Zastavte útok už na hranici

29. 11. 2007

Sdílet

Viry, spam, spyware, škodlivý obsah, phishing a další a další více nebo méně nebezpečné útoky denně atakují počítače a servery ve všech světových, malých nebo velkých, počítačových sítích. Napadají ztěžují či zcela paralyzují pracovní i obchodní činnosti společností, spotřebovávají čas síťových prostředků, uživatelských počítačů a zařízení, ale také samotných uživatelů a správců sítí.

Obrana proti nim se stává stále složitější, komplikovanější a náročnější - jak z hlediska vynaložených finančních prostředků, tak z hlediska času, který bezpečnostní aktivity zaujímají z celkové doby péče o informační a komunikační systém.
Z hlediska nasazení a správy se jedním z nejefektivnějších a současně i nejdůležitějších způsobů ukazuje být ochrana informačního systému na místě jeho styku s okolním světem, zejména svobodným a informačně velmi "frivolním" prostředím internetu. Cílem je zastavit útoky a hrozby dříve, než dokážou proniknout do podnikového systému, oddělit platná data od balastu, hrozeb, virů, útoků a dalších počítačových škodlivin. Prostředky zajišťující vytvoření takové bariéry na hranicích podnikového informačního systému by měly být nejenom kompaktní, soustředěné pokud možno v jediném místě, ale také snadno nasaditelné, konfigurovatelné a spravovatelné. V neposlední řadě by jejich činnost měla být z co největší míry automatizována tak, aby četnost nezbytných zásahů ze strany obsluhy nebo správců systému byla minimální a k zásahům docházelo pouze v těch případech, kdy automatické rozhodnutí ochranného systému buď není možné vůbec, nebo obvyklá reakce nemusí být v daném případě adekvátní konkrétní situaci. Jedním z takových bezpečnostních zařízení, určených pro malé a střední podniky, které rozhodně vyhovuje všem výše uvedeným podmínkám, je InterScan Gateway Security Appliance (IGSA) od společnosti Trend Micro.
InterScan Gateway Security Appliance vytváří antivirovou a antispamovou ochranu při komunikaci prostřednictvím poštovních protokolů SMTP a POP3, včetně blokování pošty z podezřelých adres známých zdrojů spamu (Network Reputation Services), při přenosu souborů protokolem FTP a při webové komunikaci pomocí protokolu HTTP. Poskytuje rovněž filtrování a blokování nežádoucích webových adres (filtrování URL) a nabízí i možnost vytváření dočasných politik ochrany proti útokům, které zatím nejsou zcela úplně analyzovány, tzv. Outbreak Prevention Services (OPS), včetně možnosti vyčištění infikovaného koncového zařízení prostřednictvím služby Damage Cleanup Service.
Appliance IGSA je specializované zařízení, ve skutečnosti jde o jednoúčelový počítač umístěný ve skříni o velikosti 1U, určené k montáži do standardního rámu. Vlastní počítač používá procesor Intel Pentium 4 o taktovacím kmitočtu 3 GHz. Je vybaven pamětí flash kapacity 512 MB a pevným diskem s kapacitou 80 GB. Na zadním panelu skříně jsou umís-
těny tři síťové konektory RJ 45 pro připojení vnější a vnitřní sítě a sítě, v níž se nachází počítač pro správu appliance, sériový port pro připojení správní konzoly, napájecí konektor, vypínač a dva USB porty, které nejsou aktivní. Jsou nejspíše určeny pro budoucí využití. Porty Ethernet zvládají rychlosti 10/100/1000 Mb/s. Na předním panelu je umístěn černobílý LCD displej, který při provozu slouží jako indikátor činnosti, LED indikátory a tlačítka tzv. řídicího panelu, jež mimo jiné umožňují uskutečnit základní konfiguraci zařízení přímo z panelu bez nutnosti připojovat k sériovému portu správní konzolu. LCD indikátor v tomto případě slouží k zobrazování konfiguračních údajů. Součástí řídicího panelu je také užitečné tlačítko Reset. Applianci řídí operační systém založený na Red Hat Enterprise Linux s jádrem verze 2.6.14. IGSA nabízí také možnost aktualizace operačního systému i BIOSu přístroje. Základní technické parametry jsou shrnuty v tabulce.
Připojení IGSA do informačního systému je triviální, appliance se obvykle připojuje mezi firewall, pokud je v systému implementován, a vnitřní chráněnou síť, neboť se chová jako most (Bridge) a pro užitečný síťový provoz je zcela transparentní (viz obrázek). K dispozici je dokonce možnost přímého propojení obou síťových konektorů v případě, že dojde k selhání v činnosti appliance. Připojení tak zůstává zachováno, nicméně vnitřní síť není chráněna.
