Koncepce fie ení Ochrana před ohrožením zevnitř i zvenčí pomocí Juniper Network Content Security
Ochrana pfied ohroïením zevnitfi i zvenãí Strana 2 Úvod Jak vzrůstá počet a rozmanitost útoků ze sítě, nemohou si již manažeři IT systémů dovolit spoléhat se výhradně na ochranu před jedním typem útoku a očekávat, že jejich síť zůstane bez zásahu. Zejména firemní sítě jsou vystaveny všem typům útoků. Poměrně jednoduché útoky ze sítě se změnily v komplexní útoky, které k tomu aby, dosáhly svého zákeřného cíle, využívají prvky jak na síťové tak i na aplikační vrstvě. Se vzrůstajícím počtem společností, které poskytují přímý přístup na web, koncoví uživatelé mimovolně vstupují na stránky, které mohou být již známy jako zdroje malwaru, nebo nevědomky sdělují osobní či firemní důvěrné údaje (čísla platebních karet, hesla, obchodní tajemství společnosti apod.) na podvodné adresy elektronické pošty nebo prostřednictvím programů pracujících na pozadí, které tyto údaje shromažďují a předávají. To znamená, že IT manažer musí nejen zabránit všem útokům na síťové vrstvě, v aplikaci a obsahu, ale musí bránit síť před ohrožením jak zvenčí, tak i zevnitř. Správn nástroj pro tento úkol Jestliže je obousměrná ochrana základní složkou, je neméně významné implementovat prvky řešení, které se soustřeďují na určité druhy útoků. Žádná ze složek nedokáže sama o sobě zastavit celou dlouhou řadu útoků na síťové nebo aplikační vrstvě nebo skrytých v obsahu. Například viry jsou skryty v souborech, jako příloha nebo jako spustitelný soubor. Pro dosažení maximální možné ochrany proti virům by měli IT manažeři implementovat souborovou antivirovou ochranu (AV), která dokáže bez zpomalení provozu soubor nebo skript dekódovat, vyhodnotit z hlediska potenciálního napadení virem, znovu jej složit a odeslat k adresátovi. AV řešení založená na popisu sítě sledují pouze omezený objem dat, například pakety nebo streamy, což přináší jen falešný pocit jistoty. Takové nabídky AV řešení, která se soustřeďují výhradně na síťové toky, neposkytnou odpovídající ochranu, protože nejsou schopna dekódovat řadu souborů a jejich formátů, od dokumentů Wordu, přes tabulky Excelu, obrázky GIF po archivy ZIP atd. - Ohrožení zvenčí je takové, které má svůj původ mimo firemní síť, např. u útočníka v Internetu, který hodlá narušit firemní ochranná opatření. Tato ohrožení jsou představována téměř všemi typy útoků od červů, přes viry, spyware až po phishingové e-maily. - Ohrožení zevnitř je takové, které je způsobeno někým uvnitř firemní sítě, například zaměstnancem, který je k ní připojen a jehož počítač je nevědomky zneužit a nyní se z něj šíří červi nebo viry do firemní sítě. Jiným příkladem ohrožení zevnitř jsou uživatelé, kteří odpovídají na phishingové útoky a sdělují své osobní údaje na nekalé webové stránky, nebo spyware, který je usazen v počítači některého ze zaměstnanců a v tichosti odesílá citlivé firemní informace nějakému podloudníkovi v Internetu. Zastavit všechny druhy útoků zvenčí nebo zevnitř vyžaduje soustředěné řešení pokrývající co nejvíce vrstev a chránící před poškozením sítě, majetku společnosti i koncových uživatelů. Internet OhroÏení zvenãí Viry pro Windows, makroviry a skripty, vytváfiení zadních vrátek (Backdoors). Spyware, Adware, Keyloggers. Spam, Phishing. âervi, trojské konû, útoky DDoS, SoS, skenování a prûzkum portû. OhroÏení zevnitfi StaÏení spywaru, adwaru a malwaru. ífiení virû a trojsk ch koní v souborech. Odpovûì na phishingové útoky. ífiení ãervû a trojsk ch koní. Pro ochranu sítě před útoky na aplikační úrovni, které se přes síť zaměřují na zranitelná místa v softwaru, jako jsou zejména síťoví červi nebo zasílání citlivých údajů o platebních kartách ze systémů napadených spywarem, doporučujeme Intrusion Prevention System (IPS systém ochrany před narušením). AV a IPS jsou dvě navzájem se doplňující řešení chránící proti různým typům útoků. IPS hledí hlouběji do nižších úrovní komunikace aplikací, kde detekuje útoky. I v tomto případě je nutno zvolit řešení, které provádí více než jen zběžnou kontrolu paketů na síťové vrstvě nebo které dekóduje více než jen několik protokolů na 7. vrstvě. Řešení by mělo znát a kontrolovat všechny druhy provozu aplikací, plně znát všechny podrobnosti jednotlivých protokolů a využívat kombinaci metod např. podrobnou kontrolu aplikační vrstvy, detekci odchylek a další heuristické metody, které chrání před ohrožením. Omezit ãetnost útokû fiízením pfiístupu Často přehlíženým prvkem ochrany před napadením je schopnost řídit přístup ke známým zdrojům malwaru stránkám, z nichž se stahuje. Nasazením metody ochrany před útoky, která obsahuje filtrování obsahu webových stránek, aby zabránila přístupu na známé podvodné webové stránky, mohou IT manažeři snížit počet podvodných downloadů, které jsou zatahovány do sítě. Dalším způsobem, který pomáhá ke snížení počtu útoků zvenčí je implementace antispamového řešení na bráně (gateway), které může fungovat jako předběžný filtr tím, že blokuje známé zdroje spamu a phishingu.
Strana 3 Koncepce fie ení e ení Juniper Networks nejlep í technologie i partner ve své tfiídû Aby zajistila ochranu před ohrožením zvenčí i zevnitř, zapracovala společnost Juniper Networks do své řady firemních firewallových platforem úplnou sadu funkcí pro kontrolu obsahu, které jsou nejlepšími ve své třídě a obvykle jsou označovány jako funkce Universal Threat Management (UTM Univerzální ochrana před ohrožením). Díky využití výsledků vývoje, podpory a průzkumu trhu prováděných řadou předních partnerů z oblasti ochrany obsahu je společnost Juniper Networks schopna nabídnou sadu těch nejlepších UTM funkcí. Ostatní dodavatelé rozprostřeli své vývojářské kapacity příliš široce a snaží se všechny prvky UTM vyvinout vlastními silami. Někteří další naopak využívají open source řešení, která ovšem mívají nevyrovnanou kvalitu i míru zachycení (catch-rate). Naše partnerství s nejlepšími odborníky zaručuje zákazníkům, že jejich sítě budou chráněny před všemi druhy útoků. Ochrana pfied útoky zvenãí i zevnitfi, viry, spywarem i adwarem Začleněním nejlepší nabídky antivirového systému pro bránu od společnosti Kaspersky Lab jsou integrované bezpečnostní aplikace společnosti Juniper Networks schopny chránit webový provoz, elektronickou poštu i webovou poštu před viry, červy, vytvářením zadních vrátek, trojskými koni i malwarem obsaženým v souborech. Správa, jejímž základem jsou pravidla (policy), umožňuje sledování příchozího i odchozího provozu a tím chrání síť před útoky zvenčí