Pendahuluan
Kami menulis, kami menulis, jari-jari kami lelah. Mengapa kami tiba-tiba memutuskan untuk memulai dengan bait anak-anak ini? Semuanya sangat sederhana. Pada artikel ini, kami ingin memperkenalkan kepada pembaca tentang kemampuan solusi keamanan jaringan tercanggih kami - garis firewall Zyxel ATP. Sebagai contoh, model garis tengah dipilih - ATP500. Berdasarkan hal itu, kami berencana tidak hanya membuat deskripsi berkualitas tinggi tentang fungsionalitas seluruh lini firewall, tetapi juga untuk berbagi hasil pengujian dengan mengukur kinerja perangkat saat melakukan operasi penyaringan pengguna yang paling umum. Setelah melihat volume materi yang dihasilkan, kami memutuskan untuk membagi teks menjadi dua atau bahkan tiga artikel: hari ini kami akan menjelaskan fitur keamanan utama, serta berkenalan dengan pengaturan perangkat, dan menunda semua pengukuran dan desain hingga publikasi berikutnya.
Volume material terkait dengan jumlah fungsi perlindungan bertingkat yang ditawarkan firewall Zyxel: eksekusi kode kotak pasir, pembelajaran mesin, penggunaan awan ancaman saat ini, sistem pencegahan intrusi, sistem keamanan untuk aplikasi dan web, dan banyak lagi -lebih banyak.
Jadi mari kita mulai!
Perbarui
Sebelum memulai diskusi tentang masalah yang terkait dengan fungsionalitas perangkat, kami ingin sekali lagi mengingatkan pembaca tentang perlunya memperbarui tepat waktu tidak hanya database tanda tangan anti-virus, tetapi juga firmware perangkat itu sendiri. Untuk perangkat keamanan, ini sangat penting, karena versi baru firmware tidak hanya memperbaiki kerentanan potensial dalam kode firmware, tetapi juga memperluas fungsionalitas dan meningkatkan jumlah dan kualitas pemeriksaan lalu lintas pengguna. Versi firmware diubah menggunakan tab "Manajemen Firmware" pada item "Manajer File" pada menu "LAYANAN".
Ada dua firmware pada perangkat sekaligus: arus dan cadangan. Jika masalah muncul selama pembaruan firmware, administrator dapat dengan mudah kembali ke versi firmware yang sebelumnya (jelas berfungsi). Kami tidak menciptakan roda di sini, dua firmware - pendekatan standar untuk sebagian besar perangkat tingkat ini.
Pembaruan itu sendiri dapat dilakukan secara manual, semi-otomatis dan sepenuhnya otomatis. Setiap administrator dapat memilih mode pembaruan yang paling cocok untuknya. Misalnya, firewall kantor jarak jauh dapat diperbarui secara otomatis sesuai dengan jadwal selama jam-jam beban paling sedikit di jaringan (misalnya, di malam hari atau di akhir pekan), sementara untuk memperbarui firewall di segmen jaringan kritis Anda dapat menggunakan metode manual untuk mengganti firmware.
Selama proses pemutakhiran firmware, perangkat perlu reboot. Ini adalah cara yang sangat standar untuk mengganti mikrokode. Selama reboot, jelas bahwa firewall tidak dapat meneruskan lalu lintas pengguna. Apakah ini berarti bahwa selama reboot, pengguna akan dibiarkan tanpa akses ke jaringan? Saat menggunakan firewall tunggal, ya, durasi pemadaman layanan akan kira-kira sesuai dengan waktu reboot ATP. Jelas, waktu yang diperlukan untuk me-reboot perangkat tergantung pada banyak faktor, seperti versi sistem operasi, jumlah layanan yang disertakan, platform perangkat keras, dan sebagainya. Kami mengukur waktu boot model ATP500 dengan konfigurasi default dan versi firmware terbaru pada saat penulisan.
Waktu buka adalah 138 detik, yaitu sekitar dua seperempat menit. Semua-semua, seperti yang kami janjikan di awal, tidak ada lagi pengukuran dalam artikel ini!
Perlu dicatat bahwa jika jaringan dibangun menggunakan alat ketersediaan tinggi, maka gangguan layanan akan jauh lebih pendek. Pengaturan yang sesuai tersedia di item "Pencadangan perangkat" pada menu "KONFIGURASI".
Firewall Zyxel ATP series tidak hanya mendukung dua salinan firmware, tetapi juga beberapa file konfigurasi. Ya, tentu saja, ini tidak berlaku langsung pada prosedur untuk memperbarui firmware dan tanda tangan, tetapi kami tidak bisa tidak mengatakannya. Administrator selalu dapat memutar kembali ke versi pengaturan sebelumnya.
