Web és E-mail tartalomszűrés

Web és E-mail tartalomszűrés Segyik István (isegyik@cisco.com) Rendszermérnök 2014. Április 22.

Témák Releváns támadási vektorok Technológiák Cisco e-mail biztonsági megoldások Cisco web biztonsági megoldások Tartalomszűrés a gyakorlatban: igények kontra valóság Cisco Public 2

Releváns támadási vektorok és más potenciális negatív hatások... Cisco Confidential 3

Új veszélyforrások Az internetes tartalmak sokat változtak: Interaktív web tartalmak; Komplex web-es (cloud) alkalmazások; Multimédia; Social Media; Stb... Sokkal szórakoztatóbb lett a net J Ugyanakkor új támadási formákkal kell szembenéznünk. A korlátlan használat kontra-produktív is lehet céges környezetben. Cisco Public 4

Releváns támadási vektorok Amelyek az előadás további részei szempontjából relevánsak... Web napi használatából származtatható támadások: Kiemelten veszélyesek: Malware e-mail-be rejtve; Adathalász e-mail; Malware letöltésére motiváló e-mail; Webes tartalomba ágyazott malware; Egyéb hasznos letöltésnek álcázott malware fertőzött fájlok. Közepesen vagy kevésbé veszélyesek: Adware (fenti módokon letöltöttek); Marketing SPAM. Nem célzott támadás: BÁRKI áldozat lehet. Cisco Public 5

A Malware Sokféle lehet. Sok esetben egymás klónjai vagy továbbfejlesztett változatai. Mára meglehetősen szofisztikáltak lettek: Rengeteg munkaórát fektetnek bele a készítők; Korszerű fejlesztő eszközökkel készülnek; Szakemberek készítik őket ma már többnyire PÉNZÉRT. Tudnak kárt okozni: Legrosszabb esetben ipari katasztrófát is tudnának; Jelszavak és egyéb titkos információk ellopása; Irányítás átvétele a fertőzött eszköz felett, annak irányított támadáshoz történő felhasználása (Botnet-ek SPAM és DDoS támadásokhoz). Meglehetősen makacs dolgok, eltávolításuk sok időt vesz igénybe. Enyhébb formája az adware ami kéretlen marketing üzenetekkel árasztja el a felhasználót. Védekezés: Megelőzés (Anti-malware rendszer, reputációs szűrés, patch-elés); Elkülönítés, eltávolítás. Cisco Public 6

A Malware útjai a rendszerünkbe: E-mail Érkezhet e-mail csatolmányként; Lehet az e-mail-ben egy URL, ami látszólag ártalmatlan, de valójában fertőzött site-ra mutat. Valamilyen módon álcázott... Védekezés: Tartalomszűrés az e-mail-ekben; Reputációs szűrés (domain-ek, SMTP szerverek). Cisco Public 7

A Malware útjai a rendszerünkbe: E-mail Cisco Public 8

A Malware útjai a rendszerünkbe: Web böngészés Számos mód létezik: Böngésző program sebezhetőségét kihasználó; Egyéb böngésző bővítmény sebezhetőségét kihasználó; Pl. Adobe Flash Zero Day (CVE-2014-0497) Ártatlannak tűnő letöltött fájlba rejtett malware; Web-es alkalmazások használata során is letölthetünk káros kódot; Stb. Sokszor összetett a vektor: Több web site láncolata vezet a káros kódig; A már bejutott káros kód is képes újabb káros tartalmat letölteni; Sok esetben SSL/TLS-sel titkosított csatornákon kerülnek a rendszerünkbe. A web böngészés ma a legnehezebben kezelhető támadási felület. Cisco Public 9

Malware útjai a rendszerünkben Rendszeren belül is szerteágazó tevékenységet folytatnak. Sokszor a már ismert kártékony kód elindítása sok lépésben történik. Ártatlannak tűnő alkalmazások vagy kompromittált rendszer komponensek indítanak alkalmazásokat, amelyek indítanak továbbiakat. Cisco Public 10

Tájékozódni muszáj Gyártók ingyenes szolgáltatásai, pl: o o www.senderbase.org (Cisco) Cisco Security Center: www.cisco.com/security Egyéb szervezetek ingyenes szolgáltatásai: o o o o SANS Internet Storm Center: http://isc.sans.edu/ Microsoft Security Research & Defense: http://blogs.technet.com/b/srd/ CERT: http://www.cert.org/blogs/certcc/ RIPE és más Internet koordinációs központok: www.ripe.net Cisco Public 11

