Idp-поиск соответствия с образцом (idp Pattern Matching)
Сигнатуры
Для правильной идентификации вторжения IDP использует профиль признаков или образцов (шаблонов), связанных с различными типами атак. Определенные образцы вирусов и атак, известные как сигнатуры, хранятся в базе данных локальной системы NetDefendOS и используются IDP-модулем при анализе трафика. Каждая IDP-сигнатура имеет свой уникальный номер.
Приведем пример простой атаки с использованием FTP-сервера. Злоумышленник может восстановить файл пароля "passwd" от FTP-сервера, используя FTP-команду RETR passwd. Сигнатура, ищущая ASCII-текст RETR и passwd, найдет соответствие и укажет на возможное вторжение. В рассмотренном примере образец найден в открытом тексте, также соответствие с образцом определяется и при использовании двоичных данных.
Обнаружение неизвестных угроз
При создании вторжений за основу часто берется использовавшийся ранее код, что с большой скоростью порождает новые атаки. Для предотвращения атак такого типа D-Link использует метод, в котором модуль сканирует многократно используемые компоненты и сопоставляет их с образцом на соответствие.
Типы IDP сигнатур
IDP предлагает три типа сигнатур, различающиеся уровнем защиты от угроз:
Сигнатуры предотвращения вторжений (IPS – Intrusion Protection Signatures) – сигнатуры с очень высокой точностью. Рекомендуется использование действия Protect. Эти сигнатуры могут обнаружить попытки перехвата управления и сканеры сети (типа Nmap).
Сигнатуры обнаружения вторжения (IDS – Intrusion Detection Signatures) – способны обнаруживать события, которые могут оказаться вторжениями. Эти сигнатур менее точны, чем IPS, поэтому перед действием Protect рекомендуется использовать действие Audit .
Политики сигнатур (Policy Signatures) – обнаруживают различные типы приложений трафика и могут использоваться для блокировки определенных приложений (например, совместный доступ к файлам или мгновенная передача сообщений).
Подписка на сервис IPS
Сервис My D-Link служит платформой регистрации и управления для всех клиентов D-Link. Для получения обновлений IPS-сигнатур клиентам D-Link необходимо зарегистрировать свой межсетевой экран через NetDefend Center My D-Link (http://security.dlink.com.tw). Здесь отображается текущее состояние всех зарегистрированных продуктов, включая названия моделей, МАС-адреса, серийные номера, даты регистрации и даты окончания обслуживания IPS. Благодаря данному сервису пользователи могут легко отслеживать статус всех зарегистрированных межсетевых экранов.
При подписке предусматривается автоматическое обновление сигнатур баз данных.
Через определенный интервал времени новые сигнатуры баз данных автоматически загружаются системой NetDefendOS через HTTP-соединение с сервером D-Link, на котором представлены все новейшие сигнатуры баз данных. Если сигнатуры баз данных с сервера имеют более позднюю версию, чем текущая локальная база данных, то загружаются новые базы, которые заменяют предыдущие.
Рис. 8.2. Регистрация межсетевого экрана NetDefend на портале D-Link
После регистрации межсетевого экрана можно активировать сервисы NetDefend. Для этого пользователю нужно ввести код активации (Maintenance → License) для получения версии free trial на 90 дней или приобретения подписки на 12 месяцев. Для каждого сервиса NetDefend требуется свой собственный код.
Рис. 8.3. Активация сервисов AV, IDP и WCF в межсетевом экране NetDefend
Для моделей DFL-260E/860E/1660/2560 предусмотрены три опциональных (т.е. необязательных) сервиса – IPS, AV и WCF. Пользователь может приобрести в соответствии с требованиями либо один из трех сервисов, либо необходимую комбинацию.
Настройка корректного системного времени
Для автоматического обновления и корректной работы IDP-модуля необходимо установить правильное системное время. Некорректное время может привести к прерыванию автообновлений.
Обновление в HA-кластере
Обновление баз данных для двух межсетевых экранов в HA-кластере автоматически обрабатывается системой NetDefendOS. Кластер всегда состоит из активного и пассивного устройств. Только активное устройство кластера может обрабатывать и проверять загружаемые базы данных. Если новые базы данных становятся доступными, то выполняются следующие шаги:
Активное устройство определяет, что есть новые обновления и загружает новые базы данных.
