Filtrování webu se nevyplatí podceňovat

18. 11. 2009

Sdílet

Jednou z oblastí bezpečnostních hrozeb, které se uživatelé internetu nejvíce obávají, jsou útoky z webových aplikací, na které klienti přistupují.

Hrozby z těchto aplikací představují jedno z horkých míst, kde se aktivně bojuje několika způsoby ochrany. V první linii stojí antivirové programy na jednotlivých uživatelských stanicích, které odchytávají známé viry, červy a spyware podle signatur uveřejněných daným výrobcem antivirového softwaru.

Další v pořadí je personální firewall, který může zabraňovat například odchozí nebo příchozí síťové komunikaci zákeřného kódu, a tím zamezuje jeho dalšímu případnému šíření.

Zajímavou funkcionalitou, která teprve čeká na svou větší popularizaci, je blokace spouštění nechtěných aplikací a zejména pak omezování komunikace mezi aplikacemi samotnými.

Když opustíme zabezpečení klientského systému, pak do webové bezpečnosti další výraznou měrou zasahují aplikační firewally a také specializovaná zařízení webové filtrace. Pokročilé aplikační firewally jsou schopny zkontrolovat provoz s protokolem http tak, aby klient a server hrály podle předem daných pravidel.

Mezi funkcionality obrany patří regulace a přepisování hlaviček, vyřezávání aktivního obsahu určitého typu, kontrola provozu antivirovým softwarem apod. Uživateli může být i úplně zakázán přístup na webovou aplikaci s daným obsahem dle filtrační databáze URL s kategoriemi. Dalším prvkem ochrany, který je obsažen na robustních aplikačních firewallech, je kontrola IPS/IDS na základě signatur.

 

Webové filtrace

Tam, kde firewallům takříkajíc dochází dech, přicházejí na scénu specializovaná řešení webové filtrace. Přidávají další prvky dosud zpravidla nevyužívané. Jedním z nich je proaktivní kontrola spustitelného kódu (proactive scanning), který si klient běžně stahuje pomocí prohlížeče na svoji stanici.

Je to statistická metoda heuristického skenování, která zkoumá chování spustitelného kódu. Skenují se interpretované jazyky nebo dokonce i programy v binárním kódu. Daný analytický stroj provede analýzu spustitelného kódu, vyhledává funkce různého zaměření, například ty, které by mohly zapisovat na disk, otevírat socket apod.

Jednotlivý nežádoucí kód lze pak ze stránky vyseparovat a klientovi poskytnout „ošetřený“ výstup. U přeloženého binárního kódu se pak stroj pokouší detekovat smysl posloupnosti instrukcí. Podle toho provádí vyhodnocení zranitelnosti s přidělenou pravděpodobnostní mírou.

Proaktivní kontrola je tak velmi účinná i vůči dosud neznámým útokům. Příkladem může být červ z roku 2005 Bropia.J. Uživatelé řešení MS IM obdrželi anonymní vzkaz v podobě odkazu na tento zákeřný kód. Pokud na tento odkaz klikli ti, kteří byli za ochranou proaktivní kontroly, kód se na jejich stanice nedostal.

Bylo to v době, kdy tento červ ještě nebyl známý. Dle analýzy kódu proaktivní kontroly se jednalo o zákeřný software. Uživatelé chráněni jen antivirovým softwarem však měli smůlu, a napadeni byli. Jejich antivirový software neobsahoval totiž signaturu pro tohoto červa. O několik dní později byl červ identifikován a zařazen do databáze signatur. Pro infikované uživatele jen s antivirovým programem bylo ale již pozdě.

 

Šifrovaný SSL

Další často opomíjenou hrozbou je přístup klientů přes šifrovaný kanál SSL na webové aplikace. Převážná většina bezpečnostních prvků na perimetru tento problém úspěšně přehlíží. Klienti jsou tak vystaveni velkému riziku napadení, protože prvky ochrany na perimetru neobsahují příslušné kontroly šifrovaného provozu.

