Kerio Control, una soluzione di Unified Threat Management, incorpora un'architettura di analisi dei pacchetti basata su firme nota come Intrusion Detection and Prevention (IPS), che monitora in modo trasparente le comunicazioni di rete in entrata e in uscita per identificare attività sospette. A seconda della gravità dell'attività, Kerio Control può registrare e bloccare la comunicazione. Nuove firme vengono regolarmente aggiunte al database delle regole per difendersi dalle minacce emergenti.
Il sistema è progettato per proteggere i server dietro il firewall da connessioni non autorizzate, tipicamente originate da un bot Internet o da un hacker che cerca di sfruttare un servizio disponibile. L'IPS è inoltre progettato per proteggere gli utenti della rete dal download inconsapevole di contenuti dannosi o malware o per mitigare gli effetti di un sistema compromesso.
In molte distribuzioni, i server sono posizionati dietro il firewall e solo i servizi ospitati possono ricevere connessioni. A seconda del tipo di servizio ospitato (ad es.SQL server), il firewall potrebbe non essere in grado di ispezionare l'effettiva conversazione in corso tra un client e il server. Il firewall è principalmente responsabile di garantire che la connessione venga stabilita, senza consentire alcun altro tipo di accesso backdoor ad altri servizi disponibili sul server. Ciò che questo tipo di configurazione non affronta è la potenziale minaccia di una richiesta o di un comando che sfrutta una vulnerabilità nel software del server.
Forse l'incidenza più nota di questo tipo di attacco si è verificata nel 2001, quando è stato sviluppato un worm per attaccare i sistemi che eseguivano il software del server web, Microsoft Internet e Information Server. Con l'etichetta "Code Red", il worm è stato programmato per inviare una serie di comandi tramite il servizio HTTP che causerebbero un overflow del buffer nello spazio di memoria del software del server. Ciò ha consentito all'aggressore di iniettare ed eseguire codice arbitrario sul server. Parte di questo codice includeva la capacità di ridistribuirsi rapidamente influenzando altri server che eseguivano il software Microsoft IIS. Questo attacco specifico ha provocato una negazione del servizio al server interessato.
Aggiunta del livello IPS
Mantenere aggiornato il software del server è fondamentale per proteggere le applicazioni server da questo tipo di minaccia. I fornitori di applicazioni aggiornano regolarmente il loro software per correggere le vulnerabilità della sicurezza. In alcuni casi, tuttavia, potrebbe non essere possibile eseguire l'aggiornamento all'ultima versione del software o il fornitore potrebbe non disporre ancora di una soluzione per una minaccia emergente. L'aggiunta di un sistema di prevenzione delle intrusioni fornisce un ulteriore livello di sicurezza per proteggersi da minacce come il worm Code Red.
L'IPS mantiene un database locale di firme, che utilizza per identificare i tipi noti di attacchi. Senza interpretare la comunicazione tra un client e un server, un sistema IPS può generare una firma della connessione di rete e cercare questa firma nel proprio database locale. Questo tipo di architettura è molto efficace nel combattere la minaccia di un worm o di un altro attacco basato sul server.
Altri tipi di attacchi al server includono indovinare la password o forza bruta, denial of service distribuito, scansioni delle porte o dirottamento della sessione. Questi tipi di attacchi generalmente comportano tentativi di ottenere informazioni sul software del server, come la versione e lo sviluppatore. Con queste informazioni, l'attaccante può ricercare le vulnerabilità nel software del server e tentare di ottenere l'accesso non autorizzato al sistema o eseguire azioni dannose per impedire il corretto funzionamento del server. In tutti questi casi, l'IPS notificherà all'amministratore questa attività sospetta e bloccherà qualsiasi comunicazione se è nota per causare danni a quei server protetti dal firewall.
Oltre allo sfruttamento dei servizi disponibili per le applicazioni vulnerabili, ci sono altri modi per sfruttare un sistema operativo. Uno degli approcci più comuni utilizzati da un utente malintenzionato consiste nel portare un'applicazione sopra il software libero. L'utente viene indotto a installare malware tramite l'installazione di un'altra applicazione o semplicemente accedendo a un sito Web che esegue uno script lato client per installare il malware. Questi tipi di applicazioni potrebbero non essere visibili all'utente, ma possono essere programmati per esporre informazioni aziendali sensibili trovate sul computer infetto. Possono anche ridurre le prestazioni di un computer o causare il fallimento di altre applicazioni. Poiché questi programmi possono sembrare installati legittimamente, potrebbero non essere identificati dal software antivirus.
Un sistema di prevenzione delle intrusioni è fondamentale per identificare i sistemi infettati da questi tipi di applicazioni. L'IPS può identificare che l'utente sta tentando inavvertitamente di scaricare un'applicazione indesiderata e può chiudere la connessione, impedendo al file di raggiungere correttamente il computer dell'utente finale. Nel caso in cui un computer precedentemente infetto venga portato in rete, l'IPS può anche identificare e bloccare l'attività del malware installato. L'IPS in Kerio Control funziona quindi in tandem con il firewall e le funzionalità di filtro dei contenuti per prevenire la diffusione di malware sulla rete.
