dodany: 26.12.2012 | tagi: , , ,

Autor:

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 3. Ochrona sieci

3

Krok 2: Ochrona sieci

 

Poprzedni rozdział dotyczył procesu identyfikacji i oceny potencjalnych zagrożeń w przypadku ataku złośliwego oprogramowania. Drugi etap koncentruje się na ochronie warstwy sieciowej. Ataki odbywające się przez sieć stanowią największą liczbę zarejestrowanych przypadków działania złośliwego oprogramowania. Malware wykorzystuje zazwyczaj słabości w obronie sieci obwodowej, w celu uzyskania dostępu do wewnętrznych urządzeń hostujących naszej infrastruktury IT. Urządzeniami podatnymi na ataki mogą być komputery, serwery, routery czy nawet firewalle. P, Jednym z najtrudniejszych do rozwiązania problemem jest pogodzenie wymogów działania systemu informatycznego ze skuteczną jego obroną. Na przykład Win32/Taterf, to rodzina robaków, które rozprzestrzeniają się za pośrednictwem wirtualnych dysków sieciowych (mapowanie). Z punktu widzenia działania infrastruktury danej organizacji, rezygnacja z mapowania dysków, w większości przypadków, może być niemożliwa. Należy więc osiągnąć możliwy kompromis pomiędzy biznesowymi wymaganiami organizacji, a akceptowalnym poziomem ryzyka.

Wiele organizacji przyjęło wielowarstwowy projekt swojej sieci, który obejmuje zarówno wewnętrzne, jak i zewnętrzne struktury. Takie podejście bezpośrednio zgadza się z modelem „Obrony w głąb”, ponieważ daje możliwość osobnego kontrolowania każdej warstwy sieci.

Zauważyć można również pewien trend w ograniczaniu dostępu dla użytkowników sieci wewnętrznej. Pozwala to na zmniejszenie ogólnej ekspozycji na ataki, celem których jest uzyskanie dostępu do sieci wewnętrznej. My opiszemy tylko jeden model obrony sieci. W celu obrony różnych modeli sieci z powodzeniem zastosować można niniejsze wytyczne.

 

Pierwszym krokiem obrony sieci jest ochrona sieci obwodowej. Mechanizmy obronne mają na celu zapobieganie rozprzestrzenianiu się złośliwego oprogramowania. Typowy atak malware odbywa się przez kopiowanie plików na komputer docelowym. W związku z powyższym, organizacja obrony antymalware powinna objąć ograniczenie dostępu do danych organizacji dla upoważnionych pracowników, np. za pośrednictwem szyfrowanej, wirtualnej sieci prywatnej (z ang. Virtual Private Network , w skr. VPN). Należy pamiętać o zabezpieczeniu sieci bezprzewodowych, jeśli takich używamy.

Założeniem tego etapu jest dostarczenie informacji do zapewnienia bezpieczeństwa sieci na wymaganym poziomie identyfikacji, autoryzacji, szyfrowania oraz ochrony przed bezpośrednim wtargnięciem nieautoryzowanego napastnika. Jednak w tym momencie obrona antymalware nie jest kompletna. Kolejnym zadaniem jest skonfigurowanie obrony sieciowej tak, by wykrywała i filtrowała ataki malware, wykorzystujące narzędzia komunikacji, takie jak e-mail, przeglądarki czy komunikatory.

 

Zadanie 1: Implementacja ochrony sieci

 

Kilku producentów oferuje kompleksowe rozwiązania ochrony sieci, łączące usługi antymalware z zabezpieczeniami przed innymi rodzajami zagrożeń. Jednym z takich produktów jest Forefront Threat Management Gateway 2010 (w skr. TMG), następca Microsoft ISA Server. Forefront TMG zapewnia stale aktualizowane, zintegrowane, łatwe do zarządzania (co zmniejsza koszty obsługi) oraz wielowarstwowe zabezpieczenie. Aby uzyskać więcej informacji o Forefront, kliknij stronę produktu.

Chociaż produkty, takie jak Forefront TMG, pełnią wiele ważnych funkcji, aplikacja ta skupia się wyłącznie na obszarach, które mają bezpośredni związek z ochroną przed złośliwym oprogramowaniem.

