Similar presentations:
Основные функции межсетевых экранов D - link
1.
Основные функциимежсетевых экранов
D-link
Выполнил студент: Серазетдинов А.Р
МОАИС-19/1
2.
Разработчики приложений больше не следуют методологииразработки приложений, основанных на использовании
стандартных портов и протоколов. Все большее число
приложений может работать через нестандартные порты или
переключаться между портами( например: приложения
мгновенного обмена сообщениями, пирингового обмена файлами
или VolP: Skype, Bittorent, H.248, Lync, Aim и т.д). Чтобы
внедрить политики межсетевой экран должен быть готов к тому,
что каждое приложение может работать с любым портом.
Концепция поддержки любого приложения, работающего на
любом портале, является одним из фундаментальных изменений
в работе приложений, которое заставляет переходить от
межсетевых экранов, контролирующих трафик через
определенные порты, к межсетевым экранам нового покаления.
Идентификация и контроль
приложений по любом порту
3.
К инструментам обхода средств безопасности относятся приложения двух классов— приложения, изначально разрабатываемые для обхода средств защиты
(например, внешние прокси и зашифрованные туннельные приложения (не VPN)),
и приложения, которые можно адаптировать для выполнения этой задачи
(например, инструменты управления удаленным сервером/рабочим столом).
1. Внешние прокси и зашифрованные туннельные приложения (не VPN),
оснащенные рядом методик маскировки, специально используются для обхода
средств обеспечения защиты. Поскольку эти приложения изначально создаются
для обхода средств безопасности и поэтому способствуют рискам для бизнеса и
защиты, они не имеют для вашей сети никакой бизнес-ценности.
2. Инструменты управления удаленным сервером/рабочим столом, такие как RDP
и Teamviewer, обычно используются работниками служб поддержки и ИТспециалистами в целях повышения эффективности работы. Они также часто
используются сотрудниками организаций для подключения к домашним и
другим компьютерам за пределами корпоративной сети в обход межсетевого
экрана. Злоумышленники прекрасно знают об использовании таких
приложений, и в официально публикуемых отчетах Verizon Data Breach Report
(DBIR) сообщалось о том, что эти инструменты удаленного доступа
использовались на одном или нескольких этапах сетевых атак. И до сих пор
используются.
Идентификация и контроль
попыток обхода защиты
4.
Реальный пример. Реальный пример. В настоящее время 30% приложений всовременных корпоративных сетях тем или иным образом, в той или иной
форме, используют протокол SSL. Принимая во внимание тот факт, что
конечные пользователи все чаще применяют HTTPS для многих
востребованных приложений с высокой степенью риска (таких как Gmail,
Facebook), а также могут применять SSL на многих веб-сайтах, ваши
специалисты службы безопасности сталкиваются с тем, что им становится
неподвластна все большая часть сетевого трафика, и они теряют возможность
расшифрования, классификации, контроля и сканирования трафика,
зашифрованного с помощью SSL. Естественно, межсетевой экран нового
поколения должен быть достаточно гибким, чтобы оставлять как есть трафик
определенных типов, зашифрованный с помощью SSL (например, веб-трафик
от финансовых служб или организаций здравоохранения), и расшифровывать
трафик других типов (например, SSL на нестандартных портах, HTTPS с не
классифицируемых веб-сайтов), прибегая согласно к установленной
политике. Использование SSH носит практически универсальный характер, и
конечные пользователи могут легко настраивать этот протокол для своих
личных целей, как и любой другой инструмент для управления удаленным
рабочим столом. Тот факт, что данные, передаваемые по SSH, зашифрованы,
делает этот протокол эффективным средством для скрытия действий
нерабочего характера.
Расшифрование исходящего SSL
и управляющего SSH трафика
5.
