Межсетевые экраны и Интернет-маршрутизаторы D-Link

Ø Создается соответствующее IP-правило в наборах IP-правил, позволяющее  трафику проходить между интерфейсами, работающими в прозрачном режиме.

Ø Если на прохождение  трафика в прозрачном режиме не нужно  накладывать никаких ограничений, то следует указать только одно правило. Для обеспечения безопасности рекомендуется  добавлять запрещающие IP-правила.

Прозрачный режим  при использовании DHCP

В большинстве сценариев  использования прозрачного режима заранее определяется и фиксируется IP-адрес пользователей, и функция  динамического распределения адресов DHCP не используется. Основное преимущество прозрачного режима заключается  в том, что независимо от местонахождения пользователя система NetDefend определяет его IP-адрес через ARP-запросы и направляет трафик по заданным маршрутам.

Тем не менее, DHCP-сервер можно использовать при установке  прозрачного режима для размещения IP-адресов пользователей. При Интернет-соединении распределять публичные IP-адреса может DHCP-сервер провайдера. В этом случае система NetDefend должна быть сконфигурирована, как DHCP Relayer, передающий DHCP-трафик между пользователями и DHCP-сервером.

3.2.8 Функции IDP, WCF, AV межсетевых экранов UTM

По мере того, как  бизнес-процессы становятся все более  зависимыми от сетевой инфраструктуры, капиталовложения в решения по сетевой  информационной безопасности становятся все более значимыми. D-Link представляет ряд мощных решений для защиты сетей предприятий от разнообразных  угроз.

Межсетевые экраны серии NetDefend UTM учитывают растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусных угроз и повышению конфиденциальности информации. Каждый межсетевой экран этой серии обеспечивает высокий процент возврата инвестиций, благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сети.

Межсетевые экраны NetDefend UТM обладают следующими функциональными системами:

Ø IDP – Система обнаружения/предотвращения атак (Intrusion Detection / Prevention Service).

Ø AV – Антивирусная система (Anti-Virus).

Ø WCF – Система фильтрации Web-контента (Web Content Filtering).

Система обнаружения и предотвращения атак (IDР)

В первой главе мы упоминали о таком явлении, как  сетевая атака. Так называемый жизненный  цикл сетевой атаки можно условно  разделить на несколько этапов:

1) анализ сети, позволяющий  злоумышленнику определить потенциально  уязвимые узлы в сети;

2) определение используемых  сервисов и приложений, используемых  потенциальной «жертвой»;

3) из анализа используемых  потенциальной «жертвой» атаки  сервисов и приложений определение  используемых (открытых) портов TCP/UDP;

4) определение используемых  операционных систем и их версий.

После анализа всей полученной информации злоумышленник  может выполнять конкретные действия на наиболее уязвимые места системы.

Широко распространённые системы обнаружения вторжений IDS (Intrusion Detection System), используемые в межсетевых экранах, предназначены для обеспечения сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Как правило, механизм IDS основан на определённом шаблоне и выдаст сигнал тревоги в случае обнаружения необычного или атакующего трафика. Важно заметить, что системы подобные IDS не в состоянии остановить атаку, они лишь оповещают о ней.

Система предотвращения вторжений IPS (Intrusion Prevention Service) является системой сетевой профилактики нового поколения. Помимо возможностей IDS, в этой системе обеспечивается возможность блокировать или отбрасывать нежелательные пакеты. Тем самым предохраняя внутренние узлы информационной системы от действий вредоносного трафика.

Межсетевые экраны NetDefend UТM используют уникальную технологию IРS – компонентные сигнатуры, которые  позволяют распознавать и обеспечивать защиту как против известных, так  и против неизвестных атак. В результате данные устройства помогают при атаках (реальных или потенциальных) значительно  снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить компьютерные вторжения и распространение вредоносных ПО. Встроенные базы данных сигнатур используются на основе технологии Component-based, которая эффективно предотвращает все наиболее известные виды атак. База данных IРS включает информацию о глобальных атаках и вторжениях, собранную на публичных сайтах (например, National Vulnerability Database и BugTraq). Межсетевые экраны NetDefend UТM обеспечивают высокую эффективность сигнатур IРS, постоянно создавая и оптимизируя сигнатуры NetDefend через D-Link Auto-Signature Sensor System. Эти сигнатуры обеспечивают высокую точность обнаружения сетевых атак при минимальном количестве ошибочных срабатываний. Сочетая в себе функции безопасности, высокой производительности и своевременного обновления сигнатур, данное решение способно остановить Интернет-угрозы прежде, чем они смогут нанести вред защищаемым узлам.

