Bekæmpelse af orme-angreb med Network Virus Wall
Agenda •Orme - truslen mod netværket •Løsningen: Trend Micro Network VirusWall •Implementerings muligheder •Afrunding
Virus udviklingen
“Tænkt eksempel” Colin er en dygtig sælger hos et større firma: Han rejser meget og kan derfor være ude af kontoret i en længere periode Antivirus er “out of date” Mangler nyeste Microsoft Security patches …..Han starter sin maskine op for at komme på det interne net … sikkert for at få sin maskine opdateret…
Firmaets netværk Sasser
W32/Sasser.Worm.b
Oprydning IT-afdelingen skal: •Identificerer & isolerer inficerede maskiner •Rense dem •Installerer relevante patches Konsekvensen for firmaet: •Så længe oprydningen pågår, arbejdes på nedsat kraft = tabt fortjeneste.
Forskelle mellem netværks orme og “traditionelle vira” Hvordan de:Netværk‘s ormeTraditionelle vira Udnytter sårbarheder i operativ systemet eller installerede programmer Idag mest som social-engineering Inficerer Spredes Gennem netværket, via bagdøre (uafhængig af standard netværks porte og protekoller) Virus hæfter sig på en fil, Typisk via mail-attachments AktiveresSelv-eksekverende Kræver at en bruger gør noget aktivt, f.eks. klik på attachment eller link Detekteres Scanning af netværks- traffic Scanning af file-I/O (open/close) actions eller Memory scanning (langsomt)
Problem #1 Physical Data link Network Transport Session Presentation Application Traditionelle Antivirus produkter Netværks-orme Spredes på dette niveau
BLASTER.A Aug. 11, 2003 Patch: MS Jul. 16, 2003 SLAMMER NIMDA Patch: MS Jul. 24, 2002 Patch: MS Oct.17, 2000 Sept. 18, 2001 Jan. 25, 2003 Time(days) SASSER May 1, 2004 Patch: MS Apr. 13, Problem #2
Netværks scanning Sasser X
Damage Clean Up Sasser
•Drop inficerede pakker => netværket kan stadig benyttes •Inficerede maskiner sættes i karantæne •Aktiver en rensning af inficerede maskiner med Damage Cleanup Service (DCS) •Effektiv og hurtig, fordi den kun trigger på virus i netværks pakker. Muligheder med Network VirusWall
•Check om maskiner der logger på netværket overholder firmaets Antivirus politik: –Trend Micro •Serverprotect •OfficeScan •PC-Cillin –Symantec: Norton Anti-virus CE –NAI: McAfee med ePO agent Muligheder med Network VirusWall
•Check om maskiner der logger på netværket overholder firmaets “patch politik”: •Bloker for adgang gennem NVW •Re-derigerer brugere til update site •Brugere aktiverer ny patch-scanning og får adgang Muligheder med Network VirusWall
Outbreak Monitor på netværket Traffic Volume ●High Connections ●Medium 9500 Connections ●Low 4750 Connections Monitor Sensitivity ●High 10 Seconds ●Medium 20 Seconds ●Low 30 Seconds
Eksempel: WORM_BAGL E.X Outbreak Prevention Service
NVW Familien Sikring af enheder Sikring af segmenter Sikr. segmenter, servere NVW 1200 NVW 2500 NVW 300 NVW 300 Sikring af mission-critical enheder som f.eks. hæveautomater, kasseapperater, medicotekniske enheder, produktionsovervågnings udstyr) NVW 1200 Sikring af netværket mod “mindre sikre net”, som f.eks. VPN og WLAN NVW 2500 Sikring af multiple segmenter og servere
Sammenligning NVW 300NVW 1200NVW 2500 Interfaces1 EXT + 4 INT1 EXT + 1 INT1 EXT + 4 INT el 2 EXT + 2 INT Interface Speed (configurable upto) 100 Mbit/sek FD 1000 Mbit/sek FD Interface TypeCopper Copper + Fiber (SW - Version 1.8) Firewall (SPI)Ja, ind og udNej HANej Ja Throughput~ 30 Mbit/sek~ 180 Mbit/sek~ 1.2 Gbit/sek Policy Enforcement NejJa VLAN-supportNejJa
Placering i VPN
WLAN
High Availability Backup NVW er altid klar, hvis den aktive NVW skulle fejle.
Server PC Switch /Router Switch Router Back office NVW 300 X CM Alert Banken’s hovedkontor Lokal kontor LAN Hæveautomater
Spørgsmål