Система проверки сети повышает безопасность для Microsoft Security Essentials и брандмауэра TMG

Опубликовано: 8 Апреля, 2023


Введение


Вы, наверное, слышали старую пословицу, которая гласит: «Единственный способ обезопасить вашу сеть — вытащить все кабели из разъемов Ethernet». Хотя такой ответ звучит немного насмешливо, и в любом случае это не сработает в современном мире беспроводной связи, идея состоит в том, что если один компьютер может общаться с другим компьютером (или вычислительным устройством, как планшеты и смартфоны делают увеличивается процент подключенных к сети устройств по сравнению с ПК) всегда есть шанс, что одна из машин скомпрометирует другую машину. Конечно, вам не обязательно нужна проводная сеть Ethernet или даже wi-fi для компрометации, поскольку эксплойты также можно переносить с одного устройства на другое с помощью съемных носителей (CD, DVD, дискеты, USB-ключи и т. д.). Что касается беспроводных сетей, то, учитывая постоянно растущее использование сетей Wi-Fi и операторов сотовой связи «G» (3G, 4G), будущее сетевых атак, вероятно, будет «по воздуху».


Однако независимо от среды, через которую происходят атаки, ясно, что нам всем нужна защита от таких атак. В первые дни существования сетей злоумышленники и нарушители использовали простые атаки типа «отказ в обслуживании», чтобы создать хаос и прервать деловую активность. По мере того, как плохие парни в Интернете становились все более изощренными (и, возможно, немного более эгоистичными), они начали тратить свое «ценное» время на порчу веб-сайтов. Затем, когда Интернет стал более распространенным и более реальный бизнес начал осуществляться через глобальную сеть, преступники (отдельные лица и организации) смогли воспользоваться возможностями заработать деньги на своих преступлениях и кооптировать навыки хакеров. для незаметной компрометации устройств, чтобы они могли незаметно украсть данные (включая коммерческую тайну предприятий и личные данные). По мере усложнения самой сети усложнялись и угрозы, от которых нам необходимо защищаться.


Проверка сетевого трафика


Есть несколько способов защитить себя от современных более изощренных злоумышленников. Одним из эффективных методов является внедрение технологий как в сеть, так и в операционные системы хоста, которые могут проверять характер трафика, предназначенного для хоста, который нуждается в защите. Сетевые подходы обычно реализуются в сетевых брандмауэрах, расположенных на границе сети, таких как брандмауэр Forefront Threat Management Gateway (TMG), который хорошо работает для многих целей.


Проблема с сетевыми средствами защиты (когда они используются отдельно) заключается в том, что они обычно сосредоточены на конкретной «узкой точке» в сети — обычно на границе сети или сразу за границей сети. Например, брандмауэр TMG часто размещается за традиционным так называемым аппаратным брандмауэром — эта конфигурация позволяет выделенному устройству брандмауэра выполнять некоторую базовую и упрощенную обработку атак сетевого уровня старого стиля, и это снижает накладные расходы на обработку, необходимые для TMG. брандмауэр, способный обеспечить гораздо более сложную защиту, чем «аппаратный» брандмауэр.


Поскольку вы не можете экономически эффективно установить брандмауэры TMG на каждом узле вашей сети, важно, чтобы вы также установили защиту сетевого уровня на самих операционных системах хоста. Это обеспечивает защиту как от интернет-атак (обычно инициируемых пользователем, пытающимся получить доступ к вредоносному содержимому, поскольку хосты в Интернете редко могут инициировать подключения к хостам частной сети без того, чтобы эти хосты были предварительно скомпрометированы), так и от атак, исходящих с других хостов в той же корпоративной сети. сеть, где эти другие хосты были скомпрометированы, а затем автоматически пытаются распространить инфекцию или другой тип эксплойта системы.


Система проверки сети — проверка прикладного уровня


Здесь на помощь приходит Система проверки сети (NIS). NIS — это ответ Microsoft на растущую угрозу сетевых атак. Впервые NIS был представлен вместе с брандмауэром Forefront Threat Management Gateway (TMG), чтобы обеспечить сложную сетевую IDS/IPS на границе корпоративной сети. Недавно Microsoft расширила значительную защиту, обеспечиваемую NIS на брандмауэре TMG, включив NIS в самую последнюю выпущенную версию Microsoft Security Essentials (версия 2.0).


В связи с растущим числом атак на прикладном уровне и регулярным выпуском новых атак Microsoft Research разработала универсальный анализатор протоколов уровня приложений (GAPA). GAPA включает в себя язык спецификации протокола и механизм проверки, который работает с сетевыми потоками. и захватывает. GAPA позволяет быстрее создавать синтаксические анализаторы сетевых протоколов и сокращает время разработки, необходимое для создания синтаксических анализаторов, и эти синтаксические анализаторы широко используются в NIS.


Одна из ключевых проблем, с которой приходится сталкиваться специалистам по сетевой безопасности, заключается в том, что злоумышленники обычно создают и запускают эксплойты для обнаруженных уязвимостей быстрее, чем поставщики приложений могут развертывать обновления безопасности. Помимо времени, необходимого для разработки обновлений безопасности, вы должны учитывать время, которое требуется большинству администраторов для тестирования этих исправлений безопасности перед их развертыванием, чтобы понять, что сети часто остаются незащищенными в течение значительного периода времени после эксплойта. становится известным.