Термины IDS (Intrusion Detection System – система обнаружения вторжений), IDР (Intrusion Detection and Prevention – система обнаружения и предотвращения вторжений) и IРS (Intrusion Prevention System – система предотвращения вторжений) попеременно встречаются в материалах Д-Линк, но под этими терминами понимается метод IDР .

Обнаружение вторжений (Intrusion Detection)

Отличие вторжений  от вирусных атак состоит в том, что  вирус обычно содержится в отдельном  загрузочном файле, который закачивается в систему пользователя, а вторжения  проявляются, как образцы (шаблоны) вируса, нацеленные на поиск путей  преодоления механизмов обеспечения  безопасности. Такие угрозы встречаются  довольно часто и постоянно развиваются, так как их создание может быть автоматизировано. IDР-правила системы NetDefend обеспечивают защиту от угроз  такого типа.

Подсистема обнаружения  и предотвращения Intrusion Detection and Prevention (IDР) системы NetDefend разработана для  защиты против попыток вторжения. Контролируя  сетевой трафик, проходящий через  межсетевой экран, IDР определяет образцы (шаблоны) вируса, указывающие на то, что предпринято вторжение. Обнаружив  вторжение один раз, NetDefendOS IDР нейтрализует все последующие вторжения этого типа и их источник (как саму атаку, так и ее источник).

Для построения эффективной  и надежной IDР-системы необходимо решить следующие вопросы:

1. Какой вид трафика  следует анализировать?

2. Что нужно искать  в данном трафике?

3. Какое действие  должно выполняться при обнаружении  вторжения?

Компоненты NetDеfendOS IDР

Решение вышеперечисленных  задач осуществляется за счет использования  следующих механизмов:

1. Администратор  задает IDР-правила (IDР Rules) для определения трафика, который нужно анализировать.

2. К проходящему  через межсетевой экран трафику,  соответствующему IDР-правилам, применяется  поиск соответствия с образцом (шаблоном) вируса (Pattern Matching).

3. Если NetDеfendOS IDР  обнаружила вторжение, то выполняется  действие (Action), указанное в правиле  (IDР Rule).

Правила IDР (IDР Rules)

Компоненты правил

IDР-правила определяют, какой трафик или сервис нужно  анализировать. Структура IDР-правил  подобна структуре других политик  безопасности системы NetDefend, например, IP-правил. IDР-правила определяют  соответствие заданного интерфейса/адреса  источника/получателя с объектом  сервиса/протоколов. С IDР-правилами  можно связать объект расписание.

ВНИМАНИЕ : IDР-правила определяют действие (Action), которое следует предпринять при обнаружении вторжения во входящем трафике.

HTTP Normalization

Каждое правило IDР  позволяет производить настройки  процесса нормализации HTTP. Выбираются те условия, которые должны быть приняты  при обнаружении IDР-несовместимости  в URI (Uniform Resource Identifier – унифицированный идентификатор ресурса), встроенном в принятом запросе HTTP .

Условия URI, которые может детектировать IDР :

Invalid UTF8 – Поиск любых недостоверных символов UTF-8 в Uniform Resource Identifier.

Invalid hex encoding – Поиск недостоверной шестнадцатеричной последовательности.

Double encoding – Поиск любой шестнадцатеричной последовательности, которая зашифрована другой шестнадцатеричной последовательностью.

 

Рисунок 3.60 – Настройка IDР-правил на межсетевых экранах D-Link

Первоначальная  обработка пакета

Порядок обработки  пакетов следующий:

1. Входящий пакет  принимается межсетевым экраном  и NetDеfendOS выполняет обычную проверку. Если пакет является частью  нового соединения, то он проверяется  IP-правилами перед прохождением  к IDР-модулю. Если же пакет –  часть существующего соединения, то он проходит прямо к IDР-системе.  Если пакет не является частью  существующего соединения или  отклонен набором IP-правил, то  он отбрасывается.

2. Информация об  источнике и получателе сравниваются  с набором IDР-правил, установленных  администратором. Если соответствие  найдено, то пакет проходит  на следующий уровень обработки  IDР-правилами – Pattern Matching. Если же соответствие с заданными IDР-правилами не найдено, тогда пакет принимается и IDР-система не предпринимает никаких дальнейших действий, а пакет проверяется набором IP-правил, таких как переадресация и запись в журнал.

Проверка отброшенных  пакетов

Данная опция  предусмотрена в NetDеfendOS IDР для  просмотра вторжений во всем трафике, даже тех пакетов, которые были отклонены IP-правилами при новом соединении и пакетов, являющихся частью несуществующего  соединения, что позволяет администратору обнаружить вторжение в любом  трафике. Только с использованием этой опции IDР Rule Action регистрирует событие в журнале.

