Koncepce řešení Ochrana před ohrožením zevnitř i zvenčí s řešením UTM (Unified Threat Management) od Juniper Networks Problém Jak vzrůstá počet a rozmanitost útoků ze sítě, nemohou si již manažeři IT systémů dovolit spoléhat se výhradně na ochranu před jedním typem útoku a očekávat, že jejich síť zůstane bez zásahu. Řešení Zastavit všechny druhy útoků zvenčí nebo zevnitř vyžaduje koncepční řešení pokrývající co nejvíce vrstev a chránící před poškozením sítě, majetku společnosti i koncových uživatelů. Přínosy řešení Juniper Společnost Juniper Networks má ve své řadě firemních firewallových platforem integrovánu kompletní sadu funkcí UTM (Universal Threat Management), které jsou nejlepšími ve své třídě a poskytují plnou ochranu před útoky zevnitř i zvnějšku sítě. Díky využití výsledků vývoje, podpory a průzkumu trhu prováděných řadou předních partnerů z oblasti ochrany obsahu, je společnost Juniper Networks schopna nabídnout sadu těch nejlepších UTM funkcí. Jak vzrůstá počet a rozmanitost útoků ze sítě, nemohou si již manažeři IT systémů dovolit spoléhat se výhradně na ochranu před jedním typem útoku a očekávat, že jejich síť zůstane bez zásahu. Zejména firemní sítě jsou vystaveny všem typům útoků. Poměrně jednoduché útoky ze sítě se změnily v komplexní ataky, které k tomu, aby dosáhly svého zákeřného cíle, využívají prvky jak na síťové, tak i na aplikační vrstvě. Vzrůstá počet společností, které poskytují přímý přístup na web, koncoví uživatelé mimovolně vstupují na stránky, které mohou být již známy jako zdroje malwaru. Uživatelé nevědomky sdělují osobní či firemní důvěrné údaje (čísla platebních karet, hesla, obchodní tajemství společnosti apod.) na podvodné adresy elektronické pošty nebo prostřednictvím programů pracujících na pozadí, které tyto údaje shromažďují a předávají. To znamená, že IT manažer musí nejen zabránit všem útokům na síťové vrstvě, v aplikaci a obsahu, ale musí bránit síť před ohrožením jak zvenčí, tak i zevnitř. Ohrožení zvenčí je takové, které má svůj původ mimo firemní síť, např. u útočníka v Internetu, který hodlá narušit firemní ochranná opatření. Tato ohrožení jsou představována téměř všemi typy útoků od červů, přes viry, spyware, až po phishingové e-maily. Ohrožení zevnitř je takové, které je způsobeno někým uvnitř firemní sítě, například zaměstnancem, který je k ní připojen a jehož počítač je nevědomky zneužit a nyní se z něj šíří červi nebo viry do firemní sítě. Jiným příkladem ohrožení zevnitř jsou uživatelé, kteří odpovídají na phishingové útoky a sdělují své osobní údaje na nekalé webové stránky, nebo spyware, který je usazen v počítači některého ze zaměstnanců a v tichosti odesílá citlivé firemní informace nějakému útočníkovi v Internetu. Zastavit všechny druhy útoků zvenčí nebo zevnitř vyžaduje koncepční řešení pokrývající všechny síťové vrstvy a chránící před poškozením sítě, majetku společnosti i koncových uživatelů. Internet Ohrožení zvenčí Viry pro Windows, makroviry a skripty, vytváření zadních vrátek (Backdoors). Spyware, Adware, Keyloggers. Spam, Phishing. Červi, trojské koně, útoky DDoS, SoS, skenování a průzkum portů. Ohrožení zevnitř Stažení spywaru, adwaru a malwaru. Šíření virů a trojských koní v souborech. Odpověď na phishingové útoky. Šíření červů a trojských koní. 1 Správný nástroj pro tento úkol Jestliže je obousměrná ochrana základní složkou, je neméně významné implementovat prvky řešení, které se soustřeďují na určité druhy útoků. Žádná ze složek nedokáže sama o sobě zastavit celou dlouhou řadu útoků na síťové nebo aplikační vrstvě nebo skrytých v obsahu. Například viry jsou skryty v souborech, jako příloha nebo jako spustitelný soubor. Pro dosažení maximální možné ochrany proti virům by měli IT manažeři implementovat souborovou antivirovou ochranu (AV), která dokáže bez zpomalení provozu soubor nebo skript dekódovat, vyhodnotit z hlediska potenciálního napadení virem, znovu jej složit a odeslat k adresátovi. AV řešení založená na popisu sítě sledují pouze omezený objem dat, například pakety nebo streamy, což přináší jen falešný pocit jistoty. Takové nabídky AV řešení, která se soustřeďují výhradně na síťové toky, neposkytnou odpovídající ochranu, protože nejsou schopna dekódovat řadu souborů a jejich formátů, od dokumentů Wordu, přes tabulky Excelu, obrázky GIF po archivy ZIP atd.