Jedním z typických případů je přístup zaměstnanců na soukromou poštu na bezplatné e-mailové účty přes protokol https. Zdánlivě špatně řešitelná situace současnými prostředky však i na tomto poli přinesla pokročilé technologie webové filtrace, které se umí poprat i s tímto rizikem.

Ptáte se, jak tuhle záležitost tyto specializované zařízení řeší? V prvním momentě je třeba si uvědomit, že nutně musí dojít k dešifrování provozu, aby mohl být zkontrolován.

Zařízení stojí v cestě mezi klientem i webovým serverem a rozděluje komunikaci na dvě části. První část tvoří komunikace mezi klientem a specializovaným zařízením (dále jen zařízení), které klient využívá jako proxy bránu pro přístup na cílový web.

Druhá část komunikace je mezi zmíněným zařízením a webovým serverem. V tomto případě se zařízení musí pro cílový server tvářit jako samotný klient, aby se mohlo dostat dovnitř komunikace. Na certifikátu zařízení většinou tolik nezáleží, protože ve většině případů nedochází k ověřování klientů na straně webové aplikace.

Pokud je přeci jenom nutné ověření zajistit, pak je nezbytné dát zařízení přístup k úložišti klientských certifikátů. Pro bezpečné uložení těchto citlivých informací jsou i dostupné speciální šifrovací hardwarové karty.

Co se týče komunikace klienta se zařízením, ten s cílovým webovým serverem sice komunikuje, ale „někdo“ se dívá dovnitř, jestli je vše v pořádku. Na specializovaném řešení je nutné mít certifikační autoritu, které klient důvěřuje. Tato certifikační autorita vydává certifikáty za běhu pro webové aplikace, na které se právě přistupuje.

Celý tento řetězec „kamufláže“ se ukazuje jako poměrně funkční. Třešničkou na dortu je pak kontrola správnosti certifikátu webového serveru, zda není prošlý, jestli se shoduje doménové jméno s CN na certifikátu apod.

Přístup na některé webové aplikace však není vhodné dešifrovat. Vhodným příkladem je internetové bankovnictví, u kterého nepředpokládáme, že by banky záměrně útočily na své klienty pomocí svých webových serverů. Klienti také nechtějí, aby se někdo další díval do jejich bankovní komunikace, byť za účelem zajištění bezpečnosti provozu.

Do popředí zájmu prvků ochran se dostává i kombinace několika různých antivirů. Obvykle se říká, že antivir od jednoho výrobce jako samotný nestačí a že je potřeba kombinace signatur od více výrobců. I na tuto možnost tvůrci specializovaných zařízení mysleli.

Další zajímavou funkcionalitou může být tzv. „DLP, Data Leakage Protection“, pomocí které se analyzují dokumenty třeba kancelářského softwaru na určité citlivé řetězce. Citlivé dokumenty pak nemohou odejít přes tuto kontrolu ven z firmy. Tím se zamezí úniku citlivých informací.

 

Závěrem

Jednotlivé popisované techniky kontroly jsou náročné. Proto se využívají v první linii ochran již zmíněné nástroje URL filtrace a různé reputační systémy (například TrustedSource).

URL filtrace byly dříve zejména využívány pro zajištění vyšší produktivity práce a zabránění zaměstnancům nevhodně brouzdat na internetu nebo konzumovat příliš mnoho internetové konektivity díky on-line radiím, hrám apod.

Dnes jsou ale tyto nástroje povýšené díky provázání s databázemi reputací schopny pokrýt významnou část nežádoucí komunikace a tím velmi uspořit čas strojového kódu potřebného pro další hloubkovou kontrolu.

Je tedy zřejmé, že specializované zařízení webové filtrace (příkladem může být řešení Web Gateway Webwasher od firmy McAfee) vždy přináší dodatečné funkce, které nejsou nikterak kosmetické. Výraznou měrou zasahují do zabezpečení sítí před útoky z internetu, které jsou čím dál sofistikovanější. Tato specializovaná zařízení se stávají nezbytným obranným mechanizmem.

 

ICTS24

Autor pracuje na pozici Senior Security Consultant ve firmě Comguard.

***tento článek vyšel v tištěném SecurityWorldu 2/2009