Po připojení a zapnutí je nejdříve nutné provést počáteční konfiguraci prostřednictvím systémové konzoly nebo, jak bylo již zmíněno, pomocí tlačítek na předním panelu appliance. Konfigurace spočívá v nastavení parametrů IP protokolu, k nimž patří zadání IP adres a rychlostí komunikace. K dispozici jsou i základní systémové nástroje, například možnost formátovat pevný disk stroje, obnovit tovární nastavení nebo povolit vzdálený administrátorský přístup prostřednictvím SSL, změnit přístupové údaje k zařízení a získat informace o verzi produktu.
Ačkoli je appliance z výroby předem nakonfigurována, je nutné její konfiguraci v dalším kroku přizpůsobit konkrétním podmínkám. Správa se uskutečňuje prostřednictvím webového rozhraní z administrátorské konzoly. Ta může být umístěna buď v interní síti, v síti připojené ke třetímu portu RJ 45, nebo - bylo-li to povoleno v počáteční konfiguraci - se může nacházet ve vnější síti. Software appliance vychází z osvědčeného bezpečnostního produktu Trend Micro InterScan VirusWall 6.0, rozšířeného o další služby. Tím je dána i podobnost administračních rozhraní IGSA a VirusWall 6.0. Zde je vhodné připomenout, že VirusWall 6.0 není zdaleka shodný s produktem označovaným VirusWall Enterprise Edition. Kromě základních služeb, které nabízí i VirusWall, je IGSA doplněno o další funkce, jež je v jiných zařízeních nutné dokupovat jako samostatné licence. V IGSA jsou všechny služby dostupné pod jedinou licencí. Instalace licence je také prvním konfiguračním krokem, který je nutné provést. Bez instalované licence appliance sice funguje, aktualizace bezpečnostních databází je však blokována, takže v průběhu relativně krátké doby přestává appliance efektivně vykonávat své ochranné činnosti. Cena licence se odvíjí od počtu uživatelů sítě. K dispozici jsou dva režimy činnosti: režim transparentní a režim proxy. V transparentním režimu nedochází k překladu adres a IP adresy zařízení v chráněné síti jsou viditelné z vnější sítě, zatímco v režimu proxy appliance vnější síti sděluje pouze svoji adresu a adresy vnitřní sítě zůstávají skryty.
Konfigurační rozhraní je logicky rozděleno do skupin podle typu komunikace (protokolu) a činností, jichž se konfigurace týká, například SMTP, HTTP, POP3 apod. Pro každý z protokolů lze nejen konfigurovat parametry, ale také jeho kontrolu celkově zakázat či povolit. Lze rovněž zobrazit tabulku základních systémových informací. Každou z aktivit lze ukládat pro potřeby pozdější analýzy do žurnálu. Žurnály nicméně umožňují pouze zobrazovat uložené informace, jakékoliv jejich další statistické zpracování appliance nenabízí. Je však možné posílat záznamy na externí žurnálový server a zpracovat je později vlastními silami. Ke každé nabídce je k dispozici kontextová nápověda, vysvětlující jednotlivé položky, jež lze zadávat.
SMTP a POP3 konfigurace umožňuje odděleně zadávat parametry pro příchozí a odchozí zprávy. Nabízí možnost výběru souborů, jež budou skenovány včetně omezení rozsahu skenovaných příloh. Lze volit činnost, která bude prováděna v případě, že ve zprávě bude identifikován virus nebo jiná hrozba. Infikovaný e-mail může být umístěn do karantény, smazán nebo propuštěn k adresátovi, případně z něho může být odebrána pouze nakažená příloha. Volitelný je také způsob upozornění na infikovaný e-mail. Upozornění může být zasláno administrátorovi, příjemci či odesílateli, může být vloženo přímo do těla zprávy. Texty upozornění lze zadávat. Kontrolu spywaru lze zapnout či vypnout, lze povolovat výjimky, umožňující specifikovat, které soubory budou či nebudou skenovány, včetně používání kategorizovaných databází. Stejně jako ve většině případů je možné předepisovat akce, které mají být při zjištění přítomnosti škodlivého softwaru provedeny, a zasílat zvoleným osobám upozornění.
Velmi zajímavou funkcí, kterou IGSA nabízí, je tzv. IntelliTrap. IntelliTrap umožňuje skenování komprimovaných spustitelných souborů a zabrání jim v proniknutí do systému. IntelliTrap soubor dekomprimuje a zkontroluje přítomnost virů a škodlivého softwaru. Na základě výsledků skenování může IntelliTrap vykonat předepsanou akci a poslat upozornění o zjištění hrozby zvoleným osobám.