Pro ochranu sítě před útoky na aplikační úrovni, které se přes síť zaměřují na zranitelná místa v softwaru, jako jsou zejména síťoví červi nebo zasílání citlivých údajů o platebních kartách ze systémů napadených spywarem, doporučujeme Intrusion Prevention System (IPS systém ochrany před narušením). AV a IPS jsou dvě navzájem se doplňující řešení chránící proti různým typům útoků. IPS se fokusují na nižší vrstvy komunikace aplikací, kde detekuje útoky. I v tomto případě je nutno zvolit řešení, které provádí více než jen zběžnou kontrolu paketů na síťové vrstvě nebo které dekóduje více než jen několik protokolů na 7. vrstvě. Řešení by mělo znát a kontrolovat všechny druhy provozu aplikací, plně znát všechny podrobnosti jednotlivých protokolů a využívat kombinaci metod např. podrobnou kontrolu aplikační vrstvy, detekci odchylek a další heuristické metody, které chrání před ohrožením. Omezit četnost útoků řízením přístupu Často přehlíženým prvkem ochrany před napadením je schopnost řídit přístup ke známým zdrojům malwaru stránkám, z nichž se stahuje. Nasazením metody ochrany před útoky, která obsahuje filtrování obsahu webových stránek, aby zabránila přístupu na známé podvodné webové stránky, mohou IT manažeři snížit počet podvodných downloadů, které jsou zatahovány do sítě. Dalším způsobem, který pomáhá snížení počtu útoků zvenčí je implementace antispamového řešení na bráně (gateway), které může fungovat jako předběžný filtr tím, že blokuje známé zdroje spamu a phishingu. Řešení Juniper Networks nejlepší technologie i partner ve své třídě Aby zajistila ochranu před ohrožením zvenčí i zevnitř, zapracovala společnost Juniper Networks do své řady firemních firewallových platforem úplnou sadu funkcí pro kontrolu obsahu, které jsou bezkonkurenční ve své třídě a obvykle jsou označovány jako funkce Universal Threat Management (UTM Univerzální ochrana před ohrožením). Díky využití výsledků vývoje, podpory a průzkumu trhu prováděných řadou předních partnerů z oblasti ochrany obsahu je společnost Juniper Networks schopna nabídnout sadu špičkových funkcí UTM. Ostatní dodavatelé rozprostřeli své vývojářské kapacity příliš široce a snaží se všechny prvky UTM vyvinout vlastními silami. Někteří další naopak využívají open source řešení, která ovšem mívají nevyrovnanou kvalitu i míru zachycení (catch-rate). Naše partnerství s nejlepšími experty z oboru zaručuje zákazníkům, že jejich sítě budou chráněny před všemi druhy útoků. Ochrana před útoky zvenčí i zevnitř, viry, spywarem i adwarem Začleněním antivirového systému do firewallu od společnosti Kaspersky Lab jsou integrované bezpečnostní aplikace společnosti Juniper Networks schopny chránit webový provoz, elektronickou poštu i webovou poštu před viry, červy, vytvářením zadních vrátek, trojskými koni a dalšími typy malwaru. Správa na bázi politik (bezpečnostních pravidel), umožňuje sledování příchozího i odchozího provozu a tím chrání síť před útoky zvenčí i před těmi, které vznikají uvnitř sítě. Na rozdíl od ostatních integrovaných antivirových řešení, jejichž základem je popis paketu nebo sítě, provádí řešení Juniper-Kaspersky rozbor provozu i obsahu souborů všech typů, vyhodnocuje je z hlediska možných virů a poté je opět skládá a odesílá je dál. Řešení Juniper-Kaspersky detekuje a