Technologia ASQ - Nieodłącznym elementem dobrego UTM jest skuteczny Intrusion Prevention System – w skrócie IPS – czyli system rozwiązań chroniących sieć komputerową przed włamaniem. Inni producenci urządzeń UTM dodają IPS do już istniejącej, stosowanej od lat architektury zapory. Rozwiązanie takie ma jedną bardzo dużą wadę, która wynika z faktu, że pakiet musi być skanowany wielokrotnie przez kolejne moduły zaimplementowane w urządzeniu. Skutkiem tego jest znaczne wydłużenie czasu potrzebnego na przeanalizowanie każdego z pakietów.
W urządzeniach STORMSHIELD rozwiązaliśmy ten problem redefiniując myślenie o zabezpieczeniu sieci, łącząc firewalla z systemem IPS na poziomie jądra systemowego, przez co uzyskano najszybsze tego typu rozwiązanie dostępne na rynku.
Firma NETASQ dokonała tego w pierwszym roku swojej działalności, patentując unikalną technologię proaktywnego wykrywania ataków o nazwie ASQ (Active Security Qualification).
- Oferuje ona wysoki poziom bezpieczeństwa sieci, właśnie dzięki analizie przesyłanych pakietów na poziomie jądra systemu operacyjnego o nazwie NETASQ Secured BSD (NS-BSD).
- Wyróżnia się także znakomitą wydajnością, wykonując niemal trzykrotnie mniej operacji przy analizie pakietu niż konkurencyjne systemy IPS.
Analizie, w poszukiwaniu zagrożeń i ataków, poddawany jest cały ruch sieciowy od drugiej do siódmej warstwy modelu ISO/OSI. W konsekwencji system ASQ, w konfrontacji z rozwiązaniami pozostałych producentów systemów IPS, uzyskuje niespotykaną w innych urządzeniach UTM szybkość działania.
Cały ruch na styku sieci lokalnej z siecią WAN skanowany jest przy pomocy trzech metod analizy:
- Analiza heurystyczna - Pierwsza faza sprawdzania ruchu opiera się na statystyce i wielostronnej obserwacji zachowania przychodzących pakietów. Na podstawie dotychczasowego ruchu i założeń dotyczących możliwych zmian w zachowaniu pakietów, analiza heurystyczna określa czy dany ruch jest pożądany, czy może stanowi zagrożenie dla bezpieczeństwa naszej sieci.
Analiza heurystyczna obejmuje m.in. defragmentację, łączenie pakietów w strumienie danych, sprawdzanie nagłówków pakietów i weryfikację protokołów aplikacyjnych. Dzięki temu rozpoznaje i neutralizuje pakiety zdolne zdestabilizować docelową aplikację i umożliwić włamanie do chronionej sieci.
- Analiza protokołu - Podczas drugiej fazy sprawdzania kontrolowana jest zgodność ze standardami RFC (Request for Comments) całego ruchu sieciowego, przechodzącego przez urządzenie STORMSHIELD. Dokumenty RFC opisują wszystkie stosowane w sieciach standardy przesyłu informacji od warstwy fizycznej, aż po warstwę aplikacji. Tylko ruch zgodny ze standardami może zostać przepuszczony dalej. Kontroli poddawane są nie tylko poszczególne pakiety, ale także połączenia i sesje.
W ramach technologii ASQ dla poszczególnych typów ruchu sieciowego w warstwie aplikacji opracowane zostały specjalne wtyczki programowe (tzw. pluginy), pracujące w trybie kernel-mode, czyli bezpośrednio w jądrze systemu operacyjnego. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP) automatycznie uruchamiana jest odpowiednia wtyczka, która specjalizuje się w ochronie danego protokołu. Rodzaj stosowanych zabezpieczeń jest w urządzeniach STORMSHIELD dynamicznie dostosowywany do rodzaju przepływającego ruchu.
- Analiza kontekstowa - Trzecia faza weryfikacji polega na rozpoznawaniu typowych ciągów danych, umieszczonych w przesyłanych pakietach pozwalających na wykorzystanie podatności lub luk w oprogramowaniu. W tym przypadku zasadnicze znaczenie ma kontekst, w jakim zostały wykryte pakiety charakterystyczne dla określonego ataku. Kontekstem są tutaj np. rodzaj połączenia, protokół czy port. W ten sposób sieć jest chroniona przed najnowszymi zagrożeniami, dla których sygnatury jeszcze nie powstały. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS.
Zastosowanie sygnatur kontekstowych pozwala na znaczne zwiększenie skuteczności wykrywania ataków przy jednoczesnym ograniczeniu ilości fałszywych alarmów praktycznie do zera.