Antispamový filtr nabízí širokou škálu funkcí. Antispamová kontrola Network Reputation Services (NRS) umožňuje na základě analýzy adresy odesílatele odmítnout nebo zpozdit spojení , tedy blokovat odeslání zprávy z podezřelé adresy přímo u jejího zdroje. Výrazně se tak může snížit poštovní provoz, nároky na kapacitu poštovního serveru a bezpečnost systému messagingu eliminací permanentních odesílatelů spamu a tzv. zombie. Blokování adres probíhá na základě rozsáhlých databází nedůvěryhodných adres, které udržuje a aktualizuje společnost Trend Micro. NRS umožňuje využívat dvě úrovně testování: nízkou a vysokou. Nízká úroveň pracuje se statickými seznamy nežádoucích adres, jež se aktualizují v intervalu čtyř hodin. Vysoká úroveň využívá navíc seznamy vytvářené v reálném čase, tzv. Real Time Black List. Jsou to například seznamy adres, které krátkodobě generovaly spam. Mohly být pouze krátkodobě zneužity, nebo jejich zneužití bylo zjištěno uživatelem a odstraněno. Krátkodobé seznamy jsou aktualizovány v intervalu pěti minut. Pošta přicházející z takovýchto adres je krátkodobě odmítnuta, ale jakmile nebezpečí pomine, jsou uvedené adresy vyřazeny ze seznamu nežádoucích, pošta z nich může být doručena později a v budoucnu i dále přijímána. Společnost Trend Micro vytváří krátkodobé i dlouhodobé seznamy nežádoucích adres, zveřejňuje geografické statistiky výskytu hrozeb a vykonává další činnosti. K dispozici je také skenování příchozího obsahu pomocí heuristického antispamového filtru s nastavitelnou citlivostí analýzy, možností specifikace výjimek a výběru činností, které budou při zjištění hrozby vykonány. Filtrování obsahu lze nastavit zvlášť pro záhlaví pošty, pro text v jejím těle a v obsahu příloh. Lze předepsat rozpoznávání příloh podle jejich obsahu a zamezit tak průniku přejmenovaných souborů nesoucích jiný obsah, než naznačuje jejich přípona. Zprávy lze smazat, umístit do karantény nebo jen odstranit infikovanou přílohu.
Antiphishingový filtr využívá databázi známých podvodných adres. Zjištěnou podvodnou zprávu lze buď smazat, nebo jenom označit jako podezřelou. Stejně jako u všech ostatních filtrů (kromě antispamu) lze zaslat upozornění o zjištění hrozby.
HTTP je další hlavní položkou konfigurační nabídky, kterou lze samostatně aktivovat nebo deaktivovat. V základní nabídce je podobně jako v případě poštovních protokolů antivirová ochrana, antispyware, antiphishing a antipharming (blokování přístupu na podvodné adresy, které jsou podstrčeny například útokem na DNS). Oproti poště je k dispozici navíc filtrování URL. Produkt třídí stránky do kategorií, u nichž může administrátor povolit či zakázat přístup v pracovní době a mimo ni. Pracovní a mimopracovní čas je samozřejmě možné předepsat. Konfigurace filtrování platí pro všechny uživatele. Ačkoli je celkově filtrování URL méně komplexní než v případě již zmiňovaného Enterprise Edition, pro účely střední organizace postačuje. Lze rovněž nastavit blokování souborů podle obsahu či přípony, včetně zobrazení varování v prohlížeči uživatele.
Podobné vlastnosti a funkce včetně blokování přenosu a antispywarové kontroly nabízí i filtrování FTP přenosů. V případě zjištění virové nákazy lze zaslat upozornění klienovi FTP.
Kromě služeb, které nabízí VirusWall 6.0, jsou v ISGA applianci k dispozici i některé další služby, jež je třeba obvykle (např. k Enterprise Edition produktům) nutné pořídit odděleně a které rozšiřují spektrum služeb appliance. Patří k nim např. již zmíněné Network Reputation Services (NRS), Outbreak Prevention Services (OPS) a Damage Cleanup Services.
