Функции IDP, WCF, AV и технология ZoneDefense

Технология ZoneDefense

Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны NetDefend поддерживают специальную функцию – ZoneDefense. Она представляет собой механизм, позволяющий межсетевым экранам работать с определенными коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность (так называемую Joint Security). Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика.

Для решения вопросов безопасности компанией D-Link предлагается законченное решение по обеспечению комплексной безопасности, подразумевающего обеспечение безопасности на всех уровнях: хост, коммутатор и шлюз. Данный механизм включает в себя три компонента:

Gateway Security – межсетевые экраны NetDefend располагаются на границе целостной сетевой топологии и обеспечивают безопасность ресурсов локальных сетей.

Endpoint Security – коммутаторы xStack D-Link, работая совместно с межсетевыми экранами D-Link, обеспечивают защищенный LAN-доступ.

Joint Security – технология, объединяющая Gateway Security и Endpoint Security – ZoneDefense – собственная разработка компании D-Link .

увеличить изображение
Рис. 8.4. Комплексная архитектура сетевой безопасности

Как уже упоминалось, в традиционных локальных сетях с определенным уровнем безопасности существует проблема распространения вредоносного программного обеспечения по сетевым устройствам, если вирус попал во внутреннюю сеть с какого-либо зараженного компьютера. Обычные межсетевые экраны имеют ограниченное количество портов и ограниченную производительность, таким образом, коммутирование L3-сетей основано на функциональных особенностях коммутаторов L3.

увеличить изображение
Рис. 8.5. Распространение вредоносного ПО с одного зараженного хоста на все сетевые устройства

Новая архитектура, предложенная компанией D-Link, включающая технологию ZoneDefense, основана на политиках взаимодействия между LAN-сетями. В случае появления в локальной сети зараженного компьютера, межсетевой экран NetDefend в соответствии с настройками функции ZoneDefense, блокирует этот компьютер, тем самым предотвращая распространение вредоносного ПО в сети.

увеличить изображение
Рис. 8.6. Блокирование всего трафика зараженного хоста

Заражение хоста в сети вирусами или распространение другого вредоносного ПО может характеризоваться значительным увеличением количества новых сессий, открываемых к внешним хостам.

Использование функции ZoneDefense позволяет ограничить сетевые соединения выбранного сервиса – если количество соединений хоста или сети превышает указанный в настройках порог (настройки Threshold Rules базируются на количестве новых соединений, произведенных за секунду или на общем количестве созданных соединений), межсетевой экран будет блокировать определенный сетевой узел на коммутаторе.

Соединения могут быть созданы единственным хостом или всеми хостами в пределах выбранного диапазона IP-адресов CIDR.

Когда система NetDefendOS определила, что хост или сеть превысили заданный порог соединений, на соответствующий коммутатор загружаются правила ACL (Access Control List), используя протокол SNMP, для блокировки всего трафика данного хоста или сети. Xосты остаются блокированными до разблокирования администратором вручную через Web- или CLI-интерфейс.

Приведем пример возникновения ситуации, когда применение механизма ZoneDеfense предотвратит распространение атак по сети. На платформе ОС Windows некоторые сетевые атаки основаны на взломе паролей, используемых в Microsoft SMB Protocol (Server Message Block) – сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам. Объект воздействия генерирует большое количество сетевого трафика, используя протокол TCP порт 445 и распространяет его по сетевым устройствам. Можно предотвратить аварийную ситуацию в сети, активировав механизм ZoneDefense. Для этого выполняется следующее:

1. На межсетевом экране NetDefend в настройках ZoneDefense установить порог для TCP порт 445 "20 connections/second" – 20 подключений в секунду для каждого хоста.
2. Сконфигурировать коммутаторы xStack, работающие совместно с данным межсетевым экраном и поддерживающие технологию ZoneDefense.

В случае попыток объекта воздействия распространить вредоносное ПО через TCP порт 445, межсетевой экран NetDefend обнаруживает превышение количества соединений данного объекта и дает команду коммутатору xStack загрузить ACL-правила для блокирования всего трафика этого хоста.

SNMP-протокол

Простой протокол сетевого управления (Simple Network Management Protocol, SNMP) – протокол прикладного уровня для комплексного управления сетями. SNMP позволяет управляющему (так называемый, менеджер или диспетчер) и управляемым (агентам) сетевым устройствам связываться друг с другом.

В настоящее время существует три версии протокола SNMP: SNMP v1 (RFC 1157), SNMP v2c (RFC 1901-1908) и SNMP v3 (RFC 3411-3418). Эти версии отличаются предоставляемым уровнем безопасности при обмене данными между менеджером и агентом SNMP.

