A probléma

A támadók a hálózati portok vizsgálata és a szolgáltatásmegtagadási támadások után már a különböző szoftvereket, például a webböngészőket, a webkiszolgálókat, a levelezőprogramokat és az adatbázis-kiszolgálókat veszik célba. A vírusok néha felismerés nélkül jutnak át a hagyományos tűzfalakon, amelyek rendszerint csak a csomagok fejrészét vizsgálják, és figyelmen kívül hagyják a programot tartalmazó részt. A hagyományos tűzfalak saját sikerük áldozatai lettek, mert napjainkban a támadók ritkán nyúlnak a szinkronizálási vagy a hasonló szolgáltatásmegtagadási támadások fegyveréhez (például a folyamatos pingeléshez vagy az UDP-támadásokhoz). Növeli a problémát az is, hogy a HTTP és SMTP protokollal működő ügyfélalkalmazások igen széles köre nagyobb támadási felületet nyújt. Mindennek tetejébe a HTTP-t jelenleg átviteli protokollként használják, így olyan pontra érhetünk, ahol a portonkénti szűrés igen csekély védelmet nyújt az új veszélyekkel szemben.

A megoldás

A probléma megoldására alkalmazási rétegű szűrést végző szoftver használható, mint például a MicrosoftŽ Internet Security and Acceleration (ISA) Server 2004, amely nem csak a károkozó csomagok és a hálózati támadások, hanem a bonyolultabb támadások elleni védekezéshez is segítséget nyújt. Az egyszerűen telepíthető és konfigurálható ISA Server 2004 a hálózat biztonságának és teljesítményének fokozásával lehetővé teszi az ügyfelek számára, hogy maximális mértékben kihasználják meglévő számítástechnikai eszközeiket.

Hogyan működik?

Ha meg szeretnénk érteni, hogy miért alkalmazhatók sikeresen az alkalmazási rétegbeli tűzfalak - mint például az ISA Server 2004 - az olyan támadásokkal szembeni védekezésben, ahol a hagyományos tűzfalak csődöt mondhatnak, ismernünk kell a különböző technológiák működését.

A számítógépes hálózat egy nagy épületként képzelhető el. A hagyományos csomagszűrő tűzfalak úgy működnek, mint egy sor ajtó a vállalati hálózat és az internet között. Beérkezésükkor biztonsági őr ellenőrzi a szoftvercsomagokat, és ha nem tartalmaznak veszélyes kódot, az egyik ajtón keresztül beengedi azokat a hálózatba. A támadók előszeretettel alkalmazott fogása a portvizsgálat, amellyel megállapítják, van-e olyan ajtó, amely nincs ellátva védelemmel. Az állapot alapú ellenőrzést végző tűzfalak egy lépéssel tovább mennek. Itt a biztonsági őr azt is ellenőrzi, hogy a csomagok a belső felhasználók által a külső erőforrásoknak küldött kérelmekre érkező válaszok-e.

Az egyik probléma az, hogy a féregvírusok pontosan úgy néznek ki a csomagszűrő tűzfalak számára, mint az ártalmatlan programkódok. A csomagok fejrésze pontosan követi a jogosult forgalomban részt vevő csomagok fejrészének formátumát. Itt a programkódot tartalmazó rész a rosszindulatú; a féreg kártékony kódja csak az összes csomag megérkezése és összeállítása után azonosítható. Így ezek a rosszindulatú kódok gyakran akadálytalanul juthatnak be a magánhálózatba. A tűzfal beengedi a szokásos kódnak tekintett csomagokat a 80-as porton vagy az e-mail kiszolgálón keresztül. Ha már bejutott, a féreg betölthet bizonyos DLL fájlokat, majd egy olyan programkódot, amely puffertúlcsordulást idéz elő azzal, hogy nagy mennyiségű kóddal árasztja el a puffert. Ezután megkeresi a sebezhető kiszolgálókat, valamint a korábban bejutott férgek által hátrahagyott olyan programokat, amelyek hátsó bejáratot nyitnak a számítógépeken.