Princip Outbreak Prevention spočívá ve vytváření dočasných bezpečnostních politik pro antivirovou ochranu v případě, že nebezpečí je už identifikováno, ale není proti němu zatím vytvořena žádná či definitivní obrana. V nejjednodušším případě může jít o dočasné zablokování komunikace systému, různá omezení (např. blokování spustitelných souborů) nebo jen uspíšení či zrychlení procesu aktualizace databáze virových vzorků. Politiky vytváří Trend Micro a instalují se buď automaticky, nebo se souhlasem administrátora systému. Je možné také povolit zasílání upozornění na nové politiky. Platnost dočasných politik obvykle končí s vydáním definitivní obrany, například virového otisku. S OPS velmi úzce souvisí další služba, označovaná jako Damage Cleanup Service. Umožňuje odstranit nákazu nebo její následky z počítače klienta. Službu na rozdíl od samostatné verze vyvolává uživatel přístupem webovým prohlížečem na libovolnou webovou adresu. Kontrola samotná je realizována plug-in modulem instalovaným do prohlížeče.
Z webového prostředí pro správu appliance lze také prohlížet nebo mazat karanténní databáze a záznamy v nich a konfigurovat jejich automatickou správu, např. povolit či zakázat automatické mazání starších položek. Lze také zadávat dobu, po níž budou záznamy o hrozbách v databázích uchovávány.
Všechny události je možné zaznamenávat do systémových žurnálů, v nichž se uchovávají záznamy o činnostech vykonávaných appliancí. Zaznamenávání je vázáno na jednotlivé činnosti (např. SMTP, HTTP, POP3 apod.), může být pro každou zvlášť zapnuto nebo vypnuto. Později je možné zobrazovat obsahy jednotlivých žurnálů a automaticky či ručně je mazat. Žádné další statistické operace nad žurnály však appliance nevytváří, k těmto účelům je třeba žurnály exportovat a dále zpracovat.
Aktualizace bezpečnostních databází může probíhat automaticky či může být prováděna ručně administrátorem. V konfigurační nabídce je možné vybrat, které aktualizace a v jakém časovém intervalu se budou provádět. Nejkratší interval aktualizace je 15 minut.
K službám, které správní prostředí IGSA nabízí, patří i soustava administrativních činností. K nim patří např. řízení přístupu z externí konzoly, kompletní záloha konfigurace, která mj. umožňuje zcela přenést konfiguraci z jedné appliance na druhou, např. na novou v případě její výměny, test disku, nastavení IP adres a adres pro upozorňování, volbu typu transparentního režimu, změnu hesla, aktualizaci nebo načtení licence, nastavení parametrů proxy režimu, nastavení systémového času a serveru pro jeho synchronizaci, ale také povolení a konfiguraci protokolu SMNP, což umožňuje, aby bylo zařízení viditelné dalšími správními platformami, např. HP Open View apod.
IGSA je k dispozici v šesti variantách (IGSA 100, 200, 300, 600, 800 a 1000) v závislosti na počtu připojených uživatelů. Rozšíření sítě je tak možné uskutečnit bez jakýchkoli změn hardwaru. Cena základní varianty pro 100 uživatelů se pohybuje okolo 90 000 Kč.
InterScan Gateway Security Appliance lze považovat cenově i funkčně za velmi efektivní řešení bezpečnosti pro menší až střední firmy s několika stovkami uživatelů, větší kanceláře a pobočky, či úřady státní a veřejné správy. Instalace, nasazení a konfigurace jsou při nabídce relativně širokého spektra bezpečnostních služeb jednoduché. Velkou výhodou je centralizace správy bezpečnosti a jednoduchost obsluhy. Je-li appliance správně konfigurována, nevyžaduje prakticky žádnou další obsluhu s výjimkou reakcí na případná upozornění. Velkou předností je i přítomnost dalších služeb, které se u jiných systémů obvykle dokupují a jsou vázány na další licence. K přednostem bych započetl i možnost monitorování zařízení prostřednictvím SNMP, appliance může být díky možnosti vzdálené správy nasazena i v místech, kde není trvale přítomen lokální správce systému či administrátor. K nevýhodám patří především drobná omezení některých služeb vyplývající především z oblasti předpokládaného využití appliance, například omezené možnosti práce s kategoriemi a časy v případě filtrování URL. Rovněž práce s žurnály by mohla nabízet více služeb. Celkově představuje IGSA kvalitní a efektivní SMB bezpečnostní řešení s velmi přijatelným poměrem cena/výkon.

Základní technické vlastnosti
Procesor Intel Pentium 4, 3.0 GHz
Operační systém Linux, kernel 2.6.14
Paměť 1 GB
Paměť flash 512 MB
Pevný disk 80 GB
Síťová rozhraní 3 i RJ 45
USB 2 i 2.0 (nezapojeny)
PCI 1 i PCI-X, 133 MHz/64 b
Sériové rozhraní 1 i DB-9
Správa Web konzola
Provedení Rack, rozměr 1U
Pracovní teploty 0-40 °C


Zapojení IGSA v podnikové síti.
Základní konfigurační rozhraní.
Příklad statistiky vytvářené Trend Micro.

Autor článku