Разработчики платформ приложений, таких как Google,Facebook, Salesforce.com или Microsoft, предлагают
пользователям богатейший набор компонентов и функций,
которые повышают лояльность пользователей, но при этом
представляют сложнейшие профили риска. Возьмем, к примеру,
приложение Webex, которое является эффективнейшим бизнесинструментом. Однако функция совместного доступа к рабочему
столу (Webex Desktop Sharing), позволяющая осуществлять
доступ к рабочим столам ваших сотрудников с внешнего
источника, способствует нарушению внутренних политики или
нормативных требований. Другим примером могут служить
приложения Google Mail (Gmail) и Google Talk (Gtalk). Как только
пользователь входит в систему Gmail, что может быть разрешено
политикой, он может легко переключить контекст на Gtalk, что
может быть запрещено той же политикой. Ваш межсетевой экран
нового поколения должен уметь распознавать и разграничивать
отдельные компоненты и функции — только в этом случае можно
будет внедрить соответствующие политики.
Контроль функций приложений
и их подприложений
6.
В сети существует трафик, который не получается идентифицировать по егосодержимому. Будем называть его неизвестным трафиком. В небольших
количествах неизвестный трафик присутствует в каждой сети, при этом даже
незначительный неизвестный трафик представляет существенный риск для
вашей организации. Нам нужно понимать кто этот трафик создает и зачем!
Существует целый ряд важных факторов, имеющих отношение к
неизвестному трафику, которые следует учитывать: можно ли его хоть как-то
классифицировать, можно ли сократить его до минимума, используя политики
безопасности, может ли ваш межсетевой экран легко определять самописные
пользовательские приложения так, чтобы они переходили в категорию
известных приложений и могли указываться в вашей политике безопасности,
и способен ли ваш межсетевой экран определить, представляет ли
неизвестный трафик угрозу? Неизвестный трафик тесно связан с сетевыми
угрозами. Злоумышленники часто модифицируют потоки данных, чтобы
воспользоваться недостатками нужного приложения.Например, для атаки на
веб-сервер злоумышленнику может потребоваться изменение заголовка HTTP,
в результате которого трафик больше не будет идентифицироваться как вебтрафик. Подобная аномалия может служить ранним свидетельством атаки.
Вредоносное ПО также часто использует свои собственные или
модифицированные протоколы для связи с командным центром, что
позволяет специалистам по безопасности ликвидировать любые
проникновения неизвестного вредоносного ПО.
Управление неизвестным
трафиком
7.
Организации постоянно внедряют все новые и новые приложения, повышающиеэффективность бизнеса. Эти приложения могут находиться как внутри сети, так и за ее
периметром. Будь то SharePoint, Box.net, Google Docs, Microsoft Office365 или даже
приложение, размещенное у вашего партнера. Многие организации должны использовать
приложения, способные работать через нестандартные порты, использовать SSL или
иметь совместный доступ к файлам. Другими словами, эти приложения могут повышать
эффективность бизнеса, но при этом служить вектором сокрытия киберугроз. Более того,
некоторые из этих приложений (например, SharePoint) зависят от поддержки технологий,
которые являются регулярной мишенью для компьютерных атак (например, IIS, SQL
Server). В этом случае блокировка приложения не устраняет угрозу. Однако полное
разрешение всех приложений, несет за собой риски для бизнеса и является благотворной
средой для атак киберпреступников. Существует растущий тренд передачи вредоносного
ПО по нестандартным портам, что представляет для сотрудников ИБ острую проблему.
Поскольку вредоносное ПО соединяется со своим центром управления изнутри сети, то
злоумышленник может использовать любую комбинацию портов и протоколов, поскольку
для внутренних сотрудников обычно разрешены все соединения наружу по любым
портам. В ходе анализа одной из сетей за три месяца 97% всего неизвестного
вредоносного ПО, проникшего через FTP, использовались только нестандартные порты.
Определяют ли ваши средства защиты такой протокол как FTP на портах отличных от
стандартного 21? Например мы видим соединения FTP по порту 25, который, тоже часто
открыт наружу.
Сканирование с целью выявления вирусов
и вредоносных программ во всех
приложениях, по всем портам
8.
