Système de prévention d’intrusion

Le système IPS de Kerio Control

Kerio Control, est une solution complète de gestion unifiée des menaces qui intègre une architecture d’analyse de paquet fondée sur les signatures, connu sous le nom de Intrusion Prevention System (IPS). Ce système assure un contrôle transparent des communications réseau entrantes et sortantes, afin d’identifier tout activité suspecte. Selon la gravité de l’activité, Kerio Control peut identifier et bloquer la communication. Des nouvelles signatures sont régulièrement ajoutées à la base de données des règles afin protéger contre les menaces émergeantes.

Le système est conçu de façon à protéger les utilisateurs derrière le pare-feu, contre les connexions non-autorisées, qui découlent habituellement de robots internet ou d’un pirate qui tente d’exploiter un service disponible. L’IPS est également conçu en vue de protéger les utilisateurs de réseau contre le téléchargement par inadvertance de contenus malveillants ou de maliciels et d’atténuer les incidences d’un système compromis.


Sécurité des serveurs

Dans de nombreux déploiements, les serveurs sont placés derrière le pare-feu et seuls les services hébergés peuvent recevoir des connexions. Selon le type de service hébergé (par exemple, serveur SQL), le pare-feu peut ne pas avoir la capacité d'inspecter la conversation réelle qui se déroule entre un client et le serveur. Le pare-feu est principalement chargé de s'assurer que la connexion est établie, sans autoriser aucun autre type d'accès par porte dérobée aux autres services disponibles sur le serveur. Ce que ce type de configuration ne traite pas, c'est la menace potentielle d'une requête ou d'une commande qui exploite une vulnérabilité dans le logiciel serveur.

L'incidence la plus connue de ce type d'attaque s'est peut-être produite en 2001, où un ver a été développé pour attaquer les systèmes exécutant le logiciel de serveur Web, Microsoft Internet et Information Server. Etiqueté «Code Red», le ver était programmé pour envoyer une série de commandes via le service HTTP qui provoqueraient un débordement de tampon dans l'espace mémoire du logiciel serveur. Cela a permis à l'attaquant d'injecter et d'exécuter du code arbitraire sur le serveur. Une partie de ce code comprenait la possibilité de se redistribuer rapidement en affectant d'autres serveurs exécutant le logiciel Microsoft IIS. Cette attaque spécifique a entraîné un déni de service du serveur affecté.

Ajout de la couche IPS

Keeping server software updated is critical to protecting server applications from this type of threat. Application vendors regularly update their software to patch security vulnerabilities. In some cases however, it may not be possible to update to the latest version of the software or the vendor may not yet have a fix for an emerging threat. Adding an Intrusion Prevention System provides an extra layer of security to protect against threats such as the Code Red worm.

L'IPS maintient une base de données locale de signatures, qu'il utilise pour identifier les types d'attaques connus. Sans interpréter la communication entre un client et un serveur, un système IPS peut générer une signature de la connexion réseau, et rechercher cette signature dans sa base de données locale. Ce type d'architecture est très efficace pour lutter contre la menace d'un ver ou d'une autre attaque basée sur un serveur.

D'autres types d'attaques de serveur incluent la devinette de mot de passe ou la force brute, le déni de service distribué, les analyses de port ou le détournement de session. Ces types d'attaques impliquent généralement des tentatives pour obtenir des informations sur le logiciel serveur, telles que la version et le développeur. Avec ces informations, l'attaquant peut rechercher des vulnérabilités dans le logiciel serveur et tenter d'obtenir un accès non autorisé au système, ou effectuer des actions malveillantes pour empêcher le serveur de fonctionner correctement. Dans tous ces cas, l'IPS informera l'administrateur de cette activité suspecte et bloquera toute communication si elle est connue pour causer des dommages aux serveurs protégés par le pare-feu.


Atténuer les effets des chevaux de Troie, des vers, des logiciels espions et autres logiciels malveillants

Outre l'exploitation des services disponibles vers des applications vulnérables, il existe d'autres moyens d'exploiter un système d'exploitation. L'une des approches les plus courantes utilisées par un attaquant est de superposer une application à un logiciel libre. L'utilisateur est trompé en installant des logiciels malveillants en installant une autre application ou en accédant simplement à un site Web qui exécute un script côté client pour installer le logiciel malveillant. Ces types d'applications peuvent ne pas être visibles pour l'utilisateur, mais peuvent être programmés pour exposer des informations d'entreprise sensibles trouvées sur l'ordinateur infecté. Ils peuvent également dégrader les performances d'un ordinateur ou entraîner l'échec d'autres applications. Comme ces programmes peuvent sembler être installés légitimement, ils peuvent ne pas être identifiés par un logiciel antivirus.