Untuk berfungsinya sejumlah layanan, seperti pemindaian anti-virus, pemantauan aplikasi, filter botnet, dan sistem pencegahan intrusi, perlu memiliki basis data terbaru yang berisi informasi tentang malware. Anda dapat melakukan pembaruan semi-otomatis atau mengatur jadwal untuk pembaruan otomatis menggunakan item "Pembaruan Tanda Tangan" di grup "Lisensi" pada menu "KONFIGURASI".
Sebagai kesimpulan dari bagian ini, kami ingin menarik perhatian pembaca pada item "Tanggal / Waktu" dari grup "Sistem" pada menu "KONFIGURASI". Menggunakan item ini, administrator dapat mengatur parameter sinkronisasi waktu. Sulit untuk melebih-lebihkan pentingnya sinkronisasi semacam itu. Dan ini bukan tentang kenyamanan bekerja dengan informasi jurnal (log). Pertama, tanggal dan waktu digunakan dalam semua jadwal yang dikonfigurasi pada perangkat.
Kami percaya bahwa tidak ada administrator yang secara tidak terduga ingin me-reboot perangkat di tengah hari kerja karena pembaruan firmware untuk firewall. Tetapi yang lebih penting adalah memeriksa waktu validitas sertifikat HTTPS dari server yang diakses oleh pengguna dari jaringan yang dilindungi.
Kami sekarang beralih ke pertimbangan fitur keamanan jaringan tertentu.
Anomali
Firewall Zyxel ATP series memungkinkan Anda mendeteksi anomali dalam data yang dikirimkan dan memblokir lalu lintas tersebut. Tapi anomali macam apa yang memungkinkan ATP dideteksi?! Berikut ini beberapa contoh. Mungkin, administrator jaringan mana pun akan setuju bahwa pemindaian port pada host tertentu tidak dapat dikaitkan dengan lalu lintas biasa, tentu saja, dengan pengecualian yang jarang. Munculnya berbagai lalu lintas palsu (banjir) juga termasuk dalam jenis anomali ini. Setiap protokol jaringan dan transportasi (TCP / UDP / ICMP) memiliki anomali masing-masing. Jadi, misalnya, di antara anomali protokol IP, fragmen tumpang tindih dapat dicatat, dan untuk TCP ada nilai yang dicadangkan (tidak digunakan) untuk bidang Panjang Header - nilai minimum bidang ini adalah 5.
Anda dapat mengaktifkan atau menonaktifkan memeriksa lalu lintas dari zona keamanan tertentu untuk anomali menggunakan tab "Pengaturan Dasar" dari item "ADP" dari grup "Kebijakan Keamanan" dari menu "KONFIGURASI". Di sini, profil deteksi anomali ditautkan ke zona.
Profil itu sendiri dikelola pada tab "Profil" dari item menu yang sama.
Untuk masing-masing profil, Anda dapat memilih anomali lalu lintas yang akan dideteksi, serta tindakan apa yang harus diambil setelah deteksi.
Dari menemukan anomali yang paling sederhana, mari beralih ke studi lalu lintas yang lebih mendalam.
Politisi
Item Kebijakan grup Kebijakan Keamanan pada menu KONFIGURASI memberikan administrator kemampuan untuk mengelola kebijakan pemfilteran lalu lintas yang berlaku untuk data pengguna yang melewati firewall.
Perlu dicatat bahwa ada dukungan untuk rute asimetris. Dukungan seperti itu mungkin dibutuhkan untuk jaringan besar dan kompleks. Namun, rekomendasi yang cukup standar berlaku di sini bahwa perutean asimetris harus dihindari sebisa mungkin.
Untuk menerapkan kebijakan, lalu lintas dapat dipilih sesuai dengan kriteria berikut: zona pengirim dan penerima data, alamat IP pengirim dan penerima, jadwal, pengguna yang diautentikasi, serta lalu lintas layanan tertentu. Anda dapat membuat banyak kebijakan secara bersamaan. Memeriksa lalu lintas untuk kepatuhan dengan ketentuan kebijakan diterapkan secara berurutan. Kebijakan pencocokan pertama diterapkan.
Lalu lintas yang tunduk pada kebijakan pemrosesan tertentu dapat ditransfer ke mekanisme pemrosesan berikut: patroli aplikasi, pemfilteran konten, dan inspeksi SSL. Secara lebih rinci tentang masing-masing mekanisme yang terdaftar, kami akan memberi tahu lebih lanjut.