i před těmi, které vznikají uvnitř sítě. Na rozdíl od ostatních integrovaných antivirových řešení, jejichž základem je popis paketu nebo sítě, provádí řešení Juniper-Kaspersky rozbor provozu i obsahu souborů všech typů, vyhodnocuje je z hlediska možných virů a poté je opět skládá a odesílá je dál. Řešení Juniper-Kaspersky detekuje a chrání před více než 500 000 druhy virů, červů, škodlivých zadních vrátek, dialerů, keyboard-loggerů, zlodějů hesel, trojských koní a dalšími druhy škodlivých kódů. Toto kompletní řešení obsahuje i nejlepší detekci spywaru, adwaru a dalších malwarových programů. Na rozdíl od některých jiných řešení, která k detekci různých druhů malwaru využívají několik skenovacích mimosouborových algoritmů, je řešení Juniper-Kaspersky založeno na jednotném všeobecném a přitom nejlepším skeneru, databázi a aktualizační proceduře, a chrání tak proti všem podvodným a malwarovým programům. může být upravena podle konkrétních požadavků na ochranu jedním ze čtyř různých balíků popisů (Signature Pack 1 ) Základní balík ochrana protokolů a služeb komunikujících s Internetem obsahující širokou škálu popisů červů, útoků typu klient-server i server-klient. Serverový balík detekuje a blokuje útoky zvenčí, které míří na serverovou infrastrukturu. Klientský balík blokuje trojské koně, červy a další malware obsahující útočné objekty zaměřené na klientské aplikace. Anti-červový balík detekuje červy typu klient-server a server-klient a celkově tak chrání před rychlým rozšířením červů. ízení pfiístupu ke znám m zdrojûm virû Při blokování přístupu k podvodným webovým stránkám se společnost Juniper Networks spojila se společnosti SurfControl a nabízí řešení pro filtrování webového provozu, které je plně integrováno do firewallu. Pomocí administrativního GUI rozhraní může správce stanovit vhodná pravidla webového provozu založená na 54 různých kategoriích, které pokrývají více než 13 milionů URL adres (jejichž počet každým dnem roste). Blokování obvykl ch spamov ch a phishingov ch útokû zvenãí Společnost Juniper Networks se spojila se Symantec Corporation a ve svých platformách pro malé a středně velké firmy využívá jejího špičkového antispamového řešení i ověřených služeb, aby omezila příliv nežádoucí elektronické pošty a možných útoků, které s sebou nese. Antispamové jádro je instalováno na bráně (gateway) Juniper Networks FW/VPN a zde působí jako první linie ochrany filtruje příchozí poštu, zda neobsahuje známé odesílatele spamu nebo phishingu. Pokud přichází známý podvodný e-mail, je zablokován nebo označen, aby e-mailový server mohl provést příslušnou akci. Shrnutí Firewally společnosti Juniper Networks obsahují funkce UTM které jsou vytvořeny na základě partnerství se špičkovými společnostmi. Jejich sloučením se špičkovými síťovými zařízeními je možno vytvořit výkonné řešení, které je schopno celou síť LAN nebo WAN ochránit před útoky zvenčí i zevnitř. 1 Souãasnû mûïe b t instalován pouze jeden balík OkamÏitá ( day-zero ) ochrana pfied útoky na aplikaãní úrovni Do firewallové platformy společnosti Juniper Networks je plně integrován firewall Deep Inspection, který je ověřeným IPS řešením 3. generace, vystavěným na základech podrobné (Stateful) kontroly a který v sobě integruje mechanismus detekce anomálií popisů a protokolů, čímž poskytuje vnější ochranu před útoky jak na síťové tak na aplikační vrstvě. Pomocí správy orientované podle pravidel mohou správci vybrat a zvolit, které protokoly budou kontrolovány na neobvyklé jevy nebo na podrobné podpisy, které typy útoků se budou vyhledávat a jaká akce se provede v případě zjištění útoku. Obrana před útoky
