípadné zahození je vetn všech následujících paket patících k stejnému toku.

5 Management UnityOne je z hlediska použití v síti transparentní, z pohledu datového toku nemá MAC ani IP adresu, takže nemá vliv na použité aktivní prvky sít, ani na protokoly, použité v síti, jako je napíklad 802.1Q tagovaná linka, sdružená linka, redundantní protokoly VRRP, OSPF, atd... UnityOne má management adresu oddlenou od datového toku, která se používá pro vzdálenou správu systému, logování a pro nahrání nových filtr. Digitální vakcína TippingPoint úzce spolupracuje s agenturami, zabývajícími se výzkumem a dokumentací nových typ bezpenostních hrozeb, jako je SANS Institut, CERT, Vendor Advisories, Bugtraq, VulnWatch, PacketStorm. Ve spolupráci se SANS Institutem vydává Report, obsahující popis a hodnocení nov dokumentovaných zranitelností. V týdenních intervalech, nebo v pípad kritické situace okamžit, distribuuje TippingPoint aktuální digitální vakcínu svým zákazníkm. Tyto filtry obsahují signatury nových typ útok, filtry na bezpenostní díry v operaních systémech a aplikacích a filtry datových a statistických anomálií. Kategorizovaný seznam posledních vakcín je dostupný na Rozhodnutí o instalaci nové verze Digitální vakcíny mže být závislé na uživateli, nebo lze systém lze konfigurovat tak, aby stáhl novou verzi digitální vakcíny, jakmile je dostupná na Threat Management Centru na tmc.tippingpoint.com a automaticky instaloval do jednotky UnityOne. Klíové funkce a parametry UnityOne Výkon škálovatelná prchodnost od 50Mbps do 5Gbps, s latencí <215µsec, pes 2 miliony souasných session TCP, UDP/ICMP, pes 250 tisíc spojení za vteinu Ochrana server a zabrání útokm proti zranitelným aplikacím a operaním klient systémm, umožuje nahradit asov nároné upgrady aplikací síové záplaty, viz Ochrana síové infrastruktury Normalizace datového provozu Ochrana aplikací Digitální vakcína Redundance a vysoká dostupnost Ochrana DNS služeb, Cisco IOS router a pepína, ochrana dalších síových prvk, ochrana proti DoS, SYN Floods, aplikace pístupových filtr ACL zvýšení pásma a výkonu smrova, optimalizace výkonu a normalizace neplatných dat, ízení nenormálního provozu nastavením limit, zvýšení propustnosti a kapacity server, filtrování nebo nastavení limitu pro nechtná data nebo aplikace (PeerToPeer, SpyWare, AdWare atd.), ochrana datových linek pro užitené aplikace automatická celosvtová distribuce nových filtr zajistí okamžitou ochranu sít proti novým typm narušení. Kategorizovaný seznam posledních vakcín je dostupný na duální zdroje, manuální nebo automatický Layer2 fallback v pípad interní chyby, redundance Active-

6 Parametry Typ Agregovaná prchodnost UnityOne megabit/sec UnityOne E megabit/sec UnityOne megabit/sec UnityOne megabit/sec UnityOne gigabit/sec UnityOne- 2.0 Active i Active-Passive, Zero Power High availability v pípad úplného výpadku napájení Zpoždní Poet session Poet spojení/sec Typy port Poet segment < 1 ms /100/ < 1 ms /100/ < 215 s /100/ < 215 s Optika nebo 10/100/1000 < 215 s Optika nebo 10/100/1000 < 215 s Optika nebo 10/100/1000 < 215 s Optika nebo 10/100/ gigabit/sec UnityOne E gigabit/sec Doplky UnityOne-SMS Security Management System Digital VaccineTM Attack Filter Update Service Povinné služby Maintanance Premium a Maintanance Standard Ocenní TippingPoint UnityOne získal celou adu ocenní.zahrnují napíklad: NSS Group, Gold Award v testu IPS systém SC Magazine, Best Security Solution roku 2005 Common Criteria Certification, 4 kategorie analyzer, senzor, scanner a system Information Security Magazine, IPS produkt roku 2004 SANS institute, Trusted Tool Frost&Sullivan 2005 Market Penetration Leadership Award IDS/IPS Market Frost&Sullivan, 2005 Infrastructure protection Company of the year eweek, Enterprise Resource ProtectionExcellence Award IDG, 2004 Network Protection Product of the year Tolly Group, Up to Spec performance and security test eweek, Labs Analyst s Choice Award Další ocenní najdete na stránce: Produktové informace Produktové informace je možné najít na webu Produktové testy Produktové testy tetích stran je možné najít na webu

7 Aplikaní návody Existuje celá ada opakujících se bezpenostních situací. Existují zpsoby, jak vyzkoušeným zpsobem navrhnout ochranu ped typickou bezpenostní situací. Nkteré aplikaní návody si mžete vyžádat v 3Com, nkteré je možné najít je na webu, zde jsou píklady: Ochrana portu 80, Zabezpeení centra sít, Ochrana univerzitního prostedí proti P2P, Ochrana serverové farmy, Ochrana VoIP provozu, Ochrana ped SpyWare, Zero Power High Availability, Advanced DoS FAQ, Redundance a odolnost UnityOne systémy lze nastavit redundantn, aby byl odolný proti výpadku systému, a to v konfiguraci Active-Active nebo Active-Passive. Je transparentní k protokolm, jako je VRRP, OSPF, pípadn HSRP. Nemá MAC ani IP adresu. Jednotky UnityOne mají duální systém zdroj vymnitelných za bhu, jsou odolné proti výpadku jednoho zdroje, ale pi výpadku obou zdroj nebo pi externímu výpadku proudu by byla data blokována. Proto podporuje funkci Zero Power High Availability, která zaruí neperušený tok dat pemostním filtr. Píklad reakce digitální vakcíny na vir Sasser, duben 2004 TippingPoint druhý den po uveejnní Sasser zranitelnosti distribuoval filtry, které byly odolné nejen proti Sasser viru, ale i jeho následným modifikacím Korgo, Sasser B-F, Korgo B-Z.

8 TippingPoint uvolnil filtry 2754 (LSASS Vulnerability) 2755 (Vulnerability against High Ports) TippingPoint UnityOne zákazníci kompletn chránni od druhého dne po zveejnní zranitelnosti TippingPoint Microsoft announced LSASS Vulnerability Sasser Worm Released Korgo Worm Released May August 2004 Sasser B-F, Korgo B-Z Worms Released Píklad reakce digitální vakcíny na erv Zotob, srpen 2005 TippingPoint distribuoval digitální svým zákazníkm nkolik dní ped tím, než byl publikován Exploit na využití této zranitelnosti. TippingPoint zákazníci byli ochránni ped úinkem tohoto erva. Zranitelnost odhalena TippingPoint Bezpenostní filtry distribuovány Zotob Exploit publikován TippingPoint zákazníci ochránni Zotob Worm útok Zranitelné stanice napadeny as k vytvoení záplaty ochranný interval Se scvrkává z msíc na dny Útoníci vybaveni aby vybrali cíl a ohrozili uživatele Ohrožení zranitelných stanic je zaruené pokud je erv vypuštn šíení erv se mí na minuty