Kontrol Sesi
Kemampuan untuk membatasi jumlah sesi, tentu saja, tidak secara langsung berkaitan dengan melindungi jaringan dari infeksi oleh berbagai malware. Namun, ini dapat berguna jika terjadi beban berlebih pada firewall, misalnya, ketika serangan DDoS terjadi. Secara umum, peningkatan tajam jumlah koneksi terbuka simultan dari satu atau beberapa host (relatif terhadap level awal - baseline) dapat secara tidak langsung mengindikasikan munculnya kode berbahaya baru dalam fase aktif. Membatasi jumlah sesi yang diizinkan akan sedikit mengurangi penyebaran infeksi, misalnya, jika perangkat telah menjadi bagian dari jaringan botnet; atau mengurangi kerusakannya.
Pembatasan umum dikonfigurasikan dalam item "Kontrol Sesi" dari grup "Kebijakan Keamanan" dari menu "KONFIGURASI". Untuk pembatasan lalu lintas IPv4 dan IPv6 diberlakukan secara independen.
Jumlah maksimum sesi dapat diatur secara individual untuk setiap pengguna atau perangkat dengan alamat IP tertentu.
Dan meskipun membatasi jumlah maksimum sesi aktif dapat memiliki efek positif pada seluruh situasi dengan infeksi atau serangan pada umumnya, kami akan merekomendasikan menggunakan alat khusus untuk setiap kasus tertentu.
Aplikasi Patroli
Database tanda tangan layanan ini berisi informasi tentang beberapa ribu beragam aplikasi dan layanan online. Selain itu, basis data tanda tangan aplikasi diperbarui secara berkala, memberikan administrator kemampuan untuk menyaring lalu lintas dari jumlah layanan yang semakin meningkat.
Kontrol lalu lintas dari aplikasi terkenal dilakukan dengan menetapkan profil yang sesuai di item "Patroli aplikasi" dari grup "Layanan Keamanan" dari menu "KONFIGURASI".
Setiap profil berisi daftar aplikasi dan tindakan yang perlu dilakukan. Mungkin ada baiknya menjelaskan perbedaan antara tindakan menjatuhkan dan menolak. Jika Anda memilih opsi drop, paket akan dibuang tanpa mengirim pemberitahuan apa pun, sementara opsi tolak juga akan mengirim pesan tentang menjatuhkan paket.
Sekarang pertimbangkan kemungkinan pemfilteran konten.
Penyaringan konten
Penyaringan konten memungkinkan administrator untuk mengontrol akses ke situs web tertentu atau ke sumber daya yang berisi data tertentu. Kebijakan pemfilteran konten dapat dikaitkan dengan waktu, itulah sebabnya mengapa masih penting untuk melakukan pra-konfigurasi sinkronisasi waktu dengan server NTP. Jadwal untuk menerapkan kebijakan memungkinkan Anda untuk memblokir akses karyawan ke sumber daya tertentu (misalnya, jejaring sosial) selama jam kerja dan sebaliknya untuk memungkinkannya setelah akhir hari kerja, atau saat makan siang.
Tentu saja, karyawan yang berbeda memerlukan akses ke berbagai jenis informasi. Sebagai contoh, karyawan sumber daya manusia harus memiliki akses ke jejaring sosial yang sama sepanjang waktu, karena mereka menggunakan situs web ini untuk melaksanakan tugas langsung mereka.
Pemfilteran konten dikonfigurasikan pada halaman grup yang sama "Layanan Keamanan" dari menu "KONFIGURASI".
Saat membuat atau mengubah profil pemfilteran konten, Anda dapat segera memeriksa kategori mana dari sumber daya tertentu.
Perlu dicatat bahwa profil pemfilteran tidak hanya menentukan situs tempat pengguna diizinkan atau memblokir akses, tetapi juga memungkinkan elemen laman web mana yang diizinkan (Active X, Java, Cookies, proxy web). Selain itu, pemblokiran akses dapat dilakukan dengan kata kunci.
Secara alami, administrator memiliki kesempatan untuk secara eksplisit mengizinkan atau menolak akses ke sumber daya tertentu, terlepas dari kategori apa yang mereka miliki. Pengaturan yang sesuai tersedia di tab Situs Web Tepercaya dan Situs Web Terlarang.
Membatasi akses karyawan ke kategori situs tertentu adalah salah satu langkah pencegahan untuk melindungi jaringan lokal dari perangkat lunak berbahaya.