Ochrana pfied ohroïením zvenãí a zevnitfi Strana 4 Antivirová ochrana (Kaspersky Lab) Skenované protokoly Ochrana pfied útoky zvenãí/zevnitfi Reakce na nové viry âetnost aktualizací SMTP, POP3, Webmail, FTP, IMAP, HTTP / prûmûrnû 1,5 hodiny kaïdou hodinu Poãet popisû virû 100 000+ Archivy a Extractory ACER, ARJ, Alloy, Astrum, BZIP2, BestCrypt, CAB, CABSFX, CHM, Catapult, CaveSFX, CaveSetup, ClickTeam, ClickTeamPro, Commodore, CompiledHLP, CreateInstall, DiskDupe, DiskImage, EGDial, Effect Office, Embedded, Embedded Class, Embedded EXE, Embedded MS Expand, Embedded PowerPoint, Embedded RTF, FlyStudio, GEA, GKWare Setup, GZIP, Gentee, Glue, HA, HXS, HotSoup, Inno, InstFact, Instyler, IntroAdder, LHA, MS Expand, MSO, Momma, MultiBinder, NSIS, NeoBook, PCAcme, PCCrypt, PCInstall, PIMP, PLCreator, PaquetBuilder, Perl2Exe, PerlApp, Presto, ProCarry, RARv 1.4 a vy í, SEA, SbookBuilder, SetupFactory, SetupSpecialist, SilverKey, SmartGlue, StarDust Installer, Stream 1C, StubbleMan, Sydex, TSE, Tar, TeleDisk, Thinstall, ViseMan, WinBackup, WiseSFX, ZIP Antispamová ochrana (Symantec) âetnost aktualizace seznamu spamu ObsaÏené druhy spamu Podíl z celosvûtového objemu elektr. po ty vyuïit pro tvorbu seznamu antispamov seznam je aktualizován dvakrát za hodinu zombie, otevfiené zprostfiedkování, podezfiení na spam Pro úãely tvorby antispamového seznamu je analyzováno pfiibliïnû 20 25 % celosvûtového provozu elektronické po ty Poãet zpûsobû (míst apod.) Antispamov seznam je generován na základû vyuïit ch pro shromaïìování údajû z pfiibliïnû 3 milionû míst ve více a provedení anal z neï 25 rûzn ch zemích IPS (Deep Inspection FW) Metody detekce 2 metody detekce 1. podrobné popisy 2. anomálie protokolû (okamïitá zero-day Ochrana) Worm Ochrana proti ãervûm Ochrana proti trojsk m koním Ochrana proti jinému malwaru PrÛzkumná ochrana Ochrana proti útokûm klient-server a server-klient Vytváfiení popisû specifick ch útokû Semi-spustitelné pfiípony pro WIN Pfiípony MS Office Spustitelné pfiípony pro DOS pif, lnk, reg, ini (Script.ini atd.), cla (Java Class), vbs (Visual Basic Script), vbe (Visual Basic Script Encrypted), js (Java Script), jse (Java Script Encrypted), htm, html, htt (HTTP stránky), hta HTA (HTML aplikace), asp (Active Server Pages), chm CHM (komprimovan HTML), pht PHTML, php PHP, wsh, wsf, the (.theme) doc, dot, fpm, rtf, xl*, pp*, md*, shs, dwg (Acad2000), msi (MS Installer), otm (makro pro Outlook), pdf (Acrobat Reader), swf (Shockwave-flash), prj (projekt MapInfo), jpg, jpeg, emf (Enhanced Windows Metafile), elf com, exe, sys, prg, bin, bat, cmd, dpl (soubory Borland Delphi), ov* Spustitelné sobory WIN dll, scr, cpl, ocx, tsp, drv, vxd, fon 386 Pfiípony souborû elekt. po ty eml, nws, msg, plg, mbx (databáze Eudora) Pfiípony souborû nápovûdy hlp Dal í pfiípony názvû souborû sh, pl, xml, itsf, reg, wsf, mime, rar, pk, lha, arj, ace