Τα τείχη προστασίας, γνωστά και ως “Firewall”, τα προγράμματα antivirus και οι λύσεις Αποτροπής Εισβολών (Intrusion Prevention) αποτελούν τους βασικούς πυλώνες άμυνας των δικτύων. Πώς όμως κάθε τεχνολογία συμβάλλει στην προστασία της πληροφοριακής υποδομής;
Ο αριθμός των επιθέσεων στα δίκτυα ολοένα και αυξάνεται. Νέες πολύπλοκες τεχνικές μπορούν να αποδιοργανώσουν ή και να γονατίσουν οικονομικά ακόμα και τις πιο μεγάλες εταιρείες. Κλασικό παράδειγμα που έμεινε στην ιστορία είναι το «σκουλήκι» Blaster worm ή ο ιός SoBig.F, που προσέβαλαν ένα εκατομμύριο και εκατό χιλιάδες υπολογιστές, αντίστοιχα. Σε αυτό το άρθρο θα ερευνήσουμε τη μεθοδολογία και πώς συμβάλλουν οι υπάρχουσες τεχνολογίες στην αποφυγή, πρόληψη και προστασία από ιούς, σκουλήκια ή άλλες μορφές επιθέσεων σε δίκτυα και υπολογιστές.
Κάθε ιός ή σκουλήκι είναι γνωστά σαν κακόβουλα προγράμματα. Πιο συγκεκριμένα, ο ιός συνήθως προσβάλλει έναν υπολογιστή με σκοπό να δημιουργήσει προβλήματα που ο χρήστης δεν θα ήθελε να συμβούν σε καμία περίπτωση, όπως σβήσιμο αρχείων, καταστροφή σκληρών δίσκων ή άλλες καταστροφικές ενέργειες. Ο πιο συνηθισμένος τρόπος να «κολλήσουμε» έναν ιό είναι μέσω ενός εκούσιου ή μη μολυσμένου προγράμματος που φέρει τον ιό. Με την εκτέλεση του προγράμματος, ουσιαστικά ενεργοποιείται και ο ιός. Η βασική διαφορά του σκουληκιού από τον ιό είναι ότι σκοπός του είναι να προσβάλει δίκτυα και να εξαπλώνεται. Ο στόχος του είναι να ξοδεύει τους πόρους του δικτύου και των υπολογιστών που το αποτελούν, για ποικίλους λόγους. Άλλες φορές για να κάνει τους υπολογιστές αργούς, άλλες για τη μεταφορά μηνυμάτων μέσω ηλεκτρονικού ταχυδρομείου κ.λπ..
Τα τελευταία χρόνια ο διαχωρισμός ανάμεσα στον ιό και το σκουλήκι δεν είναι ευδιάκριτος, καθώς νέες πολύπλοκες τεχνικές δημιουργούν μια καινούρια υβριδική απειλή για τον κόσμο των υπολογιστών. Ουσιαστικά μιλάμε για ένα μείγμα ιού με σκουλήκι, το οποίο ξέρει να εξαφανίζεται, να αντιγράφεται, να πολλαπλασιάζεται, να μεταμφιέζεται και να εξαπλώνεται με απίστευτες ταχύτητες. Το μεγάλο πλεονέκτημά του είναι ότι χρησιμοποιεί τα δίκτυα για την εξάπλωσή του. Αφενός, ένα λάθος πάτημα του ποντικιού σε κακόβουλο σύνδεσμο είναι αρκετό για να μας προσβάλει, αφετέρου, όσο μεγαλύτερο είναι το δίκτυο στο οποίο μπαίνει το ανάμικτο αυτό μικρόβιο, τόσο πιο γρήγορα εξαπλώνεται. Κλασικά παραδείγματα αποτελούν το Code Red και το Nimda.
Είναι λοιπόν κοινά αποδεκτό ότι όλες οι απειλές εισέρχονται στους υπολογιστές μέσω δικτύου ή φορητών αποθηκευτικών συσκευών. Για το λόγο αυτό έχουμε αναπτύξει και οργανώσει την ασφάλεια δικτύου σε πολλαπλά επίπεδα. Παρακάτω θα παρουσιάσουμε αυτές τις τεχνολογίες, ώστε να καταλάβουμε πώς και ποιες μας είναι χρήσιμες σε κάθε περίπτωση.