Perlindungan malware
Pemindaian lalu lintas anti-virus mungkin merupakan salah satu opsi paling menarik dan populer yang ditawarkan oleh firewall seri Zyxel ATP. Segera perlu disebutkan bahwa kita berbicara tentang memeriksa protokol berikut: HTTP, FTP, POP3 dan SMTP, bekerja pada port standar. Apakah lalu lintas HTTPS akan diperiksa? Ya, itu akan, jika Anda mengaktifkan opsi inspeksi SSL, yang akan kita bicarakan nanti.
Jadi jenis malware apa yang bisa dideteksi? Virus adalah kode jahat yang dirancang untuk mengganggu atau mengubah fungsi produk perangkat lunak lain dan / atau sistem operasi. Worm adalah virus yang menyebar sendiri yang mengeksploitasi kerentanan pada perangkat lunak yang diinstal atau sistem operasi. Spyware dirancang untuk melacak pengguna, mereka mencegat korespondensi, memasukkan perintah, kata sandi, dan sebagainya.
Terlepas dari jenis malware, modul pemindaian anti-virus menghitung jumlah hash file atau bagiannya dan membandingkannya dengan database yang terletak di firewall. Itulah mengapa sangat penting untuk dapat secara teratur memperbarui database dari tanda tangan virus yang dikenal. Saat ini, perhitungan hash dilakukan menggunakan algoritma MD5. Perlu dicatat bahwa modul antivirus built-in memungkinkan Anda mendeteksi bahkan virus polimorfik.
Anda dapat mengubah pengaturan perlindungan anti-virus menggunakan item "Perlindungan anti-malware" di grup "Layanan Keamanan" dari menu "KONFIGURASI".
Mungkin beberapa kata harus dikatakan tentang pengaturan yang tersedia. Jika administrator perlu memeriksa fungsionalitas modul anti-virus, Anda dapat menggunakan tes "virus" EICAR, yang merupakan string teks biasa karakter ASCII. Baris ini ditunjukkan pada gambar di bawah ini. Kami secara khusus menerbitkannya tidak dalam format teks untuk menghindari kesalahan positif dari perlindungan anti-virus untuk pengguna Zyxel ATP.
Semua file yang ditransfer akan menjalani pemindaian anti-virus bahkan jika itu diarsipkan. Administrator dapat mengaktifkan atau menonaktifkan verifikasi arsip ZIP dan RAR.
Selain itu, menggunakan opsi Cloud Query, firewall dapat mengirim jumlah hash ke cloud untuk perbandingan dengan basis data cloud. Pemeriksaan semacam itu hanya akan dilakukan dalam situasi jika database lokal tidak berisi informasi tentang file yang sedang dipindai.
Mungkin, pembaca ingin tahu kami di tempat ini mungkin memiliki pertanyaan yang masuk akal tentang mengapa akses ke cloud diperlukan ketika ada database tanda tangan lokal. Saya harus mengatakan, pertanyaannya sangat masuk akal. Dan jawabannya sangat sederhana: database firewall lokal diperbarui, meskipun cukup sering, tetapi masih belum secara real time. Ada beberapa kemungkinan bahwa setiap modifikasi virus baru mungkin belum terkandung dalam database lokal dari tanda tangan firewall pada saat mengirimkan tubuh malware yang diperbarui ke jaringan yang dilindungi. Dalam hal ini, layanan cloud akan datang untuk menyelamatkan, yang berisi set tanda tangan paling lengkap yang terus diperbarui. Cloud signature dapat ditambahkan tidak hanya oleh para ahli anti-virus secara manual, tetapi juga menggunakan mekanisme yang disebut sandbox, yang akan kita bahas di salah satu bagian berikut.
Tetapi interval waktu apa yang kita bicarakan? Database tanda tangan virus diperbarui hingga sekali per jam. Analisis malware baru yang tidak dikenal membutuhkan waktu tidak lebih dari 15 menit. Dengan demikian, menghubungkan kemampuan untuk mengakses basis data anti-virus cloud memungkinkan Anda menang dari selusin menit hingga beberapa jam waktu berharga.
Administrator memiliki kemampuan untuk secara manual menentukan daftar file hitam dan putih yang diizinkan atau dilarang untuk ditransfer.
Kisah kami tentang modul antivirus tidak akan lengkap jika kami tidak menyebutkan kemungkinan mencari informasi tentang basis data tanda tangan, yang dilakukan menggunakan tab Tanda tangan dari item menu yang sama.
Dengan ini, kami menyimpulkan diskusi kami tentang kemampuan Zyxel ATP dalam pemindaian anti-virus dari file yang ditransmisikan dan beralih ke pemblokiran jaringan botnet.
