460 likes | 639 Views
63,0. Wirusy / Robaki / Trojan y. Spam. 55,8. Błędne użycie adresów. 27,2. 23,8. Błędna konfiguracja. 16,2. Ph ishing. 10,6. Ataki DoS. Złe użytkowanie kont. 9,1. 6,8. Odgadnięte hasła. Dane procentowe , źródło : 265 / 190 odpowiedzi ( możliwe wielokrotne odpowiedzi ).
E N D
63,0 Wirusy /Robaki/Trojany Spam 55,8 Błędne użycie adresów 27,2 23,8 Błędna konfiguracja 16,2 Phishing 10,6 Ataki DoS Złe użytkowanie kont 9,1 6,8 Odgadnięte hasła Dane procentowe, źródło: 265 / 190 odpowiedzi (możliwe wielokrotne odpowiedzi) Źródło: CRN 11/2006, IT-Security 2006 Funkwerk UTM Najpoważniejsze zagrożenia bezpieczeństwa
Podstawowe pojęcia Definicja UTM Unified Threat Management (UTM) to termin użyty po raz pierwszy przez IDC w 2004 w celu opisania kategorii systemów bezpieczeństwa integrujących szeroką gamę funkcjonalności w jednym urządzeniu. Zgodnie z definicją urządzenia UTM integrują funkcje… firewalla, bramy anty-wirusowej, intrusion detection i prevention na jednej platformie!
Firewall VPN Authentication Application Level Gateway Anti-Virus Intrusion Prevention Anti-Spam Auto Prevention Funkwerk UTM Funkwerk UTM
Przed: $$$$$$$ Inwestycje w bezpieczeństwo, bez licencji, przykład: € 5.000 A-Virus Firewall € 1.000 IDPS € 1.000 A-Spam € 2.000 € 1.000
Teraz: $$ Inwestycja w bezpieczeństwo zawierająca licencję na pierwszy rok: € 1.099 UTM 1500: € 1.099
Przed: §!1grhhh??%”= A-Virus Firewall IDPS A-Spam
Przed Systemy zabezpieczeń były: • bardzo kompleksowe • bardzo drogie • trudne do integracji • trudne w administracji i utrzymaniu • interakcja między komponentami znikoma • trudne w utrzymaniu aktualności = tylko dla dużych firm = ograniczony rynek A-Virus Firewall IDPS A-Spam
Teraz • jedno rozwiązanie dla zagrożeń bezpieczeństwa • bazuje na korporacyjnych standardach bezpieczeństwa • out-of-the-box • łatwa implementacja i administracja • komponenty bezpieczeństwa domyślnie współpracują ze sobą • dobra cena • jeden mechanizm aktualizowania = dla każdej firmy= ogromny rynek
Funkwerk UTM Komponenty Unified Threat Management Firewall, Application Level Gateway • Multi Inspection Firewall z prostą w obsłudze edycją zasad • Application Level Gateway (HTTP, FTP, SMTP, POP3, DNS) • Network- i Port-Address-Translation (Redirect Services) • Serwer DHCP • Ethernet i DSL (PPPoE) Brama VPN • PPTP,L2TP i IPSec • Kodowanie: DES, 3DES, AES, Blowfish, Twofish, Serpent, Cast • Autentykacja: SHA-1, MD5, IKE certificate • IPSec NAT Traversal • Serwer certyfikatów
Funkwerk UTM Komponenty Unified Threat Management Silnik Intrusion Prevention • Blokuje ataki w czasie rzeczywistym zanim dotrą do sieci • Chroni przed Robakami, Trojanami, atakami bazującymi na sieci • Aktywny wewnątrz strumenia danych • Elastyczna i łatwa implementacja Auto Prevention • Łatwe dopasowanie do predefiniowanych poziomów bezpieczeństwa • Definicjez ekipy ekspertów Funkwerk i automatyczna reakcja na ataki • Redukcja zaangażowania administratorów • Aktualizacje online poziomów zabezpieczeń • Funkcjonalność jedynie w Funkwerk PacketAlarm UTM
Funkwerk UTM Komponenty Unified Threat Management Auto/Prevention (Podstawy) • Podstawowy silnik IPSoferuje jedynie czystą bazę schematów jednak bez jakiejkolwiek polityki alokacji: co zrobić kiedy zachodzi jakieś zdarzenie. Administrator czy integrator (reseller) nie otrzymuje żadnego wsparcia co należy zrobić, a co za tym idzie tego typu IPS jest bezwartościową „marketingową implementacją”. • Funkwerk Auto Preventionoferuje kompletną, predefiniowaną politykę i logikę IPS za jednym kliknięciemc. • Dostępne dwa poziomy bezpieczeństwa: normalnyi wysoki • Poziomy mogą zostać przypisane wszystkim grupom ataków lub tylko tym wybranym przez użytkownika • Każda nowa aktualizacja sygnatur IPS już posiada klasyfikację bezpieczeństwa automatycznej prewencji => automatyczna prewencja przed nowymi atakami(!) • Pojedyncze grupy wzorców mogą być odpowiednio dopasowane Źródło www.commtouch.com