Egyéb kellemtlenségek Az Internet szórakoztató, bizarr, különleges tartalommal van tele. Ezek: Lefoglalják munkavállalóinkat; Megterhelhetik a céges Internetet vagy akár a peremvédelmi- illetve a levelező rendszereket. Korlátozásuk (már az első Big Brother óta J ) szinte kötelező feladat. Cisco Public 12

Technológiák Internetes tartalom ellenőrzésére Cisco Confidential 13

Minden IOS routeren elérhető URL szűrés NBAR-ral; Applikáció kontroll NBAR2-vel; Egyedi mintázatok keresése FPM-mel; ACL-ek írása; Stateful inspection tűzfal. Ezek hasznosak, de meglehetősen statikus funkciók. Peremvédelmi rendszereken kívül (pl. Border Router) még mindig hatékonyak. Cisco Public 14

Anti-malware Futhat végponton, E-mail security szerveren, proxy-n vagy tűzfalon. Nincs tökéletes implementáció. Alapvetően mintázat alapú analízis, legtöbbször helyi feldolgozással. Extrák lehetnek: Heurisztikus kód elemzés; Sandboxing. Minél kifinomultabb, annál nagyobb az erőforrás igénye. Cisco Public 15

Sourcefire FireAMP TM Egyedi anti-malware engine koncepció: Fájlokat vizsgál azok mozgásakor (hálózat-gép vagy gépen belül); Futhat hálózaton vagy végponton (itt kiegészülhet tradícionális anti-malware engine-nel); Egyedi hash-t készít a fájlokról és egy cloud-ban elérhető adatbázissal hasonlítja össze; Retrospektív analízis és beavatkozás (végponton). A feldolgozásigényes feladatok a cloud-ba kerülnek: Ismeretlen fájlok analízise (Sourcefire vagy on-demand Sandboxing és heurisztikus analízis); Manuális analízis VRT által. Cisco Public 16

Reputációs szűrés Anti-malware motorok megállíthatják a malware fertőzéseket akár a peremzónában is, de: erőforrás igényesek (tűzfal, proxy, E-mail security szerver performanciát befolyásolják); ebből adódóan egy intenzív vírus kitörés esetén megbéníthatják a peremzónát. A reputációs szűrés: megtilthatja a kommunikációt az ismert internetes malware forrásokkal; kikerülheti az anti-malware motorokat megbízható forrásoktól érkező adatok esetében. A reputációs szűrés hatékonysága a gyártó adatbázisának minőségén múlik. A Cisco reputációs adatbázisát a Security Intelligence Operations (SIO) üzemelteti. Cisco Public 17

Cisco SenderBase TM A Cisco internetes reputációs adatbázisa. A Cisco Security Intelligence Operations (SIO) üzemelteti. Számos Cisco termék használja automatizált módon. Publikus felülete: www.senderbase.org Néhány statisztikai adat: o o o o Napi 100TB metaadatot dolgoz fel; 150 millió adatszolgáltató eszköz (saját, illetve ügyfélnél telepített); Napi 5 milliárd e-mail; Napi 13 milliárd web kérés. Fontos: ügyfeleinknél levő eszközeinken az adatszolgáltatás önkéntes, alapbeállítás szerint kikapcsolt és hangolható. Cisco Public 18

Cisco SenderBase TM Információk a Senderbase-ből: o o o o E-mail és web reputációs információk (számos kirtérium alapján); Spam fajták és források; Malware leírások és források; Cisco által is használt Anti-malware szolgáltatások válaszidejének mérése. A portál hozzáférés igyenes. Szigorú reputációs feltételrendszer, nem írjuk felül politikai okokból. Cisco Public 19

Fájl szűrés Megtilthatja bizonyos fájlok e-mail-ben vagy http-n keresztül történő átvitelét. Miért? Mert biztonsági okokból nem akarunk bizonyos fájl típusokat kiengedni a hálózatból; Mert feleslegesnek találjuk bizonyos fájl típusok cseréjét üzleti szempontból. Tiltásukkal kíméljük a proxy erőforrásokat és az Internet sávszélességet. Bizonyos rendszereken tömörített fájlok kitömörítése is lehetséges. Cisco Public 20

Anti-SPAM A SPAM probléma: Megterheli az E-mail security és E-mail szervereket; Kellemetlen, lassítja a felhasználók munkáját. Kliens és központi Anti-SPAM engine-eket használhatunk. A korszerű Anti-SPAM rendszerek egyidőben végeznek: Reputációs szűrést; E-mail tartalom analízist. Cisco Public 21