Эта задержка делает компьютеры уязвимыми для атак и эксплуатации в период, когда злоумышленники знают все об эксплойте и изо всех сил пытаются воспользоваться им до того, как он будет исправлен. Система Network Inspection System сокращает эти окна уязвимости между раскрытием информации и развертыванием исправлений с недель до нескольких часов. Это значительное улучшение, и оно может сделать разницу между сетью, которая продолжает работать, и сетью, остановленной атакой нулевого дня.


Исследованием уязвимостей и разработкой сигнатур занимается Центр защиты от вредоносных программ Microsoft (MMPC). Для бюллетеней по безопасности, которые устраняют общеизвестные уязвимости, NIS помогает обеспечить немедленную защиту вскоре после того, как сведения об уязвимости станут общеизвестными. MMPC также быстро реагирует на инциденты нулевого дня, выпуская для них сигнатуры NIS, как только о них становится известно. В настоящее время сигнатуры NIS помогают обнаруживать использование уязвимостей только в продуктах Microsoft. Хотя это может быть истолковано как ограничение при реализации с брандмауэром TMG (поскольку брандмауэр TMG предназначен для защиты всей сети), это не проблема, когда NIS включена в Microsoft Security Essentials, поскольку MSE может только устанавливаться на компьютеры с ОС Windows.


Типы подписей NIS


Система Network Inspection использует три типа подписей при выполнении своих функций IDS/IPS:



  • Основанный на уязвимости. Эти сигнатуры обнаружат большинство вариантов эксплойтов против данной уязвимости.
  • На основе эксплойтов. Эти сигнатуры обнаружат конкретный эксплойт данной уязвимости.
  • На основе политики. Это сигнатуры, которые обычно используются для целей аудита и разрабатываются, когда нельзя написать ни уязвимость, ни сигнатуру на основе эксплойта.

В настоящее время мы не знаем, какой из этих типов подписи используется с Microsoft Security Essentials, поскольку общедоступной информации об этом в настоящее время нет. Мы знаем, что брандмауэр TMG использует все три типа подписей, и они включены по умолчанию. Обратите внимание, что, хотя сигнатуры на основе политик могут показаться бесполезными, поскольку они не обеспечивают защиту IPS, они обеспечивают функциональность IDS, так что вы знаете о возможной компрометации системы в вашей сети, и вы можете затем инициировать план реагирования на инциденты по мере необходимости.


Протоколы прикладного уровня, поддерживаемые NIS


Система проверки сети может анализировать ряд протоколов прикладного уровня на наличие потенциального кода эксплойта. Хотя сегодня используются буквально тысячи протоколов прикладного уровня, лишь небольшая их часть представляет значительный процент всего сетевого трафика. Поскольку существуют ограничения по времени для любой попытки такого рода, Microsoft сосредоточилась на следующих популярных протоколах:



  • HTTP
  • DNS
  • малый и средний бизнес
  • SMB2
  • НетБИОС
  • МСРПЦ
  • SMTP
  • POP3
  • IMAP
  • MIME

Изучив этот список протоколов, я думаю, вы согласитесь с тем, что это наиболее часто используемые — и чаще всего злоупотребляемые — протоколы, используемые сегодня в Интернете и интрасетях.


Корпорация Майкрософт оценивает необходимость поддержки дополнительных протоколов на постоянной основе и добавит эту поддержку по мере необходимости, если есть эксплойт, использующий какой-либо другой протокол, от которого необходимо защититься. Если включены дополнительные протоколы, поддержка этого протокола будет включена при обновлении сигнатуры. В большинстве случаев поддержка нового протокола добавляется из-за наличия значительной уязвимости или эксплойта, использующего этот протокол, и поэтому в большинстве случаев MMPC также выпускает сигнатуру, использующую этот новый протокол. Если вы используете брандмауэр TMG, вы можете увидеть, какие протоколы используют сигнатуры, сгруппировав сигнатуры NIS по протоколам. Брандмауэр TMG, очевидно, дает вам как сетевому администратору больше информации и больше контроля, в то время как MSE разработан для использования потребителями и очень малыми предприятиями и, следовательно, предназначен для более прозрачной работы.


Резюме


Network Inspection System — это система IDS/IPS на сетевом уровне, использующая язык GAPA для быстрой разработки сигнатур NIS. NIS проверяет сетевой трафик на наличие набора наиболее часто используемых протоколов как в Интернете, так и в интрасети, и оценивает этот трафик на наличие потенциально вредоносного кода. В настоящее время NIS доступен с брандмауэром TMG, где он проверяет трафик, входящий и исходящий из Интернета, и с Microsoft Security Essentials, где он проверяет трафик, входящий или исходящий из хостов Windows. NIS зависит от платформы фильтрации Windows, что означает, что он доступен для Windows Server 2008 и более поздних версий, а также для Windows Vista и более поздних версий. NIS фокусируется на уязвимостях Windows, что делает его идеальным IDS/IPS для хостов Windows. Все эти функции позволяют брандмауэру TMG и Microsoft Security Essentials обеспечивать исключительный уровень безопасности для сетей, содержащих серверы Windows и клиентские системы.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023