Активное устройство автоматически выполняет реконфигурацию для обновления баз данных.
При реконфигурации активного устройства возникает время отказа (failover) и пассивное устройство становится активным.
После того, как обновление баз данных закончится, данное устройство также загружает файлы для обновления и выполняет реконфигурацию.
Что, в свою очередь, вызывает время отказа второго устройства (failover) и пассивная единица становится снова активной.
После окончания выполнения этих операций базы данных межсетевых экранов кластера обновлены и устройствам присвоены их первоначальные (активный/пассивный) режимы.
Потоковое сканирование вирусов (AV)
Антивирусные модули (Antivirus, AV) предназначены для проверки сетевого трафика на вирусы, троянские и другие вредоносные программы. Как правило, встроенные в межсетевые экраны или маршрутизаторы антивирусные модули обладают следующими возможностями: блокировка, предупреждения пользователей и отчеты о зараженных объектах. Принцип работы антивирусного модуля прост и надежен – сканируется весь почтовый трафик, HTTP- и FTP-трафик, проходящий через граничный шлюз (межсетевой экран, маршрутизатор). Зараженные объекты и вредоносные программы удаляются и/или блокируются.
В отличие от системы IDP, которая настраивается для защиты от сетевых атак, антивирус NetDefendOS сконцентрирован на загрузках, выполняемых клиентами, и выступает в качестве дополнения к антивирусному ПО, установленному на клиентских компьютерах.
Межсетевые экраны NetDefend позволяют сканировать и проводить анализ файлов любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые "узкие места" в сети. Межсетевые экраны NetDefend используют сигнатуры вирусов, создаваемые и регулярно обновляемые компанией Kaspersky Labs.
Антивирусный модуль NetDefendOS обеспечивает защиту от вредоносного кода в процессе загрузки файла (по протоколам HTTP, FTP, POP3 и SMTP). Основная цель антивирусной функции заключается в том, чтобы вирусы не попали в локальную сеть через граничный шлюз. Однако, антивирусный модуль не обеспечивает вирусную защиту от потенциально опасных подключений внутри защищаемой сети (подключения USB, беспроводные подключения и т.п.).
Встроенный аппаратный ускоритель позволяет межсетевому экрану осуществлять IPS и антивирусное сканирование одновременно, не ухудшая производительность межсетевого экрана.
Активация функции AV в межсетевых экранах NetDefend достигается за счет применения сервиса ALG, связанного с тем протоколом, который подлежит сканированию. При настройке функции AV первоначально создается объект ALG, и затем данный объект применяется в наборе IP- и IDP-правил, которые определяют прохождение/запрет трафика в локальную сеть.
Фильтрация Web-содержимого (WCF)
Фильтрация Web-содержимого WCF (Web Content Filtering) помогает администраторам осуществлять мониторинг, управление и контроль использования доступа пользователей локальной сети к Интернет-ресурсам, разрешая/блокируя доступ к тем или иным Web-сайтам. Межсетевые экраны NetDefend поддерживают возможность взаимодействия с несколькими серверами глобальных индексов с миллионами URL-адресов и информацией в реальном времени о Web-сайтах.
В межсетевых экранах NetDefend предусмотрены три механизма для фильтрации Интернет-трафика:
Статическая фильтрация содержимого, при которой администратор самостоятельно решает какой Интернет-ресурс является "хорошим" или "плохим". Этот механизм также известен как "чёрные" и "белые" списки Интернет-ресурсов (URL). Настроить URL-фильтрацию в межсетевых экранах NetDefend можно в папке ALG with AV/WCF → http_outbound.
Динамическая фильтрациясодержимого. Применение Dynamic WCF позволяет автоматически разрешать или блокировать доступ к Web-страницам в зависимости от категории (например, новости, спорт и др.), к которой их отнесла служба автоматической классификации межсетевого экрана. При этом система NetDefendOS позволяет блокировать отдельную Web-страницу, а не весь сайт.
В межсетевых экранах D-Link NetDefend используются политики с множеством параметров, в том числе, классифицируя в реальном времени Интернет страницы более чем по 30 группам, что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для любой комбинации пользователей, интерфейсов и IP-сетей.