Anti-Phishing A Phishing (adathalászat): Megtévesztő e-mail amely látszólag valamilyen banki vagy más szolgáltatótól érkezik. Általában hamisított vagy fertőzött weboldalra mutató linket tartalmaznak. A weboldal értékes információkat kérhet, mint pl. Net banking azonosító vagy malware-t terjeszt. Védekezés: Anti-Phishing engine az E-mail security szerveren; Web proxy-n vagy tűzfalon az ilyen kapcsolatok tiltása (reputation filtering). Cisco Public 22

Data Loss Prevention A cél bizonyos adatok (pl. speciális azonosító számok) kiszivárogtatásának megállítása. A kiszivárogtatás történhet e-mail-ben, chat-en vagy fájlokban. Védekezés: DLP alrendszerek használata az E-mail Security szerveren, tűzfalon vagy web proxy-n. Fájlok átvitelének korlátozása. Cisco Public 23

Web használat korlátozása Bizonyos web oldalak használatát célszerű: Megtiltani; Munkaidőben megtiltani; Monitorozni és naplózni. Legtöbbször HR kérésre történik, de jogi problémák megelőzése is lehet a célja. Ha letöltő oldalakat, nem szükséges web mail vagy social média szolgáltatásokat blokkolunk, azzal a biztonság is növelhető. A megoldás Acceptable Use Control. Ez már több, mint egyszerű URL szűrés: Egy URL mögött már nem csak egyféle tartalom található. Social media, blog-ok pedig végképp összezavarják a képet. Dinamikus tartalom analízis szükséges (tökéletes megoldás nincs, hatékony van). Cisco Public 24

Alkalmazás kontroll A felesleges (kockázatos vagy kontra-produktív) alkalmazások tiltása sokat segít a védelemben. Ehhez fel kell tudni ismerni őket, ami nem egyszerű: Sokszor többféle, akár dinamikusan változtatott portokon keresztül kommunikálnak; Gyakran használnak HTTP-t kommunikációs csatornának; Vagy éppen egy-egy web-es (pl. Facebook) alkalmazásba integrálódnak. A TCP és UDP portok alapján történő szűrés ma már nem elégséges. Viselkedés analízis alapú megoldásokra van szükség. Cisco Public 25

SSL/TLS tiktosítást alkalmazó tartalmak vizsgálata Az SSL/TLS tiktosítás megvakítja : az anti-malware motorokat; a dinamikus tartalomszűrést végző más motorokat (fájl szűrés, DLP). URL alapú szűrés még működhet. Hogyan? (HTTPS esetén a HTTP fejléc titkosított.) Korszerű tűzfalakon és web proxy-kon elérhető SSL visszafejtés és újratitkosítás. Man-inthe-Middle (MITM) módszer. Dedikált SSL visszafejtő hardverek is léteznek (pl. Sourcefire). Lehet transzparens a felhasználó számára: A proxy fogadja az SSL kérést; Saját nevében nyit kapcsolatot a szerver felé; A szerver tanúsítványához hasonló tanúsítványt generál a saját tanúsítványával hitelesítve; Amennyiben a proxy saját tanúsítványa egy, a kliens számára Trusted Root CA-tól származik, akkor nem lesz tanúsítvány hiba. Cisco Public 26

SSL/TLS tiktosítást alkalmazó tartalmak vizsgálata Példa az SSL/TLS titkosítás MITM típusú visszafejtésére. Ez a weboldal biztonságos, a szerző által is napi szinten használt. Cisco Public 27

Autentikáció Felhasználóhoz vagy eszközhöz kell tudnunk kapcsolni a káros tevékenységet. Az autentikáció lehet: Passzív Nincs explicit kommunikáció felhasználó és a gateway/proxy között. Inkább csak azonosítás, jelszó ellenőrzés nem történik. Aktív, transzparens Explicit kommunikáció és teljes autentikáció gateway/proxy és a felhasználói eszköz között, de a felhasználó számára láthatatlan. (Single Sign On általában NTLM authentikációval.) Aktív Aktív autentikáció a felhasználó munkamenetének megszakításával. A passzív autentikációhoz dinamikus IP-felhasználó adatbázis üzemeltetése szükséges. Ezt végzi el számunkra a Cisco Context Directory Agent (CDA). Passzív autentikáció történhet még felhasználónevek kiolvasásából különböző protokollokból (IMAP, PoP3, stb.). Cisco Public 28