Funkwerk UTM Komponenty Unified Threat Management Anti-Spam • Anty-Spam dla SMTP i POP3 • Aplikacja czasu rzeczywistego zwieloskładnikowymi Blackhole-Lists (RBL + ORDB) • Analiza heurystyki zawartości • BiałeiCzarne Listy mogą być dodane • Weryfikacja nagłówków pod kątem standardu MIME • Zdefiniowane reakcje bazujące na klasyfikacji spamu • Transmisja parametrów spamu wewnątrz nagłówka dla użytku indywidualnego • Opcjonalnie: Advanced Detection Engine
Problem: • metoda generuje błędy (przykłady: moral, s-e-x, wysyłanie tekstu jako grafiki, klient jest na czarnej liście przez przypadek) • fine-tuning jest potrzebny ale: Jeśli filtr jest zbyt łagodny wtedy przepuszcza spam (false negative), jeśli filtr jest za silny wtedy traktuje poprawne maile jako spam (false positives) • języki • brak false positives (błędne traktowanie jako spam) • bez fine-tuning • bardzo dobry współczynnik wykrywalności Funkwerk UTM Komponenty Unified Threat Management Anty-Spam (Podstawy) • Podstawowe silnikipatrzą z „zewnątrz” na określone parametry emaila, np. wyrazy i zawartość (tekst, html, grafika), temat, nadawcai serwer naczarnych lub białych listach Silnik Commtouchszuka na całym świecie przypadków pojawienia się masowych emaili i nadaje każdemu listowi indywidualne „odciski palców” Źródło www.commtouch.com
Funkwerk UTM Komponenty Unified Threat Management Anti-Virus, Anti-Spyware, Anti-Phishing • Brama ochory przed wirusamidla HTTP, FTP, SMTP, POP3 • Radzi sobie z wielokrotnie spakowanymi plikami • Reakcje: usunięcielub kwarantanna • Definicje niepożądanych formatów plików • ClamAV dołączony za darmo • Opcjonalne rozwinięcie do Kaspersky Scan Engine Autencykacja użytkownika • wewnętrzna baza użytkowników • zewnętrzna baza LDAP • zewnętrzna baza RADIUS • autentykacja Out-of-Band ->
Przykład 2: restrykcje w dostępie użytkownika https http, ssh http, ftp, pop3 Funkwerk UTM Komponenty Unified Threat Management Autentykacja Out-of-band Niezależna od protokołu autentykacja użytkownika w obu kierunkach, wew.do zew.izew.do wew. Przykład 1: Dostęp zzewnątrz np. OutlookWebAccess lub SSH Intranet …. Z OOBA, niezabezpieczone i wrażliwe usługi mogą być chronione • elastyczny: niepotrzebny klient (https) • utrzymany dostęp do wrażliwych usług Z OOBA ma miejsce autentykacja użytkowników • elastyczny: niepotrzebny klient (https) • niezależne od IP stacji roboczej
Definicja Log Filter bazuje na: Subsystemach (FW, IPS, …) i Poziomach (wysoki, średni, niski, info) Rejestracja Funkwerk UTM Komponenty Unified Threat Management Elastyczne rejestracja zdarzeń (Sub-) SystemoweZdarzenia Firewall Virus Update IPS Mail ......... Wewnętrzny Log SMTP (Email) Syslog SNMP V2 (Tivoli, OpenView) Maks. 100.000 rekordów Auto usuwanie 1000 najstarszych
Funkwerk UTM Komponenty Unified Threat Management Ochrona wielowarstwowa • Architektura ochrony wielowarstwowej w Funkwerk UTM dostarcza niezbędnej w dzisiejszych czasach wszechstronnej ochrony zintegrowanej w jeden system. • Wszystkie warstwy bezpieczeństwa w Funkwerk UTM mogą być w prosty sposób włączane i wyłączane. • Jeśli np. są już zainstalowane Firewall lubsystem anty-wirusowy, moduły te mogą być dezaktywowane w celu pełnej integracji z istniejącym systemem zabezpieczeń. Auto Prevention Anty-Spam Intrusion Detection & Prevention Anti-Virus VPN Firewall