 

„Obrona w głąb”

Korzystanie z oprogramowania antymalware kilku różnych dostawców jest kluczowym elementem skutecznej strategii „Obrony w głąb”. Silniki skanowania i metody wykrywania sygnatur różnią się w zależności od dostawców. Każdy sposób może mieć swoje zalety i wady. Często silniki skanowania i wykrywania sygnatur, zamiast skanować każdy bajt w każdym pliku, wspólnie identyfikują nie tylko charakterystyczne cechy kodu wirusów, ale dokładnie określają miejsca w pliku, w których może ukrywać się wirus. Zagrożenie, któremu uda się przedrzeć przez jeden silnik skanowania może zostać wykryte przez drugi lub trzeci silnik. Symultaniczne używanie oprogramowania różnych producentów zwiększa więc szansę na wykrycie i zablokowanie zagrożenia. Niestety zwiększa to koszty oraz komplikuje proces czy specyfikę ochrony.

Wiele programów AV, w tym Microsoft Forefront Protection 2010 dla Exchange Server, można skonfigurować do korzystania z wielu silników skanowania. Zapewnia to lepszą ochronę przed zagrożeniami wchodzącymi do sieci. Korzystanie z takich rozwiązań może również zapewnić ochronę wielu wyodrębnionych wcześniej warstw.

 

System wykrywania włamań

Ponieważ sieć obwodowa jest częścią wrażliwą na ataki, bardzo ważne jest, żeby systemy zarządzania mogły jak najszybciej wykrywać i zgłaszać próby włamania. Rolą systemu wykrywania włamań (z ang. Network Intrusion Detection System, w skr. NID) jest właśnie zapewnienie szybkiego wykrywania i raportowania zewnętrznych ataków. Chociaż system NID jest częścią ogólnej koncepcji bezpieczeństwa systemu, a nie konkretnego narzędzia antymalware, wiele z pierwszych objawów zewnętrznego ataku pokrywa się ze specyfiką działania malware. Na przykład, niektóre złośliwce wykorzystują skanowanie IP w celu znalezienia systemów podatnych na zakażenie. Z tego powodu powinniśmy skonfigurować swój system NID tak, by ostrzegał personel odpowiedzialny za bezpieczeństwo o każdym nietypowym zachowaniu sieci. W tym celu wykorzystać można na przykład narzędzia czy zapory NID, zintegrowane z innymi usługami sieciowymi.

 

Blokowanie złośliwego ruchu

Blokowanie złośliwego ruchu uważane jest nie tylko za użyteczne, ale za niezbędne. W procesie korzystania z nowoczesnych technologii internetowych, monitorowanie i filtrowanie komunikacji sieciowej pozwala na wykrycie podejrzanych zachowań, podobnych do działania malware. Tradycyjnie filtrowanie wykonywano przy użyciu firewalli. Niestety, pozwalało ono jedynie na filtrowanie ruchu sieciowego na podstawie źródła i docelowego adresu IP, konkretnego TCP lub portu UDP. Nowsze programy zostały zaopatrzone w „inteligentną” funkcję filtrowania, która rozpoznaje pewne cechy złośliwego ruchu. Na przykład „System kontroli sieci” (z ang. Network Inspection System, w skr. NIS), będący funkcją Forefront TMG, opiera się o znane luki w zabezpieczeniach oprogramowania Microsoftu.

Inną techniką, wykorzystywaną do wykrywania i blokowania złośliwego ruchu, jest „Filtrowanie warstwy aplikacji” (z ang. Application layer filtering, w skr. ALF). ALF działa w warstwie modelu sieci OSI (z ang. Open System Interconnection), co pozwala na zbadanie i filtrowanie przepływających treści. Zastosowanie ALF, wraz ze standardowym pakietem filtrowania, znacznie zwiększa bezpieczeństwo. Na przykład, można ustawić filtrowanie ruchu w porcie 80 używając standardowego firewalla.Rozwiązanie to nie zapewnia jednak wystarczającej ochrony. Dodatkowe zastosowanie ALF pozwoliłoby organizacji na sprawdzanie wszystkich danych przechodzących przez port 80 z serwerów WWW oraz na zapewnienie, że nie zawierają one żadnego podejrzanego kodu.