Garantisci le prestazioni del software Kerio Control con Kerio Control Box Hardware Appliance. Questa scatola ottimizzata per le prestazioni ti consente di sfruttare tutte le funzionalità del prodotto Kerio Control in un pacchetto stabile, a stato solido, preconfigurato con Kerio Control e un sistema operativo rinforzato. Tutti i dispositivi hardware Kerio Control Box includono la protezione e il controllo aggiuntivi forniti da Kerio Antivirus e Kerio Control Web Filter.
(1) Posizione. In genere, un sistema di rilevamento delle intrusioni risiede nella posizione della rete che riceve una trasmissione di tutta l'attività di rete. L'IPS deve risiedere su un gateway router o firewall che è responsabile del trasporto del traffico IP tra i diversi segmenti di rete e Internet. Come firewall perimetrale, Kerio Control implementa la prevenzione delle intrusioni "basata sulla rete". In altre parole, qualsiasi traffico instradato attraverso il firewall, tra le reti protette e Internet, sarà protetto dall'IPS di Kerio Control.
(2) Analisi dei pacchetti. Al centro della sua tecnologia di scansione, Kerio Control integra un analizzatore di pacchetti basato su Snort . Snort è un sistema IDS / IPS open source che analizza in modo trasparente tutte le comunicazioni di rete e fornisce un framework per incorporare regole personalizzate. Ulteriori informazioni sono disponibili su www.snort.org.
(3) Database. Kerio Control implementa una serie di regole gestite da un progetto sponsorizzato dalla comunità chiamato E merging Threats . Ogni regola è firmata digitalmente per garantire l'autenticità degli aggiornamenti, prevenendo qualsiasi tipo di manomissione. Le regole si basano su molti anni di contributi di professionisti del settore e sono in continuo aggiornamento. Ulteriori informazioni sono disponibili su www.emergingthreats.net.
Il sistema di prevenzione delle intrusioni di Kerio Control offre tre diverse azioni, a seconda della gravità del potenziale attacco:
Queste sono le impostazioni predefinite, tuttavia l'azione può essere regolata in base alle esigenze dell'organizzazione. La gravità si basa sulle qualifiche incorporate nella regola. Le regole ad alta gravità hanno la maggiore probabilità di essere un vero attacco alla rete. Un esempio potrebbe essere il rilevamento dell'attività di rete da un'applicazione Trojan. Gli eventi di categoria media sono definiti sospetti e potenzialmente dannosi, ma possono essere attività legittime, ad esempio una connessione su una porta standard, utilizzando un protocollo non standard. Una minaccia di bassa gravità può essere considerata un'attività sospetta che non pone alcun danno immediato, ad esempio una scansione delle porte di rete.
Oltre a un database di regole composto da firme di comportamento di rete, Kerio Control mantiene un database di indirizzi IP, a cui viene esplicitamente negato qualsiasi tipo di accesso attraverso il firewall. Gli indirizzi IP inclusi in questo database sono noti per essere l'origine di qualche forma di attacco. In molti casi, questi indirizzi IP sono stati assegnati a società legittime, ma sono stati riproposti per attività illegali, come la distribuzione di spam. Questo database di indirizzi IP viene estratto da varie fonti Internet e gestito da organizzazioni come Dshield e Spamhaus. Questi elenchi vengono memorizzati localmente e aggiornati automaticamente.
La tecnologia di rilevamento delle intrusioni non è infallibile. Analogamente alle soluzioni anti-spam, è normale riscontrare una piccola percentuale di falsi positivi. In altre parole, la comunicazione di rete legittima che corrisponde alle firme di attività sospette può essere erroneamente identificata. È quindi necessario fornire un metodo semplice per fare eccezioni al database delle firme.
Come ottimizzare l'IPS
Proprio come i virus, le nuove minacce vengono identificate quotidianamente. È quindi necessario garantire che il database delle firme venga aggiornato regolarmente. Il motore IPS di Kerio Control verifica la presenza di aggiornamenti una volta al giorno, ma può anche essere impostato per controllare ogni ora.
La comunità che circonda Emergencythreats.net contribuisce con le nuove regole o firme aggiunte. Kerio contribuisce alla manutenzione continua di queste firme, incoraggiando gli amministratori che utilizzano IPS in Kerio Control a partecipare all'impegno della comunità per identificare nuovi attacchi e assistere nello sviluppo di nuove regole. Ulteriori informazioni possono essere trovate su www.emergingthreats.net.
L'ispezione approfondita dei pacchetti incorporata di Kerio Control funge da ulteriore livello di difesa monitorando in modo trasparente protocolli specifici per garantire che la comunicazione non violi le specifiche. Filtra anche i contenuti dannosi che potrebbero non essere riconosciuti dal database delle firme. Oltre alle blacklist e ai database delle firme, Kerio Control combina una serie di funzionalità automatiche per rafforzare le sue capacità di prevenzione delle intrusioni:
La prevenzione delle intrusioni è una tecnologia altamente sofisticata, basata su un ampio insieme di regole variabili. Ogni rete è unica e una cosiddetta "intrusione" può essere soggetta a interpretazione. L'IPS integrato in Kerio Control è progettato per identificare e bloccare gli attacchi nel modo più accurato possibile, mantenendo un livello ottimale di prestazioni di rete.
