Sistema di prevenzione delle intrusioni

IPS in Kerio Control

Kerio Control, una soluzione di Unified Threat Management, incorpora un'architettura di analisi dei pacchetti basata su firme nota come Intrusion Detection and Prevention (IPS), che monitora in modo trasparente le comunicazioni di rete in entrata e in uscita per identificare attività sospette. A seconda della gravità dell'attività, Kerio Control può registrare e bloccare la comunicazione. Nuove firme vengono regolarmente aggiunte al database delle regole per difendersi dalle minacce emergenti.

Il sistema è progettato per proteggere i server dietro il firewall da connessioni non autorizzate, tipicamente originate da un bot Internet o da un hacker che cerca di sfruttare un servizio disponibile. L'IPS è inoltre progettato per proteggere gli utenti della rete dal download inconsapevole di contenuti dannosi o malware o per mitigare gli effetti di un sistema compromesso.


Protezione server

In molte distribuzioni, i server sono posizionati dietro il firewall e solo i servizi ospitati possono ricevere connessioni. A seconda del tipo di servizio ospitato (ad es.SQL server), il firewall potrebbe non essere in grado di ispezionare l'effettiva conversazione in corso tra un client e il server. Il firewall è principalmente responsabile di garantire che la connessione venga stabilita, senza consentire alcun altro tipo di accesso backdoor ad altri servizi disponibili sul server. Ciò che questo tipo di configurazione non affronta è la potenziale minaccia di una richiesta o di un comando che sfrutta una vulnerabilità nel software del server.

Forse l'incidenza più nota di questo tipo di attacco si è verificata nel 2001, quando è stato sviluppato un worm per attaccare i sistemi che eseguivano il software del server web, Microsoft Internet e Information Server. Con l'etichetta "Code Red", il worm è stato programmato per inviare una serie di comandi tramite il servizio HTTP che causerebbero un overflow del buffer nello spazio di memoria del software del server. Ciò ha consentito all'aggressore di iniettare ed eseguire codice arbitrario sul server. Parte di questo codice includeva la capacità di ridistribuirsi rapidamente influenzando altri server che eseguivano il software Microsoft IIS. Questo attacco specifico ha provocato una negazione del servizio al server interessato.

Aggiunta del livello IPS

Mantenere aggiornato il software del server è fondamentale per proteggere le applicazioni server da questo tipo di minaccia. I fornitori di applicazioni aggiornano regolarmente il loro software per correggere le vulnerabilità della sicurezza. In alcuni casi, tuttavia, potrebbe non essere possibile eseguire l'aggiornamento all'ultima versione del software o il fornitore potrebbe non disporre ancora di una soluzione per una minaccia emergente. L'aggiunta di un sistema di prevenzione delle intrusioni fornisce un ulteriore livello di sicurezza per proteggersi da minacce come il worm Code Red.

L'IPS mantiene un database locale di firme, che utilizza per identificare i tipi noti di attacchi. Senza interpretare la comunicazione tra un client e un server, un sistema IPS può generare una firma della connessione di rete e cercare questa firma nel proprio database locale. Questo tipo di architettura è molto efficace nel combattere la minaccia di un worm o di un altro attacco basato sul server.

Altri tipi di attacchi al server includono indovinare la password o forza bruta, denial of service distribuito, scansioni delle porte o dirottamento della sessione. Questi tipi di attacchi generalmente comportano tentativi di ottenere informazioni sul software del server, come la versione e lo sviluppatore. Con queste informazioni, l'attaccante può ricercare le vulnerabilità nel software del server e tentare di ottenere l'accesso non autorizzato al sistema o eseguire azioni dannose per impedire il corretto funzionamento del server. In tutti questi casi, l'IPS notificherà all'amministratore questa attività sospetta e bloccherà qualsiasi comunicazione se è nota per causare danni a quei server protetti dal firewall.


Mitigazione degli effetti di trojan, worm, spyware e altri malware

Oltre allo sfruttamento dei servizi disponibili per le applicazioni vulnerabili, ci sono altri modi per sfruttare un sistema operativo. Uno degli approcci più comuni utilizzati da un utente malintenzionato consiste nel portare un'applicazione sopra il software libero. L'utente viene indotto a installare malware tramite l'installazione di un'altra applicazione o semplicemente accedendo a un sito Web che esegue uno script lato client per installare il malware. Questi tipi di applicazioni potrebbero non essere visibili all'utente, ma possono essere programmati per esporre informazioni aziendali sensibili trovate sul computer infetto. Possono anche ridurre le prestazioni di un computer o causare il fallimento di altre applicazioni. Poiché questi programmi possono sembrare installati legittimamente, potrebbero non essere identificati dal software antivirus.