Integrovaná filtrace webového provozu (SurfControl) Databáze URL adres > 13,7 milionu doplàována kaïd den Poãet stránek odpovídajících > 2,5 miliardy databázi Poãet novû doplà. stránek> 50 000 t dnû Poãet obsaïen ch kategorií 54, vãetnû: phishing a zneuïití, spyware, erotika, sex, alkohol a tabák, zloãinné aktivity, gambling, hacking, zakázané látky, netolerance a nenávist, nechutnost a útok, násilí, zbranû Kontext aplikací pro úpravy popisû 90+ Popisy streamû pro detekci ífiení ãervû Poãet moïností reakce Mechanismy ohlá ení útokû Vytvofiení a uplatnûní pfiíslu n ch politik vyuïití aplikací âetnost aktualizací v rámci anti-ãervového balíku. V ostatních popisn ch balících je vyuïit Stream256 1. Uzavfiení: Pfieru í spojení a za le RST na klient-server 2. Uzavfiení serveru: Pfieru í spojení a za le RST na server 3. Uzavfiení klienta: Pfieru í spojení a za le RST na klienta 4. Pfieru ení: Pfieru í spojení, aniï by komukoli zaslal RST 5. Pfieru ení paketu: Pfieru í dan paket, ale neru í spojení 6. Ignorovat: Po zji tûní popisu útoku nebo anomálie provede zafiízení NetScreen záznam do protokolu a ukonãí kontrolu nebo ignoruje zbytek spojení 7. Îádná: Îádná akce 1. záznam paketû spojení 2. souhrn relace 3. elektronická po ta 4. SNMP 5. systémov protokol (syslog) 6. webové trendy (webtrends) napfi. messengery a aplikace typu peer-to-peer mûsíãnû a v pfiípadû nutnosti Poãet jazykû 72 Poãet zemí 210
Strana 5 Koncepce řešení Antivir* Antispam Filtrování webového provozu (integrováno / přesměrování) ** IPS (Deep Inspection FW) SSG - 550M / SSG - 520M / SSG - 350M / SSG - 320M / SSG - 140 / SSG - 20 / SSG - 5 / * Včetně ochrany proti phishingu, spywaru, key-loggerům a adwaru **Včetně ochrany proti phishingovým a spywarovým stránkám (odchozí provoz) O partnerech společnosti Juniper Networks v oblasti ochrany obsahu SurfControl integrovaná a přesměrovaná filtrace webového provozu Více než 60 odborníků společnosti SurfControl pracujících ve více než 20 zemích světa trvale sleduje a analyzuje ohrožení vznikající na webu a která přicházejí z webu, elektronické pošty, instant messengerů a sdílení souborů v sítích typu peer-topeer. Výsledkem je nejvýkonnějších ochrana proti neustále se rozvíjejícím ohrožením, poskytovaná ve formě databáze URL adres obsahující více než 13 milionů adres představujících více než 2,5 miliardy stránek 54 kategorií, která je neustále doplňována o dalších přibližně 50 000 stránek každý týden. Websense přesměrované filtrování webového provozu Společnost Websense představuje světovou špičku v oblasti zabezpečení webu a softwaru pro filtraci webového provozu, které byla svěřena ochrana více než 24 milionů zaměstnanců na celém světě. Websense aktivně vyhledává ohrožení existující na webu např. spyware, phishingové útoky, viry a nebezpečný crimeware software a svým zákazníkům poskytuje nejvyšší možnou ochranu proti nim, aniž by tito museli vynakládat výrazné úsilí. Díky různým partnerstvím a integracím posiluje Websense sítě a úroveň bezpečnosti prostředí našich zákazníků. nových ohrožení a vytváření nových utilit pro vnitřní a uživatelské využití. Více než desetileté zkušenosti zajišťují rychlou reakci na nové hrozby a poskytují uživatelům nástroje na odstranění virů i informace pro aktivní