IPS od McAfee odolalo našim útokům

Systém McAfee IntruShield přináší novinky v oblasti prevence proti průnikům. Existuje více způsobů, jak zachytit zl...


Systém McAfee IntruShield přináší novinky v oblasti prevence proti průnikům.

Existuje více způsobů, jak zachytit zlomyslnou síťovou komunikaci, a čím více
metod používá váš systém prevence narušení (Intrusion Prevention System, IPS) k
detekci špatných toků, tím máte větší šanci udržet svou síť funkční. Námi
testované zařízení McAfee IntruShield 2.1 kombinuje řadu forem detekce či
odstranění známých i neznámých hrozeb, průniků červů nebo útoků typu DoS.
McAfee rovněž obsahuje unikátní vlastnosti, které by měly odborníky zaujmout.
Zejména jde o schopnost dešifrovat a prohlížet přenosy kódované pomocí SSL, což
je užitečné pro ty zákazníky, kteří chtějí chránit stránky svého on-line
obchodování (e-commerce). Virtuální rozhraní dále umožňuje ve specifických
případech jemné doladění bezpečnostní politiky.
Na rozdíl od nabídek prodejců IPS, jako jsou Sourcefire a Symantec, jejichž
signatury jsou založeny na exploitech (programech využívajících chyby či
zranitelnosti), InstruShield od McAfee používá signatury založené na
zranitelných místech, což je přístup, který by měl zabránit novým druhům
známých útoků projít senzory. V obrovské knihovně hrozeb, kterou dává McAfee k
dispozici, jsou navíc síťové útoky velmi dobře zaznamenány. Záznamy o
událostech obsahují reference CVE (Common Vulnerabilities and Exposures),
reference o prodejci (bulletiny Microsoftu), a dokonce instrukce pro zvládnutí
některých útoků.
Navíc McAfee obsahuje také rozhraní a solidní manuál určený pokročilým
uživatelům, kteří si mohou vytvářet vlastní signatury, což se ukázalo užitečným
při přizpůsobování filtrů specifickému prostředí. Po několika hodinách studia
jsme zjistili, že jsme schopni vytvořit jednoduchou signaturu, která hledá
případné požadavky na obsah webové stránky nazvané test.cgi. Jde o příznak
toho, že se někdo snaží prolomit vaši webovou stránku. Ačkoliv bychom byli
radši, kdyby to šlo jednodušeji, byli jsme s výsledky nakonec spokojeni.

Analýza protokolu
Jedním z klíčových nástrojů IntruShieldu pro odražení útoků je analýza
protokolu. Ta IntruShieldu dovoluje signatury specifické pro protokol aplikovat
na komunikaci na jakémkoliv portu. Tato funkce umožňuje IPS si nejen všimnout
porušení pravidel, jako například probíhající IM konverzace posílané přes HTTP,
ale také identifikovat aplikaci, která spouští specifickou síťovou službu,
přičemž vám dovolí aplikovat různá pravidla, například pro komunikaci se
servery Apache a IIS. IntruShield udržuje profily komunikace jednotlivých
počítačů v síti, takže pokud server začne využívat abnormálně velkou část šířky
pásma nebo vysílá nepřiměřeně mnoho paketů, systém může provést "přiškrcení", a
tím zabránit DoS.
Zástupci společnosti McAfee věří, že kombinací ochrany proti přetečení bufferu,
detekce anomálií protokolu a signatur založených na zranitelnostech a ochranou
před DoS pomocí omezení přenosu vytvořili zařízení, které síť ochrání před
neznámými útoky (zero-day attacks). Pro lepší představu, IntruShield hledá
shellový kód tam, kde nemá být, což je patentovaná technika, která zabrání
útočníkům vyslat ničivé příkazy, i kdyby se jim povedlo proniknout do sítě.
IntruShield také obsahuje funkci vyhledávání statistických anomálií, jež hledá
neobvyklé špičky v záznamu provozu na síti. Obě tyto techniky dle našich
zkušeností odhalí mnoho nových druhů útoků včetně červů.
K testování IntruShieldu jsme použili náš oblíbený nástroj Core Impact, kterým
jsme proti IPS nasměrovali 15 útoků ze seznamu SANS/FBI Top 20. IntruShield
úspěšně zablokoval všechny naše pokusy o útok, čímž dokázal, že umí odlišit
špatné přenosy od dobrých, i když přicházejí ze stejné IP adresy. IntruShield
je dále schopný protiopatření včetně odeslání TCP resetu, změny seznamů řízení
přístupu na síťových zařízeních a zaslání ICMP zprávy o nedostupnosti tak, aby
si útočníci mysleli, že příslušné síťové zdroje neexistují.
K dispozici jsou i další zajímavé funkce poskytující ochranu před spywarem a
VoIP a schopnost prohlížení kódovaných přenosů. Pomocí soukromých klíčů vašich
webových serverů chráněných SSL si IntruShield rozkóduje obsah SSL komunikace,
zkontroluje ji na přítomnost útoků a poté pošle, je-li původní obsah čistý a
platný, dále na server.
IntruShield zajímavě přistupuje ke konfiguraci ochranné politiky. Jednotlivé
položky jsou seřazeny do virtuálních rozhraní složených z IP rozsahů nebo VLAN
značek, přičemž se jeví jako samostatné síťové adaptéry. Ačkoliv virtuální
rozhraní jsou složitá, při správě práv nabízejí vysoký stupeň rozlišení, a tím
vám umožňují aplikovat různá pravidla na různé segmenty sítě nebo pro konkrétní
servery, přitom všechno v jediném senzoru.
Instalace senzoru a ovládací konzole nám zabrala méně než hodinu a byla
relativně bezbolestná. Správní server běží pod Windows 2000 nebo Windows Server
2003 a disponuje elegantním javovským rozhraním, které poskytuje podrobné
informace o útocích a vytváří přizpůsobitelné grafické výstupy. Instalace a
konfigurace senzoru je jednoduchá, navíc McAfee zde zjednodušil vytváření
pravidel zahrnutím přednastavených profilů.
Pro rozšíření schopnosti systému IntruShield "vidět" do komunikace v podniku
lze použít klientů Entercept (IPS od McAffee na serveru) jako senzorů.
Zaznamenané události z Enterceptu jsou pak posílány na IntruShield, který
funguje na úrovni prohlížeče poplachů, což umožňuje vzít v úvahu korelaci
událostí mezi více senzory a síťovými segmenty.

Závěr
McAfee IntruShield nás svými "virtualizačními" schopnostmi, SSL dekódováním,
detekcí shellového kódu, snadno použitelným webovým rozhraním a solidními
výstupy velmi nadchl. Připravovaná verze 3.1, kterou jsme viděli, ale
netestovali, nyní umožňuje použití údajů z vyhodnocení zranitelnosti systémů
Foundstone a Nessus.
Ačkoliv IntruShield poskyte určitou úroveň ochrany proti novým druhům útoků,
přivítali bychom u něj schopnost detekce anomálií služeb, jako je tomu
například ve StealthWatch od Lancope a RNA od Sourcefire.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.