Kitérő: IPv6! A megfelelő IPv6 kezelés (ma még): Teljesen letiltjuk: Nem felkonfigurálni a hálózati eszközökön nem elegendő. Explicit módon tiltani kell a különböző IPv6 over IPv4 tunneling metódusokat. IPv4-hez hasonlóan kezeljük. A jelenlegi tartalomszűrési eszközök IPv6 képessége már közelíti az IPv4-est, de nem éri el. Cisco Public 29

Cisco E-mail biztonsági megoldások Cisco Confidential 30

Cisco Ironport E-mail Security Appliance (ESA) www.cisco.com/go/esa Virtuális (VMware és Cisco UCS szerver felett) és hardware appliance. Funkciók: Sender reputation filtering; Anti-SPAM; Anti-malware motorok (Sophos, Webroot, McAfee, FireAMP-hamarosan); Integrált RSA DLP engine; Outbreak Filter automatikusan érvényesített Cisco Security Intelligence Operations (SIO) szabályokkal; Valós idejű URL analízis; Helyi vagy off-box (Management Appliance) e-mail karantén; E-mail titkosítás (Cisco secure envelope services). Menedzselhető az integrált GUI-n vagy Content Security Management Appliance-en keresztül. Cisco Public 31

E-mail Security Appliance integráció Interfészek: Menedzsment; Public listener: MX rekord a DNS zónában; Private listener: SMTP relay a groupware szerver számára. Terhelésmegosztás és magas rendelkezésre állás: Több SMTP relay és DNS MX rekord beállítása (nem ideális, de működik); Load-balancer. Cisco Public 32

Cisco Cloud E-mail Security ESA-hoz hasonló funkciók. ESA-hoz hasonló skálázhatóság. Cisco által hosztolt hardver erőforrások. Cisco által biztosított rendszer menedzsment. Integráció: az MX rekordok és SMTP relay címek a Cisco-ra mutatnak. Cisco Public 33

Cisco Web biztonsági megoldások Cisco Confidential 34

Web Security Appliance (WSA) www.cisco.com/go/wsa Virtuális (VMware felett) és hardware appliance formátumok. Funkciók: HTTP(S), FTP(S) proxy cache és TCP optimalizációs funkciókkal; TLS visszafejtés és újra titkosítás (MITM típusú); Dinamikus URL és reputációs szűrés; Általános tartalom szűrés (fájl típusok); Egyszerű integrált DLP motor és interfész (ICAP) külső DLP rendszerek felé; Fejlett Alkalmazás Kontroll. Anti-malware motorok (Sophos, McAfee, Webroot és FireAMP egyszerre maximum kettő); Botnet Activity Filtering (L4TM) külön promiscuous vagy in-line interfészen teljes UDP és TCP port tartomány vizsgálatával. Menedzselhető az integrált GUI-n vagy centralizált Content Security Management Appliance-en keresztül. Cisco Public 35

Web Security Appliance telepítés HTTP(S) és FTP(S) forgalom átirányítás: Explicit proxy beállítás böngészőben vagy OS-ben; Transzparens: WCCP; Policy Based Routing; Destination NAT (SSL/TLS proxy nem megy). L4TM funkció külön interfészeken dolgozik (nem csak HTTP és FTP): Egy port promiscuous módban switch-ről vagy router-ről történő adat tükrözéssel; Két port in-line módban (transzparens, spanning-tree feldolgozás sincs). Nincs Stateful Failover vagy Clustering. Terhelésmegosztás és redundancia megoldások: WCCP alapú; Több proxy megadása PAC fájlban; Külső load-balancer alkalmazása. Cisco Public 36

Web Cache Communication Protocol (WCCP) Cisco által fejlesztett content routing protokoll. Nem csupán átirányítás : Terhelésmegosztás; Redundancia kezelés; Jelzésrendszer ; Adaptív fail-open/close állapot kezelés; Layer 2 és Layer 3-as (GRE) metódusok. Támogatott: Cisco Catalyst switch-ek; Cisco ASA tűzfalak; Cisco IOS routereken; Más gyártók eszközein. Bővebben: http://en.wikipedia.org/wiki/web_cache_communication_protocol Cisco Public 37

Web Security Appliance WSA modellek Fizikai hardver Egyező virtuális modell Disk (GB) RAID Mem (GB) CPU Core S170 S100V 250 1 4 1 S380 S300V 2400 10 16 6 S680-4800 10 32 8 Cisco Public 38

Cisco integrált web security megoldások (méltatlanul rövidre fogva) Stateful Inspection Tűzfal-ba integrált megoldások. A stateful inspection tűzfal még mindig alapelem. Több megoldás létezik: Meraki MX (cloud managed); Cisco ASA + NGFW (CX) szoftver vagy hardver modul; SourceFire NGFW konfiguráció (Protect, Control és FireSight licencekkel). JÖN, JÖN, JÖN (még idén): ASA + Sourcefire. Átfedő funkcionalitás, eltérő skálázhatóság és komplexitás. Mindegyiknek megvan a maga helye a piacon. Cisco Public 39