ochranu proti nim. Virová laboratoř (Virus Lab) společnosti Kaspersky Lab má jednu z nejrozsáhlejších sbírek definic virů na světě obsahující přes 150 000 definic a počtů (counts). Mnozí z analytiků společnosti Kaspersky jsou uznávanými odborníky v oblasti počítačové virologie, účastní se konferencí o zabezpečení a jsou autory profesionálních publikací. Symantec Společnost Symantec představuje světovou špičku mezi poskytovateli řešení pro soukromníky i společnosti všech oborů, která zajišťují bezpečnost, dostupnost a neporušenost jejich informací. Společnost sídlí v kalifornském Cupertinu, ale své pobočky má ve více než 40 zemích světa. Symantec Brightmail AntiSpam poskytuje společnostem pokročilý ochranný systém před spamem a dalšími hrozbami přicházejícími elektronickou poštou. Toto několikrát oceněné řešení je umístěno na internetové bráně, a využitím několika účinných technologií, znalostí provozních středisek rozprostřených po celém světě, patentované sítě pro identifikaci spamu a filtrování v reálném čase zvyšuje zabezpečení i výkon elektronické pošty. Kaspersky Lab antivir (antispyware, antiadware, antiphishing) Kasperského mezinárodní tým virových analytiků a vývojářů neustále pracuje na shromažďování informací, vyhodnocování PRAHA - Nagano III, U nákladového nádraží 10, 130 00 Praha 3, Tel.: +420-266 109 211, Fax: +420-283 840 236, www.soft-tronik.cz OSTRAVA - Tvorkovských 5, 709 00 Ostrava-Mariánské Hory, Tel.: +420-597 488 811, Fax: +420-596 622 486, www.soft-tronik.cz BRATISLAVA - Hattalova 12/A, 831 03 Bratislava, Tel.: +421-244 631 232, Fax: +421-244 631 233, www.soft-tronik.sk ÚSTŘEDÍ SPOLEČNOSTI A ÚSTŘEDÍ PRODEJE OBLASTNÍ KANCELÁŘ PRO VÝCHODNÍ POBŘEŽÍ OBLASTNÍ ÚSTŘEDÍ PRODEJE PRO ASIJSKO-PACIFICKOU OBLAST OBLASTNÍ ÚSTŘEDÍ PRODEJE PRO EVROPU, STŘEDNÍ VÝCHOD A AFRIKU pro Severní a Jižní Ameriku Juniper Networks, Inc. 1194, North Mathilda Avenue Sunnyvale, CA 94089 USA Telefon: +1-888-JUNIPER (+1-888-586-4737) nebo +1-408-745-2000 Fax: +1-408-745-2100 (East Coast Office) Juniper Networks, Inc. 10, Technology Park Drive Westford, MA 01886-3146 USA Telefon: +1-978-589-5800 Fax: +1-978-589-0800 Juniper Networks (Hongkong) Ltd. Suite 2507-11, Asia Pacific Finance Tower Citibank Plaza, 3 Garden Road Central, Hong Kong Telefon: +852-2332-3636 Fax: +852-2574-7803 Juniper Networks (UK), Limited Juniper House Guildford Road Leatherhead Surrey, KT22 9JH, Velká Británie Telefon: +44(0)1372-385500 Fax: +44(0)1372-385501 www.juniper.net Copyright 2006, Juniper Networks, Inc. Všechna práva vyhrazena. Juniper Networks a logo Juniper Networks jsou zapsané ochranné značky společnosti Juniper Networks, Inc., v USA a v dalších státech. Ostatní ochranné značky, názvy služeb, zapsané ochranné značky nebo zapsané značky služeb uvedené v tomto dokumentu jsou vlastnictvím společnosti Juniper Networks nebo jejich vlastníků. Vyhrazujeme si právo na změnu technických údajů bez předchozího oznámení. Společnost Juniper Networks nenese žádnou odpovědnost za nepřesnosti uvedené v tomto dokumentu, ani nemá povinnost informace uvedené v tomto dokumentu aktualizovat. Společnost Juniper Networks si vyhrazuje právo na změnu, úpravu nebo jinou revizi této publikace bez předchozího oznámení. 351202-001 květen 2006