chrání před všemi druhy virů, červů, škodlivých zadních vrátek, dialerů, keyboard-loggerů, zlodějů hesel, trojských koní a dalšími druhy škodlivých kódů. Toto kompletní řešení obsahuje i velmi kvalitní detekci spywaru, adwaru a dalších malwarových programů. Na rozdíl od některých jiných řešení, která k detekci různých druhů malwaru využívají několik skenovacích mimosouborových algoritmů, je řešení Juniper-Kaspersky založeno na jednotném všeobecném a přitom nejlepším skeneru, databázi a aktualizační proceduře, a chrání tak proti všem podvodným a malwarovým programům. 2
Okamžitá ( day-zero ) ochrana před útoky na aplikační úrovni Do firewallové platformy společnosti Juniper Networks je plně integrován firewall Deep Inspection, který je ověřeným IPS řešením 3. generace, vystavěným na základech podrobné (Stateful) kontroly a který v sobě integruje mechanismus detekce anomálií popisů a protokolů, čímž poskytuje vnější ochranu před útoky jak na síťové, tak na aplikační vrstvě. Pomocí správy na bázi politik, mohou správci vybrat, které protokoly budou kontrolovány na anomálie vůči RFC specifikacím, a dále, které konkrétní aplikace má daná politika chránit. V případě zjištění neobvyklého chování provozu se provede dříve specifikovaná akce, jako reakce na vzniklý bezpečnostní incident. Obrana před útoky může být upravena podle konkrétních požadavků na ochranu jedním ze čtyř různých balíků popisů (Signature Pack1) Základní balík ochrana protokolů a služeb komunikujících s Internetem obsahující širokou škálu popisů červů, útoků typu klient-server i server-klient. Serverový balík detekuje a blokuje útoky zvenčí, které míří na serverovou infrastrukturu. Klientský balík blokuje trojské koně, červy a další malware obsahující útočné objekty zaměřené na klientské aplikace. Anti-červový balík detekuje červy typu klient-server a server-klient a celkově tak chrání před rychlým rozšířením červů. Řízení přístupu ke známým zdrojům virů Při blokování přístupu k podvodným webovým stránkám se společnost Juniper Networks spojila se společnosti SurfControl a nabízí řešení pro filtrování webového provozu, které je plně integrováno do firewallu. Pomocí administrativního GUI rozhraní může správce stanovit vhodná pravidla webového provozu založená na 54 různých kategoriích, které pokrývají více než 25 milionů URL adres (jejichž počet každým dnem roste). Blokování obvyklých spamových a phishingových útoků zvenčí Společnost Juniper Networks se spojila se Symantec Corporation a ve svých platformách pro malé a středně velké firmy využívá jejího špičkového antispamového řešení i ověřených služeb, aby omezila příliv nežádoucí elektronické pošty a možných útoků, které sebou nese. Antispamové jádro je instalováno na bráně (gateway) Juniper Networks FW/VPN, kde působí jako první linie ochrany filtruje příchozí poštu, zda neobsahuje známé odesílatele spamu nebo phishingu. Pokud přichází známý podvodný e-mail, je zablokován nebo označen, aby e-mailový server mohl provést příslušnou akci. Shrnutí Firewally společnosti Juniper Networks obsahují funkce UTM, které jsou vytvořeny na základě partnerství se špičkovými společnostmi. Jejich sloučením se špičkovými síťovými zařízeními je možno vytvořit výkonné řešení, které je schopno celou síť LAN nebo WAN ochránit před útoky zvenčí i zevnitř. 1 Současně může být instalován pouze jeden balík 3