Forefront TMG może filtrować aplikacje przechodzące przez firewall. Przeglądane witryny i e-maile mogą być skanowane w celu wykrycia podejrzanych danych, np. spamu lub malware. Narzędzie ALF w Forefront TMG umożliwia głębokie analizy zawartości, w tym charakteryzuje się zdolnością do wykrywania i sprawdzania poprawności ruchu za pomocą dowolnego portu i protokołu.

 

Zabezpieczenie urządzeń oraz połączeń

Wiele organizacji umożliwia swoim pracownikom połączenia czy komunikację między urządzeniami, takimi jak komputery stacjonarne, laptopy, tablety, smartfony, urządzenia dedykowane etc. Postęp w technologii mobilnych urządzeń i rosnąca akceptacja dla pracy zdalnej wymuszają dołożenie większych starań w zapewnieniu pracownikom działów IT możliwości bezpiecznego łączenia się z siecią z dowolnego miejsca w dowolnym czasie. Z badania przeprowadzonego w lipcu 2012r. przez B2B International dla Kaspersky Lab wynika, że aż 33% firm zezwala swoim pracownikom na nieograniczony (a co za tym idzie – niezabezpieczony) dostęp do zasobów firmowych z poziomu smartfonów.

Network Access Protection (w skr. NAP), funkcja systemu Windows Server 2008 i Windows Server 2008 R2, umożliwia administratorom ustawienie minimalnych wymagań dla urządzeń łączących się z siecią i egzekwowanie ograniczenia dostępu dla urządzeń, które nie spełniają minimalnych wymagań. NAP może być używany na komputerach klienckich pracujących na systemie Windows XP z dodatkiem Service Pack 3 (w skr. SP3), Windows Vista i Windows 7, a także Mac OS X i Linux.

Aby ułatwić firmom zapoznanie się ze współczesnymi zagrożeniami oraz metodami walki z nimi, również eksperci z Kaspersky Lab przygotowali specjalną stronę o nazwie „Be ready”. Witryna zawiera wiele porad, które mogą pomóc w stworzeniu skutecznej polityki bezpieczeństwa, uwzględniającej prywatne smartfony, tablety i laptopy pracowników, a także szczegółowe informacje na temat rozwiązań Kaspersky Lab dla firm.

 

Zabezpieczanie kanałów komunikacji

Od lat poczta elektroniczna czy aplikacje umożliwiające szybką komunikację (z ang. Instant message, w skr. IM) jak Microsoft Lync, to w wielu organizacjach rutynowe narzędzie pracy. Kompleksowa obrona przed malware powinna zapewnić również ochronę przed zagrożeniami, przekazywanymi przez e-maile i komunikatory. Dwa produkty z linii Forefront zapewniają usługę lokalnego skanowania oraz blokowanie niebezpiecznych typów plików i hiperłączy. Są to: Forefront Protection 2010 for Exchange Server i Forefront Security for Office Communications Server. Istnieje również możliwość ochrony poczty elektronicznej w chmurze – Forefront Online Protection for Exchange.

 

 

Bezpieczne korzystanie z Internetu

Złośliwe oprogramowanie rozprzestrzenia się dziś głównie przez Internet. Włamywacze mogą używać wyszukanej socjotechniki oraz wykorzystywać luki w przeglądarkach i popularnych dodatkach do zainstalowania swojego oprogramowania. Skuteczna strategia „Obrony w głąb” obejmuje monitorowanie pod kątem wykrywania szkodliwego ruchu w sieci i warstwie hosta.

Rozwiązania, które chronią ruch internetowy, zwykle pracują w każdym poziomie „Domenowego systemu nazw” (z ang. Domain Name System, w skr. DNS) lub poziomie bramy serwera. Podejście ogólne polega na filtrowaniu wychodzących żądań HTTP na jeden z dwóch sposobów:

Lista zablokowanych. Przed umożliwieniem połączenia zapora sprawdza czy adres nie znajduje się na czarnej liście połączeń. Użytkownicy mogą łączyć się tylko z tymi witrynami, które się tam nie znajdują.

