Bekæmpelse af orme-angreb med Network Virus Wall

Agenda •Orme - truslen mod netværket •Løsningen: Trend Micro Network VirusWall •Implementerings muligheder •Afrunding

Virus udviklingen

“Tænkt eksempel” Colin er en dygtig sælger hos et større firma:  Han rejser meget og kan derfor være ude af kontoret i en længere periode  Antivirus er “out of date”  Mangler nyeste Microsoft Security patches …..Han starter sin maskine op for at komme på det interne net … sikkert for at få sin maskine opdateret…

Firmaets netværk Sasser

W32/Sasser.Worm.b

Oprydning IT-afdelingen skal: •Identificerer & isolerer inficerede maskiner •Rense dem •Installerer relevante patches Konsekvensen for firmaet: •Så længe oprydningen pågår, arbejdes på nedsat kraft = tabt fortjeneste.

Forskelle mellem netværks orme og “traditionelle vira” Hvordan de:Netværk‘s ormeTraditionelle vira Udnytter sårbarheder i operativ systemet eller installerede programmer Idag mest som social-engineering Inficerer Spredes Gennem netværket, via bagdøre (uafhængig af standard netværks porte og protekoller) Virus hæfter sig på en fil, Typisk via mail-attachments AktiveresSelv-eksekverende Kræver at en bruger gør noget aktivt, f.eks. klik på attachment eller link Detekteres Scanning af netværks- traffic Scanning af file-I/O (open/close) actions eller Memory scanning (langsomt)

Problem #1 Physical Data link Network Transport Session Presentation Application Traditionelle Antivirus produkter Netværks-orme Spredes på dette niveau

BLASTER.A Aug. 11, 2003 Patch: MS Jul. 16, 2003 SLAMMER NIMDA Patch: MS Jul. 24, 2002 Patch: MS Oct.17, 2000 Sept. 18, 2001 Jan. 25, 2003 Time(days) SASSER May 1, 2004 Patch: MS Apr. 13, Problem #2

Netværks scanning Sasser X

Damage Clean Up Sasser

•Drop inficerede pakker => netværket kan stadig benyttes •Inficerede maskiner sættes i karantæne •Aktiver en rensning af inficerede maskiner med Damage Cleanup Service (DCS) •Effektiv og hurtig, fordi den kun trigger på virus i netværks pakker. Muligheder med Network VirusWall

•Check om maskiner der logger på netværket overholder firmaets Antivirus politik: –Trend Micro •Serverprotect •OfficeScan •PC-Cillin –Symantec: Norton Anti-virus CE –NAI: McAfee med ePO agent Muligheder med Network VirusWall

•Check om maskiner der logger på netværket overholder firmaets “patch politik”: •Bloker for adgang gennem NVW •Re-derigerer brugere til update site •Brugere aktiverer ny patch-scanning og får adgang Muligheder med Network VirusWall

Outbreak Monitor på netværket Traffic Volume ●High Connections ●Medium 9500 Connections ●Low 4750 Connections Monitor Sensitivity ●High 10 Seconds ●Medium 20 Seconds ●Low 30 Seconds

Eksempel: WORM_BAGL E.X Outbreak Prevention Service

NVW Familien Sikring af enheder Sikring af segmenter Sikr. segmenter, servere NVW 1200 NVW 2500 NVW 300  NVW 300 Sikring af mission-critical enheder som f.eks. hæveautomater, kasseapperater, medicotekniske enheder, produktionsovervågnings udstyr)  NVW 1200 Sikring af netværket mod “mindre sikre net”, som f.eks. VPN og WLAN  NVW 2500 Sikring af multiple segmenter og servere

Sammenligning NVW 300NVW 1200NVW 2500 Interfaces1 EXT + 4 INT1 EXT + 1 INT1 EXT + 4 INT el 2 EXT + 2 INT Interface Speed (configurable upto) 100 Mbit/sek FD 1000 Mbit/sek FD Interface TypeCopper Copper + Fiber (SW - Version 1.8) Firewall (SPI)Ja, ind og udNej HANej Ja Throughput~ 30 Mbit/sek~ 180 Mbit/sek~ 1.2 Gbit/sek Policy Enforcement NejJa VLAN-supportNejJa

Placering i VPN

WLAN

High Availability Backup NVW er altid klar, hvis den aktive NVW skulle fejle.

Server PC Switch /Router Switch Router Back office NVW 300 X CM Alert Banken’s hovedkontor Lokal kontor LAN Hæveautomater

Spørgsmål