Cisco integrált web security megoldások Meraki MX ASA-NGFW Sourcefire NGFW Komplexitás Alacsony Közepes Magas Menedzsment Cloud PRSM Defense Center URL és reputációs szűrés Van Van Van Anti-malware Nincs Nincs FireAMP Intrusion Prevention System SNORT (egyszerűsített) Cisco IPS (egyszerűsített) SNORT (teljes, hangolható) Caching Csak WAN optimalizáció Nincs Nincs SSL/TLS proxy Nincs Van Csak külső appliance-szel Autentikáció Nincs Aktív és passzív Aktív és többféle passzív Fájl szűrés Nincs Van Van (FireAMP-pel integrálható) DLP Nincs Nincs Egyszerű Alkalmazás kontroll Van Van (részletes) Van (részletes) VPN Remote Access és Site-to- Site Remote Access és Site-to- Site Site-to-Site Cisco Public 40

Tartalomszűrés a gyakorlatban Cisco Confidential 41

Hinni kell a csodákban, de fel kell készülni megoldandó problémákra Valós teljesítmény. Kompatibilitás, a meglevő rendszer szükséges módosítása. A felhasználók oktatása, a felhasználókkal történő elfogadtatás. Egyéb kezelendő kérdések. Cisco Public 42

Teljesítmény Még a mai FPGA és célprocesszorok mellett sem lehetséges a teljes funkcionalitást hardveresen gyorsítani. Általában hardveresen gyorsítható funkciók: Bit-pattern vagy regex egyezés keresés kisebb adat blokkok esetén; Titkosítás; Egyszerű szűrőlisták kezelése. Az anti-malware rendszerek sokkal összetettebbek és nagyobb adat blokkokkal dolgoznak. A háttérben zajló, adattovábbítást közvetlenül nem befolyásoló naplózási és statisztikai feldolgozási folyamatoknak is van CPU, disk I/O és DRAM követelménye. Cisco Public 43

Meglevő rendszerekhez történő illesztés Proxy esetén explicit proxy módban a proxy-t be kell állítani: Többféle böngészőt kell beállítani; Nem minden eszköz kezelhető group-policy-k segítségével. Transzparens módban is szükséges lehet a böngészők beállítása: SSL/TLS proxy-hoz a Trusted Root CA beállítása; Nem mindegyik böngésző kezeli az OS tanúsítvány kezelő modulját. Az autentikáció minden esetben valamiféle integrációs erőfeszítést igényel. Cisco Public 44

A felhasználók... Oktatni kell őket (főleg nem transzparens autentikáció esetén). Esetenként a konfigurációs beállításokban is segítenünk kell. (P.l. Firefox külön tanúsítvány kezelővel rendelkezik). Nem biztos, hogy örülnek a kontrollnak. Akár jogi problémák is akadhatnak. Elővigyázatosságból lehet: Szolgáltatási szabályzat felkínálása és elfogadtatása; (Legtöbb rendszer ad felhasználói interakcióra lehetőséget.) A titkosítás visszafejtésének megfelelő hangolása. (p.l. banki oldalak érintetlenül hagyása.) A tesztelési fázisba be kell vonni a felhasználókat. Fel kell készülni a kérdésekre (főleg eleinte). Cisco Public 45

Egyéb lehetséges problémák Nincs tökéletes anti-malware program: legyen kontingencia terv. A maximum vizsgálható fájl méret limitált lehet. Kevéssbé rugalmas tanúsítvány kezelés. (P.l. hoszt operációs rendszer még tolerálhat hiányzó Subject Alternative Name mező bejegyzéseket, a gateway nem mindig teszi.) Üzemeltetési igény. Jól automatizált rendszerekről beszélünk, de hatékony üzemeltetésük igényel munkaidő befektetést. Cisco Public 46

Pár jó tanács Azért, hogy hatékony, könnyen üzemeltethető megoldás szülessen. Internetes tartalomszűrő rendszerek beszerzése csak RFP kiírás alapján nem célszerű. A Point of Concept tesztelés kötelező: Időt kell rá szánni; Munkaórát kell rá szánni; Pénzt kell rá szánni (későbbi oktatáson egy része megspórolható). Az egyik legfontosabb folyamatosan frissítendő rendszer a peremzónában. Cisco Public 47

Köszönjük!