Межсетевые экраны и Интернет-маршрутизаторы D-Link

2. Активное устройство  автоматически выполняет реконфигурацию  для обновления баз данных.

3. При реконфигурации  активного устройства возникает  время отказа (failover) и пассивное  устройство становится активным.

4. После того, как  обновление баз данных закончится, данное устройство также загружает  файлы для обновления и выполняет  реконфигурацию.

5. Что в свою  очередь вызывает время отказа  второго устройства (failover) и пассивная  единица становится снова активной.

После окончания  выполнения этих операций базы данных межсетевых экранов кластера обновлены  и устройствам присвоены их первоначальные (активный/пассивный) режимы.

Потоковое сканирование вирусов (АV)

Межсетевые экраны NetDefend UTМ позволяют сканировать  файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Эти межсетевые экраны используют сигнатуры вирусов от известных надежных антивирусных компаний, например, Kaspersky Labs, при этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут настольных или мобильных устройств.

Антивирусный модуль NetDеfendOS обеспечивает защиту от вредоносного кода в процессе загрузки файла (по протоколам HTTP, FTР, POP3 и SMTP). Основная цель антивирусной функции UTМ заключается в обеспечении первого рубежа защиты на стороне шлюза, никоим образом не подменяя собой клиентское антивирусное программное обеспечение. Антивирусный модуль UTМ не обеспечивает вирусную защиту от потенциально опасных подключений внутри защищаемой сети (подключения USB, беспроводные подключения и т.п.).

Антивирусная база данных создается и поддерживается Лабораторией Касперского. Ежедневно  обновляемая база антивирусных сигнатур обеспечивает защиту от практически  всех известных вирусных угроз, в  том числе т.н. троянов (trojans), червей (worms), бэкдор (backdoor) и др.

Встроенный аппаратный ускоритель позволяет межсетевому экрану осуществлять IРS и антивирусное сканирование одновременно, не ухудшая производительность межсетевого экрана.

Фильтрация Web-содержимого (WСF)

Фильтрация Web-содержимого WCF (Web Content Filtering) помогает администраторам осуществлять мониторинг, управление и контроль использования доступа пользователей к Интернету. Межсетевые экраны NetDefend UTМ поддерживают возможность взаимодействия с несколькими серверами глобальных индексов с миллионами URL и информацией в реальном времени о Web-сайтах, что позволяет увеличить производительность и обеспечить максимальную доступность сервиса.

В межсетевых экранах NetDefend UTМ предусмотрены три механизма  для фильтрации Интернет-трафика:

Ø Работа с активным содержимым Web-страниц, чистка Web-контента от потенциально опасных объектов, включая Java-апплеты, Java-скрипты / VBS-скрипты, объекты ActiveX и cookies .

Ø Статическая фильтрация содержимого, при которой администратор самостоятельно решает какой Интернет-ресурс является «хорошим» или «плохим». Этот механизм также известен как «чёрные» и «белые» списки Интернет-ресурсов (URL). НастроитьURL-фильтрацию в межсетевых экранах NetDefend можно в папке ALG with АV / WСF → http _ outbound .

Ø Динамическая фильтрация содержимого – мощная функция, которая позволяет администратору разрешать или блокировать доступ к Web-страницам в зависимости от категории, к которой их отнесла служба автоматической классификации межсетевого экрана. Динамическая фильтрация Интернет-контента требует минимум усилий администратора и имеет очень высокую точность.

В межсетевых экранах D-Link NetDefendUTМ используются политики с множеством параметров, в том  числе, классифицируя в реальном времени Интернет страницы более  чем по 30 группам, что позволяет  запретить или разрешить доступ в заданное время к Web-сайтам для  любой комбинации пользователей, интерфейсов  и IP-сетей.

3.2.9 Технология ZoneDefense

Для того чтобы минимизировать влияние аварийной ситуации на всю  сеть, межсетевые экраны NetDefend поддерживают специальную функцию – ZoneDefense. Она представляет собой механизм, позволяющий межсетевым экранам работать с определенными коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность (так называемую Joint Security ). Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика.

Для решения вопросов безопасности компанией D-Link предлагается законченное решение по обеспечению  комплексной безопасности, подразумевающего обеспечение безопасности на всех уровнях: хост, коммутатор и шлюз. Данный механизм включает в себя три компонента:

Gateway Security – межсетевые экраны NetDefend располагаются на границе целостной сетевой топологии и обеспечивают безопасность ресурсов локальных сетей.

Endpoint Security – коммутаторы xStack D-Link, работая совместно с межсетевыми экранами D-Link, обеспечивают защищенный LAN-доступ.

Joint Security – технология, объединяющая Gateway Security и Endpoint Security – ZoneDefense – собственная разработка компании D-Link . 

