Система проверки сети улучшает безопасность продуктов Microsoft Security Essentials и TMG Firewall

Может быть, вы слышали старенькую присказку о том, ‘что единственным методом надежной защиты сети является отключение всех сетевых кабелей от собственных разъемов Ethernet’. Хотя это ироническая присказка и таковой метод не будет работать в современном мире беспроводных сетей, сущность состоит в том, что если один компьютер способен вести взаимодействие с другим компом (либо компьютерным устройством, к примеру, КПК, телефоном и т.д., что существенно наращивает объем присоединенных к сети устройств), всегда есть возможность того, что одна из машин скомпрометирует другую машину. Естественно, для компрометации совсем не непременно иметь сеть Ethernet либо даже wi-fi, потому что средства атаки могут передаваться с 1-го устройства на другое при помощи съемных носителей инфы (CD, DVD, дискет, USB, и т.д.). Что все-таки касается беспроводных сетей, то беря во внимание значимый рост популярности wi-fi и сетей сотовой связи (3G, 4G), будущее сетевых атак, вероятнее всего, будет иметь больший потенциал «в эфире».

Независимо от среды, по которой осуществляется атака, полностью понятно, что нам всем нужна защита от таких атак. В ранешние деньки сетевых технологий вредные программки использовали обыкновенные атаки с целью нарушения обычной работы (DoS) для вмешательства и препятствия работе систем. По мере того, как нехорошие сетевые мужчины становились все изощреннее (и, может быть, эгоистичнее), они начали растрачивать больше собственного «ценного» времени на повреждение сайтов. Потом веб начал получать все большее распространение и больше реальной работы стало проходить в глобальной сети, и преступные элементы (отдельные лица и организации) смогли использовать новые способности для получения прибыли от собственных злодеяний, также соединять воединыжды усилия взломщиков для неприметной компрометации устройств, чтоб можно было похищать данные (включая промышленные секреты компаний и учетные данные юзеров) неприметно. С ростом трудности сетевых технологий росла и сложность угроз, от которых необходимо защищаться.

Проверка сетевого трафика

Существует несколько методов защиты от нынешних утонченных взломщиков. Одним из действенных методов является применение технологий в сети и ОС машин, которые могут производить проверку трафика, предназначаемого для узла, нуждающегося в защите. Сетевые подходы обычно заключены в межсетевых экранах, расположенных на границах сетей, к примеру, брандмауэр Forefront Threat Management Gateway (TMG), и применяемых для многих задач.

Неувязка подходов защиты на уровне сети (если они употребляются раздельно) состоит в том, что они, обычно, концентрируются на определенной точке в сети ‘ обычно на границе сети либо конкретно за ее границей. К примеру, брандмауэр TMG часто располагается за обычным так именуемым аппаратным межсетевым экраном ‘ такая конфигурация позволяет выделенному устройству межсетевого экрана делать базисные и обыкновенные проверки на наличие атак сетевого уровня старенького эталона, и это понижает ресурсоемкость обработки, проводимой брандмауэром TMG, который способен предоставить еще более сложную степень защиты, чем аппаратный межсетевой экран.

Так как из ценовых суждений просто нереально расположить брандмауэр TMG на всех границах вашей сети, очень принципиально использовать защиту сетевого уровня на операционных системах самих узлов. Это обеспечивает защиту от веб атак (обычно выполняемых юзерами, которые пробуют получить доступ к вредоносному контенту, так как узлы в вебе только в редчайших случаях способны сделать подключение к узлам личной сети, если эти узлы не были за ранее скомпрометированы) и атак, осуществляемых с других узлов одной корпоративной сети, в какой такие другие узлы были взломаны и при любом комфортном случае стараются распространить заразу либо другой вредный код по сети.

Система проверки сети ‘ проверка прикладного уровня

Тут на помощь приходит система проверки сети Network Inspection System (NIS). Система NIS – это ответ компании Microsoft на растущее число и обилие сетевых атак. NIS была в первый раз представлена в брандмауэре Forefront Threat Management Gateway (TMG) и обеспечивала продвинутые сетевые средства IDS/IPS на границе корпоративной сети. Не так давно в компании Microsoft расширили важную защиту, предоставляемую системой NIS на брандмауэре TMG, методом включения NIS в не так давно выпущенный пакет Microsoft Security Essentials версии 2.0.

Беря во внимание растущее число атак прикладного уровня и создание новых типов атак на неизменной базе, группа Microsoft Research разработала анализатор Generic Application-level Protocol Analyzer (GAPA). GAPA включает язык спецификации протокола и механизм осмотра, который работает на потоках и снимках сети. GAPA позволяет создавать анализаторы сетевых протоколов резвее и понижает время разработки, нужное на создание анализаторов, а эти анализаторы активно употребляются системой NIS.

Одна из главных заморочек, с которой приходится сталкиваться сотрудникам безопасности сети, состоит в том, что взломщики обычно делают и запускают средства атаки для найденных уязвимостей резвее, чем разработчики приложений делают обновления безопасности. Если добавить ко времени, необходимому для разработки обновлений безопасности, время, которое требуется админам для проверки этих исправлений безопасности перед их установкой, становится разумеется, что сеть остается незащищенной в течение значимого времени после такового, как становится понятно о новеньком средстве атаки.