Továbbfejlesztett védelem

Az alkalmazási rétegbeli tűzfalak, mint például az ISA Server 2004, azonban több különleges védelmi szintet is kínálnak. A fenti példában említett ajtók helyett ezek fogadóteret alkalmaznak. Mivel egy biztonsági őr kevés, szakirányú képzettségű biztonsági őrökből álló csoportot foglalkoztatnak, egyet a webkiszolgálókhoz (HTTP-szűrő), egyet az e-mail kiszolgálókhoz (SMTP-szűrő), egyet a fájlátvitelhez (FTP), megint egyet az adatbázisokhoz (RPC) és így tovább. Szükség esetén további szakosodott őrök vethetők be, és a meglévők is igen rugalmasan kezelhetők. A HTTP-szűrő például beállítható a férgek kívül tartására úgy, hogy ne engedje be azokat a programokat, amelyek 3000-nél több karaktert helyeznek el a pufferben.

Az internetről érkező adatok a fogadótérbe kerülnek, ahol az alkalmazási rétegbeli tűzfal megvárja, míg a teljes e-mail, a teljes weblap vagy a teljes szoftver megérkezik, és csak ezután továbbítja a rendeltetési helyére a hálózati kiszolgálón. Így a biztonsági őr, vagyis az alkalmazásszűrő összehasonlíthatja ezeket az elemeket az ismert veszélyforrások listáján szereplőkkel. Végezetül a szűrő megvizsgálja, mit szándékozik tenni a szoftver. Tudja például, hogy a webkiszolgálói szoftvernek semmi köze az adatbázisfájlok törléséhez.

A helyesen beállított alkalmazási szintű tűzfal e-mail szűrője (SMTP) aláírásuk alapján felismeri a vírusokat, és megakadályozza, hogy bejussanak a rendszerbe. Az egyik elterjedt vírus például helytelen URL-címet használva lép ki a webkiszolgáló adatkönyvtáraiból, és elindít egy parancssori ablakot, amelyben végrehajtja a rosszindulatú kódot. Ezután letölti saját, trójai faló típusú programját, amely kiskaput nyit a támadónak a rendszer eléréséhez. Az új vírusokat természetesen nehezebb távol tartani, mivel rengeteg aláírást kell nyilvántartani, ezért némi kockázattal számolni kell. Ebben a helyzetben a veszély csökkentése érdekében érdemes olyan szabályt beállítani a tűzfalprogramban, amelynek alapján a kiszolgáló felismerheti a nem megszokottan viselkedő alkalmazásokat. A fenti példát folytatva kiszűri a Visual BasicŽ parancsfájlokat vagy a végrehajtható kódot tartalmazó e-mail üzeneteket, hacsak nincs alapos ok az ilyen kódok futtatására a vállalati környezetben. Az alkalmazási rétegbeli tűzfal beállítható úgy, hogy engedélyezze az összes parancsot, és úgy is, hogy a megadottakon kívül mást ne engedélyezzen. Létrehozható például olyan szabály, amely nem enged át egyetlen olyan e-mailt sem a tűzfalon, amely EXE fájlt tartalmaz, kivéve ha azok címzettje az informatikai osztály, vagy olyan szabály, amely engedélyezi a Visual Basic parancsfájlt tartalmazó összes e-mail beérkezését, kivéve azokat, amelyek az Anna Kournikova.jpg.vbs fájlt tartalmazzák (ez ugyanis egy vírus).

Teljesítmény

Közismert, hogy a nagyobb biztonság általában kisebb teljesítményt jelent. Elég csak a repülőterekre gondolni: a biztonsági intézkedések szaporodásával arányosan nő a várakozási idő. Vajon így kell ennek lennie a számítógépes hálózatokban is? Az ISA Server használata esetén a felhasználók többsége nem fog teljesítménycsökkenést észlelni. Az ISA Server 2004 elég gyorsan működik ahhoz, hogy egyidejűleg akár 1000-nél is több felhasználót kiszolgáljon, futási sebessége ekkor sem csökken munkamenetenként 27 megabit/másodperc alá. Ezenkívül biztonsági fejlesztéseket is tartalmaz a vállalati adatok és alkalmazások (például a Microsoft Exchange Server) távoli eléréséhez. A Network Computing folyóirat által nemrég elvégzett független teszt kimutatta, hogy az ISA Server 2000 teljesítményében felülmúlta a hasonlóan konfigurált, adatelemzést végző alkalmazási rétegbeli tűzfalat alkalmazó technológiákat. Az ISA Server 2004 várhatóan felülmúlja elődje teljesítményét is.