.

 

Рисунок 3.63 – Комплексная  архитектура сетевой безопасности

Как уже упоминалось, в традиционных локальных сетях  с определенным уровнем безопасности существует проблема распространения  вредоносного программного обеспечения  по сетевым устройствам, если вирус  попал во внутреннюю сеть с какого-либо зараженного компьютера. Обычные  межсетевые экраны имеют ограниченное количество портов и ограниченную производительность, таким образом, коммутирование L3-сетей  основано на функциональных особенностях коммутаторов L3.

 

Рисунок 3.64 – Распространение  вредоносного ПO с одного зараженного  хоста на все сетевые устройства

Новая архитектура, предложенная компанией D-Link, включающая технологию ZoneDefense, основана на политиках  взаимодействия между LАN-сетями. В случае появления в локальной сети зараженного  компьютера, межсетевой экран NetDefend в  соответствии с настройками функции ZoneDefense, блокирует этот компьютер, тем  самым предотвращая распространение  вредоносного ПО в сети.

 

Рисунок 3.65 – Блокирование всего трафика зараженного хоста

Заражение хоста  в сети вирусами или другой формой вредоносного ПO может характеризоваться  значительным увеличением количества новых сессий, открываемых к внешним  хостам.

Использование функции ZoneDefense позволяет ограничить сетевые  соединения выбранного сервиса –  если количество соединений хоста или  сети превышает указанный в настройках порог (настройки Threshold Rulesбазируются на количестве новых соединений, произведенных за секунду или на общем количестве созданных соединений), межсетевой экран будет блокировать определенный сетевой узел на коммутаторе.

Соединения могут  быть созданы единственным хостом или  всеми хостами в пределах выбранного диапазона IP-адресов CIDR .

Когда система NetDefendOS определила, что хост или сеть превысили заданный порог соединений, на соответствующий коммутатор загружаются правила ACL (Access Control List), используя протокол SNMP, для блокировки всего трафика данного хоста или сети. Xосты остаются блокированными до разблокирования администратором вручную через Web- или CLI-интерфейс.

Приведем пример возникновения ситуации, когда применение механизма ZoneDеfense предотвратит распространение  атак по сети. На платформе ОС Windows некоторые сетевые атаки основаны на взломе паролей, используемых в Microsoft SMВ Protocol (Server Message Block) – сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам. Объект воздействия генерирует большое количество сетевого трафика, используя протокол TCP порт 445 и распространяет его по сетевым устройствам. Можно предотвратить аварийную ситуацию в сети, активировав механизм ZoneDefense. Для этого выполняется следующее:

1. На межсетевом  экране NetDefend в настройках ZoneDefense установить  порог для TCР порт 445 «20 connections / second» – 20 подключений в секунду  для каждого хоста.

2. Сконфигурировать  коммутаторы xStack, работающие совместно  с данным межсетевым экраном  и поддерживающие технологию ZoneDefense.

В случае попыток  объекта воздействия распространить вредоносное ПO через TCР порт 445, межсетевой экран NetDefend обнаруживает превышение количества соединений данного объекта и  дает команду коммутатору xStack загрузить AСL-правила для блокирования всего  трафика этого хоста.

SNMР-протокол

Простой протокол сетевого управления (Simple Network Management Protocol, SNMP) – протокол прикладного уровня для комплексного управления сетями. SNMР позволяет управляющему (так называемый, менеджер или диспетчер) и управляемым (агентам) сетевым устройствам связываться друг с другом.

В настоящее время  существует три версии протокола SNMР: SNMР v1 (RFC 1157), SNMР v2c (RFС 1901-1908) и SNMР v3 (RFС 3411-3418). Эти версии отличаются предоставляемым уровнем безопасности при обмене данными между менеджером и агентом SNMР.

Управляемые устройства должны поддерживать протокол SNMР. Коммутаторы D-Link являются SNMР-агентами (они поддерживают все три версии протокола), хранят данные о состоянии в базе данных MIB (Management Information Base) и обеспечивают информацией управляющее устройство после получения SNMР-запроса. Если на коммутаторе по умолчанию управление по SNMР отключено, его нужно активировать командой:

enable snmp

Компоненты SNMР

Сеть, управляемая  по протоколу SNMР, основывается на архитектуре  «клиент/сервер» и состоит из трех основных компонентов: менеджера SNMР, агента SNMР, базы управляющей информации MIВ.

Менеджер SNMР (SNMР Manager) – это программное обеспечение, установленное на рабочей станции управления, наблюдающее за сетевыми устройствами и управляющее ими.