Funkwerk UTM Linia produktówFunkwerk UTM - Macierz UTM 2500 (Gigabit) +50 User + 499 € +50 User + 499 € +Unlim. User + 2000 € UTM 2100 UTM 1500 +25 User + 300 € +25 User + 300 € UTM 1100 Ceny detalicznew € zawierają Software & Pattern Update Software & Pattern Update dla platform za każdy następny rok (niezależnie od użytkowników)
Odkryte nowe zagrożenie (atak, podatność, wirus) Funkwerk UTM Proces bezpieczeństwa – Aktualizacje to konieczność! Aktualizacje oprogramowania i wzorców dla: IPS Auto Prevention A-Virus A-SPAM Instalacja i aktywacja wzorca Opracowany nowy wzorzec Pobranie nowego wzorca Nie sprzedajemy jedynie produktu – sprzedajemy długotrwałą usługę !!
Bezpieczeństwo – Ewolucja zagrożeń luka systemowa – przykład wykorzystania – worm 2. 1. 3. jednaluka systemowa Kilka przykładów wykorzystania Setki wirusów,ataków hackerskich, worm, itp.
Bezpieczeństwo – Ewolucja zabezpieczeń Przykład rozwoju worm’a - I Luka systemowa (dzień 1) • Serwer SMTP oczekuje polecenia xy………(maks. 20 znaków)na porcie 25 • Inżynier programista wykrywa, że w przypadku użycia więcej niż 20 znaków w komendzie, serwer SMTP odpowiada „dziwnymi znakami”. Programista umieszcza informację o tym na powszechnie znanej liście mailingowej i kontaktuje się z producentem serwera poczty.
Bezpieczeństwo – Ewolucja zabezpieczeń Przykład rozwoju worm’a - II Przykład wykorzytania (dzień 5) • Ponieważ producent serwera wyjaśnia, że znaleziona luka nie jest groźna, student informatyki na swoim ostatnim semestrze pokazuje, jak można wykorzystać daną lukę i jak za jej pomocą ktoś mógłby uzyskać dostęp root do systemu: • xy…… (77 znaków)&%na port 25
Bezpieczeństwo – Ewolucja zabezpieczeń Przykład rozwoju worm’a - III Worm (dzień 10) • Niezadowolony z siebie i ze świata młody 17 letni chłopak czyta o przykładzie wykorzystania luki i następnie integruje go z przed chwilą ściągniętym narzędziem do tworzenia worm’ów. W krótkim czasie chłopak „wypuszcza” worm’a z poniższą zawartością: • „Kocham Cię Brunhildo“ • „Darmowy Linux dla wszystkich“ • „Bert to małpa“ • Dużo innych osób w podobny sposób tworzy podobne worm’y z podobną zawartością.
Bezpieczeństwo – Ewolucja zabezpieczeń Czy firewall pomoże? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • Ponieważ luka systemowa jest na porcie 25, możemy go zablokować na firewall. Niestety, zablokowaliśmy w ten sposób cały ruch e-mail. Poczta nie jest dostępna. Przykład wykorzystania (dzień 5) xy…… (77 znaków)&%na port 25 • Ten sam argument jak powyżej. Worm (dzień 10) „Kocham Cię Brunhildo“ • Ten sam argument jak powyżej. Nie możesz zablokować worm’a lub ataku hackerskiego na firewall w akceptowalny sposób
Bezpieczeństwo – Ewolucja zabezpieczeń Czy pomoże system antywirusowy ? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • Brak zabezpieczenia ponieważ skaner antywirusowy sprawdza tylko pliki Przykład wykorzystania (dzień 5) xy…… (77 znaków)&%na porcie 25 • Ten sam argument jak wyżej. Worm (dzień 10) „Kocham Cię Brunhildo“ • Worm z sukcesem atakuje system wykorzystując lukę i kopiuje się w systemie.Wynik ataku może być teraz widoczny przez scaner antywirusowy. Antywirus korzystając z sygnatury szuka słów ‘Kocham Cię Brunhildo’. Sygnatury dla worm’a mogą zostać utworzone po napisaniu worm’a i jego „wypuszczeniu”. Każda nowa mutacja worm’a wymaga nowej sygnatury (opóźnienie!).
