Řešení Kerio Control, řešení Unified Threat Management, obsahuje architekturu analýzy paketů založenou na podpisech známou jako Intrusion Detection and Prevention (IPS), která transparentně monitoruje příchozí a odchozí síťovou komunikaci za účelem identifikace podezřelé aktivity. V závislosti na závažnosti aktivity může Kerio Control komunikovat a blokovat komunikaci. Do databáze pravidel jsou pravidelně přidávány nové podpisy, které chrání před novými hrozbami.
Systém je navržen tak, aby chránil servery za bránou firewall před neoprávněným připojením, které obvykle pochází internetový robot nebo hacker, který se snaží využít dostupnou službu. IPS je také určen k ochraně uživatelů sítě před nevědomým stahováním škodlivého obsahu nebo malwaru nebo ke zmírnění účinků ohroženého systému.
V mnoha implementacích jsou servery umístěny za bránou firewall a připojení mohou přijímat pouze hostované služby. V závislosti na typu hostované služby (např. Serveru SQL) nemusí mít firewall možnost zkontrolovat skutečnou konverzaci mezi klientem a serverem. Firewall je primárně zodpovědný za zajištění navázání spojení, aniž by umožnil jakýkoli jiný typ zadního přístupu k dalším službám dostupným na serveru. Co tento typ konfigurace neřeší, je potenciální hrozba požadavku nebo příkazu, který využívá chybu zabezpečení v serverovém softwaru.
Snad nejznámější výskyt tohoto typu útoku nastal v roce 2001, kdy byl vyvinut červ, který útočí na systémy provozující software webového serveru, Microsoft Internet a Information Server. Červ s názvem „Červený kód“ byl naprogramován tak, aby prostřednictvím služby HTTP odeslal řadu příkazů, které by způsobily přetečení vyrovnávací paměti v paměťovém prostoru serverového softwaru. To umožnilo útočníkovi vložit a spustit libovolný kód na serveru. Součástí tohoto kódu byla schopnost rychle se dále šířit ovlivněním dalších serverů se softwarem Microsoft IIS. Výsledkem tohoto specifického útoku bylo odmítnutí služby postiženému serveru.
Přidání vrstvy IPS
Udržování aktualizovaného serverového softwaru je rozhodující pro ochranu serverových aplikací před tímto typem hrozby. Prodejci aplikací pravidelně aktualizují svůj software tak, aby opravoval slabiny zabezpečení. V některých případech však nemusí být možné aktualizovat na nejnovější verzi softwaru nebo prodejce ještě nemusí mít opravu vznikající hrozby. Přidání systému prevence narušení poskytuje další vrstvu zabezpečení, která chrání před hrozbami, jako je červ Red Code.
IPS udržuje lokální databázi podpisů, kterou používá k identifikaci známých typů útoků. Bez interpretace komunikace mezi klientem a serverem může systém IPS vygenerovat podpis síťového připojení a vyhledat tento podpis ve své místní databázi. Tento typ architektury je vysoce účinný v boji proti hrozbě útoku červem nebo jiným serverem.
Mezi další typy útoků na server patří hádání heslem nebo hrubá síla, distribuované odmítnutí služby, skenování portů nebo únos relací. Tyto typy útoků obvykle zahrnují pokusy získat informace o serverovém softwaru, jako je verze a vývojář. S těmito informacemi může útočník zkoumat slabiny v serverovém softwaru a pokoušet se získat neoprávněný přístup k systému nebo provést škodlivé akce, aby zabránil správnému fungování serveru. Ve všech těchto případech IPS upozorní správce na tuto podezřelou aktivitu a zablokuje veškerou komunikaci, pokud je známo, že poškozuje servery chráněné bránou firewall.
Kromě využívání dostupných služeb zranitelným aplikacím existují i jiné způsoby využití operačního systému. Jedním z běžnějších přístupů, které útočník používá, je nasazení aplikace na vrcholu svobodného softwaru. Uživatel je podváděn při instalaci malwaru instalací jiné aplikace nebo prostým přístupem na web, který spouští skript na straně klienta, aby nainstaloval malware. Tyto typy aplikací nemusí být pro uživatele zřejmé, ale mohou být naprogramovány tak, aby vystavovaly citlivé firemní informace nalezené v infikovaném počítači. Mohou také snížit výkon počítače nebo způsobit selhání jiných aplikací. Protože se tyto programy mohou zdát legitimně nainstalovány, nemusí být identifikovány antivirovým softwarem.
Systém prevence narušení pomáhá při určování systémů infikovaných těmito typy aplikací. IPS může identifikovat, že se uživatel neúmyslně pokouší stáhnout nechtěnou aplikaci a může ukončit připojení, což brání souboru v úspěšném dosažení počítače koncového uživatele. V případě, že je dříve infikovaný počítač přiveden do sítě, IPS může také identifikovat a blokovat aktivitu nainstalovaného malwaru. IPS v Kerio Control tak pracuje společně s funkcí brány firewall a filtrování obsahu, aby se zabránilo šíření malwaru v síti.