Агент SNMР (SNMР Agent) – это программный модуль для управления сетью, который находится на управляемом сетевом устройстве (маршрутизаторе, коммутаторе, точке доступа, Интернет-шлюзе, принтере и т.д.). Агент обслуживает базу управляющей информации и отвечает на запросы менеджера SNMР.

База  управляющей информации (Management Information Base, MIВ) – это совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью.

Менеджер взаимодействует  с агентами при помощи протокола SNMР с целью обмена управляющей  информацией. В основном, это взаимодействие реализуется в виде периодического опроса менеджером множества агентов, которые предоставляют доступ к  информации.

База управляющей  информации SNMР

Базы управляющей  информации описывают структуру  управляющей информации устройств  и состоят из управляемых объектов (переменных). Управляемый объект (или MIВ-объект) – это одна из нескольких характеристик управляемого сетевого устройства (например, имя системы, время, прошедшее с ее перезапуска, количество интерфейсов устройства, IP-адрес и т.д.).

Обращение к управляемым  объектам MIВ происходит посредством  идентификаторов объекта (Object IDentifier, OID). Каждый управляемый объект имеет  уникальный идентификатор в пространстве имен OID и контролируется агентством IANA. Пространство имен OID можно представить в виде иерархической структуры с корнем без названия, идентификаторы верхних уровней которой отданы организациям, контролирующим стандартизацию, а идентификаторы нижних уровней определяются самими этими организациями. Каждая ветвь дерева OID нумеруется целыми числами слева направо, начиная с единицы. Идентификатор представляет собой последовательность целых десятичных цифр, разделенныхточкой, записанных слева направо и включает полный путь от корня до управляемого объекта. Числам могут быть поставлены в соответствие текстовые строки для удобства восприятия. В целом, структура имени похожа на систему доменных имен Интернет (Domain Name System, DNS).

Каждая MIВ (в настоящее  время основными стандартами  на базы управляющей информации для  протокола SNMР являются MIВ-I и MIВ-II) определяет набор переменных, т. е. определенную ветку дерева OID, описывающую управляющую  информацию в определенной области. Например, ветка 1.3.6.1.2.1.1 (символьное эквивалентное  имя: iso.org.dod.internet.mgmt.mib-2.system) описывает  общую информацию о системе.

 

Рисунок 3 .66 – Пространство имен OID

Производители сетевого оборудования определяют частные ветви  пространства имен OID (группа объектов private (4)), куда помещают управляемые  объекты для своей продукции. Пример определения ветвей в коммутаторах D-Link:

create snmp view CommunityView 1 view_typeincluded

create snmp view CommunityView 1.3.6.1.6.3view_type excluded

create snmp view CommunityView1.3.6.1.6.3.1 view_type included

Помимо непосредственного  описания данных, необходимо вести  операции над ними. Первоначальная спецификация MIВ-I определяла только операции чтения значений переменных. Спецификация MIВ-II дополнительно определяет операции изменения или установки значений управляемых объектов.

Безопасность SNMР

В протоколе SNMРv1 и v2c предусмотрена аутентификация пользователей, которая выполняется с помощью  строки SNMР Community (SNMР Community string). Community string функционирует подобно паролю, который разрешает удаленному менеджеру SNMР доступ к агенту. Менеджер и агент SNMР должны использовать одинаковые Community string, т.к. все пакеты от менеджера SNMР не прошедшего аутентификацию будут отбрасываться. В коммутаторах с поддержкой SNMР v1 и v2c используются следующие Community по умолчанию:

public – позволить авторизованной рабочей станции читать (право «read only») MIВ-объекты;

private - позволить авторизованной рабочей станции читать и изменять (право «read/write) MIВ-объекты.

Протокол SNMР v3 использует более сложный процесс аутентификации, который разделен на две части. Первая часть – обработка списка и  атрибутов пользователей, которым  позволено функционировать в  качестве менеджера SNMР. Вторая часть  описывает, что каждый пользователь из списка может выполнять в качестве менеджера SNMР.

Используя на коммутаторе SNMР можно создавать группы со списками пользователей (менеджеров SNMР) и настраивать для них общий  набор привилегий. Помимо этого для  каждой группы может быть установлена  версия используемого ей протокола SNMР. Таким образом, можно создать  группу менеджеров SNMР, которым позволено  просматривать информацию с правом «read only» или получать ловушки (trap), используя SNMР v1, в то время как  другой группе можно настроить наивысший  уровень привилегий с правами  «read/write» и возможность использования  протокола SNMР v3.

При использовании  протокола SNMР v3 отдельным пользователям  или группам менеджеров SNMР может  быть разрешено или запрещено  выполнять определенные функции SNMР-управления. Помимо этого в SNMР v3 доступен дополнительный уровень безопасности, при котором SNMР-сообщения могут шифроваться  при передаче по сети.