Filter botnet
Kita memulai bagian ini dengan definisi klasik: botnet adalah jaringan komputer yang terinfeksi yang dikendalikan dari jarak jauh. Definisi ini telah lama usang. Di dunia modern, itu perlu diperluas secara signifikan, karena tidak hanya komputer pribadi, server dan laptop yang dapat terinfeksi dan dikelola, tetapi juga tablet dan telepon seluler, webcam, router, pembuat kopi, kulkas, penyedot debu robotik dan banyak sekali gadget berbeda. siapa kita secara sukarela membiarkan masuk ke rumah kami. Bagaimana rasanya diserang oleh bola lampu atau pendingin udara ?! Sayangnya, banyak administrator jaringan agak sembrono dalam botnet yang terdiri dari peralatan rumah tangga dan perangkat serupa. , . – . , , , . , .
. (C&C servers) . p2p -, .
Zyxel , IP- -. , . « » « » «».
, , , , -.
, . - DDoS – , . - , DDoS- . DDoS-, DDoS- . , , volumetric . .
Zyxel ATP . « » .
, Zyxel , , .
Zyxel ATP . , .
, , . ATP500 .
, , - 113503. , , .
TCP UDP WAN-. .
, , , . -, .
, . – sandboxing (). ? – (0-day, ) , , . .
, ( ) , . , . , – . , , . – , .
? – . , , , , ; Zyxel : ATP - . , , , . , . .
, , . , , , PDF… Zyxel ATP , , . 32 8 . 15 , , .
. , . Zyxel ATP : POP3 SMTP. .
, , , Zyxel ATP ( HTTP/HTTPS ), ( POP3/SMTP ).
, HTTP/HTTPS . , ATP .
IMAP, , SMTP.
« » « » «». , , , .
, .
DMZ, POP3 SMTP. Zyxel ATP , . .
SSL
. , «» – . Let's Encrypt HTTPS 80% (https://letsencrypt.org/stats/#percent-pageloads) HTTP . , Firefox.
, , . Zyxel ATP . «» « SSL» « » «» .
Zyxel ATP -, , , , .
, « SSL» . «» « ».
, . « » .
, , . , .
«» «» «». , , , Zyxel ATP .
.
Statistik
. , , ; , . .
« » «».
, Zyxel ATP500, .
, , Zyxel; - - ? - : , - . , – – Zyxel SecuReporter. , , . .
.
Kesimpulan
Pada artikel ini, kami mencoba untuk menjelaskan secara terperinci kemampuan dari seri firewall Zyxel ATP. Tentu saja, deskripsi tersebut tidak menyangkut semua fungsi perangkat, tetapi hanya yang terkait dengan perlindungan jaringan dan memeriksa lalu lintas pengguna untuk instruksi berbahaya.
Materi tersebut ternyata cukup produktif, karena sejumlah besar berbagai fungsi yang memberikan perlindungan komprehensif perimeter jaringan. Tentu saja, firewall ATP Zyxel juga dapat digunakan untuk menyaring lalu lintas intranet, tetapi, seperti yang kami janjikan di awal, kami menempatkan semua masalah topologi dalam artikel terpisah.
Kami juga memutuskan untuk berbagi dengan pembaca tentang rencana kami untuk waktu dekat dan menyediakan orang dalam kecil. Jadi, untuk kenyamanan administrator jaringan, direncanakan untuk memperkenalkan dukungan untuk sistem manajemen cloud Zyxel Nebula kami dari perangkat keamanan jaringan ATP Zyxel. Dukungan semacam itu akan memungkinkan secara seragam melakukan tugas-tugas pengelolaan peralatan jaringan secara terpusat. Sistem seperti itu akan sangat dibutuhkan dalam jaringan yang tersebar secara geografis dengan banyak cabang kecil dan kantor jarak jauh. Pengguna firewall Zyxel tahu bahwa kami telah memiliki sistem manajemen terpusat Cloud CNM, tetapi sistem ini memungkinkan Anda untuk mengelola hanya perangkat keamanan. Dalam kasus Zyxel Nebula, administrator akan dapat mengontrol jangkauan yang lebih luas dari berbagai perangkat.
Jadi, seri firewall Zyxel ATP menyediakan administrator dengan beragam metode keamanan jaringan yang beragam berdasarkan solusi dan teknologi paling canggih. Sistem pemeriksaan lalu lintas bertingkat tidak akan memungkinkan penyerang berhasil, memberikan perusahaan kemampuan untuk terus memberikan layanan dan menjalankan bisnis.
Jika Anda memiliki pertanyaan tentang pengoperasian peralatan jaringan perusahaan Zyxel, butuh saran atau dukungan - selamat datang di obrolan telegram kami: @zyxelru