Такие задержки оставляют компы уязвимыми для атак, а в это время злоумышленники знают все об уязвимостях и стараются пользоваться ими до того, как они исправлены. Система Network Inspection System уменьшает это временное окно уязвимости с недель до нескольких часов. Это существенное улучшение, которое и составляет основную разницу меж сетью, продолжающей работать, и сетью, которая не работает из-за атак нулевого денька.

Исследованием уязвимостей и разработкой сигнатур занимается центр защиты от вредного кода Microsoft’s Malware Protection Center (MMPC). Что касается бюллетеней безопасности для исправления уязвимостей, система проверки сети помогает обеспечить незамедлительную защиту скоро после того, как подробности уязвимости становятся на публике известными. Цент MMPC также одномоментно реагирует на инциденты нулевого денька, выпуская NIS сигнатуры в кратчайшие сроки с момента их обнаружения. В текущее время сигнатуры NIS помогают найти уязвимости исключительно в продукции Microsoft. Хотя это может быть воспринято, как ограничение при применении с брандмауэром TMG (потому что TMG предназначен для защиты всей сети), это совсем не является неувязкой, когда система NIS включена в пакет Microsoft Security Essentials, потому что MSE можно устанавливать лишь на машины под управлением ОС Windows.

Типы сигнатур NIS

Система проверки сети употребляет три типа сигнатур во время выполнения функций IDS/IPS:

На базе уязвимостей (Vulnerability-based). Эти сигнатуры обнаруживают большая часть типов средств атак определенной уязвимости.
На базе средств атаки (Exploit-based). Эти сигнатуры обнаруживают определенное средство атаки какой-нибудь уязвимости.
На базе политик (Policy-based). Это сигнатуры, применяемые для общих задач аудита и разработаются в этом случае, когда нереально создать сигнатуры 2-ух прошлых видов.

Сейчас мы не знаем, какие типы сигнатур употребляются в пакете Microsoft Security Essentials, так как пока нет никакой общественной инфы об этом. Мы только знаем, что в брандмауэре TMG употребляются все три типа сигнатур и они все включены по дефлоту. Направьте внимание, что сигнатуры на базе политик могут показаться никчемными, потому что они не обеспечивают защиты IPS, но они обеспечивают функциональность IDS, потому вы будете знать о вероятном взломе системы в вашей сети и можете принять надлежащие меры.

Протоколы прикладного уровня, поддерживаемые системой NIS

Система NIS может рассматривать ряд протоколов прикладного уровня на наличие вредного кода. Хотя на сей день существует неограниченное количество протоколов прикладного уровня, только немногие из их представляют собой значимый объем сетевого трафика. Из-за ограничений по времени на анализ такового типа в компании Microsoft уделили повышенное внимание последующим протоколам:

HTTP
DNS
SMB
SMB2
NetBIOS
MSRPC
SMTP
POP3
IMAP
MIME

После просмотра перечня протоколов, думаю, вы согласитесь, что это более нередко применяемые протоколы ‘ и они почаще употребляются злодеями ‘ в вебе и личных сетях.

Компания Microsoft часто анализирует необходимость в поддержке дополнительных протоколов и будет добавлять поддержку других протоколов при необходимости. Если будут добавляться дополнительные протоколы, поддержка таких протоколов будет врубаться при обновлении сигнатур. Почти всегда, поддержка нового протокола добавляется в силу того, что появляется уязвимость либо средство атаки, которое может использовать этот протокол, и потому почти всегда центр MMPC также будет выпускать сигнатуры для этих новых протоколов. Если вы используете брандмауэр TMG, вы сможете поглядеть, какие протоколы употребляются сигнатурами методом группировки сигнатур по протоколам. Брандмауэр TMG обеспечивает админов сети большей информацией и контролем, а MSE быстрее разработан для потребителей и малых компаний, и потому его работа более транспарентна.

Заключение

Система проверки сети представляет собой IDS/IPS систему сетевого уровня, использующую GAPA язык для обеспечения резвой разработки сигнатур NIS. Система NIS проводит проверку сетевого трафика для ряда более всераспространенных протоколов, применяемых в общественной и внутренней сети, и оценивает этот трафик на предмет потенциального вредного кода. NIS в текущее время доступна в брандмауэре TMG, в каком она делает проверку исходящего и входящего интернет-трафика, и в пакете Microsoft Security Essentials, где она проводит осмотр трафика, входящего и исходящего с узлов Windows. NIS находится в зависимости от платформы Windows Filtering Platform, что значит, что она поддерживается в Windows Server 2008 и выше, и Windows Vista и выше. NIS концентрируется на уязвимостях Windows, что делает ее безупречным решением IDS/IPS для машин под управлением Windows. Все эти составляющие позволяют TMG и пакету Microsoft Security Essentials обеспечивать исключительный уровень сетевой безопасности для серверных и клиентских систем Windows.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.