Un sistema di prevenzione delle intrusioni è fondamentale per identificare i sistemi infettati da questi tipi di applicazioni. L'IPS può identificare che l'utente sta tentando inavvertitamente di scaricare un'applicazione indesiderata e può chiudere la connessione, impedendo al file di raggiungere correttamente il computer dell'utente finale. Nel caso in cui un computer precedentemente infetto venga portato in rete, l'IPS può anche identificare e bloccare l'attività del malware installato. L'IPS in Kerio Control funziona quindi in tandem con il firewall e le funzionalità di filtro dei contenuti per prevenire la diffusione di malware sulla rete.


Architettura

Garantisci le prestazioni del software Kerio Control con Kerio Control Box Hardware Appliance. Questa scatola ottimizzata per le prestazioni ti consente di sfruttare tutte le funzionalità del prodotto Kerio Control in un pacchetto stabile, a stato solido, preconfigurato con Kerio Control e un sistema operativo rinforzato. Tutti i dispositivi hardware Kerio Control Box includono la protezione e il controllo aggiuntivi forniti da Kerio Antivirus e Kerio Control Web Filter.

(1) Posizione. In genere, un sistema di rilevamento delle intrusioni risiede nella posizione della rete che riceve una trasmissione di tutta l'attività di rete. L'IPS deve risiedere su un gateway router o firewall che è responsabile del trasporto del traffico IP tra i diversi segmenti di rete e Internet. Come firewall perimetrale, Kerio Control implementa la prevenzione delle intrusioni "basata sulla rete". In altre parole, qualsiasi traffico instradato attraverso il firewall, tra le reti protette e Internet, sarà protetto dall'IPS di Kerio Control.

(2) Analisi dei pacchetti. Al centro della sua tecnologia di scansione, Kerio Control integra un analizzatore di pacchetti basato su Snort . Snort è un sistema IDS / IPS open source che analizza in modo trasparente tutte le comunicazioni di rete e fornisce un framework per incorporare regole personalizzate. Ulteriori informazioni sono disponibili su www.snort.org.

(3) Database. Kerio Control implementa una serie di regole gestite da un progetto sponsorizzato dalla comunità chiamato E merging Threats . Ogni regola è firmata digitalmente per garantire l'autenticità degli aggiornamenti, prevenendo qualsiasi tipo di manomissione. Le regole si basano su molti anni di contributi di professionisti del settore e sono in continuo aggiornamento. Ulteriori informazioni sono disponibili su www.emergingthreats.net.

Il sistema di prevenzione delle intrusioni di Kerio Control offre tre diverse azioni, a seconda della gravità del potenziale attacco:

  • Intrusioni a bassa gravità: nessuna azione
  • Intrusioni di media gravità: solo log
  • Intrusioni ad alta gravità: log and drop

Queste sono le impostazioni predefinite, tuttavia l'azione può essere regolata in base alle esigenze dell'organizzazione. La gravità si basa sulle qualifiche incorporate nella regola. Le regole ad alta gravità hanno la maggiore probabilità di essere un vero attacco alla rete. Un esempio potrebbe essere il rilevamento dell'attività di rete da un'applicazione Trojan. Gli eventi di categoria media sono definiti sospetti e potenzialmente dannosi, ma possono essere attività legittime, ad esempio una connessione su una porta standard, utilizzando un protocollo non standard. Una minaccia di bassa gravità può essere considerata un'attività sospetta che non pone alcun danno immediato, ad esempio una scansione delle porte di rete.


Lista nera IP

Oltre a un database di regole composto da firme di comportamento di rete, Kerio Control mantiene un database di indirizzi IP, a cui viene esplicitamente negato qualsiasi tipo di accesso attraverso il firewall. Gli indirizzi IP inclusi in questo database sono noti per essere l'origine di qualche forma di attacco. In molti casi, questi indirizzi IP sono stati assegnati a società legittime, ma sono stati riproposti per attività illegali, come la distribuzione di spam. Questo database di indirizzi IP viene estratto da varie fonti Internet e gestito da organizzazioni come Dshield e Spamhaus. Questi elenchi vengono memorizzati localmente e aggiornati automaticamente.