Zajistěte výkon softwaru Kerio Control pomocí hardwarového zařízení Kerio Control Box. Toto pole optimalizované na výkon umožňuje využívat všechny funkce produktu Kerio Control ve stabilním balíčku Solid-State, předem nakonfigurovaném pomocí aplikace Kerio Control a ztuženého operačního systému. Součástí všech hardwarových zařízení Kerio Control Box je přidaná ochrana a ovládání poskytované aplikací Kerio Antivirus a Kerio Control Web Filter.
(1) Umístění. Systém detekce narušení se obvykle nachází v místě sítě, která přijímá vysílání veškeré síťové aktivity. IPS musí být umístěn na routeru nebo bráně brány , který je zodpovědný za přenos IP přenosů mezi různými segmenty sítě a internetem. Jako firewall na bázi perimetru implementuje Kerio Control „Network-based“ Intrusion Prevention. Jinými slovy, veškerý provoz směrovaný přes firewall, mezi chráněnými sítěmi a Internetem, bude chráněn IPS aplikace Kerio Control.
(2) Analýza paketů. V jádru své skenovací technologie integruje Kerio Control paketový analyzátor založený na Snort. Snort je open source systém IDS / IPS, který transparentně prohledává veškerou síťovou komunikaci a poskytuje rámec pro začlenění vlastních pravidel. Více informací je k dispozici na www.snort.org.
(3) Databáze. Kerio Control implementuje sadu pravidel udržovaných projektem sponzorovaným komunitou s názvem E sloučení hrozeb . Každé pravidlo je digitálně podepsáno, aby se zajistila pravost aktualizací a zabránilo se jakékoli manipulaci. Pravidla jsou založena na mnohaletých příspěvcích profesionálů z oboru a jsou průběžně aktualizována. Více informací je k dispozici na www.emergingthreats.net.
Systém prevence narušení Kerio Control nabízí tři různé akce v závislosti na závažnosti potenciálního útoku:
Toto jsou výchozí nastavení, akce však může být upravena podle potřeb organizace. Závažnost je založena na kvalifikacích zabudovaných do pravidla. Pravidla s vysokou závažností mají největší pravděpodobnost, že se jedná o skutečný útok na síť. Příkladem by mohla být detekce síťové aktivity z trojské aplikace. Události střední kategorie jsou definovány jako podezřelé a potenciálně škodlivé, ale mají možnost být legitimní činností, například připojení přes standardní port pomocí nestandardního protokolu. Hrozba nízké závažnosti může být považována za podezřelou činnost, která nepředstavuje okamžité poškození, například skenování síťového portu.
Kromě databáze pravidel, která obsahuje podpisy chování v síti, udržuje Kerio Control také databázi IP adres, kterým je přes firewall výslovně odepřen jakýkoli typ přístupu. Je známo, že IP adresy obsažené v této databázi jsou původem nějaké formy útoku. V mnoha případech byly tyto IP adresy přiděleny legitimním společnostem, ale byly znovu použity pro nelegitimní aktivity, jako je distribuce spamu. Tato databáze IP adres je čerpána z různých internetových zdrojů a je spravována organizacemi, jako jsou Dshield a Spamhaus. Tyto seznamy jsou ukládány lokálně a automaticky aktualizovány.
Technologie detekce narušení není spolehlivá. Podobně jako u antispamových řešení je běžné setkat se s malým procentem falešných pozitiv. Jinými slovy, legitimní síťová komunikace, která odpovídá podpisům podezřelé činnosti, může být nesprávně identifikována. Je proto nezbytné poskytnout jednoduchou metodu pro udělení výjimek z databáze podpisů.
Jak doladit IPS
Stejně jako viry se denně objevují nové hrozby. Je proto nezbytné zajistit pravidelnou aktualizaci databáze podpisů. Modul IPS společnosti Kerio Control kontroluje aktualizace jednou denně, ale lze ji také nastavit tak, aby se kontrolovala každou hodinu.
Komunita obklopující emergingthreats.net přispívá nově přidanými pravidly nebo podpisy. Kerio přispívá k trvalé údržbě těchto podpisů a zároveň podporuje administrátory používající IPS v Kerio Control, aby se podíleli na komunitním úsilí o identifikaci nových útoků a pomoc při vývoji nových pravidel. Více informací naleznete na www.emergingthreats.net.
Integrovaná hloubková kontrola paketů v Kerio Control funguje jako další vrstva obrany transparentním sledováním konkrétních protokolů, aby komunikace neporušovala specifikaci. Filtruje také škodlivý obsah, který nemusí být databází podpisů rozpoznán. Kromě kontrolních seznamů a databází podpisů kombinuje Kerio Control řadu automatických funkcí, které posilují možnosti prevence narušení:
Prevence narušení je vysoce sofistikovaná technologie založená na velkém množství různých pravidel. Každá síť je jedinečná a takzvaný „zásah“ může být předmětem interpretace. IPS vestavěné do Kerio Control je navrženo tak, aby identifikovalo a blokovalo útoky co nejpřesněji a zároveň udržovalo optimální úroveň síťového výkonu.