Un système de prévention des intrusions contribue à identifier les systèmes infectés par ces types d'applications. L'IPS peut identifier que l'utilisateur tente par inadvertance de télécharger une application indésirable et peut fermer la connexion, empêchant ainsi le fichier d'atteindre l'ordinateur de l'utilisateur final. Dans le cas où un ordinateur précédemment infecté est mis sur le réseau, l'IPS peut également identifier et bloquer l'activité du malware installé. L'IPS de Kerio Control fonctionne donc en tandem avec le pare-feu et les capacités de filtrage de contenu pour empêcher la propagation de logiciels malveillants sur le réseau.


Architecture

Assurez les performances du logiciel Kerio Control avec l'appliance matérielle Kerio Control Box. Cette boîte aux performances optimisées vous permet d'exploiter toutes les fonctionnalités du produit Kerio Control dans un package stable et solide, préconfiguré avec Kerio Control et un système d'exploitation renforcé. Toutes les appliances matérielles Kerio Control Box incluent la protection et le contrôle supplémentaires fournis par Kerio Antivirus et Kerio Control Web Filter.

(1) Emplacement. En règle générale, un système de détection d'intrusion réside à l'emplacement du réseau qui reçoit une diffusion de toute l'activité du réseau. L'IPS doit résider sur un routeur de passerelle ou un pare-feu , qui est responsable du transport du trafic IP entre les différents segments du réseau et Internet. En tant que pare-feu basé sur le périmètre, Kerio Control met en œuvre la prévention des intrusions «basée sur le réseau». En d’autres termes, tout trafic acheminé via le pare-feu, entre les réseaux protégés et Internet, sera protégé par l’IPS de Kerio Control.

(2) Analyse des paquets. Au cœur de sa technologie de scan, Kerio Control intègre un analyseur de paquets basé sur Snort . Snort est un système IDS / IPS open source qui analyse de manière transparente toutes les communications réseau et fournit un cadre pour incorporer des règles personnalisées. Plus d'informations sont disponibles sur www.snort.org.

(3) Base de données. Kerio Control implémente un ensemble de règles gérées par un projet sponsorisé par la communauté appelé E merging Threats . Chaque règle est signée numériquement pour garantir l'authenticité des mises à jour, empêchant tout type de falsification. Les règles sont basées sur de nombreuses années de contributions de professionnels de l'industrie et sont continuellement mises à jour. Plus d'informations sont disponibles sur www.emergingthreats.net.

Le système de prévention des intrusions de Kerio Control propose trois actions différentes, en fonction de la gravité de l'attaque potentielle:

  • Intrusions de faible gravité: aucune action
  • Intrusions de gravité moyenne: journal uniquement
  • Intrusions de haute gravité: consigner et supprimer

Ce sont les paramètres par défaut, mais l'action peut être ajustée en fonction des besoins de l'organisation. La gravité est basée sur les qualifications intégrées à la règle. Les règles de haute gravité ont la plus grande probabilité d'être une attaque réelle sur le réseau. Un exemple serait la détection de l'activité réseau à partir d'une application cheval de Troie. Les événements de catégorie moyenne sont définis comme suspects et potentiellement dangereux, mais ont la possibilité d'être une activité légitime, par exemple, une connexion via un port standard, en utilisant un protocole non standard. Une menace de faible gravité peut être considérée comme une activité suspecte qui ne pose aucun dommage immédiat, par exemple, une analyse de port réseau.


Liste noire IP

En plus d'une base de données de règles composée de signatures de comportement réseau, Kerio Control gère une base de données d'adresses IP, auxquelles tout type d'accès via le pare-feu est explicitement refusé. Les adresses IP incluses dans cette base de données sont connues pour être à l'origine d'une forme d'attaque. Dans de nombreux cas, ces adresses IP ont été attribuées à des entreprises légitimes, mais ont été réutilisées pour des activités illégitimes, telles que la distribution de spam. Cette base de données d'adresses IP est extraite de diverses sources Internet et gérée par des organisations telles que Dshield et Spamhaus. Ces listes sont stockées localement et mises à jour automatiquement.