Falsi positivi ed eccezioni

La tecnologia di rilevamento delle intrusioni non è infallibile. Analogamente alle soluzioni anti-spam, è normale riscontrare una piccola percentuale di falsi positivi. In altre parole, la comunicazione di rete legittima che corrisponde alle firme di attività sospette può essere erroneamente identificata. È quindi necessario fornire un metodo semplice per fare eccezioni al database delle firme.

Come ottimizzare l'IPS

  • Esamina il registro di sicurezza. Qualsiasi comunicazione bloccata dal motore IPS viene segnalata al registro "Sicurezza". I dettagli di ogni evento, compreso l '"ID regola", vengono forniti nel registro. Se un utente segnala un problema di connessione in un'applicazione specifica che utilizza un protocollo consentito, vale la pena rivedere il registro di sicurezza per l'intrusione potenzialmente errata.
  • Verifica che l'applicazione non sia compromessa. Se la comunicazione di un'applicazione viene bloccata dall'IPS, l'applicazione deve essere esaminata per assicurarsi che non sia stata compromessa e che si stia effettivamente comportando in modo legittimo.
  • Crea eccezioni. Se è necessario fare un'eccezione al database delle firme, l'ID regola preso dall'evento del registro può essere aggiunto alla finestra di dialogo "Firme ignorate" nelle impostazioni avanzate dell'interfaccia di gestione IPS.

Gestione aggiornamenti

Proprio come i virus, le nuove minacce vengono identificate quotidianamente. È quindi necessario garantire che il database delle firme venga aggiornato regolarmente. Il motore IPS di Kerio Control verifica la presenza di aggiornamenti una volta al giorno, ma può anche essere impostato per controllare ogni ora.

La comunità che circonda Emergencythreats.net contribuisce con le nuove regole o firme aggiunte. Kerio contribuisce alla manutenzione continua di queste firme, incoraggiando gli amministratori che utilizzano IPS in Kerio Control a partecipare all'impegno della comunità per identificare nuovi attacchi e assistere nello sviluppo di nuove regole. Ulteriori informazioni possono essere trovate su www.emergingthreats.net.


Regole IPS intrinseche

L'ispezione approfondita dei pacchetti incorporata di Kerio Control funge da ulteriore livello di difesa monitorando in modo trasparente protocolli specifici per garantire che la comunicazione non violi le specifiche. Filtra anche i contenuti dannosi che potrebbero non essere riconosciuti dal database delle firme. Oltre alle blacklist e ai database delle firme, Kerio Control combina una serie di funzionalità automatiche per rafforzare le sue capacità di prevenzione delle intrusioni:

  • Blocco peer-to-peer. Quando abilitato, il firewall monitorerà le connessioni su determinate porte per identificare e bloccare l'attività delle applicazioni P2P note, che contribuiscono notevolmente alla diffusione del malware.
  • Blocco di dati binari illegali in HTTP. Come parte dell'ispezione dei pacchetti, il firewall impedirà l'uso illegale di dati binari nelle connessioni HTTP.
  • Filtro vulnerabilità GDI + JPEG. Un file immagine JPEG appositamente progettato può causare un overflow del buffer nei sistemi operativi Windows senza patch, consentendo l'esecuzione di codice arbitrario (MS04-028). Kerio Control identifica e blocca il trasferimento di questo file specifico tramite i protocolli Email e Web.
  • Test di certificazione ICSA Labs in corso. Come parte della certificazione ICSA (International Computer Security Association) Labs, Kerio Control deve superare continuamente una serie di controlli di sicurezza, come il TCP syn flooding, FTP bounce, Man-in-the-middle attacchi e altre minacce in evoluzione.

Sommario

La prevenzione delle intrusioni è una tecnologia altamente sofisticata, basata su un ampio insieme di regole variabili. Ogni rete è unica e una cosiddetta "intrusione" può essere soggetta a interpretazione. L'IPS integrato in Kerio Control è progettato per identificare e bloccare gli attacchi nel modo più accurato possibile, mantenendo un livello ottimale di prestazioni di rete.

Funzioni del sistema di prevenzione delle intrusioni

  • Analizzatore di pacchetti basato su Snort
  • Database delle regole sulle minacce emergenti
  • Database della lista nera IP
  • Più livelli di sicurezza
  • Gestione delle eccezioni di falsi positivi

Funzionalità precedente  | Funzionalità successiva