Egyszerű használat

Napjainkban az ügyfelek elvárásai között nem csak a teljesítmény szerepel, hanem az olyan biztonsági megoldások is, amelyek telepítése, konfigurálása és kezelése jóval egyszerűbb a korábbiakénál. Ez főként azzal magyarázható, hogy a helytelen beállítások súlyos következményeket vonhatnak maguk után. Egyes elemzések szerint a tűzfalakkal kapcsolatos hibákra visszavezethető biztonsági problémákat 90%-nál is több esetben a helytelen beállítások okozzák, és nem a tűzfalak biztonsági hiányosságai.

A probléma az, hogy a bizonytalan gazdasági időszakokban az ügyfelek többsége nem kíván sok időt és pénzt fordítani a napjaink fejlett támadási módszereinek visszaverésére alkalmas új rendszerek bevezetésére. Ez különösen igaz a kis- és középvállalatokra, ahol a biztonsági infrastruktúrát alacsony költségvetéssel és kis létszámú személyezettel tartják fenn.

Számos ügyfél olyan fejlett alkalmazási rétegbeli tűzfalat keres, amely a hálózat biztonságának és teljesítményének fokozásával lehetővé teszi a meglévő számítástechnikai eszközök maximális mértékű kihasználását.

Megelőzés

Egészen mostanáig az internetes támadások többségét körülbelül a szoftveres vandalizmussal azonos súlyosságú problémának tekintették. Ez azonban megváltozott. A vírusok készítői és a kéretlen levelek küldésére szakosodott közösségek közötti együttműködés egyre szorosabbá válik. Az elmúlt évben létrehozták a Mimail nevű vírust, amely szolgáltatásmegtagadási támadásokat indított a kéretlen levelek ellen fellépő csoportosulások ellen (ilyen például a Spamhaus). A féregvírusok által megfertőzött kiszolgálókat később arra használták a támadók, hogy kéretlen e-mail üzeneteket küldjenek a gyanútlan internetes felhasználóknak. A vírusok és a profitorientált szándékok összekapcsolása kedvezőtlen hír lehet a vállalatok és a magánfelhasználók számára.

Ugyanakkor a támadások egyre komolyabb következményekkel járhatnak. A Kaliforniában működő vállalatoknak például az állam adatvédelmi törvénye értelmében értesíteniük kell az ügyfeleiket, ha felmerül a gyanúja annak, hogy idegen kézbe kerültek a személyi adataik.

A támadások viszonylagos veszélytelenségének egyik oka az, hogy a jelenlegi vírusok a közönséges náthához hasonlíthatók: kellemetlen tünetekkel járnak, de ritkán végzetesek, még akkor is, ha sok számítógépet megfertőznek. A végzetes vírusok és férgek, mint megfelelőik a valós életben, túl gyorsan ölik meg a hordozójukat, így nem tudnak terjedni.

Napjaink alkalmazási rétegbeli támadásai azonban nem kivételnek, hanem szabálynak tekintendők. Egyre gyakoribbakká és kártékonyabbakká válnak, ezért egyre több költséget okoznak. A nemrég megjelent, tömeges e-mailt küldő MyDoom féreg például alig néhány óra alatt számítógépek millióit fertőzte meg világszerte. A Network Associates Inc. beszámolója szerint két ügyfele azt tapasztalta, hogy percenként ezernél is több fertőzött e-mail érkezett az e-mail kiszolgálóikra. Már csak idő kérdése, hogy valakinek eszébe jut keresztezni a gyorsan terjedő vírusokat vagy férgeket a rendkívül súlyos károkat okozó programkóddal.

A fertőzések elkerülése érdekében a vállalatoknak olyan eszközre van szükségük, amely automatikusan blokkolja a rosszindulatú kódot, mégpedig nem csak az aláírása, hanem a tevékenysége alapján is.

A problémára olyan megoldás szükséges, amely gyorsan reagálva tudja kiirtani a kártékony kódot anélkül, hogy fennakadások jelentkeznének a hálózat működésében, amely elég rugalmas ahhoz, hogy a még nem ismert veszélyforrások ellen is védelmet nyújtson, és amely egyszerűen konfigurálható, hogy a kis- és középvállalatok, amelyek nem tudnak teljes munkaidős biztonsági szakembereket foglalkoztatni, jobb védelemmel láthassák el hálózataikat.