Bezpečnost na perimetru sítě

Bezpečnost nejen na perimetru sítě S využitím IPS

Průzkumy nezávislých společností zabývajících se bezpečností sítí ukazují různá procenta zdrojů narušení systémů podnikových sítí. Nejčastější příčinou bezpečnostního incidentu jsou viry, vnější nepřátelské průniky do sítě, DoS a DDoS útoky na dostupnost služeb a neoprávněné průniky zevnitř sítě.

Tyto útoky byly úspěšné i přesto, že administrátoři používali řadu zařízení a nástrojů, jako jsou firewally a DMZ na perimetru sítě.

Jak je to možné?

Řada útoků totiž dokáže využít nedostatky v běžných protokolech a maskovat svůj škodlivý kód do užitečného, tedy na firewallu povoleného provozu. Můžeme se tak setkat se situací, kdy se firemní webový server umístěný v DMZ, stane základnou pro další útok na firemní data. Útočník totiž využil bezpečnostní díry v operačním systému, např. přes standardní HTTP protokol.

Také cílenému DoS a DDoS útoku na dostupnost služeb nemusí standardní firewall zabránit. Takovýto útok dokáže zablokovat služby sítě vyčerpáním zdrojů a bránit legitimním klientům v přístupu k nim.  Důvěryhodnost takto postižené firmy je pak ohrožena.

Navíc sebelépe nakonfigurovaný firewall na perimetru nedokáže zabránit útokům z vnitřní, tedy důvěryhodné části sítě. Nedávné hromadné rozšíření červů typu Slammer nebo Blaster v organizacích je toho důkazem.

Jaké je tedy řešení?

Systém pro detekci a prevenci průniků (IPS – Intrusion Prevention System) provádí kompletní inspekci paketů až po aplikační vrstvu OSI modelu a je tak schopen detekovat škodlivý provoz „zabalený“ v běžných protokolech.  Na rozdíl od IDS systémům (Intrusion Detection System) které nebezpečný provoz pouze detekují, je IPS systém schopen tento škodlivý provoz blokovat bez vlivu na probíhající užitečnou datovou komunikaci.

STÁHNOUT LETÁK

Společnost AG COM je dodavatelem flexibilního řešení systému pro detekci a prevenci průniků od společnosti HP. HP TippingPoint je dlouhodobým leaderem v oblasti IPS řešení. Produkty HP TippingPoint disponují již od roku 2003 bezpečnostní certifikací EAL2 a řadou ocenění odborných časopisů.

 


 

K nejoceňovanějším funkcím produktů HP TippingPoint patří velmi nízká latence, kdy unikátní architektura TSE (Threat Suppression Engine) vícejádrových ASIC obvodů a síťových procesorů zajišťuje paralelní zpracování toku dat při zpoždění <84 mikrosekund, vysoký výkon, škálovatelnost a vždy aktuální filtry bez falešných positiv a negativ.

Největší devíza řešení HP TippingPoint je skryta ve výzkumném týmu DVLabs. TippingPoint DVLabs je přední výzkumná organizace s vlastním týmem bezpečnostních expertů, kteří se zabývají analýzou a objevováním zranitelností a bezpečnostních hrozeb. Tento tým ve spolupráci s více než 1.400 nezávislými bezpečnostními analytiky po celém světě stojí za projektem HP TippingPoint ZDI (Zero Day Initiative). K této iniciativě je připojeno více než 2.000 zákazníků produktů TippingPoint, kteří jsou zapojeni v projektu ThreatLinQ a poskytují svá data do projektu ZDI. Mezi další partnery patří SANS, CERT, NIST a jiní. Výsledkem této obrovské základny znalostí jsou produkty Digital Vaccine, Reputation Digital Vaccine a další služby poskytované DVLabs.

 


 

Digital Vaccine® obsahuje tisíce filtrů, které blokují škodlivý obsah nejenom na základě signatur jednotlivých exploitů, ale také na základě sledování anomálií v datovém toku. Nové filtry jsou zákazníkovi distribuovány ve formě digitální vakcíny a to alespoň 2x týdně, nebo okamžitě pokud to bezpečnostní situace vyžaduje.

Reputation Digital Vaccine® je pravidelně aktualizovaná databáze „nebezpečných“ IPv4, IPv6 adres a DNS záznamů, ve které jsou jednotlivé zdroje „škodlivé“ komunikace známkovány a na základě takto sestavené reputace je umožněno zákazníkům nastavovat bezpečnostní pravidla a omezení. Jednoduše tak lze na základě důvěryhodnosti zdroje, či geografické příslušnosti zamezit potencionální hrozbě od „Known Bad“ zdrojů botnet trojanů, malwarů, spywarů, červů apod.

 

 

Jedním z důležitých a hodnocených parametrů IPS je rychlost pokrytí bezpečnostních hrozeb. Výzkumný tým DVLabs úzce spolupracuje i s vývojáři operačních systému a to HP TippingPoint umožňuje být na špičce jak v rychlosti pokrytí bezpečnostních hrozeb, tak i v samotném objevování zranitelností operačních systémů

 


 

Jak lze tedy IPS zapojit do sítě?

HP TippingPoint lze fyzicky vložit do datové cesty v tzv. in-line režimu, kdy je zcela transparentní k přenášeným virtuálním sítím, GRE a nebo MPLS a plně podporuje standard 802.1Q.

Druhý způsob zapojení nevyžaduje fyzické zapojení do datové cesty, ale lze použít funkci přečíslování VLAN (VLAN Translation), kdy je chráněná část sítě izolována ve VLAN bez definované výchozí brány. Veškerá komunikace pak prochází přes IPS, kde dojde k odstranění „škodlivé“ komunikace i bez fyzického zapojení mezi koncový bod a výchozí bránu sítě.

 


 

IPS HP TippingPoint tak lze s výhodou nasadit nejenom na perimetru sítě, ale také jako ochranu např. serverové farmy. Servery jsou chráněny před škodlivým provozem, kde IPS navíc funguje jako velmi rychlá a univerzální záplata pro nově objevené zranitelnosti. Opravné balíčky operačních systémů a aplikací jsou aplikovány až poté, co jsou k dispozici, resp. poté co jsou důkladně otestovány. Obdobně lze IPS využít i v případě, že na daný server nelze opravný balíček výrobce aplikovat vůbec např. z důvodu aplikační nekompatibility.

A má HP TippingPoint řešení i pro virtualizaci?

Ano, společnosti HP a VMware spolu uzavřeli strategické partnerství ve vývoji bezpečnostního řešení a to oznámili na RSA konferenci 15. 2. 2011.

HP TippingPoint v datových centrech poskytuje stejný bezpečnostní model jak pro fyzickou, tak i pro virtuální infrastrukturu. Vhodnou implementací produktů HP TippingPoint lze zajistit kvalitní ochranu perimetru datového centra, stejně jako vytvoření a ochranu bezpečnostních zón i ve virtuálním prostředí.

 


 

Copyright © 2014 AG COM

OP LZZ Projekt Mapa stránek Informace o webu Twitter LinkedIn Vyrobil a spravuje FG Forrest, a.s.