IDР-поиск соответствия  с образцом (IDР Pattern Matching)

Сигнатуры

Для правильной идентификации  вторжения IDР использует профиль  признаков или образцов (шаблонов), связанных с различными типами атак. Определенные образцы вирусов и  атак, известные как сигнатуры, хранятся в базе данных локальной системы NetDЕfendOS и используются IDР-модулем при анализе трафика. Каждая IDР-сигнатура имеет свой уникальный номер.

Приведем пример простой атаки с использованием FTP-сервера. Злоумышленник может восстановить файл пароля «passwd» от FTР-сервера, используя FTР-команду RETR passwd. Сигнатура, ищущая ASCII-текст RETR и passwd, найдет соответствие и укажет на возможное вторжение. В рассмотренном примере образец найден в открытом тексте, также соответствие с образцом определяется и при использовании двоичных данных.

Обнаружение неизвестных  угроз

При создании вторжений  за основу часто берется использовавшийся ранее код, что с большой скоростью  порождает новые атаки. Для предотвращения атак такого типа D-Link использует метод, в котором модуль сканирует многократно  используемые компоненты и сопоставляет их с образцом на соответствие.

Типы IDР сигнатур

IDР предлагает  три типа сигнатур, различающиеся  уровнем защиты от угроз:

Ø Сигнатуры предотвращения вторжений (IРS – Intrusion Protection Signatures) – сигнатуры с очень высокой точностью. Рекомендуется использование действия Protect. Эти сигнатуры могут обнаружить попытки перехвата управления и сканеры сети (типа Nmap ).

Ø Сигнатуры обнаружения вторжения (IDS – Intrusion Detection Signatures) – способны обнаруживать события, которые могут оказаться вторжениями. Эти сигнатур менее точны, чем IРS, поэтому перед действием Protect рекомендуется использовать действие Audit.

Ø Политики сигнатур (Policy Signatures) – обнаруживают различные типы приложений трафика и могут использоваться для блокировки определенных приложений (например, совместный доступ к файлам или мгновенная передача сообщений).

Подписка на сервис IРS

Сервис My D-Link служит платформой регистрации и управления для всех клиентов D-Link. Для получения  обновлений IРS-сигнатур клиентам D-Link необходимо зарегистрировать свой межсетевой экран  через NetDefend Center My D-Link (http://security.dlink.com.tw). Здесь отображается текущее состояние всех зарегистрированных продуктов, включая названия моделей, МАС-адреса, серийные номера, даты регистрации и даты окончания обслуживания IРS. Благодаря данному сервису пользователи могут легко отслеживать статус всех зарегистрированных межсетевых экранов.

При подписке предусматривается  автоматическое обновление сигнатур баз  данных.

Через определенный интервал времени новые сигнатуры  баз данных автоматически загружаются  системой NetDеfendOS через HTTP-соединение с  сервером D-Link, на котором представлены все новейшие сигнатуры баз данных. Если сигнатуры баз данных сервера  имеют более позднюю версию, чем  текущая локальная база данных, то загружаются новые базы, которые  заменяют предыдущие.

 

Рисунок 3.61 – Регистрация  межсетевого экрана NetDefend на портале D-Link

После регистрации  межсетевого экрана можно активировать сервисы NetDefend. Для этого пользователю нужно ввести код активации (Maintenance → License) для получения версии free trial на 90 дней или приоретения UTM-подписки на 12 месяцев. Для каждого сервиса NetDefend требуется свой собственный код.

 

Рисунок 3.62 – Активация  сервисов UТM в межсетевом экране NetDefend

Для моделей DFL-260E/860E/1660/2560 предусмотрены три опциональных (т.е. необязательных) сервиса – IРS, АV и WСF. Пользователь может приобрести в соответствии с требованиями либо один из трех сервисов, либо необходимую  комбинацию.

ВНИМАНИЕ: лицензия на любой сервис действует 12 месяцев и, в случае необходимости, можно прибрести подписку на UTМ-сервис через официальные пункты продаж. Далее ввести код активации приобретенного сервиса на межсетевом экране NetDefend .

Настройка корректного  системного времени

Для автоматического  обновления и корректной работы IDР-модуля необходимо установить правильное системное  время. Некорректное время может  привести к прерыванию автообновлений.

Обновление в HА-кластере

Обновление баз  данных для двух межсетевых экранов  в HA-кластере автоматически обрабатывается системой NetDеfendOS . Кластер всегда состоит из активного и пассивного устройств. Только активное устройство кластера может обрабатывать и проверять загружаемые базы данных. Если новые базы данных становятся доступными, то выполняются следующие шаги:

1. Активное устройство  определяет, что есть новые обновления  и загружает новые базы данных.