Bezpieczeństwo – Ewolucja zabezpieczeń Czy pomoże łatka systemowa ? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • „Łatanie” systemu zawsze jest dobrym rozwiązaniem. Łatka (patch) likwiduje lukę.Każdy system posiadający lukę musi zostać uaktualniony. • Łatka systemowa limitująca polecenie do 20 znaków musi powstać. Jednak w naszym przykładzie inny producent np. SAP lub Oracle używa tego polecenia z 35 znakami od lat i wykorzystuje tą „lukę” jako dodatkową funkcję.Łatka pozbawia nas tej funkcji i musimy jeszcze raz instalować serwer, co powoduje, że luka systemowa znowu jest obecna. Reakcja SAP lub Oracle jest szybka: 3 dni później publikują oni uaktualnienie do swojego oprogramowania. Inny dostawca, mała firma, już nie istnieje ale jego oprogramowanie także wykorzystuje lukę do pewnej funkcji. Takie oprogramowanie musi zostać odinstalowane i zastąpione innym. Rozwiązanie długoterminowe. Bardzo dobra metoda… ale jako rozwiązanie krótkoterminowe bardzo niebezpieczne!
Bezpieczeństwo – Ewolucja zabezpieczeń Czy Funkwerk UTM pomoże? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • Tak. Moduł PacketAlarm IPS sprawdza czy po poleceniu xy występują dalsze znaki, więcej niż 20 (lub w specjalnych przypadkach więcej niż 35 znaków). Przykład wykorzystania (dzień 5) xy…… (77 znaków)&%na port 25 • Tak. Moduł PacketAlarm IPS sprawdza czy po komendzie xy są dalsze znaki, więcej niż 77 oraz ‘&%’. Nie jest to jednak konieczne gdyż luka sama w sobie jest już rozpoznawana.. Worm (dzień 10) „Kocham Cię Brunhildo“ • Tak, ale nie jest konieczne, luka jest już rozpoznawana. Moduł PacketAlarm IPS może zabezpieczyć system przed atakami hackerów i worm jeszcze przed pojawieniem się przykładów wykorzystania i wormów samych w sobie.
Jak pomaga Funkwerk UTM (1) Jeżeli wysłany przez e-mail (2) jeżeli używa niedozwolonych portów
Funkwerk UTM Docelowy segment klientów Rynek docelowyUTM: • SoHo, małe, średnie i duże firmy oraz korporacje Przykłady rozwiązań UTM: • Rozwiązania niezależne • Rozwiązania korporacyjne • Rozwiązania mieszane (UTM / Router / VoIP / WLAN)
Funkwerk UTM Niezależne rozwiązanie mały duży średni
Funkwerk UTM Niezależne rozwiązanie LAN to LAN Routing & Security LAN to WAN Routing & Security LAN, WAN, DMZ Routing & Security WAN WAN serwer
Centralne zdalne zarządzanie! Funkwerk UTM Rozwiązanie korporacyjne serwer Bezpieczeństwo przez VPN!