Antivirová ochrana (Kaspersky Lab) Skenované protokoly: Ochrana před útoky zvenčí/zevnitř: Reakce na nové viry: Četnost aktualizací: SMTP, POP3, Webmail, FTP, IMAP, HTTP / průměrně 30 minut každou hodinu Počet popisů virů: 350 000+ Archivní a komprimované formáty: semi-spustitelné přípony pro WIN: přípony MS Office: spustitelné přípony pro DOS: ACER, ARJ, Alloy, Astrum, BZIP2, BestCrypt, CAB, CABSFX, CHM, Catapult, CaveSFX, CaveSetup, ClickTeam, ClickTeamPro, Commodore, CompiledHLP, CreateInstall, DiskDupe, DiskImage, EGDial, EffectOffice, Embedded, Embedded Class, Embedded EXE, Embedded MS Expand, Embedded PowerPoint, Embedded RTF, FlyStudio, GEA, GKWare Setup, GZIP, Gentee, Glue, HA, HXS, HotSoup, Inno, InstFact, Instyler, IntroAder, LHA, MS Expand, MSO, MOmma, MultiBinder, NSIS, NeoBook, PCAcme, PCCrypt, PCInstall, PIMP, PLCreator, PaquetBuilder, Perl2Exe, PErlApp, Presto, ProCarry, RARv 1.4 a vyšší, SEA, SbookBuilder, SetupFactory, SetupSpecialist, SilverKey, SmartGuide, StarDust Installer, Stream 1C, StubbleMan, Sydex, TSE, Tar, Thinstall, ViseMan, WinBackup, WiseSFX, ZIP, 7-Zip pif, lnk, reg, ini (Script.ini atd.), cla (Java Class), vbs (Visual Basic Script), vbe (Visual Basic Script Encrypted), js (Java Script), jse (Java Script Encrypted), htm, html, htt (HTTP stránky), hta HTA (HTML aplikace), asp (Active Server Pages), chm CHM (komprimovaný HTML), pht PHTML, php PHP, wsh, wsf, the (.theme) doc, dot, fpm, rtf, xl*, pp*, md*, shs, dwg (Autocad 2000), msi (MS Installer), otm (makro pro Outlook), pdf (Acrobat Reader), swf (Shockwave-flash), prj (projekt MapInfo), jpg, jpeg, emf (Enhanced Windows Metafile), elf com, exe, sys, prg, bin, bat, cmd, dpl (soubory Borland Delphi), ov* spustitelné sobory WIN: dll, scr, cpl, ocx, tsp, drv, vxd, fon 386 přípony souborů elektronické pošty: přípony souborů nápovědy: další přípony názvů souborů eml, nws, msg, plg, mbx (databáze Eudora) Integrovaná filtrace webového provozu (SurfControl) databáze URL adres Počet stránek odpovídajících databázi Počet nově doplňovaných stránek Počet obsažených kategorií hlp Počet jazyků 70 Počet zemí 200 Antispamová ochrana (Symantec) Četnost aktualizace seznamu spamu Obsažené druhy spamu sh, pl, xml, itsf, reg, wsf, mime, rar, pk, lha, arj, ace, vmf, vma, vmv, ico, efi > 25 milionů doplňována každý den > 3,9 miliardy > 250 000, každodenně se mění 54, včetně: phishing a zneužití, spyware, erotika, sex, alkohol a tabák, zločinné aktivity, gambling, hacking, zakázané látky, netolerance a nenávist, nechutnost a útok, násilí, zbraně antispamový seznam je aktualizován dvakrát za hodinu zombie, otevřené zprostředkování, podezření na spam Podíl z celosvětového objemu elektronické Pro účely tvorby antispamového seznamu je analyzováno pošty využitý pro tvorbu seznamu přibližně 20 25 % celosvětového provozu elektronické pošty Počet způsobů (míst apod.) využitých Antispamový seznam je generován na základě údajů z přibližně 3 milionů míst pro shromažďování a provedení analýz ve více než 25 různých zemích 4