Τεχνολογίες Δικτυακής Ασφάλειας
Τα επίπεδα λοιπόν προστασίας περιλαμβάνουν το τείχος προστασίας – γνωστό και ως firewall, το σύστημα αποτροπής επιθέσεων Intrusion Prevention ή Intrusion Detection Systems (IDSs) όπως λέγονται ευρέως και, φυσικά, την τεχνολογία καταπολέμησης ιών – γνωστή σαν Antivirus.
Οι τεχνολογίες δικτύων μπορούν να διακριθούν επίσης σε τέσσερις κατηγορίες:
- Προστασία σε “επίπεδο πακέτων” (Packet Level Protection), σε δρομολογητές (routers) με συγκεκριμένες λίστες πρόσβασης (Access Control List), με φίλτρα πακέτων σε τείχος προστασίας (stateless firewall).
- Προστασία σε “επίπεδο συνεδρίας” (Session Level Protection), με φίλτρα κατάστασης σε τείχος προστασίας (tasteful firewall).
- Προστασία σε “επίπεδο εφαρμογής” (Application Level Protection), όπως ο proxy του τείχους προστασίας, με ενσωματωμένο σύστημα πρόληψης επιθέσεων (4η γενιά τειχών προστασίας που μπορούν πλέον να ενσωματωθούν στο λειτουργικό σύστημα και συνεργάζονται στενά με άλλα συστήματα ασφαλείας, όπως το σύστημα πρόληψης επιθέσεων (IPS – Intrusion Prevention System).
- Προστασία σε επίπεδο αρχείων (File Level Protection) όπως τα αντι-ιικά προγράμματα.
Packet Level Protection
Η προστασία σε επίπεδο πακέτων (Packet Level Protection) είναι η πιο διαδεδομένη μέθοδος. Ουσιαστικά, ο μηχανισμός αυτός φιλτράρει τα πακέτα δεδομένων στο δίκτυο και αποφασίζει ποια από αυτά περνάνε και ποια απορρίπτονται. Το Cicso IOS ACL είναι το πιο γνωστό σύστημα, ενώ το IPChains είναι ευρέως γνωστό για το λειτουργικό Linux. Κατά την αμφίδρομη επικοινωνία δύο υπολογιστών, η ασφάλεια δεδομένων που διακινούνται είναι πάντα μία σημαντική πρόκληση. Στην περίπτωση όπου ένας υπολογιστής μπλοκάρει όλα τα πακέτα, η επικοινωνία γίνεται αδύνατη και διακόπτεται, καθώς ο υπολογιστής δεν επιτρέπει στα πακέτα δεδομένων να εισέλθουν σε αυτόν. Συνεπώς, πρέπει να ανοιχτούν δύο «δίοδοι», μία για την εισερχόμενη και μία για την εξερχόμενη κίνηση δεδομένων μεταξύ τους. Η επικοινωνία αυτή δεν πρέπει να σχετίζεται με καμία άλλη σύνδεση στο δίκτυο. Εάν συμβεί αυτό, μία κακόβουλη χρήση με ειδικά δημιουργημένα πακέτα, μπορεί εύκολα να ξεγελάσει το μηχανισμό προστασίας πακέτων. Το αποτέλεσμα είναι τα καμουφλαρισμένα πακέτα να εισχωρήσουν στον υπολογιστή και να βλάψουν ή να καταστρέψουν τους προστατευμένους πόρους του. Η προστασία σε επίπεδο πακέτων δεν διασφαλίζει τα δυναμικά πρωτόκολλα, όπως το πρωτόκολλο μεταφοράς φακέλων (FTP) και άλλα παρόμοια( RTC, H323 κ.ά.). Ο λόγος είναι ότι αυτές οι εφαρμογές χρησιμοποιούν ένα εύρος ανοιχτών θυρών. Είναι ευνόητο πως όσο περισσότερες θύρες είναι ανοιχτές τόσο μεγαλύτερη γίνεται η τρύπα στην ασφάλεια του δικτύου.