Пользователи все чаще работают вне офиса, получаядоступ к корпоративной сети со своих смартфонов или
планшетов по VPN. Значительная часть сотрудников имеет
возможность работать удаленно. Работая за столиком в
кафе, у себя дома или на встречах у клиентов —
сотрудники считают само собой разумеющимся, что они
могут подключаться к своим рабочим приложениям через
WIFI или LTE/3G. Независимо от местоположения
пользователя или даже самого приложения, межсетевой
экран должен применять один и тот же стандарт контроля
доступа. Если ваш межсетевой экран обеспечивает
визуализацию и контроль приложений только в пределах
стен организации, но не за ними, он в может упустить
трафик, представляющий огромный риск.
Обеспечение одинакового уровня
визуализации и контроля приложений для
всех пользователей и устройств
9.
Многие организации постоянно создают новые сервисы для сотрудников,реализуют новые политики и вводят новые средства управления, в то время
как их специалисты в области информационной безопасности уже сильно
перегружены, управляя текущим множеством процессов защиты. Другими
словами, если ваши сотрудники не справляются со своими текущими
задачами, то добавление устройств и управление новыми сервисами, а также
соответствующими политиками и обработкой новой информации, не позволит
разгрузить ваших специалистов, равно как и не ускорит процесс обработки
инцидентов. Чем сложнее политика (например, межсетевой экран на базе
портов разрешает трафик через порт 80, система предотвращения вторжений
выявляет/блокирует угрозы и приложения, шлюз для веб-защиты выполняет
контроль URL-запросов), тем тяжелее этой политикой управлять. А какую
политику в отношении WebEx используют ваши специалисты по
безопасности? Как они определяют и решают конфликты политики на
различных устройствах? Если предположить, что для типичных межсетевых
экранов на основе портов определены базы правил, включающие тысячи
всевозможных правил, то при добавлении тысяч сигнатур приложений в
рамках десятков тысяч портов сложность будет возрастать в десятки раз.
Поэтому разрешив какое-то новое приложение в своей сети, необходимо
сразу же позаботиться о его безопасности и это должно быть реализовано в
рамках одного правила межсетевого экрана.
Упрощение, а не усложнение системы
безопасности сети благодаря добавлению
функции контроля приложений
10.
Важные Требования данной функции: При рассмотрении этого требованиятакже становится очевидным значение архитектуры, только в несколько
ином ключе. Поспешный выбор межсетевого экрана работающего только
на транспортном уровне c портами TCP и UDP или множества других
средств обеспечения информационной безопасности от разных
производителей обычно выливается в чрезмерное количество защит на
каждом из сетевых уровней, механизмов сканирования и политик, что
приводит к снижению производительности. Межсетевой экран должен быть
сделан под эти задачи еще при разработке архитектуры ПО. Более того,
если считать, что вам требуется выполнять ресурсоемкие вычислительные
задачи (такие как расшифрование SSL, идентификация приложений,
предотвращение угроз на всех портах) в среде высокоинтенсивного
трафика, не допускающей малейшие задержки в работе критически
важной инфраструктуры, ваш межсетевой экран нового поколения должен
быть оснащен специальными выделенными аппаратными компонентами для
выполнения таких задач.
Обеспечение той же пропускной способности и
производительности при полностью включенной
системе безопасности приложений
11.
Постоянное создание и настройка различных стандартных и нестандартныхприложений в среде виртуального ЦОД еще больше усложняет задачи
идентификации и контроля приложений. Сегодня это невозможно сделать на
основе правил выполняемых на основе двух критериев: порт и IPадрес.Кроме тех девяти функций, которые уже описаны ранее, следующая
обязательная функция межсетевого экрана нового поколения: важно, чтобы
ваш межсетевой экран нового поколения поддерживал всестороннюю
интеграцию со средой виртуализации. Это позволит создавать политики
безопасности, основанные на приложениях, даже для динамической среды
современного центра обработки данных, где не прекращается процесс
создания и изменения виртуальных машин и приложений в них.Создание
межсетевого экрана для систем виртуализаци — единственный способ,
который гарантирует поддержку развития современных центров обработки
данных, обеспечивает гибкость администрирования и защиту от рисков и
позволяет соблюдать стандарты и нормативы, такие как стандарты PCI DSS
или ЦБ РФ.
Поддержка абсолютно одинаковых функций
межсетевого экрана как в аппаратном, так и
виртуальном форм-факторе