IPS (Deep Inspection FW) Metody detekce Ochrana proti červům Ochrana proti trojským koním Ochrana proti jinému malwaru Průzkumná ochrana Ochrana proti útokům klient-server a server-klient Vytváření popisů specifických útoků 2 metody detekce útoků 1. vzory útoků 2. anomálie protokolů (okamžitá zero-day Ochrana) Kontext aplikací 90+ pro úpravy popisů Popisy streamů pro detekci šíření červů Počet možností reakce Mechanismy ohlášení útoků Vytvoření a uplatnění příslušných politik využití aplikací v rámci anti-červového balíku. V ostatních popisných balících je využit Stream256 1. Uzavření: Přeruší spojení a zašle RST na klient-server 2. Uzavření serveru: Přeruší spojení a zašle RST na server 3. Uzavření klienta: Přeruší spojení a zašle RST na klienta 4. Přerušení: Přeruší spojení, aniž by komukoli zaslal RST 5. Přerušení paketu: Přeruší daný paket, ale neruší spojení 6. Ignorovat: Po zjištění popisu útoku nebo anomálie provede zařízení NetScreen záznam do protokolu a ukončí kontrolu nebo ignoruje zbytek spojení 1. záznam paketů spojení 2. souhrn relace 3. elektronická pošta 4. SNMP 5. systémový protokol (syslog) 6. webové trendy (webtrends) např. messengery a aplikace typu peer-to-peer Četnost aktualizací měsíčně a v případě nutnosti Antivir* Antispam Filtrování webového provozu IPS (Deep Inspection / (integrováno / přesměrování) ** / IDP ISG 2000 Ne / / ISG 1000 Ne / / SSG 550M / / Ne SSG 520M / / Ne SSG 350M / / Ne SSG 320M / / Ne SSG 140 / / Ne SSG 20 / / Ne SSG 5 / / Ne *Zahrnuje Phishing, Spyware, Keylogger a Adware ochranu **Zahrnuje vnější ochranu vůči Phishingu a spywaru. 5
Ústředí společnosti a ústředí prodeje pro Severní a Jižní Ameriku Juniper Networks, Inc. 1194, North Mathilda Avenue Sunnyvale, CA 94089 USA Telefon: +1-888-JUNIPER (+1-888-586-4737) nebo +1-408-745-2000 Fax: +1-408-745-2100 www.juniper.net Oblastní kancelář pro Východní pobřeží ( East Coast Office) Juniper Networks, Inc. 10, Technology Park Drive Westford, MA 01886-3146 USA Telefon: +1-978-589-5800 Fax: +1-978-589-0800 Oblastní ústředí prodeje pro asijsko-pacifickou oblast Juniper Networks (Hongkong) Ltd. Suite 2507-11, Asia Pacific Finance Tower Citibank Plaza, 3 Garden Road Central, Hong Kong Telefon: +852-2332-3636 Fax: +852-2574-7803 Oblastní ústředí prodeje pro Evropu, Střední východ a Afriku Juniper Networks (UK), Limited Building 1 Aviator Park Station Road Addlestone Surrey, KT15 2PG, Velká Británie Telefon: +44(0)1372-385500 Fax: +44(0)1372-385501 2008 Juniper Networks, Inc. Všechna práva vyhrazena. Juniper Networks, logo Juniper Networks, NetScreen a ScreenOS jsou registrované ochranné známky společnosti Juniper Networks Inc. v USA a dalších zemích. JUNOS a JUNOSe jsou obchodními známkami společnosti Juniper Networks, Inc. Všechny další obchodní značky, servisní značky a ochranné známky produktů nebo služeb jsou majetkem jejich příslušných vlastníků. Juniper Networks nepřebírá žádnou odpovědnost za jakékoliv nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo měnit, upravovat, přenášet nebo jinak revidovat tuto publikaci bez předchozího upozornění. O partnerech společnosti Juniper Networks v oblasti ochrany obsahu SurfControl integrovaná a přesměrovaná filtrace webového provozu Více než 60 odborníků společnosti SurfControl pracujících ve více než 20 zemích světa trvale sleduje a analyzuje ohrožení vznikající na webu a která přicházejí z webu, elektronické pošty, instant messengerů a sdílení souborů v sítích