Funkwerk UTM Router czy UTM ? Perfekcyjne dopasowanie UTM Router Ethernet, PPPoE (potrzebny modem DSL) + WAN – dostęp do sieci + Routing LAN do LAN NAT, PAT, itp. + Routing + + Prosty Firewall VPN Content Filter ( <- UTM w Q3 ) Bezpieczeństwo +
Funkwerk UTM Rozwiązanie mieszane Router / UTM Specjalne wymogi dla WAN Wsparcie ISDN lub S2M DSL Modem X.21, ATM, FrameRelay, itp. Bezpieczeństwo VPN
Funkwerk UTM Rozwiązanie mieszane UTM / WLAN Pracownicy terenowi, klienci, gościeitp. Np. hotele, szpitale, biura …
Funkwerk UTM Rozwiązania mieszane
Funkwerk UTM Argumenty w sprzedaży • Bezpieczeństwo all-in-one dzięki wielowarstwowej architekturze zabezpieczeń • Bardzo prosta instalacja dzięki Setup-Wizard • Bardzo prosta konfiguracja i roll-out • Funkcjonalność plug-and-secure dzięki Auto-Prevention • Bezpieczeństwo w tunelach VPN (ruch VPN również musi przejść przez zabezpieczenia) • Zcentralizowana aktualizacja online sygnatur i oprogramowania • Basic Spam i Virus Protection dodane w standardzie • Skanowanie anty-wirusowe możliwe również dla dużych plików • Opcjonalnie silniki Kaspersky i Commtouch • Autentykacja użytkownika (OOBA, wewnętrzna, LDAP, Radius, certyfikaty) • Rozwiązania zcentralizowanego zdalnego zarządzania • Łatwa administracja (nowe FCI) • Zewnętrzne zapisywaniepo Syslog, SNMP i SMTP • Wszechstronne użycie – niezależny systemlub element polityki bezpieczeństwa • Bardzo niskie TCO
Funkwerk Enterprise Communication Funkwerk PacketAlarm IDS i IPS
SQL Slammer MS Blaster Code Red Nimda TCP/IP Ładunek głębia inspekcji S D P Wprowadzenie – problem bezpieczeństwa Poziom głębi inspekcji Zagrożenia hybrydowe takie jak np. MS Blaster, Nimda, Code Red czy SQL Slammer dowiodły, że Routery, Firewallei Systemy Anty-Wirusowe to niewystarczające zabezpieczenia sieci w firmach. Firewall Anty-Wirus
TCP/IP Ładunek S D P głębia inspekcji PacketAlarm – Bezpieczeństwo najwyższej klasy Skalowalna ochrona wysokiego poziomu dla każdego przypadku użycia. IDS IPS UTM
Funkcjonalności PacketAlarm IDS Rozwiązanie: rodzina produktów PacketAlarm Intrusion Detection System (IDS) • Szybki silnikwykrywania intruzów • Pełny monitoring ruchu danych w całym segmencie sieci • Składowanie szczegółowo opisanych zaatakowane danych i wysyłanie alertów • Silny Vulnerability Scanner • Niewidoczny wewnątrz sieci • Brak wpływu na wydajność i ruch (pasywne węszenie) • Detekcja anomalii • Korelacja zdarzeń • Śledzenie ruchu • Automatyczna aktualizacja wzorców i oprogramowania • Łatwa i prosta konfiguracja i administracja • Centralne zarządzanie i prowadzenie dochodzenia w systemach złożonych
Funkcjonalności PacketAlarm IPS Rozwiązanie: rodzina produktów PacketAlarm Intrusion Prevention System (IPS) • Szybki silnik zapobiegania atakom • Aktywny wewnątrz strumienia danych • Aktywnie zapobiega atakom Robaków, Trojanów, atakom na siećitd. Przez blokowanie • Składowanie szczegółowo opisanych zaatakowane danych i wysyłanie alertów • Automatyczna aktualizacja wzorców i oprogramowania • Prosta konfiguracja i administracja • Detekcja anomalii • Śledzenie ruchu • Wykorzystuje techniki wielorakiej korelacji w celu rozwiązywania problemu tzw. „false positive“ • Łatwa i elastyczna integracja dzięki implementacji w warstwie 2 lub 3 • Opcja High Availability • Centralne zarządzanie i prowadzenie dochodzenia w systemach złożonych
Linia produktów IDS/IPS Rozwiązanie: rodzina produktów PacketAlarm Linia produktówIDS: Funkwerk PacketAlarm IDS 100 Nieograniczona liczna użytkowników, dla sieci100 Mbit/s Funkwerk PacketAlarm IDS 250 Nieograniczona liczba użytkowników, dla sieci1000 Mbit/s Linia produktówIPS: Funkwerk PacketAlarm IPS 100 Nieograniczona liczna użytkowników, dla sieci100 Mbit/s Funkwerk PacketAlarm IPS 250 Nieograniczona liczba użytkowników, dla sieci1000 Mbit/s Wszystkie produkty Funkwerk PacketAlarm IDS i IPS są również dostępne w wersji software’owej !
Funkwerk Security Dziękujemy!