watchguard e l`unified threat management: analisi - APC

Transcript

WATCHGUARD E L’UNIFIED THREAT MANAGEMENT:
ANALISI TECNICA
MARZO 2006
WatchGuard Technologies
[email protected]
www.watchguard.com
WATCHGUARD E L’UNIFIED THREAT MANAGEMENT: ANALISI TECNICA
Minacce dinamiche
Proteggere le reti aziendali diventa ogni anno più difficile e la sicurezza delle reti è ormai divenuta uno dei
problemi più critici in assoluto con cui le aziende sono chiamate oggi a confrontarsi. Minacce nuove e sempre
diverse spuntano con una regolarità allarmante e nessuna azienda può ritenersi immune dal rischio.
Ogni qual volta viene scoperta una nuova minaccia è necessario ridefinire il concetto stesso di "rete sicura".
Secondo SANS Institute, soltanto nel primo trimestre del 2005 sono state identificate più di 600 nuove
vulnerabilità per la sicurezza Internet.(1)
Quando una rete viene violata da un hacker, da un attacco DoS (Denial of Service) o da un virus, l'intera
azienda diventa vulnerabile lasciando le risorse operative, i dati relativi ai clienti, i tool, le tecnologie e il capitale
intellettuale esposti a pericoli di furto, uso improprio o danneggiamento da parte di malintenzionati. Gli attacchi
alle reti possono assumere molteplici forme:
•
Intrusioni - In questo scenario, un hacker privo di diritti di accesso tenta di penetrare in remoto all'interno
di una rete con intenti criminosi.
•
Attacchi DoS/DDoS - In un attacco DoS, i sistemi o le reti colpite vengono rese inutilizzabili, sovente
monopolizzando le risorse di sistema. Un attacco DDoS (Distributed Denial of Service) prevede l'invio di traffico
verso bersagli specifici da parte di un numero elevato di computer, a volte anche diverse centinaia.
•
Virus e worm - Un worm è un programma informatico capace di copiare ripetutamente se stesso su un
altro sistema. Un virus, invece, è un programma informatico che infetta altri programmi con copie di se stesso
ma che per trasferirsi da un sistema a un altro ha bisogno di agenti esterni. Un virus viene eseguito e perpetra
la propria opera quando viene lanciato il programma infettato. I worm possono trasportare al loro interno codice
virale.
•
Adware e spyware - Si definisce adware un'applicazione software che visualizza banner pubblicitari
mentre il programma è attivo: può trattarsi di finestre pop-up oppure di una barra visualizzata sullo schermo del
computer. Lo spyware è un adware che utilizza un codice specifico per tracciare le informazioni personali
dell'utente e passarle a un'entità esterna all'insaputa e comunque senza autorizzazione dell'utente.
•
Rootkit - Un rootkit si insinua nel sistema operativo intercettando i comandi utilizzati da altri programmi
per svolgere operazioni di base come accedere ai file residenti sull'hard disk del computer. Il rootkit si nasconde
tra il sistema operativo e i programmi basati su di esso, controllando cosa tali programmi possano fare e
osservare.
•
DNS poisoning - Tecnica finalizzata a ingannare i server DNS (Domain Name System) inducendoli a
deviare verso siti Web pericolosi il traffico originariamente indirizzato verso destinazioni legittime.
Una rete può diventare vulnerabile anche ogni volta in cui l'azienda attraversi fasi di crescita e cambiamento.
Alla luce della crescente complessità delle reti e delle superiori aspettative poste su di esse a supporto degli
obiettivi di business, un semplice firewall non è più sufficiente per soddisfare i requisiti di sicurezza. Oggi i
sistemi UTM (Unified Threat Management) si stanno ritagliando rapidamente il ruolo di soluzione privilegiata per
[email protected]
www.watchguard.com
quelle reti che necessitano della protezione più completa contro ogni minaccia.
Cos'è l’Unified Threat Management?
UTM (Unified Threat Management) è l'acronimo che definisce una tendenza emergente nel settore delle
appliance di sicurezza. Le appliance UTM si sono evolute rispetto ai firewall e alle VPN tradizionali fino a
diventare soluzioni che incorporano numerose funzionalità aggiuntive - quali filtraggio degli URL, blocco dello
spam, protezione contro lo spyware, capacità antivirus a livello di gateway, prevenzione delle intrusioni e
capacità centralizzate di logging, gestione e monitoraggio - che in precedenza erano implementate da più
sistemi differenti.
Unified Threat Management: perché?
Le soluzioni UTM sono convenienti
Integrare più capacità di sicurezza in un'unica appliance significa poter acquistare e impiegare un numero
inferiore di esse, eliminando i costi associati all'implementazione di un sistema di sicurezza stratificato
composto da soluzioni acquistate separatamente.
Le soluzioni UTM permettono di bloccare gli attacchi a livello del gateway di rete
L'approccio stratificato alla sicurezza offerto dalle appliance UTM permette di evitare catastrofi bloccando una
vasta gamma di minacce di rete prima che abbiano l'opportunità di provocare danni. Il malware non ha dunque
la possibilità di minare la sicurezza a livello dei desktop o dei server e i file, e le applicazioni business-critical
rimangono disponibili consentendo agli utenti di svolgere il loro lavoro.
Le soluzioni UTM sono facili da configurare e utilizzare
L'impiego di sistemi separati per creare un'infrastruttura di sicurezza stratificata comporta l'uso di console di
gestione differenti per configurare ciascun sistema. Poiché i principi sui quali sono basati tali sistemi sono
generalmente assai differenti gli uni dagli altri, può essere necessario molto tempo prima di riuscire ad allineare
le policy di sicurezza di ciascuno in modo che tutti insieme forniscano una protezione adeguata. Inoltre, le
informazioni dei log file di ciascun sistema vengono archiviate in formati e in luoghi differenti, rendendo quanto
mai complessa la verifica e l'analisi degli eventi legati alla sicurezza.
