Určitě jste četli některé z našich předchozích článků o Turris Sentinelu a jeho společníkovi – Sentinel View. Dnes bychom se chtěli podělit o novou skvělou funkci, která je k dispozici a která vám pomůže pochopit, jak nebezpečný je Internet.
Náhled Dynamického Firewallu
Novou funkci najdete zde: https://view.sentinel.turris.cz/dynfw/
Sentinel View nyní zobrazuje úpravy greylistu v realném čase.
Sentinel nebyl plánován jako jednoduché jednoúčelové řešení, ale jako sada nástrojů, které budou spolupracovat. Existují tři hlavní výstupy sentinelího prostředí:
- data pro Dynamický Firewall,
- “Greylist”,
- bezpečnostní výzkum pro předcházení kybernetickým hrozbám.
Zjednodušená verze by mohla být následující: nejdříve shromažďujeme data v minipotech a posíláme je na náš server. Server pak určí, zda je adresa nebezpečná a přidá ji do „Greylistu“, zároveň upozorní dynamický firewall na každém zařízení Turris, které pak odpovídajícím způsobem aktualizuje podmínky ve svém firewallu.
Abychom vysvětlili, jak funguje Dynamický Firewall, neobejdeme se bez toho, abychom, si připomněli minipoty.
Minipoty
Honeypot je program, který napodobuje službu. Jedná se tedy o falešný server. Program, který předstírá, že nabízí službu pro protokol. Naše honeypoty nazýváme minipoty, abychom zdůraznili jejich náročnost, velikost a to, jak jsou komplexní svou funkcí. V současnosti provozujeme na našich routerech Telnet, FTP, HTTP and SMTP minipoty. Útočník se pokusí připojit k tomuto falešnému serveru a je požádán o přihlašovací údaje. Nic víc. Přidání větší složitosti by mohlo rádoby útočníkovi poskytnout více možností na co útočit. Na základě této události nyní máme IP adresu útočníka, přihlašovací údaje, které se pokusil použít, a další podrobná data.
Skryté zlo
Údaje, které jsou shromažďovány na routeru, jsou odesílány na naše servery. Server určuje, zda je IP adresa škodlivá/nebezpečná na základě různých statistických výpočtů. Je důležité rozlišovat mezi tím, kdy uděláte chybu a pokusíte se přihlásit do svého zařízení z Internetu, přičemž zapomenete na minipoty, a tím, že někdo má nějaké nepřátelské úmysly. Věříme, že jsme v průběhu času naše systémy vyladili tak, abychom toto rozlišení udělali správně. Je to ale nekonečný proces a čas od času najdeme nějaké výjimky, které musíme vzít v úvahu. Přes to drtivá většina rozhodnutí se zdá být správná. Tím se dostáváme ke…
Greylistu
Nebo můžeme říct, k „seznamu potenciálně škodlivých hráčů“. Seznam adres je vytvářen v reálném čase, a to z dat poskytovaných minipoty a na základě dalších zdrojů. Publikuje se jednou denně jako snapshot, ale aktualizuje dynamicky, takže adresy jsou neustále přidávány a odebírány.
Dynamický Firewall
Dynamický firewall jednoduše blokuje jakýkoli příchozí požadavek na jakoukoli službu z IP adresy, která je na greylistu. Je to tak jednoduché a to i přesto, že je to klíčová část ochrany. Bez celého ekosystému by to však vůbec nešlo. Má přímé spojení se serverem spravovaným Greylistem a přijímá aktualizace škodlivých IP adres v reálném čase.
The View
 |
Okno události (Events) zobrazuje akce na routrech s vlajkou země původu útočníka, IP adresou a protokolem, který používá. |
| Pole Aktualizace (Updates) zobrazuje aktualizace Greylistu. Zjednodušeně řečeno, kdykoli je IP adresa přidána (červené pole) nebo odstraněna (zelené pole). |
|
 |
V aktuálním seznamu můžete rolovat dolů a zobrazit si celý seznam IP adres s úhledným malým počítadlem. Počet adres se často mění a na rozdíl od klasického chápání greylistu nejen rychle přidáváme nové adresy, ale také odstraňujeme ty již neaktivní, celý seznam se snažíme udržet krátký a aktuální. |
Co bude dál?
Nebudu naplno říkat, jaké překvapení vás čeká v nejbližších měsících. Spolu s některými drobnými opravami chyb uživatelského rozhraní se chystáme vydat další zajímavou funkci, která se vám určitě bude líbit.
Zůstaňte připojeni!