Управляемые устройства должны поддерживать протокол SNMP. Коммутаторы D-Link являются SNMP-агентами (они поддерживают все три версии протокола), хранят данные о состоянии в базе данных MIB (Management Information Base) и обеспечивают информацией управляющее устройство после получения SNMP-запроса. Если на коммутаторе по умолчанию управление по SNMP отключено, его нужно активировать командой:

enable snmp

Компоненты SNMP

Сеть, управляемая по протоколу SNMP, основывается на архитектуре "клиент/сервер" и состоит из трех основных компонентов: менеджера SNMP, агента SNMP, базы управляющей информации (MIB)базы управляющей информации (MIB).

Менеджер SNMP (SNMP Manager) – это программное обеспечение, установленное на рабочей станции управления, наблюдающее за сетевыми устройствами и управляющее ими.

Агент SNMP (SNMP Agent) – это программный модуль для управления сетью, который находится на управляемом сетевом устройстве (маршрутизаторе, коммутаторе, точке доступа, Интернет-шлюзе, принтере и т.д.). Агент обслуживает базу управляющей информации и отвечает на запросы менеджера SNMP.

База управляющей информации (Management Information Base, MIB) – это совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью.

Менеджер взаимодействует с агентами при помощи протокола SNMP с целью обмена управляющей информацией. В основном, это взаимодействие реализуется в виде периодического опроса менеджером множества агентов, которые предоставляют доступ к информации.

База управляющей информации SNMP

Базы управляющей информации описывают структуру управляющей информации устройств и состоят из управляемых объектов (переменных). Управляемый объект (или MIB-объект) – это одна из нескольких характеристик управляемого сетевого устройства (например, имя системы, время, прошедшее с ее перезапуска, количество интерфейсов устройства, IP-адрес и т.д.).

Обращение к управляемым объектам MIB происходит посредством идентификаторов объекта (Object IDentifier, OID). Каждый управляемый объект имеет уникальный идентификатор в пространстве имен OID и контролируется агентством IANA. Пространство имен OID можно представить в виде иерархической структуры с корнем без названия, идентификаторы верхних уровней которой отданы организациям, контролирующим стандартизацию, а идентификаторы нижних уровней определяются самими этими организациями. Каждая ветвь дерева OID нумеруется целыми числами слева направо, начиная с единицы. Идентификатор представляет собой последовательность целых десятичных цифр, разделенных точкой, записанных слева направо и включает полный путь от корня до управляемого объекта. Числам могут быть поставлены в соответствие текстовые строки для удобства восприятия. В целом, структура имени похожа на систему доменных имен Интернет (Domain Name System, DNS).

Каждая MIB (в настоящее время основными стандартами на базы управляющей информации для протокола SNMP являются MIB-I и MIB-II) определяет набор переменных, т. е. определенную ветку дерева OID, описывающую управляющую информацию в определенной области. Например, ветка 1.3.6.1.2.1.1 (символьное эквивалентное имя: iso.org.dod.internet.mgmt.mib-2.system) описывает общую информацию о системе.

Рис. 8.7. Пространство имен OID

Производители сетевого оборудования определяют частные ветви пространства имен OID (группа объектов private (4)), куда помещают управляемые объекты для своей продукции. Пример определения ветвей в коммутаторах D-Link:

create snmp view CommunityView 1 view_type included
create snmp view CommunityView 1.3.6.1.6.3 view_type excluded 
create snmp view CommunityView 1.3.6.1.6.3.1 view_type included  

Помимо непосредственного описания данных, необходимо вести операции над ними. Первоначальная спецификация MIB-I определяла только операции чтения значений переменных. Спецификация MIB-II дополнительно определяет операции изменения или установки значений управляемых объектов.

Безопасность SNMP

В протоколе SNMP v1 и v2c предусмотрена аутентификация пользователей, которая выполняется с помощью строки SNMP Community (SNMP Community string). Community string функционирует подобно паролю, который разрешает удаленному менеджеру SNMP доступ к агенту. Менеджер и агент SNMP должны использовать одинаковые Community string, т.к. все пакеты от менеджера SNMP не прошедшего аутентификацию будут отбрасываться. В коммутаторах с поддержкой SNMP v1 и v2c используются следующие Community по умолчанию:

public – позволить авторизованной рабочей станции читать (право "read only") MIB-объекты;

private - позволить авторизованной рабочей станции читать и изменять (право "read/write) MIB-объекты.

Протокол SNMP v3 использует более сложный процесс аутентификации, который разделен на две части. Первая часть – обработка списка и атрибутов пользователей, которым позволено функционировать в качестве менеджера SNMP. Вторая часть описывает, что каждый пользователь из списка может выполнять в качестве менеджера SNMP.

Используя на коммутаторе SNMP можно создавать группы со списками пользователей (менеджеров SNMP) и настраивать для них общий набор привилегий. Помимо этого для каждой группы может быть установлена версия используемого ей протокола SNMP. Таким образом, можно создать группу менеджеров SNMP, которым позволено просматривать информацию с правом "read only" или получать ловушки (trap), используя SNMP v1, в то время как другой группе можно настроить наивысший уровень привилегий с правами "read/write" и возможность использования протокола SNMP v3.