Sia che l'utente sia un esperto oppure un principiante in materia di sicurezza, una soluzione UTM con capacità
centralizzate di logging, gestione e monitoraggio rende quanto mai intuitive la configurazione e la gestione dei
sistemi di sicurezza. Una soluzione UTM permette facilmente di implementare policy di sicurezza coerenti;
semplificare attività amministrative quali la gestione dei log file, l'auditing e il reporting a scopo di conformità; e
tagliare i costi operativi rispetto all'oneroso e complesso approccio rappresentato dal ricorso a sistemi separati
per contrastare specifiche minacce.
Aspetti da considerare nella scelta delle soluzioni UTM
Se le appliance UTM permettono di beneficiare dei vantaggi offerti dall'estrema facilità di impostazione e
gestione di policy di sicurezza coerenti attraverso la concentrazione di tutte le funzioni di sicurezza su un'unica
piattaforma, permangono tuttavia diverse problematiche da considerare prima di scegliere la soluzione UTM più
adatta per proteggere la propria rete.
[email protected]
www.watchguard.com
Capacità di sicurezza
Nonostante l'abuso di termini quali "funzionalità per l'esame dei pacchetti" o "deep inspection" per descrivere le
capacità di protezione fornite dalla maggior parte delle appliance UTM, in realtà la maggioranza dei vendor oggi
si affida integralmente a tecnologie basate sul riconoscimento della "firma" per implementare capacità quali
prevenzione delle intrusioni, antivirus a livello di gateway, protezione contro lo spyware e blocco dello spam, in
quanto si tratta di funzionalità relativamente semplici da implementare all'interno delle appliance.
Le tecnologie basate sul riconoscimento della firma (signature), o firma, richiedono una notevole capacità di
calcolo per confrontare il traffico con il set di firme esistenti; inoltre, pur trattandosi di un metodo efficace per
implementare la difesa contro minacce note, in genere si rivela incapace di assicurare protezione contro
minacce di nuovo tipo o varianti di malware già conosciuti. Una volta rilevata e identificata una minaccia,
possono trascorrere da diverse ore fino a svariate settimane prima che si renda disponibile la firma (signature)
corrispondente. Questo "downtime" nella sicurezza genera una finestra di vulnerabilità durante la quale le reti
sono esposte agli attacchi, come mostra la figura seguente.
Figura 1: Ciclo di vita di un attacco e finestra di vulnerabilità
Vulnerabilita’
scoperta
Hacker
creano gli
attacchi per
sfruttare la
Vulnerabilita’
Attacco
Lanciato
WatchGuard
ILS fornisce
la zero-day
protection
Patch
creata
Patch
distribuita
Tecnico
schedula
installazione
patch secondo
severita’
Tecnico
Installa
Patch
Signature
dell’attacco
creata e
distribuita
Considerata la velocità con la quale le nuove minacce compaiono e si diffondono, una simile finestra di
vulnerabilità significa che l'azienda rimane esposta a gravi rischi qualora la soluzione per la sicurezza di rete
esistente non sia in grado di fornire fin da subito una protezione efficace. La protezione "del giorno zero"
consente di disporre di una difesa contro le minacce ignote in modo da non ingenerare alcuna finestra di
vulnerabilità.
Ogni anno vengono lanciati innumerevoli nuovi attacchi; tuttavia, la maggior parte di essi utilizza tecniche
strettamente derivate da quelle impiegate da precedenti minacce. La comparsa di una classe totalmente
nuova di attacchi è fortunatamente un evento piuttosto raro. Riuscire a comprendere la tipologia di un attacco
significa poter sviluppare meccanismi di difesa contro tutte le minacce dello stesso genere. Si tratta di un
[email protected]
www.watchguard.com
approccio di gran lunga più efficace rispetto al processo reattivo impiegato dalle tecnologie basate sul
riconoscimento della firma (signature), le quali si fondano sull'identificazione esatta di ogni singolo nuovo
attacco.
Performance
Le appliance UTM sono in grado di gestire simultaneamente più applicazioni di sicurezza. Ne consegue che il
carico di elaborazione di un'appliance, in relazione alla quantità di traffico sulla rete, può raggiungere livelli
notevoli. Da questo punto di vista il design del software ricopre un ruolo critico.
Molte appliance UTM si limitano semplicemente a raggruppare più funzioni di sicurezza, spesso realizzate da
vendor differenti, senza prestare alcuna attenzione alle implicazioni a livello di elaborazione. Queste funzioni
operano generalmente in maniera indipendente una dall'altra, con la conseguenza che non è possibile
utilizzare le informazioni raccolte da un layer per ottimizzare le operazioni degli altri livelli (si veda la Figura 2).
Prima di giungere a destinazione, il traffico legittimo viene spesso trattato inutilmente più volte dalle varie
funzioni di sicurezza, con un forte impatto negativo sulle performance. Il degrado delle prestazioni spesso non
appare evidente dalle specifiche dell'appliance, in quanto i dati riportano generalmente le prestazioni massime
di ogni applicazione operante singolarmente mentre le altre funzioni sono disabilitate oppure sono regolate al
minimo. Inoltre, la configurazione dell'insieme può essere estremamente complessa e le informazioni fornite
dalle varie funzioni possono risultare disomogenee.
Figura 2. Soluzioni Unified Threat Management composte da funzionalità di sicurezza separate
Singoli punti di guasto
Le appliance UTM combinano in un unico dispositivo diverse funzioni di sicurezza, con il rischio che se il
dispositivo subisce un guasto tutte le funzioni possono venire a mancare contemporaneamente. Per tale
ragione molte aziende optano per implementare le loro soluzioni UTM in configurazioni ad alta disponibilità
(HA, High Availability).
[email protected]
www.watchguard.com
Quali caratteristiche dovrebbe avere la soluzione UTM ideale?
Per fornire una protezione realmente completa, una soluzione UTM dovrebbe essere proattiva, integrata e
articolata su più strati differenti, fornendo:
•
•
•
Protezione multi-layer sull'intera rete
Protezione basata su segnature contro virus, spyware e intrusioni a livello del gateway di rete
Difese specifiche contro spam e URL sospetti
Protezione multi-layer
Le funzioni di sicurezza multi-layer effettuano analisi approfondite e proattive sui flussi di dati e condividono le
informazioni relative al traffico sospetto tra i vari layer:
•
•
•
Rilevamento delle anomalie di protocollo - Utilizzo di standard Internet per il traffico dati allo scopo di rilevare
l'esistenza di traffico non conforme e isolare le minacce
Analisi comportamentale - Identificazione e blocco degli host che presentano comportamento sospetti
Ricerca di schemi - Identificazione ed eliminazione dal sistema delle tipologie di file note per diffondere virus e
altri attacchi
WatchGuard® Unified Threat Management: più sicurezza e prestazioni
L'architettura Intelligent Layered Security
L'architettura Intelligent Layered Security (ILS) che costituisce il nucleo della famiglia di appliance UTM
WatchGuard® Firebox® X, fornisce un'efficace protezione proattiva alle aziende in crescita. Grazie al ricorso
generalizzato a comunicazioni dinamiche tra i layer, l'architettura ILS assicura la protezione ottimale
massimizzando al tempo stesso le performance di sistema.
L'architettura WatchGuard ILS è articolata su sei strati (layer) di sicurezza che cooperano dinamicamente fra
loro per identificare, bloccare e notificare il traffico sospetto lasciando filtrare il traffico legittimo nella maniera
più efficiente possibile. In questo modo la soluzione di sicurezza è in grado di fornire una difesa efficace contro
minacce note e ignote garantendo la massima protezione con il minimo impatto sulle performance della rete.
Ecco una breve descrizione dei singoli layer:
•
Servizi di sicurezza esterni - forniscono le tecnologie per estendere la protezione della rete al di là del
firewall
•
Funzioni per l'integrità dei dati - verificano l'integrità dei pacchetti di dati e la conformità dei protocolli da essi
utilizzati
•
VPN (Virtual Private Network) - assicurano comunicazioni private e protette con l'esterno
•
Firewall a filtraggio dinamico - limita il traffico alle risorse, alle destinazioni e alle porte autorizzate dalle
policy di sicurezza in vigore
[email protected]
www.watchguard.com
•
Funzionalità per l'esame delle applicazioni - assicurano la conformità agli standard di protocollo per il layer
applicativo respingendo i file sospetti in base al pattern o alla tipologia, bloccando i comandi pericolosi e
modificando i dati in modo da impedire la trasmissione di informazioni critiche riguardanti il sistema
•
Funzioni per la protezione dei contenuti - analizzano e limitano il traffico ai contenuti appropriati. Questo
layer incorpora tecnologie basate sul riconoscimento della firma (signature) quali Gateway AntiVirus e
Intrusion Prevention oltre a funzionalità per il blocco dello spam e il filtraggio degli URL.
Per maggiori informazioni sui singoli layer si consiglia la lettura del white paper intitolato "Introducing the
WatchGuard Intelligent Layered Security Architecture: Better Security for the Growing Enterprise".
WatchGuard Unified Threat Management:
protezione contro gli attacchi fin dal giorno zero (Zero Day Protection)
Sicurezza ottimale: ecco come
Il layer delle funzionalità per l'esame delle applicazioni (si veda la Figura 3) incorpora diverse capacità che
forniscono una protezione immediata contro varie tipologie di attacchi fin dal giorno zero. Di seguito viene
fornita la descrizione di tali funzionalità e del tipo di minaccia per il quale forniscono protezione:
Rilevamento delle anomalie di protocollo
I protocolli definiscono il modo in cui deve essere effettuato lo scambio di dati tra due sistemi nel caso in cui
tutto proceda secondo i piani. Poiché alcuni server non gradiscono l'invio di traffico malformato, in molti casi gli
hacker violano intenzionalmente i protocolli del layer applicativo per lanciare attacchi DoS o, peggio ancora,
per ottenere l'accesso al server in modalità root. Facendo rispettare quanto previsto dagli standard o dalle
RFC dei protocolli, le soluzioni WatchGuard sono in grado di impedire questo tipo di attacchi. Oltre alle
violazioni a livello di protocollo, questa tecnica permette anche di identificare la presenza di argomenti illegali
nei comandi e di impedire molte situazioni di buffer overflow.
Ricerca di schemi
Per essere efficace, il malware deve arrivare su un computer ed essere lanciato in esecuzione: ciò significa
che deve essere inserito in un tipo di file eseguibile sul computer di destinazione. Attraverso il blocco delle
tipologie MIME e di file utilizzate per trasportare il malware (.exe, .pif, .scr, ecc.), il layer delle funzioni per
l'esame delle applicazioni è in grado di impedire alle minacce di raggiungere la rete.
In molti casi, tuttavia, le aziende devono poter far entrare in rete file potenzialmente pericolosi, come .exe o
.dll, provenienti da fonti verificate. Esempi di tali file possono essere rappresentati dagli aggiornamenti
software forniti da Microsoft oppure dai driver di stampa di Hewlett Packard. Le soluzioni WatchGuard possono
essere configurate in modo da identificare le fonti verificate permettendo di importare tipologie di file
considerate altrimenti pericolose.
[email protected]
www.watchguard.com
Figura 3: Architettura Intelligent Layered Security e UTM
Limitazione dei comandi
I protocolli applicativi contengono comandi o verbi, alcuni dei quali vengono utilizzati per inviare e ricevere dati;
tuttavia, molti di essi sono comandi amministrativi che nella maggior parte dei casi non dovrebbero essere
eseguiti al di fuori della rete. Attraverso il blocco di comandi potenzialmente pericolosi, come FTP SITE e SMTP
DEBUG, le soluzioni Firebox X sono in grado di impedire totalmente questo tipo di attacchi.
Mascheramento
Il mascheramento permette di nascondere alle sonde degli hacker informazioni critiche riguardanti i server. Ad
esempio, con il protocollo SMTP è possibile mascherare i nomi dei domini, occultare il tipo di mail server e il
livello di patch, e rimuovere informazioni dagli identificativi dei messaggi e dalle stringhe di delimitazione MIME.
In questo modo gli hacker non sono in grado di identificare i singoli server e indirizzare contro di essi attacchi
mirati.
Filtraggio/blocco degli header
Esiste un altro tipo di attacco, che si fonda sulla creazione di header malformati per sfruttare le vulnerabilità di
implementazioni server realizzate in maniera inadeguata. Il meccanismo di filtraggio/blocco degli header
consente di evitare questo pericolo.
Oltre a fornire una protezione immediata contro una vasta gamma di tipologie di attacchi, queste capacità sono
[email protected]
www.watchguard.com
basate su decisioni in materia di standard e policy chiaramente definite, in modo tale da evitare di introdurre il
problema dei falsi positivi.
Identificazione e blocco proattivo dell'origine dell'attacco
Questo meccanismo consente di identificare gli hacker sia prima del lancio di un attacco (attraverso il loro
comportamento), sia al primo lancio effettivo. In questo modo risulta possibile rispondere dinamicamente al
comportamento o all'attacco attraverso il blocco dell'indirizzo IP da cui proviene la minaccia. Il blocco di un
indirizzo IP è un meccanismo estremamente semplice che consente di minimizzare le attività di elaborazione
necessarie per difendersi da attacchi ripetuti. Rendendo possibile l'identificazione di un comportamento
sospetto prima ancora del lancio di un attacco, questo meccanismo è in grado di proteggere gli utenti anche
contro minacce di nuovo genere o totalmente ignote.
Identificazione e blocco dell'origine dell'attacco: come funziona
Identificazione degli attacchi
La vera forza dell'architettura WatchGuard ILS consiste nella sua intelligenza distribuita. Oltre a bloccare gli
attacchi per i quali è stato concepito, ciascun layer possiede la capacità di identificare e notificare l'indirizzo IP
di un sito da cui proviene un attacco. Questa capacità si applica a diverse tipologie di attacchi come, ad
esempio, attacchi DoS, opzioni IP, violazioni di un protocollo come SMTP (attacchi basati su PAD-Protocol
Anomaly Detection) o persino attacchi bloccati dall'engine AV/IPS (AntiVirus/Intrusion Prevention Service)
WatchGuard Gateway.
Identificazione del comportamento dell'attaccante
Un attaccante può essere identificato anche attraverso il suo comportamento prima del lancio dell'attacco vero
e proprio. L'università di Tel Aviv ha scoperto una corrispondenza del 96,3% tra le scansioni effettuate e gli
attaccanti identificati. In altri termini, praticamente ogni scansione è stata seguita da un attacco proveniente
dalla stessa fonte.(2) I comportamenti che l'architettura ILS è attualmente in grado di identificare sono:
•
•
•
Scansione delle porte
Scansione degli indirizzi
Utilizzo di opzioni IP, spoofing e source routing
Blocco dell'origine dell'attacco
Il meccanismo di blocco dell'origine dell'attacco esamina i report relativi agli attacchi eseguiti o al
comportamento dell'attaccante bloccando dinamicamente gli indirizzi IP identificati per un periodo di tempo
programmabile. Questa tecnica risulta particolarmente efficace per:
•
•
Bloccare tool di attacco automatici - Il firewall e i sistemi protetti semplicemente scompaiono
dall'orizzonte dell'attaccante
Ridurre l'elaborazione - Nei successivi attacchi provenienti dalla stessa fonte, la funzione si limita
semplicemente a bloccare l'indirizzo IP coinvolto
Il firewall può anche essere configurato manualmente in modo da ignorare tutto il traffico su determinate porte
oppure proveniente da specifici indirizzi IP.
[email protected]
www.watchguard.com
Minimizzazione dei falsi positivi
È un fatto noto che le tecnologie basate sull'identificazione delle segnature, come le capacità antivirus a livello
di gateway e le funzioni per la prevenzione delle intrusioni, sono soggette al fenomeno dei falsi positivi, ovvero
di traffico legittimo erroneamente identificato come attacco. Dal punto di vista statistico, a parità di altri fattori, la
probabilità del verificarsi di un falso positivo è direttamente proporzionale al volume di dati sottoposti a
scansione e al numero di segnature utilizzate. Con l'architettura WatchGuard ILS, i layer collaborano fra loro
riducendo sia il volume dei dati sottoposti a scansione sia il numero di firme impiegate.
Capacità antivirus a livello di gateway e funzionalità per l'esame delle applicazioni
Le funzionalità complete per l'esame delle applicazioni incorporate nell'architettura WatchGuard ILS sono in
grado di rilevare gli attacchi facendo rispettare gli standard dei protocolli e bloccando tipologie di file
notoriamente pericolose, un metodo questo non soggetto al fenomeno dei falsi positivi. In tal modo è possibile
ridurre significativamente il numero di file da sottoporre a scansione da parte dell'engine del Gateway AV
basato sull'identificazione della firma (signature), diminuendo la probabilità di false rilevazioni di virus.
Le funzioni per la prevenzione delle intrusioni dell'architettura ILS
In un tipico sistema standalone per la prevenzione delle intrusioni come Snort, tutte le possibili forme di attacco
sono contraddistinte da una specifica firma (signature): in pratica, a ogni attacco condotto corrisponde una firma
particolare. Questo approccio fa si che il database Snort contenga all'incirca 6.000 segnature.
Nell'architettura ILS, la maggior parte degli attacchi viene bloccata dagli altri layer, da quello per l'integrità dei
dati fino a quello delle funzionalità per l'esame delle applicazioni. Ciò significa che il numero totale di segnature
richiesto per beneficiare del medesimo livello di protezione nell'engine IPS del layer relativo alle funzioni per la
protezione dei contenuti è di gran lunga inferiore, attualmente un migliaio circa.
Il layer delle funzionalità per l'esame delle applicazioni è anche in grado di identificare molti dei protocolli
elaborati e passare tale informazione all'engine IPS. In questo modo l'engine può ridurre ulteriormente il
numero di segnature da utilizzare per una particolare scansione (ad esempio, la scansione del traffico SMTP
svincolata dalle porte richiede unicamente l'impiego del subset di firme SMTP).
Nel complesso, l'interazione tra capacità di scansione proattiva e reattiva si traduce nella riduzione non soltanto
della quantità di traffico sottoposto ad analisi, ma anche nel numero di firme utilizzate per ogni scansione, con
la conseguenza di diminuire drasticamente il tasso di falsi positivi.
Migliori prestazioni: ecco come
Le performance di un'appliance UTM sono difficili da misurare in quanto dipendono da fattori variabili quali il mix
di traffico, la complessità delle regole utilizzate dal firewall, il numero di tunnel VPN e il numero e il tipo di servizi
abilitati, quali le funzioni antivirus e antispam a livello di gateway.
Per tale ragione i vendor UTM forniscono tipicamente per ciascun servizio o funzione proposta le specifiche
relative alla situazione ottimale, in modo tale da presentare al cliente il quadro prestazionale più favorevole. Ad
esempio, le performance delle funzioni antivirus a livello di gateway vengono misurate generalmente con una
configurazione minima del firewall e tutti gli altri servizi disabilitati.
[email protected]
www.watchguard.com
Questo atteggiamento rende difficoltoso il confronto delle reali performance delle appliance UTM rispetto alle
specifiche fornite. Infatti, se è vero che si possono confrontare le performance di un particolare servizio o
funzione con le specifiche fornite dal fabbricante, è altrettanto vero che l'effetto delle comunicazioni cooperative
tra i vari servizi e funzioni disponibili può influenzare significativamente le performance complessive e questo
elemento generalmente non viene calcolato.
Attraverso l'attenta progettazione delle interazioni tra i vari layer di sicurezza, l'architettura WatchGuard ILS è in
grado di ottimizzare le performance reali dell'appliance UTM. I tre principi di progettazione utilizzati sono i
seguenti:
1 - Ordine dell'elaborazione
L'engine ILS è progettato in modo da ridurre al minimo l'elaborazione effettuata su ogni stream di traffico allo
scopo di rilevare eventuali attacchi. Attacchi di tipo semplificato facilmente identificabili, come quelli DoS o
basati su pacchetti malformati, vengono bloccati per primi. Ciò significa che la quantità di traffico che raggiunge
processi a più alto tasso di elaborazione, come l'engine Intrusion Prevention, è considerevolmente inferiore. Un
altro vantaggio derivante da un ordine di elaborazione appropriato è rappresentato dalla riduzione del numero
di segnature necessarie per una prevenzione efficace delle intrusioni. Il confronto delle firme rappresenta infatti
una delle funzioni a più alto tasso di elaborazione per un'appliance UTM.
2 - Scambio dì informazioni tra i layer
In molte appliance UTM le funzioni di sicurezza operano in maniera indipendente le une dalle altre, pertanto
manca completamente quell'integrazione che consente alle informazioni relative al traffico acquisite da una
funzione di essere utilizzate proficuamente dagli altri servizi. Ciò significa che il traffico legittimo viene spesso
inutilmente elaborato più volte da funzioni differenti. L'architettura Intelligent Layered Security, invece, è in
grado di passare le informazioni tra i layer alleggerendo e affinando il processo di elaborazione effettuato dalle
funzioni di sicurezza.
Il layer delle funzionalità per l'esame delle applicazioni passa le informazioni di protocollo relative a un
particolare stream di traffico all'engine IPS, il quale utilizza soltanto il subset di segnature applicabili a quel
protocollo invece di impiegare l'intero set di firme, rendendo la scansione di gran lunga più efficiente. Ad
esempio, per quanto concerne la scansione SMTP, viene utilizzato meno del 20% del migliaio circa di
segnature presenti nel set di firme IPS.
3 - Blocco dinamico dell'origine dell'attacco
La maggioranza degli attacchi viene effettuata da tool automatici. Questi tool di attacco tipicamente conducono
la scansione di una rete alla ricerca di eventuali vulnerabilità prima di lanciare l'attacco vero e proprio. Con
l'eccezione degli attacchi DDoS e dello spam, anche gli attacchi che seguono provengono generalmente da un
unico indirizzo IP.
La capacità dell'architettura ILS di rilevare le scansioni in atto oltre agli attacchi veri e propri e di utilizzare tali
informazioni per bloccare i siti di origine riduce drasticamente il carico cui è sottoposto il sistema sotto attacco.
In pratica vengono elaborati soltanto la prima scansione o il primo attacco effettivo, in quanto con l'attivazione
del meccanismo di blocco tutto il traffico successivo proveniente dall'origine dell'attacco viene semplicemente
bloccato per un periodo di tempo programmabile, persino sulle porte accessibili da parte degli utenti legittimi.
Non è dunque necessaria alcuna ulteriore elaborazione per analizzare gli attacchi successivi.
[email protected]
www.watchguard.com
WatchGuard Unified Threat Management: i servizi
I servizi di sicurezza WatchGuard sono parte integrante del layer relativo alle funzioni per la protezione dei
contenuti dell'architettura ILS. I servizi attualmente disponibili sono: funzionalità antivirus a livello di gateway,
funzioni di prevenzione delle intrusioni basate sul riconoscimento della firma (signature), funzioni anti-spam,
filtraggio degli URL e funzioni anti-spyware.
Gateway AntiVirus/Intrusion Prevention Service con capacità anti-spyware
Questo servizio combina due capacità, illustrate di seguito:
Capacità Gateway AntiVirus
Identifica e blocca worm, spyware e Trojan horse all'interno degli allegati di posta elettronica, eliminando le
minacce in entrata o in uscita dalla rete che tentano di rilasciare payload pericolosi. Si raccomanda l'impiego
della funzione Gateway AntiVirus in combinazione con applicazioni AV a livello desktop, in quanto ciò consente
di beneficiare di due importanti vantaggi:
1. A differenza delle applicazioni AV per desktop, questa funzione non può essere disabilitata da nuovi
virus in quanto basata su gateway
2. Le funzioni AV Gateway AntiVirus e quelle basate su desktop cooperano fra loro abbassando il tempo
medio di risposta agli aggiornamenti delle segnature rispetto al loro impiego separato, in quanto la
prima funzione a reagire può essere indifferentemente una delle due.
L'integrazione della funzione Gateway AntiVirus con gli altri layer di sicurezza che compongono l'architettura
ILS offre altri importanti vantaggi:
Efficienza - Il servizio Gateway AntiVirus effettua la scansione soltanto dei file che non sono stati bloccati dalle
funzionalità per l'esame delle applicazioni e per la ricerca di schemi di riferimento, con la conseguenza di ridurre
drasticamente il numero dei file da analizzare.
Controllo più granulare - Il servizio Gateway AntiVirus è in grado di identificare i virus nelle tipologie di file
consentite dalle funzionalità per l'esame delle applicazioni, come i formati .zip, .doc, ecc.
Il servizio WatchGuard Gateway AntiVirus permette di classificare i file infetti come autorizzati, respinti o
"congelati". Il "congelamento" (locking) dei file è una peculiarità dell'approccio WatchGuard, che risponde
all'esigenza di quegli utenti che desiderano conservare i file infetti, una situazione difficile da gestire per la
maggior parte degli amministratori di sistema. La soluzione più comune è rappresentata dalla messa in
quarantena, nella quale l'amministratore definisce un server specifico su cui il servizio Gateway AntiVirus
trasferisce i file infetti. Ciò significa comunque che l'amministratore di sistema deve configurare un server
separato, definire una specifica policy di conservazione (per quanto tempo devono essere conservati i file
infetti?) e monitorare costantemente lo spazio disponibile su disco per far si che il server non sia posto fuori
combattimento da un virus.
La funzione di locking dei file sviluppata da WatchGuard fornisce invece un'alternativa intelligente. Quando un
file viene classificato come infetto, esso può essere crittografato e inviato comunque al destinatario. La cifratura
ne impedisce l'esecuzione accidentale ma allo stesso tempo offre all'utente finale la possibilità di decifrarlo e
[email protected]
www.watchguard.com
bonificarlo mediante uno speciale tool fornito dall'amministratore di sistema. Questo approccio allevia il carico di
lavoro dell'amministratore, in quanto è l'utente che decide se cancellare semplicemente il file, per quanto tempo
conservarlo, oppure cercare di ripulirlo.
Il database WatchGuard Gateway AntiVirus contiene le firme relative a virus, spyware, worm e Trojan horse,
compresi un campionario dei virus e l'elenco delle minacce definite dalla WildList Organization. È supportata
una vasta gamma di algoritmi di compressione/decompressione, mentre la distribuzione delle segnature
avviene in automatico. I controlli dell'aggiornamento delle segnature possono essere programmati a intervalli
desiderati. Il nostro obiettivo di risposta temporale alla minaccia è di otto ore, un valore significativamente
migliore rispetto alla media del settore.
Capacità Intrusion Prevention
La funzione WatchGuard Intrusion Prevention fornisce protezione in-line contro gli attacchi conformi agli
standard di protocollo ma recanti contenuti pericolosi. Si tratta di un servizio basato sul riconoscimento della
firma (signature) che è stato progettato per fornire protezione contro una vasta gamma di attacchi tra cui
scripting cross-site, overflow dei buffer e inserzioni di codice SQL.
I due principali problemi che caratterizzano la maggior parte dei sistemi in-line per la prevenzione delle
intrusioni sono costituiti dalla velocità di esecuzione e dai falsi positivi. La stretta integrazione della funzione
WatchGuard Intrusion Prevention con gli altri layer dell'architettura ILS garantisce sostanziali vantaggi in queste
due aree:
•
Poiché gli altri layer dell'architettura ILS sono in grado di bloccare fino al 70-80% degli attacchi (da
questo punto di vista le funzioni per l'esame delle applicazioni risultano particolarmente efficaci), non è
necessario utilizzare le segnature relative agli attacchi già bloccati, con la conseguenza di ridurre
drasticamente il numero di firme necessarie e accrescere la velocità di elaborazione diminuendo
contemporaneamente le probabilità di falsi positivi (le probabilità di falsi positivi aumentano
statisticamente con il crescere del volume dei dati sottoposti a scansione e del numero di segnature
utilizzate).
•
Poiché il layer delle funzioni per l'esame delle applicazioni è in grado di riconoscere i protocolli, può
comunicare al servizio Intrusion Prevention il tipo di protocollo utilizzato. La funzione Intrusion
Prevention Service deve dunque effettuare la scansione del traffico utilizzando soltanto le segnature
applicabili a quel particolare protocollo. Nel caso, ad esempio, del protocollo SMTP, ciò significa ridurre
il numero di segnature da utilizzare dal migliaio disponibile a sole sei firme, velocizzando notevolmente
l'elaborazione e riducendo le probabilità di falsi positivi.
•
Poiché il servizio Intrusion Prevention è in grado di rilevare l'attivazione della funzione di blocco degli
indirizzi, è necessario analizzare soltanto il primo attacco proveniente da un particolare indirizzo IP,
mentre tutti gli attacchi successivi aventi la medesima origine verranno bloccati automaticamente senza
accrescere significativamente il carico del firewall. Le proposte concorrenti, invece, sono costrette ad
analizzare singolarmente ogni attacco sprecando preziosa capacità di calcolo e abbassando il
throughput.
•
Il servizio Intrusion Prevention è in grado di bloccare in maniera selettiva servizi IM (Instant Messaging)
come AIM, Yahoo, IRC e MSN Messenger. In questo modo è possibile implementare una protezione
efficace contro molteplici minacce IM, compresi gli attacchi in cui un malintenzionato tenti di assumere il
[email protected]
www.watchguard.com
controllo di una macchina equipaggiata di client IM e i virus che infettano i file attraverso l'IM.
Applicazioni P2P (Peer-To-Peer) come Napster, GNUtella, Kazaa, Morpheus, BitTorrent, eDonkey2000 e
Phatbot possono essere bloccate facilmente. L'utilizzo di questo genere di applicazioni presenta due problemi:
•
•
Il consumo di bandwidth preziosa altrimenti utilizzabile per attività operative
Il fatto di essere un vettore noto per la trasmissione di spyware (Kazaa in particolare)
Attraverso il blocco delle applicazioni P2P, WatchGuard elimina completamente questi due problemi.
Il servizio Intrusion Prevention è in grado anche di rilevare e bloccare le comunicazioni spyware outbound
indirizzate verso host esterni impedendo la trasmissione di dati sensibili da parte dei programmi spyware.
Questa attività può essere registrata oppure notificata immediatamente all'amministratore di sistema, il quale
può identificare e ripulire le macchine infette.
L'engine proprietario Intrusion Prevention di WatchGuard è strettamente integrato con le altre funzioni del
firewall ed è in grado di generare messaggi di log completi totalmente integrati nel sistema di logging.
Capacità anti-spam
Lo spam assomma attualmente a oltre il 63% di tutto il traffico e-mail e costituisce un problema prioritario per la
maggior parte delle aziende. Il servizio WatchGuard spamBlocker utilizza la tecnologia RPD™ (Recurrent
Pattern Detection) Commtouch® per attuare un'efficace azione di rilevamento in tempo reale che garantisce
una protezione completa contro lo spam. Anziché esaminare contenuti e parole chiave, questa tecnologia
analizza in tempo reale grandi volumi di traffico Internet per rilevare i componenti ripetitivi caratteristici di ogni
attacco non appena vengono identificati. In questo modo vengono campionati quasi 500 milioni di messaggi al
giorno e i sofisticati algoritmi utilizzati permettono di rilevare, identificare e classificare le nuove minacce con un
ritmo tipicamente di 1-2 casi al minuto. Questi algoritmi sono anche in grado di distinguere grandi quantità di email legittime dallo spam. La funzione spamBlocker utilizza questa tecnologia per fornire una protezione
sempre aggiornata contro gli attacchi spam provenienti da aziende sospette definite in tempo reale dal
Commtouch® Detection Center (che possiede 20.000.000 di classificazioni spam). Questa tecnologia offre
quattro vantaggi chiave:
•
•
•
•
Tempi di reazione estremamente brevi alle nuove minacce
Tasso di falsi positivi pressoché irrilevante - si tratta del miglior servizio del settore per quanto riguarda
la capacità di distinguere in tempo reale le comunicazioni legittime dagli attacchi spam
Alto tasso di identificazione dello spam - blocco effettivo del 97% dei messaggi indesiderati
Indipendenza dalla lingua - lo spam viene bloccato efficacemente indipendentemente dalla lingua, dal
contenuto o dal formato del messaggio
La funzione WatchGuard spamBlocker utilizza diverse tecniche per ottimizzare le performance. I contenuti e gli
allegati dei messaggi non vengono inviati al centro di rilevamento; le caratteristiche peculiari dello spam
vengono invece elaborate localmente e viene effettuato unicamente l'invio di questi dati. L'intero processo di
elaborazione/query/risposta richiede normalmente meno di 300 millisecondi e la funzione spamBlocker dispone
anche di una cache locale per velocizzare l'identificazione delle minacce correnti. La funzione supporta inoltre
l'uso di whitelist e blacklist per gestire la posta in arrivo da domini fidati.
[email protected]
www.watchguard.com
Capacità di filtraggio degli URL
Il servizio di filtraggio degli URL WatchGuard WebBlocker permette di definire non soltanto chi ha accesso al
Web e chi no, ma anche il tipo di accesso Web consentito. Grazie al set di intuitivi controlli integrati di
WatchGuard System Manager, è possibile selezionare rapidamente le categorie di pagine Web cui gli utenti
possono accedere e in quali intervalli orari. La funzione WebBlocker utilizza database ed engine locali di
SurfControl™, leader globale nel filtraggio Web, per garantire la categorizzazione più accurata e la copertura
più completa.
La funzione WebBlocker utilizza numerose categorie per bloccare efficacemente i contenuti di rete
inappropriati; ad esempio, il blocco dei contenuti di natura pornografica contribuisce efficacemente
all'applicazione della policy aziendale in materia di molestie sul luogo di lavoro, mentre il blocco dei contenuti di
carattere sportivo contribuisce ad accrescere la produttività.
Grazie alle liste delle eccezioni programmabili, all'autenticazione personale e alla possibilità di definire le policy
di accesso in base all'orario, è facile applicare in maniera efficiente le policy IT. La funzione WebBlocker
contribuisce anche a proteggere reti e utenti finali da virus, worm, attacchi phishing e spyware impedendo
l'accesso a siti noti per essere fonti di diffusione di queste applicazioni pericolose.
Capacità anti-spyware
La protezione dallo spyware non è attualmente implementata come servizio separato, ma la relativa tecnologia
è integrata sia nel servizio GAV/IPS (Gateway Anti-Virus and Intrusion Prevention Service) sia nella funzione
WebBlocker. Nell'architettura ILS la tecnologia anti-spyware è articolata su diverse componenti:
•
•
•
•
•
Blocco degli URL fonti di spyware (WebBlocker)
Rilevamento e blocco di download e installazioni "drive-by" di spyware (GAV/IPS)
Rilevamento e blocco delle comunicazioni spyware in uscita verso host pericolosi (GAV/IPS)
Blocco della diffusione dello spyware mediante file tipo .zip ed .exe
Blocco di cookie e controlli Microsoft® ActiveX® (funzionalità per l'esame delle applicazioni)
Per massimizzare la protezione fornita si raccomanda l'uso tanto del servizio Gateway AntiVirus/Intrusion
Prevention con capacità anti-spyware quanto della funzione WebBlocker.
Le capacità anti-spyware del servizio Gateway AntiVirus and Intrusion Prevention
Il servizio Gateway AntiVirus possiede la capacità di rilevare e bloccare la distribuzione "drive-by" dello spyware
ed è in grado di rilevare e bloccare le comunicazioni spyware in uscita verso host pericolosi, impedendo ai
programmi che registrano tutti i tasti digitati dall'utente e ad altre tipologie di malware di comunicare con la loro
origine.
Questi meccanismi per il rilevamento e il blocco dello spyware sono anche in grado di attivare la capacità di
blocco dell'origine dell'attacco propria dell'architettura ILS. Le azioni condotte dai programmi spyware vengono
monitorate e registrate e sono disponibili a scopo di reporting per consentire all'amministratore di sistema di
identificare e ripulire le macchine infette. La protezione viene aggiornata costantemente attraverso gli update
delle segnature GAV/IPS.
[email protected]
www.watchguard.com
Le capacità anti-spyware della funzione WebBlocker
Il database della funzione WebBlocker contiene oltre 9.000 URL noti come fonti di spyware ed è dunque in
grado di impedire efficacemente l'accesso a quei siti dove è possibile scaricare spyware accidentalmente o
deliberatamente.
Protezione contro un nemico sofisticato
L'evoluzione delle policy tradizionali per la sicurezza delle reti in soluzioni Unified Threat Management complete
assicura un livello di protezione finora impossibile da implementare nelle reti aziendali. Con la continua
comparsa di minacce di rete sempre più sofisticate, questo approccio alla sicurezza di tipo integrato e
stratificato comprendente l'architettura ILS, servizi basati sul riconoscimento delle segnature e funzionalità di
filtraggio degli URL, fornisce la protezione più completa per qualunque infrastruttura di rete in espansione.
Per maggiori informazioni riguardo le WatchGuard Security Solutions è possibile visitare l'indirizzo
www.watchguard.com oppure contattare il rivenditore più vicino.
(1) SANS Institute, "The Most Critical New Vulnerabilities Discovered or Patched During the First Quarter of
2005", maggio 2005
(2) Network World, 25 agosto 2003
WEB:
www.watchguard.com
E-MAIL:
[email protected]
Italia:
011-9542227
FAX:
011-9542228
WatchGuard Technologies, Inc.
WatchGuard fornisce soluzioni per la sicurezza delle reti. Con la famiglia di appliance espandibili Firebox X, è in
grado di rispondere alle esigenze di organizzazioni di ogni dimensione grazie alla potenza offerta in termini di
performance, funzionalità e sicurezza. L'architettura Intelligent Layered Security di WatchGuard offre una protezione
efficace contro le minacce emergenti e fornisce una piattaforma in grado di integrare i servizi aggiuntivi offerti dalla
società. Tutti i prodotti WatchGuard sono corredati dall’abbonamento al servizio LiveSecurity, che fornisce agli utenti
allarmi sulla vulnerabilità, aggiornamenti software, istruzioni sulla sicurezza forniti da esperti e assistenza al cliente
personalizzata e autonomamente gestibile. La sede centrale di WatchGuard si trova a Seattle, Washington, mentre
uffici sono presenti in tutta Europa e in Asia. Per maggiori informazioni visitare il sito www.watchguard.com.
Informazioni
Per maggiori informazioni è possibile visitare il sito Web all'indirizzo www.watchguard.com alla email
[email protected] oppure contattare il rivenditore più vicino.
Non viene fornita alcuna garanzia implicita o esplicita per le informazioni contenute nel presente documento.
Tutte le specifiche sono soggette a cambiamenti e qualunque futuro prodotto o funzionalità previsti verranno
rilasciati se e quando effettivamente disponibili.
© 2006 WatchGuard Technologies Inc. Tutti i diritti riservati. WatchGuard, il logo WatchGuard, Firebox, Core e
LiveSecurity sono marchi o marchi registrati di WatchGuard Technologies Inc. negli Stati Uniti e/o in altri
Paesi. Tutti gli altri marchi citati appartengono ai rispettivi proprietari.
[email protected]
www.watchguard.com

watchguard e l`unified threat management: analisi - APC

Transcript

Documenti analoghi

datasheet - Kinetic Solutions

WatchGuard Application Control

WebBlocker - Kinetic Solutions

WatchGuard® XTM 1520, 1525 e 2520 Foglio dati

Curriculum di Antonio Capelli

Attacchi di squalo: problema reale o fenomeno

Protezione zero-day avanzata con APT Blocker

N08 Analisi del quadro normativo Italiano

Equipaggiamento Moto Grand Dink 125 150 250 (00 > 07)