Session Level Protection
Η προστασία σε “επίπεδο συνεδρίας” (Session Level Protection) ουσιαστικά ελέγχει τη ροή της κίνησης μεταξύ ενός ή περισσότερων δικτύων. Βάσει των κανόνων ασφάλειας του δικτύου, ο μηχανισμός εξετάζει τις “συνεδρίες” μεταξύ υπολογιστών. Με τον όρο “συνεδρία” εννοούμε μια ολοκληρωμένη επικοινωνία μεταξύ υπολογιστών. Το τείχος προστασίας σε αυτήν την περίπτωση είναι του τύπου Stateful Packet Inspection (SPI), δηλαδή προγραμματισμένο να κάνει διάκριση μεταξύ νόμιμων πακέτων για διαφορετικούς τύπους συνδέσεων. Μόνο τα πακέτα που ταιριάζουν με μια γνωστή κατάσταση σύνδεσης επιτρέπεται να περάσουν από το τείχος προστασίας. Οποιοδήποτε άλλο πακέτο απορρίπτεται. Ο μηχανισμός αυτός δεν ελέγχει πακέτα όπως ο προηγούμενος. Ελέγχει τις συνδέσεις που γίνονται, διεισδύοντας πιο πέρα από μεμονωμένες TCP συνδέσεις. Τα δυναμικά πρωτόκολλα σε αυτήν την περίπτωση υποστηρίζονται. Για παράδειγμα, στο FTP το τείχος προστασίας ελέγχει τη σύνδεση. Βλέπει τις εντολές που στέλνονται από το μηχανισμό που ελέγχει τον τρόπο σύνδεσης και τη διαδικασία που απαιτείται ώστε να ολοκληρωθεί αυτή. Στη συνέχεια ελέγχει και διαπραγματεύεται ποιες δυναμικές πόρτες θα ανοίξει. Τέλος, επιτρέπει συγκεκριμένες συνδέσεις ώστε να ολοκληρωθεί η μεταφορά. Η προστασία σε επίπεδο “συνεδρίας” έχει τα πλεονεκτήματα της προστασίας σε επίπεδο πακέτων, χωρίς να φέρει όμως τους περιορισμούς της. Ευνόητο λοιπόν είναι ότι μπορεί να την καταστήσει περιττή για τα περισσότερα δίκτυα
Application Level Protection
Η προστασία σε επίπεδο εφαρμογής (Application Level Protection), ελέγχει την κίνηση του δικτύου και την αναλύει δυναμικά, ψάχνοντας για ενδείξεις επίθεσης ή διείσδυσης στο δίκτυο. Οι συνηθισμένες τεχνολογίες που χρησιμοποιούνται είναι τα τείχη προστασίας μεσολάβησης (proxy firewalls) και ο μηχανισμός αποφυγής διείσδυσης (Intrusion Prevention System (IPS). Ο μεσολαβητής αναλαμβάνει την περαίωση της σύνδεσης που του ζητήθηκε με τον απομακρυσμένο προορισμό για λογαριασμό του πελάτη. Αντί λοιπόν ο πελάτης να συνδεθεί κατευθείαν με τον απομακρυσμένο προορισμό, συνδέεται στο μεσολαβητή, ο οποίος με τη σειρά του μεταφέρει στον πελάτη τα δεδομένα που ζητήθηκαν. Τα IPS είναι δίκτυα που φιλτράρουν IP διευθύνσεις, πρωτόκολλα ή υπηρεσίες. Έχουν τη δυνατότητα να λαμβάνουν και να επανασυγκεντρώνουν ροές κίνησης δεδομένων, προκειμένου να τις ελέγξουν για ύποπτα στοιχεία. Επίσης έχουν το πλεονέκτημα να κρατούν αρχείο ύποπτων κινήσεων ή ακόμα και να κόβουν τη σύνδεση αν δεν τηρεί τις κατάλληλες προϋποθέσεις. Ακόμα ένα χαρακτηριστικό τους είναι η αναδιοργάνωση των IP διευθύνσεων και η απόρριψη ασαφών πληροφοριών ή ροών που θα μπορούσαν να χρησιμοποιηθούν κακόβουλα. Οι μεσολαβητές υποστηρίζουν τις περισσότερες εφαρμογές, όπως HTTP, FTP, telnet, rlogin και άλλες, όπου η κάθε μία από αυτές συνήθως έχει το δικό της μεσολαβητή για να περάσει μέσα από το τείχος προστασίας. Τέλος, ο μηχανισμός αυτός παρουσιάζει το προτέρημα της περιορισμένης ανίχνευσης ιών ή σκουληκιών, ανάλογα με το θέμα, το όνομα ή ελέγχοντας το όνομα και τον τύπο συνημμένων αρχείων. Η προστασία σε επίπεδο εφαρμογής, ωστόσο, δεν μπορεί να είναι αναλυτική ως προς τον έλεγχο σε επίπεδο αρχείων που είναι απαιτούμενο για την ανίχνευση απειλών.