При использовании протокола SNMP v3 отдельным пользователям или группам менеджеров SNMP может быть разрешено или запрещено выполнять определенные функции SNMP-управления. Помимо этого в SNMP v3 доступен дополнительный уровень безопасности, при котором SNMP-сообщения могут шифроваться при передаче по сети.

SNMP-управление с использованием межсетевых экранов D-Link

Управляющее устройство (диспетчер) – межсетевой экран NetDefend – использует SNMP-протокол для контроля и управления сетевыми устройствами. Диспетчер может запрашивать у контролируемых устройств статистику с помощью строки SNMP Community (SNMP Community String). Если тип строки SNMP Community – write, то диспетчер может менять MIB-объекты.

По умолчанию, порты коммутаторов D-Link настроены на использование строки SNMP Community, как private и public. Чтобы изменить эти идентификаторы, в настройках коммутатора нужно удалить значения по умолчанию и ввести новые:

delete snmp community private
delete snmp community public
create snmp community dlinktestrw view CommunityView read_write  
create snmp community dlinktestro view CommunityView read_only
 

Информацию о каждом коммутаторе, который будет работать с межсетевым экраном, необходимо вводить вручную при конфигурировании межсетевого экрана.

увеличить изображение
Рис. 8.8. Добавление информации о коммутаторе в настройки межсетевого экрана NetDefend

Информация, необходимая для работы с коммутатором, содержит:

• Тип коммутатора.
• IP-адрес интерфейса управления коммутатора.
• Строка SNMP community (с доступом write), настроенная на интерфейсе управления коммутатора.

Во избежание случайной блокировки доступа межсетевого экрана к коммутатору, нужно добавить интерфейс межсетевого экрана для управления коммутатором в список исключений (ZoneDefense → Exclude) .

Пороговые правила (Threshold Rules)

Пороговое правило инициирует механизм ZoneDefense для блокировки определенных узлов или сети, если превышен указанный порог соединений, который может быть двух типов:

• Connection Rate Limit – ограничение количества новых соединений за секунду к межсетевому экрану.
• Total Connections Limit – ограничение общего количества соединений к межсетевому экрану.

Параметры пороговых правил схожи с параметрами IP-правил и определяют тип трафика, к которому обращается пороговое правило.

У каждого порогового правила выделяют следующие параметры:

• Интерфейс источника и сеть источника
• Интерфейс назначения и сеть назначения
• Сервис
• Тип порога: для хоста и/или сети

При прохождении трафика, соответствующего вышеупомянутым критериям и превышающего порог для данного хоста/сети, срабатывает механизм ZoneDefense, который будет препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения порога основаны на IP-адресе хоста или сети на коммутаторе.

увеличить изображение
Рис. 8.9. Настройка пороговых правил с использованием функции ZoneDefense на примере межсетевого экрана DFL-860E

ZoneDefense и сканирование антивирусом

Функция ZoneDefense может использоваться в связке со встроенным антивирусом системы NetDefendOS, которая сначала идентифицирует источник вредоносного ПО, а затем блокирует его, действуя совместно с коммутатором, сконфигурированным для работы с механизмом ZoneDefense. Эта функция активируется через следующие ALG:

HTTP – ZoneDefense может заблокировать HTTP-сервер, если он является источником вредоносного ПО.

FTP – ZoneDefense может заблокировать локального FTP-клиента при загрузке им вредоносного ПО.

SMTP – ZoneDefense может заблокировать локального SMTP-клиента при отправке им вредоносного ПО через e-mail.

Антивирусные базы Касперского загружаются и обновляются с сайта (меню Maintenance → Update Center).

В зависимости от модели коммутатора процесс работы ZoneDefense может различаться. Первое отличие заключается в разном времени ожидания между запуском блокирующего правила и моментом фактического блокирования соответствующего трафика коммутатором. Всем моделям коммутаторов необходим небольшой интервал времени ожидания для осуществления блокирования после запуска правила. Для некоторых моделей эта величина не превышает секунды, в то время как другим коммутаторам может потребоваться несколько минут.

Второе отличие заключается в максимальном количестве правил, поддерживаемых различными коммутаторами. Определенные модели коммутаторов поддерживают только 50 правил, другие – до 800 правил (обычно для того, чтобы заблокировать хост или сеть необходимо одно правило на порт коммутатора). Когда этот предел будет достигнут, хосты или сети перестанут блокироваться.

ВНИМАНИЕ: Только определенные модели межсетевых экранов или коммутаторов D-Link поддерживают функцию ZoneDefense. Более подробную информацию по данному вопросу можно получить в технической поддержке компании D-Link.