Faux positifs et exceptions

La technologie de détection d'intrusion n'est pas infaillible. À l'instar des solutions anti-spam, il est normal de rencontrer un petit pourcentage de faux positifs. En d'autres termes, une communication réseau légitime qui correspond aux signatures d'une activité suspecte peut être mal identifiée. Il est donc nécessaire de fournir une méthode simple pour faire des exceptions à la base de données de signatures.

Comment affiner l'IPS

  • Consultez le journal de sécurité. Toute communication bloquée par le moteur IPS est signalée dans le journal «Sécurité». Les détails de chaque événement, y compris l '«ID de règle», sont fournis dans le journal. Si un utilisateur signale un problème de connexion dans une application spécifique qui utilise un protocole autorisé, il vaut la peine d'examiner le journal de sécurité pour l'intrusion potentiellement mal identifiée.
  • Vérifiez que l'application n'est pas compromise. Si la communication d'une application est bloquée par l'IPS, l'application doit être examinée pour s'assurer qu'elle n'a pas été compromise et qu'elle se comporte en fait légitimement.
  • Créez des exceptions. Si une exception doit être faite à la base de données des signatures, l'ID de règle extrait de l'événement du journal peut être ajouté à la boîte de dialogue «Signatures ignorées» dans les paramètres avancés de l'interface de gestion IPS.

Gestion des mises à jour

Tout comme les virus, de nouvelles menaces sont identifiées quotidiennement. Il est donc nécessaire de s'assurer que la base de données des signatures est mise à jour régulièrement. Le moteur IPS de Kerio Control vérifie les mises à jour une fois par jour, mais peut également être configuré pour une vérification toutes les heures.

La communauté autour de Emergingthreats.net contribue aux règles ou signatures nouvellement ajoutées. Kerio contribue à la maintenance continue de ces signatures, tout en encourageant les administrateurs utilisant l'IPS dans Kerio Control à participer à l'effort de la communauté pour identifier les nouvelles attaques et aider au développement de nouvelles règles. Plus d'informations peuvent être trouvées sur www.emergingthreats.net.


Règles IPS inhérentes

L'inspection approfondie intégrée des paquets de Kerio Control agit comme une couche supplémentaire de défense en surveillant de manière transparente des protocoles spécifiques pour garantir que la communication ne viole pas la spécification. Il filtre également le contenu malveillant qui peut ne pas être reconnu par la base de données de signatures. Outre les listes noires et les bases de données de signatures, Kerio Control combine un certain nombre de fonctionnalités automatiques pour renforcer ses capacités de prévention des intrusions:

  • Bloqueur peer-to-peer. Lorsqu'il est activé, le pare-feu surveillera les connexions sur certains ports pour identifier et bloquer l'activité des applications P2P connues, qui contribuent fortement à la propagation des logiciels malveillants.
  • Blocage des données binaires illégales dans HTTP. Dans le cadre de son inspection des paquets, le pare-feu empêchera l'utilisation illégale de données binaires dans les connexions HTTP.
  • Filtre de vulnérabilité GDI + JPEG. Un fichier image JPEG spécialement conçu peut provoquer un dépassement de mémoire tampon dans les systèmes d'exploitation Windows non corrigés, permettant l'exécution de code arbitraire (MS04-028). Kerio Control identifie et bloque le transfert de ce fichier spécifique via les protocoles de messagerie et Web.
  • Tests de certification ICSA Labs en cours. Dans le cadre de la certification ICSA (International Computer Security Association) Labs, Kerio Control doit passer en permanence un certain nombre d'audits de sécurité, tels que l'inondation de synchronisation TCP, le rebond FTP, les attaques Man-in-the-middle et d'autres menaces en constante évolution.

Résumé

La prévention des intrusions est une technologie hautement sophistiquée, basée sur un vaste ensemble de règles variables. Chaque réseau est unique et une soi-disant «intrusion» peut être sujette à interprétation. L'IPS intégré à Kerio Control est conçu pour identifier et bloquer les attaques aussi précisément que possible, tout en maintenant un niveau optimal de performances du réseau.

Fonctionnalités du système de prévention des intrusions

  • Analyseur de paquets basé sur Snort
  • Base de données des règles sur les menaces émergentes
  • Base de données de la liste noire IP
  • Plusieurs niveaux de sécurité
  • Gestion des exceptions des faux positifs

Caractéristique précédente  | Caractéristique suivante