typu peer-to-peer. Výsledkem je nejvýkonnějších ochrana proti neustále se rozvíjejícím ohrožením, poskytovaná ve formě databáze URL adres obsahující více než 25 milionů adres představujících více než 3,9 miliardy stránek v 54 kategoriích, která je neustále doplňována o přibližně 250 000 změn denně. Websense přesměrované filtrování webového provozu Společnost Websense představuje světovou špičku v oblasti zabezpečení webu a softwaru pro filtraci webového provozu, které byla svěřena ochrana více než 24 milionů zaměstnanců na celém světě. Websense aktivně vyhledává ohrožení existující na webu např. spyware, phishingové útoky, viry a nebezpečný crimeware software a svým zákazníkům poskytuje nejvyšší možnou ochranu proti nim, aniž by tito museli vynakládat výrazné úsilí. Díky různým partnerstvím a integracím posiluje Websense sítě a úroveň bezpečnosti prostředí našich zákazníků. Kaspersky Lab antivir (antispyware, antiadware, antiphishing) Kasperského mezinárodní tým virových analytiků a vývojářů neustále pracuje na shromažďování informací, vyhodnocování nových ohrožení a vytváření nových utilit pro vnitřní a uživatelské využití. Více než desetileté zkušenosti zajišťují rychlou reakci na nové hrozby a poskytují uživatelům nástroje na odstranění virů i informace pro aktivní ochranu proti nim. Virová laboratoř (Virus Lab) společnosti Kaspersky Lab má jednu z nejrozsáhlejších sbírek definic virů na světě. Mnozí z analytiků společnosti Kaspersky jsou uznávanými odborníky v oblasti počítačové virologie, účastní se konferencí o zabezpečení a jsou autory profesionálních publikací. Symantec Společnost Symantec představuje světovou špičku mezi poskytovateli řešení pro soukromníky i společnosti všech oborů, která zajišťují bezpečnost, dostupnost a neporušenost jejich informací. Společnost sídlí v kalifornském Cupertinu, ale své pobočky má ve více než 40 zemích světa. Symantec Brightmail AntiSpam poskytuje společnostem pokročilý ochranný systém před spamem a dalšími hrozbami přicházejícími elektronickou poštou. Toto několikrát oceněné řešení je umístěno na internetové bráně, a využitím několika účinných technologií, znalostí provozních středisek rozprostřených po celém světě, patentované sítě pro identifikaci spamu a filtrování v reálném čase zvyšuje zabezpečení i výkon elektronické pošty. O společnosti Juniper Networks Juniper Networks, Inc. je vedoucí společnost na trhu vysoce výkonných sítí. Zákazníkům nabízí vysoce výkonnou síťovou infrastrukturu, která vytváří zabezpečené prostředí pro urychlené nasazení služeb a aplikací v síti, což podporuje podnikatelské aktivity náročné na vysoký výkon. Další informace můžete najít na stránkách www.juniper.net. 6 SOFT-TRONIK, a.s. - Nagano III, U nákladového nádraží 10 / 130 00 Praha 3 / Tel.: +420-266 109 211 / Fax: +420-283 840 236 / www.soft-tronik.cz SOFT-TRONIK, a.s. - Tvorkovských 5 / 709 00 Ostrava-Mariánské Hory / Tel.: +420-597 488 811 / Fax: +420-596 622 486 / www.soft-tronik.cz SOFT-TRONIK SK, s.r.o. - Hattalova 12/A / 831 03 Bratislava / Tel.: +421-244 631 232 / Fax: +421-244 631 233 / www.soft-tronik.sk 150015-004 Nov 2006 Máte-li zájem o řešení Juniper Networks, kontaktujte, prosíme, obchodní zástupce společnosti Juniper Networks na 1-866-298-6428 nebo autorizovaného prodejce.