NetKeeper sprytniejszy brat firewalla
- Michał Witkowski,
- 01.09.2005
Podłączenie do Internetu wydaje nam się niemal tak oczywiste jak dostęp do elektryczności czy sieci telefonicznej. Trudno wyobrazić sobie istnienie na rynku firmy, której pracownicy nie mieliby możliwości korzystania z tego medium. Niestety, prócz nowych możliwości, Internet niesie również nowe zagrożenia. Źle zabezpieczone łącze może stanowić gościnnie otwartą furtkę dla nieproszonych gości.
Podłączenie do Internetu wydaje nam się niemal tak oczywiste jak dostęp do elektryczności czy sieci telefonicznej. Trudno wyobrazić sobie istnienie na rynku firmy, której pracownicy nie mieliby możliwości korzystania z tego medium. Niestety, prócz nowych możliwości, Internet niesie również nowe zagrożenia. Źle zabezpieczone łącze może stanowić gościnnie otwartą furtkę dla nieproszonych gości.
Najczęściej stosowanym zabezpieczeniem jest zapora, często pełniąca zarazem funkcję routera bądź NAT. Typowe rozwiązanie filtruje pakiety sieciowe, przepuszczając lub zatrzymując je w zależności od adresu IP, portu, bądź też ustawienia określonych bitów w nagłówku (np. SYN, ACK). Taki firewall jest w stanie znacznie ograniczyć ryzyko włamania się do naszej sieci, niemniej jednak blokowanie poszczególnych portów czy protokołów może przy okazji odciąć użyteczny ruch. Proste filtrowanie pakietów też nie ochroni nas przed atakiem wykorzystującym dziurę w oprogramowaniu usługi (tzw. exploit), do której zapora akceptuje ruch. Dodatkowym zabezpieczeniem mogą być rozwiązania typu IPS (Intrusion Prevention System), które potrafią nieco lepiej pakiet "przeczytać" i podjąć decyzję co do jego akceptacji, wykorzystując wyższe warstwy modelu OSI.
W czwartej i siódmej warstwie
Netkeeper
NetKeeper działa jak most i jest przezroczysty dla sieci. Można go zainstalować albo w trybie IN LINE (wówczas będzie śledził ruch zgodnie ze skonfigurowanymi regułami i odpowiednio reagował), bądź w trybie SPAN (wtedy urządzenie będzie tylko nasłuchiwało i raportowało o zidentyfikowanych zagrożeniach). Urządzenie ma dedykowany własny system operacyjny. Dodatkowo do zarządzania polisami wymaga postawienia Policy Servera na komputerze opartym na systemie Windows. Odpowiedni kreator zainstaluje najpierw mySQL, potem Apache, a potem jeszcze dogra na to swoją nakładkę z apletami JAVA. Urządzenie prócz interfejsów WAN i LAN ma port RS232 oraz wydzielony interfejs do zarządzania. Podstawową konfigurację (adres IP, brama itp.) możemy przeprowadzić po SSH albo RS232. Zaawansowane operacje, takie jak konfigurowanie reguł, przesyłanie ich do urządzenia, monitorowanie i raportowanie jego działania, przeprowadzimy, łącząc się protokołem http z Policy Server.
Identyfikowanie ataków
Przykładowe reguły identyfikujące konie trojańskie.
Drugą metodą wyłapywania niepożądanych pakietów jest identyfikowanie ataków na podstawie ich sygnatur. NetKeeper działa tu podobnie do programu antywirusowego. Przechodzące pakiety są porównywane z bazą sygnatur znanych ataków. Gdy atak zostanie zidentyfikowany - jego źródło zostanie przez urządzenie zablokowane. Należy pamiętać, że podobnie jak w przypadku programów antywirusowych, skuteczność identyfikowania ataków zależy tu od aktualności wykorzystywanych sygnatur.
Polityki i reguły
Przykładowe reguły identyfikujące konie trojańskie.
Producent: BroadWeb (http://www.broadweb.com )
Zalety:
- dedykowany sprzęt i OS;
- umiejętność wyłapywania nie tylko włamań, ale również wirusów;
- kompleksowe wykrywanie ataków DDoS;
- tworzenie reguł wymaga dużej wiedzy użytkownika;
- potrzebny dodatkowy komputer klasy PC do zarządzania urządzeniem;
Netkeeper Eulen (na zdjęciu) dla mniejszych firm - od 2400 USD
Netkeeper dla średnich i dużych firm - od 9600 do 55 600 USD
Dystrybutor: Dagma (http://www.dagma.pl )