Lista adresów dozwolonych. Zapora pozwala na komunikację tylko tym adresom, które zostały wpisane na zatwierdzoną przez organizację listę witryn dozwolonych.

Pierwsze podejście polega na aktywnym procesie identyfikacji tych stron internetowych, które mogą być problemem i dodaniu ich do listy. Ze względu na bezmiar i zmienną naturę Internetu, podejście to wymaga albo rozwiązań zautomatyzowanych, albo ograniczenia się do blokowania tylko niewielkiej liczby adresów, co nie daje kompleksowego zabezpieczenia. Drugie podejście zapewnia lepszą ochronę, ponieważ jego restrykcyjny charakter umożliwia kontrolę wszystkich stron udostępnianych użytkownikom systemu. Jednak drugie podejście niesie pewne niebezpieczeństwo. W wyniku badań nad zaufaniem strony, niezbędne użytkownikom adresy mogą wypaść jako podejrzane. Dla wielu organizacji, ze względu na charakter pracy, takie podejście może okazać się zbyt restrykcyjne.

Skuteczne filtrowanie adresów ULR opiera się o wykorzystanie informacji z różnych źródeł. Na przykład, program Web Protection dla Forefront TMG opiera się o Microsoft Reputation Services (W skr. MRS), czyli na globalnym systemie, ściągającym dane z różnorodnych źródeł, pochodzących zarówno od Microsoftu, jak i innych dostawców. Jego celem jest ustalenie bezpieczeństwa miliardów stron internetowych, w ponad 80 kategoriach, w tym w kontekście zawartości złośliwego oprogramowania.

Dopuszczanie i blokowanie list pozwala na ochronę jedynie wtedy, gdy użytkownik korzysta z chronionego komputera wewnątrz organizacji. Takie rozwiązanie nie daje ochrony, gdy użytkownik łączy się bezpośrednio z Internetem podczas nieobecności w biurze, narażając się tym samym na atak. Jeśli potrzebujemy filtru ULR dla użytkowników mobilnych, należy rozważyć możliwości jego wprowadzenia. Jednak takie rozwiązanie może prowadzić do poważnych utrudnień w zarządzaniu, szczególnie w organizacjach charakteryzujących się dużą liczbą użytkowników/pracowników zdalnych.

 

Pytania końcowe

Aby upewnić się, czy odpowiednio zidentyfikowaliśmy założenia opisane w powyższym rozdziale, należy odpowiedzieć na następujące pytania:

Czy sprzęt sieciowy, jaki posiada organizacja, spełni wymagania do uruchomienia zestawu oprogramowania AV, nie pogarszając tym samym wydajności pracy komputerów? Uwzględnianie w planach wydatków firmy ewentualnej wymiany sprzętu jest niezbędnym krokiem w projektowaniu infrastruktury sieciowej.

Jak będzie wyglądał najodpowiedniejszy dla naszej organizacji harmonogram aktualizacji oprogramowania? Harmonogram update’ów należy dostosować do oczekiwań i możliwości organizacji.

Czy organizacja musi zapewnić swoim pracownikom opcje zdalnego dostępu do zasobów firmowych? Należy upewnić się, że do chronionych danych i aplikacji dostęp będą mieli wyłącznie upoważnieni użytkownicy.

Czy projekt sieci umożliwia administratorowi odpowiedni dostęp tak, by z każdego miejsca mógł zidentyfikować i odeprzeć atak złośliwego oprogramowania? Podczas ustalania dostępu do sieci łatwo przeoczyć niektóre jej segmenty. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

3 odpowiedzi na “Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 3. Ochrona sieci”

  1. avatar roxicodone 30 mg napisał(a):

    This paragraph is actually a nice one it assists new net users,
    who are wishing for blogging.

  2. Howdy cool web-site! Dude. Superb virtual private servers, kvm vps, vps kvm, windows vps. Remarkable. I will save your site and also use the nourishes on top of that? My business is willing to try to find a number of useful info below within the post, we require workout more approaches for this consideration, thank you for expressing.

  3. I am regular reader, how are you everybody? This piece of writing posted
    at this web site is truly nice.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *