Система проверки сети улучшает безопасность продуктов Microsoft Security Essentials и TMG Firewall

Возможно, вы слышали старую присказку о том, ‘что единственным способом надежной защиты сети является отключение всех сетевых кабелей от своих разъемов Ethernet’. Хотя это ироничная присказка и такой способ не будет работать в современном мире беспроводных сетей, суть заключается в том, что если один компьютер способен взаимодействовать с другим компьютером (или компьютерным устройством, например, КПК, смартфоном и т.д., что значительно увеличивает объем подключенных к сети устройств), всегда есть вероятность того, что одна из машин скомпрометирует другую машину. Конечно, для компрометации вовсе не обязательно иметь сеть Ethernet или даже wi-fi, так как средства атаки могут передаваться с одного устройства на другое с помощью съемных носителей информации (CD, DVD, дискет, USB, и т.д.). Что же касается беспроводных сетей, то учитывая значительный рост популярности wi-fi и сетей сотовой связи (3G, 4G), будущее сетевых атак, скорее всего, будет иметь больший потенциал «в эфире».

Независимо от среды, по которой осуществляется атака, вполне понятно, что нам всем нужна защита от таких атак. В ранние дни сетевых технологий вредоносные программы использовали простые атаки с целью нарушения нормальной работы (DoS) для вмешательства и препятствия работе систем. По мере того, как плохие сетевые парни становились все изощреннее (и, возможно, эгоистичнее), они начали тратить все больше своего «ценного» времени на повреждение веб-сайтов. Затем интернет начал получать все большее распространение и все больше действительной работы стало проходить в глобальной сети, и криминальные элементы (отдельные лица и организации) смогли использовать новые возможности для получения прибыли от своих преступлений, а также объединять усилия хакеров для незаметной компрометации устройств, чтобы можно было похищать данные (включая промышленные секреты предприятий и учетные данные пользователей) незаметно. С ростом сложности сетевых технологий росла и сложность угроз, от которых нужно защищаться.

Проверка сетевого трафика

Существует несколько способов защиты от сегодняшних изощренных взломщиков. Одним из эффективных способов является применение технологий в сети и ОС машин, которые могут осуществлять проверку трафика, предназначаемого для узла, нуждающегося в защите. Сетевые подходы обычно заключены в межсетевых экранах, расположенных на границах сетей, например, брандмауэр Forefront Threat Management Gateway (TMG), и используемых для многих задач.

Проблема подходов защиты на уровне сети (если они используются отдельно) заключается в том, что они, как правило, концентрируются на определенной точке в сети ‘ как правило на границе сети или непосредственно за ее границей. Например, брандмауэр TMG зачастую размещается за традиционным так называемым аппаратным межсетевым экраном ‘ такая конфигурация позволяет выделенному устройству межсетевого экрана выполнять базовые и простые проверки на наличие атак сетевого уровня старого образца, и это снижает ресурсоемкость обработки, проводимой брандмауэром TMG, который способен предоставить гораздо более сложную степень защиты, чем аппаратный межсетевой экран.

Поскольку из ценовых соображений просто невозможно разместить брандмауэр TMG на всех границах вашей сети, очень важно использовать защиту сетевого уровня на операционных системах самих узлов. Это обеспечивает защиту от интернет атак (обычно выполняемых пользователями, которые пытаются получить доступ к вредоносному контенту, поскольку узлы в интернете лишь в редких случаях способны создать подключение к узлам частной сети, если эти узлы не были предварительно скомпрометированы) и атак, осуществляемых с других узлов одной корпоративной сети, в которой такие другие узлы были взломаны и при любом удобном случае стараются распространить инфекцию или другой вредоносный код по сети.

Система проверки сети ‘ проверка прикладного уровня

Здесь на помощь приходит система проверки сети Network Inspection System (NIS). Система NIS – это ответ компании Microsoft на растущее число и многообразие сетевых атак. NIS была впервые представлена в брандмауэре Forefront Threat Management Gateway (TMG) и обеспечивала продвинутые сетевые средства IDS/IPS на границе корпоративной сети. Недавно в компании Microsoft расширили важную защиту, предоставляемую системой NIS на брандмауэре TMG, путем включения NIS в недавно выпущенный пакет Microsoft Security Essentials версии 2.0.

Учитывая растущее число атак прикладного уровня и создание новых типов атак на постоянной основе, группа Microsoft Research разработала анализатор Generic Application-level Protocol Analyzer (GAPA). GAPA включает язык спецификации протокола и механизм осмотра, который работает на потоках и снимках сети. GAPA позволяет создавать анализаторы сетевых протоколов быстрее и снижает время разработки, необходимое на создание анализаторов, а эти анализаторы интенсивно используются системой NIS.

Одна из основных проблем, с которой приходится сталкиваться сотрудникам безопасности сети, заключается в том, что взломщики обычно создают и запускают средства атаки для обнаруженных уязвимостей быстрее, чем разработчики приложений создают обновления безопасности. Если добавить ко времени, необходимому для разработки обновлений безопасности, время, которое требуется администраторам для проверки этих исправлений безопасности перед их установкой, становится очевидно, что сеть остается незащищенной в течение значительного времени после такого, как становится известно о новом средстве атаки.

Такие задержки оставляют компьютеры уязвимыми для атак, а в это время злоумышленники знают все об уязвимостях и стараются воспользоваться ими до того, как они исправлены. Система Network Inspection System уменьшает это временное окно уязвимости с недель до нескольких часов. Это значительное улучшение, которое и составляет основную разницу между сетью, продолжающей работать, и сетью, которая не работает из-за атак нулевого дня.

Исследованием уязвимостей и разработкой сигнатур занимается центр защиты от вредоносного кода Microsoft’s Malware Protection Center (MMPC). Что касается бюллетеней безопасности для исправления уязвимостей, система проверки сети помогает обеспечить немедленную защиту вскоре после того, как подробности уязвимости становятся публично известными. Цент MMPC также мгновенно реагирует на инциденты нулевого дня, выпуская NIS сигнатуры в кратчайшие сроки с момента их обнаружения. В настоящее время сигнатуры NIS помогают обнаружить уязвимости только в продукции Microsoft. Хотя это может быть воспринято, как ограничение при применении с брандмауэром TMG (так как TMG предназначен для защиты всей сети), это вовсе не является проблемой, когда система NIS включена в пакет Microsoft Security Essentials, так как MSE можно устанавливать только на машины под управлением ОС Windows.

Типы сигнатур NIS

Система проверки сети использует три типа сигнатур во время выполнения функций IDS/IPS:

• На основе уязвимостей (Vulnerability-based). Эти сигнатуры обнаруживают большинство типов средств атак определенной уязвимости.
• На основе средств атаки (Exploit-based). Эти сигнатуры обнаруживают определенное средство атаки какой-либо уязвимости.
• На основе политик (Policy-based). Это сигнатуры, используемые для общих задач аудита и разработаются в том случае, когда невозможно разработать сигнатуры двух предыдущих видов.

На данный момент мы не знаем, какие типы сигнатур используются в пакете Microsoft Security Essentials, поскольку пока что нет никакой публичной информации об этом. Мы лишь знаем, что в брандмауэре TMG используются все три типа сигнатур и все они включены по умолчанию. Обратите внимание, что сигнатуры на основе политик могут показаться бесполезными, так как они не обеспечивают защиты IPS, но они обеспечивают функциональность IDS, поэтому вы будете знать о возможном взломе системы в вашей сети и сможете принять соответствующие меры.

Протоколы прикладного уровня, поддерживаемые системой NIS

Система NIS может анализировать ряд протоколов прикладного уровня на наличие вредоносного кода. Хотя на сегодня существует огромное количество протоколов прикладного уровня, лишь немногие из них представляют собой значительный объем сетевого трафика. Из-за ограничений по времени на анализ такого типа в компании Microsoft уделили особое внимание следующим протоколам:

• HTTP
• DNS
• SMB
• SMB2
• NetBIOS
• MSRPC
• SMTP
• POP3
• IMAP
• MIME

После просмотра списка протоколов, думаю, вы согласитесь, что это наиболее часто используемые протоколы ‘ и они чаще используются злоумышленниками ‘ в интернете и частных сетях.

Компания Microsoft регулярно анализирует необходимость в поддержке дополнительных протоколов и будет добавлять поддержку других протоколов по мере необходимости. Если будут добавляться дополнительные протоколы, поддержка таких протоколов будет включаться при обновлении сигнатур. В большинстве случаев, поддержка нового протокола добавляется в силу того, что возникает уязвимость или средство атаки, которое может использовать этот протокол, и поэтому в большинстве случаев центр MMPC также будет выпускать сигнатуры для этих новых протоколов. Если вы используете брандмауэр TMG, вы можете посмотреть, какие протоколы используются сигнатурами путем группировки сигнатур по протоколам. Брандмауэр TMG обеспечивает администраторов сети большей информацией и контролем, а MSE скорее разработан для потребителей и малых предприятий, и поэтому его работа более транспарентна.

Заключение

Система проверки сети представляет собой IDS/IPS систему сетевого уровня, использующую GAPA язык для обеспечения быстрой разработки сигнатур NIS. Система NIS проводит проверку сетевого трафика для ряда наиболее распространенных протоколов, используемых в публичной и внутренней сети, и оценивает этот трафик на предмет потенциального вредоносного кода. NIS в настоящее время доступна в брандмауэре TMG, в котором она выполняет проверку исходящего и входящего интернет-трафика, и в пакете Microsoft Security Essentials, где она проводит осмотр трафика, входящего и исходящего с узлов Windows. NIS зависит от платформы Windows Filtering Platform, что означает, что она поддерживается в Windows Server 2008 и выше, и Windows Vista и выше. NIS концентрируется на уязвимостях Windows, что делает ее идеальным решением IDS/IPS для машин под управлением Windows. Все эти компоненты позволяют TMG и пакету Microsoft Security Essentials обеспечивать исключительный уровень сетевой безопасности для серверных и клиентских систем Windows.