NetKeeper sprytniejszy brat firewalla

Podłączenie do Internetu wydaje nam się niemal tak oczywiste jak dostęp do elektryczności czy sieci telefonicznej. Trudno wyobrazić sobie istnienie na rynku firmy, której pracownicy nie mieliby możliwości korzystania z tego medium. Niestety, prócz nowych możliwości, Internet niesie również nowe zagrożenia. Źle zabezpieczone łącze może stanowić gościnnie otwartą furtkę dla nieproszonych gości.

Podłączenie do Internetu wydaje nam się niemal tak oczywiste jak dostęp do elektryczności czy sieci telefonicznej. Trudno wyobrazić sobie istnienie na rynku firmy, której pracownicy nie mieliby możliwości korzystania z tego medium. Niestety, prócz nowych możliwości, Internet niesie również nowe zagrożenia. Źle zabezpieczone łącze może stanowić gościnnie otwartą furtkę dla nieproszonych gości.

Najczęściej stosowanym zabezpieczeniem jest zapora, często pełniąca zarazem funkcję routera bądź NAT. Typowe rozwiązanie filtruje pakiety sieciowe, przepuszczając lub zatrzymując je w zależności od adresu IP, portu, bądź też ustawienia określonych bitów w nagłówku (np. SYN, ACK). Taki firewall jest w stanie znacznie ograniczyć ryzyko włamania się do naszej sieci, niemniej jednak blokowanie poszczególnych portów czy protokołów może przy okazji odciąć użyteczny ruch. Proste filtrowanie pakietów też nie ochroni nas przed atakiem wykorzystującym dziurę w oprogramowaniu usługi (tzw. exploit), do której zapora akceptuje ruch. Dodatkowym zabezpieczeniem mogą być rozwiązania typu IPS (Intrusion Prevention System), które potrafią nieco lepiej pakiet "przeczytać" i podjąć decyzję co do jego akceptacji, wykorzystując wyższe warstwy modelu OSI.

W czwartej i siódmej warstwie

NetKeeper sprytniejszy brat firewalla

Netkeeper

Jednym z takich urządzeń jest NetKeeper - produkt tajwańskiej firmy BroadWeb. Działa on w warstwie czwartej (transportu) oraz siódmej (aplikacji) OSI.

NetKeeper działa jak most i jest przezroczysty dla sieci. Można go zainstalować albo w trybie IN LINE (wówczas będzie śledził ruch zgodnie ze skonfigurowanymi regułami i odpowiednio reagował), bądź w trybie SPAN (wtedy urządzenie będzie tylko nasłuchiwało i raportowało o zidentyfikowanych zagrożeniach). Urządzenie ma dedykowany własny system operacyjny. Dodatkowo do zarządzania polisami wymaga postawienia Policy Servera na komputerze opartym na systemie Windows. Odpowiedni kreator zainstaluje najpierw mySQL, potem Apache, a potem jeszcze dogra na to swoją nakładkę z apletami JAVA. Urządzenie prócz interfejsów WAN i LAN ma port RS232 oraz wydzielony interfejs do zarządzania. Podstawową konfigurację (adres IP, brama itp.) możemy przeprowadzić po SSH albo RS232. Zaawansowane operacje, takie jak konfigurowanie reguł, przesyłanie ich do urządzenia, monitorowanie i raportowanie jego działania, przeprowadzimy, łącząc się protokołem http z Policy Server.

Identyfikowanie ataków

NetKeeper sprytniejszy brat firewalla

Przykładowe reguły identyfikujące konie trojańskie.

NetKeeper identyfikuje ataki typu DDoS nie tylko na podstawie gwałtownego wzrostu ruchu przychodzącego, ale dodatkowo sprawdza jeszcze pakiety kontrolne przychodzące wraz z danymi i na ich podstawie odcina źródło ataku. Poza klasycznym porównywaniem wzrostu ruchu w danej chwili do poziomu odniesienia, stosuje również bardziej szczegółowe metody, takie jak: Protocol Anomaly Detection (analiza statystyczna poszczególnych protokołów), Port Scan Detection (statystyka skanowania portów) oraz Fregmented Packet Reasseamble Detection (wykrywanie przypadków fragmentacji pakietów). Dzięki nim NetKeeper generuje mniej fałszywych alarmów.

Drugą metodą wyłapywania niepożądanych pakietów jest identyfikowanie ataków na podstawie ich sygnatur. NetKeeper działa tu podobnie do programu antywirusowego. Przechodzące pakiety są porównywane z bazą sygnatur znanych ataków. Gdy atak zostanie zidentyfikowany - jego źródło zostanie przez urządzenie zablokowane. Należy pamiętać, że podobnie jak w przypadku programów antywirusowych, skuteczność identyfikowania ataków zależy tu od aktualności wykorzystywanych sygnatur.

Polityki i reguły

NetKeeper sprytniejszy brat firewalla

Przykładowe reguły identyfikujące konie trojańskie.

NetKeeper działa w oparciu o system polityk (reguł) definiujących, jaki rodzaj ruchu powinien być traktowany jako atak i jak powinien na poszczególne ataki zareagować. Pozwala on identyfikować (i eliminować lub ograniczać do określonych godzin) m.in. ruch związany z komunikatorami internetowymi czy P2P, jak również lokalizować źródło i wyłapywać niektóre wirusy, np. Blaster. Urządzenie jest wstępnie wyposażone w ponad 1700 predefiniowanych reguł. Dotyczą one ochrony określonych systemów operacyjnych, urządzeń i usług sieciowych oraz aplikacji używanych w sieci. Zarówno sygnatury, jak i reguły można samodzielnie tworzyć, jednak nie jest to zadanie łatwe, więc większość administratorów raczej poprzestanie na wybraniu zestawów dostarczonych i aktualizowanych przez producenta. Policy Server jest bogato wyposażony w mechanizmy raportowania i monitorowania pracy urządzenia. Średnim i większym firmom producent oferuje modele NetKeepera o przepustowości od 30 Mb/s (obsługa 10 000 równoległych sesji) do 800 Mb/s (z obsługą do 500 000 równoległych sesji). Najtańszy wariant to wydatek ok. 9000 USD. Dla mniejszych firm przeznaczony jest model Eulen, kosztujący od 2400 USD.

Netkeeper

Producent: BroadWeb (http://www.broadweb.com )

Zalety:

  • dedykowany sprzęt i OS;
  • umiejętność wyłapywania nie tylko włamań, ale również wirusów;
  • kompleksowe wykrywanie ataków DDoS;
Wady:

  • tworzenie reguł wymaga dużej wiedzy użytkownika;
  • potrzebny dodatkowy komputer klasy PC do zarządzania urządzeniem;
Cena:

Netkeeper Eulen (na zdjęciu) dla mniejszych firm - od 2400 USD

Netkeeper dla średnich i dużych firm - od 9600 do 55 600 USD

Dystrybutor: Dagma (http://www.dagma.pl )


TOP 200