File Level Protection
Η προστασία σε επίπεδο αρχείων (File Level Protection), ελέγχει τα αρχεία για ιούς και μεταλλαγμένες μορφές αυτών, δούρειους ίππους, σκουλήκια και άλλες απειλές. Ένα τέτοιο σύστημα ερευνά για σημάδια ή υπογραφές ιών, όπως αποκαλούνται. Εάν βρεθεί αρχείο με ιό, το αντι-ιικό τον αφαιρεί. Σε επίπεδο δικτύου υπάρχει η ανάλογη αντι-ιική πύλη (gateway antivirus) η οποία σαρώνει αρχεία που σχετίζονται με τη δικτυακή κίνηση, μηνύματα ηλεκτρονικού ταχυδρομείου, ληφθέντα αρχεία από ιστοσελίδες και οτιδήποτε έχει να κάνει με αρχεία κωδικοποιημένα (ΜΙΜΕ, Unicode, Base64 κ.ά.) ή συμπιεσμένα (TAR, ARJ και άλλα). Τα αντι-ιικά χρησιμοποιούν μία βάση δεδομένων που περιλαμβάνει τις υπογραφές των ιών. Είναι ευνόητο και απαραίτητο η βάση αυτή να ανανεώνεται συνέχεια, ώστε να είναι ενημερωμένη για τις νεότερες απειλές. Ένα αρνητικό της αντι-ιικής πύλης, χωρίς όμως να θεωρείται ιδιαίτερο πρόβλημα, είναι πως, επειδή σαρώνει τα αρχεία του δικτύου, μπορεί να παρουσιάσει μικρές καθυστερήσεις σε αυτό. Το θετικό και πολύ δυνατό του σημείο, όμως, είναι ότι ελέγχει τα ληφθέντα και απεσταλμένα αρχεία, προλαβαίνοντας με αυτόν τον τρόπο πιθανή καταστροφή ή εξάπλωση ιών.
Χαρακτηριστικό παράδειγμα
Ένα τυπικό παράδειγμα ασφάλειας δικτύου διαθέτει όλα τα συστατικά που αναφέρονται στο άρθρο. Η προστασία σε επίπεδο αρχείων ελέγχει όλα τα εκτελέσιμα αρχεία τύπου .exe ή εκτελέσιμα μέσω άλλων προγραμμάτων τύπου .xls. H προστασία σε επίπεδο εφαρμογής με το μεσολαβητή, ελέγχει και αναδιοργανώνει την κίνηση δεδομένων, απορρίπτει κακόβουλες IP και εξομαλύνει την κίνηση στο δίκτυο. Η προστασία σε επίπεδο “συνεδρίας” με το τείχος προστασίας ελέγχει ροές κίνησης και ανάλογα επιτρέπει ή απορρίπτει συνδέσεις στο δίκτυο. Η προστασία σε επίπεδο πακέτων ελέγχει συγκεκριμένα πακέτα και αποφασίζει αν θα περάσουν σε έναν υπολογιστή ή θα απορριφθούν. Οι Οργανώσεις, οι εταιρείες ή ακόμα και τα μικρά οικιακά δίκτυα συνήθως χρησιμοποιούν πολλές εξελιγμένες τεχνολογίες παράλληλα, προκειμένου να προστατέψουν την ασφάλεια του δικτύου ή του υπολογιστή τους. Η επένδυση σε αυτού του είδους τις τεχνολογίες είναι πλέον αναγκαία για τη σωστή, ασφαλή και υγιή κατάσταση του δικτύου.
Αναφορά:
JUNIPER NETWORKS
“Comparison of Firewall, Intrusion
Prevention and Antivirus Technologies”
How each protects the network
Juan Pablo Pereira
Technical Marketing Manager
Απόδοση :
Αλέξανδρος Σουλαχάκης