www.eprace.edu.pl » cisco-ids-pix » Porównanie systemów dedykowanych do ochrony sieci komputerowej » Sprzętowe środki ochrony sieci komputerowej

Sprzętowe środki ochrony sieci komputerowej

Firewalle sprzętowe (zapory sieciowe)

Urządzenia przeznaczone do ochrony sieci komputerowej, komputera, serwera przed intruzami. Stanowią one tylko jeden z wielu sposobów podnoszenia bezpieczeństwa sieci. W przypadku realizacji sprzętowej tego rozwiązania stanowi go urządzenie dedykowane specjalnie do tego celu wraz ze specjalnym systemem operacyjnym przeznaczonym głównie do zabezpieczenia przed intruzami. Zwykle znajdują się one na styku dwóch sieci komputerowych: sieci zewnętrznej (niezaufanej) np. Internetu i sieci wewnętrznej (zaufanej) np. sieć lokalna firmy. W takiej sytuacji urządzenie to może też spełniać dodatkowo funkcję routera. Firewall może się także znaleźć pomiędzy dwoma sieciami wewnętrznymi, które musimy odseparować od siebie np. w sytuacji, gdy dział jednej firmy ma być zupełnie odizolowany od reszty sieci komputerowej ze względu na dane, które muszą być tajne. Można też zastosować dodatkowy firewall dla zapewnienia większej liczby specjalnych stref, w których znajdują się najczęściej serwery to tzw. strefy DMZ (zdemilitaryzowane – to takie strefy pośrednie niezaufane przez sieć wewnętrzną, bo pozwalają na dostęp z sieci zewnętrznej a znajdują się wewnątrz firmy za firewallem).

Firewalle są kluczowym elementem systemu zabezpieczenia sieci komputerowej, ponieważ wszystkie z tych urządzeń sprawdzają ruch sieciowy przepływający przez nie na podstawie zestawu reguł konfigurowanych przez administratora i podjęcia w stosunku do ich spełnienia odpowiednich akcji np. odrzucenia pakietu.

Firewall Cisco PIX

To flagowe urządzenie dotyczące bezpieczeństwa sieci w ofercie firmy Cisco. Wyróżniają je 4 główne cechy, który przemawiają za tym, że jest to technologicznie zaawansowane i zapewniające spore bezpieczeństwo rozwiązanie. Oto te cechy:

Urządzenia te działają we własnym pojedynczym dedykowanym do tego celu osadzonym systemie. Inne firewalle natomiast uruchamiają swoją aplikację na działającym systemie operacyjnym. Własny system zapewnia większe bezpieczeństwo, ponieważ nie jest tak popularny jak systemy użytkowe i nie ma w nim podziału na system operacyjny i aplikację, więc nie trzeba aktualizować osobno obu tych elementów i kontrolować ich bezpieczeństwa. Takie rozwiązanie zapewnia lepszą funkcjonalność, ponieważ konfigurując jedno z ustawień odnosi się ono do wielu innych parametrów i nie trzeba go powtarzać wielokrotnie. Także bardzo ważna jest spójność systemu, bowiem jeśli np. nie uruchomimy wymaganego ustawienia system może nie pozwolić na skonfigurowanie innych zależnych ustawień. Posiada jednolity interfejs, w którym operujemy podobnie dla różnych ustawień.

Sam sposób przetwarzania powoduje dużo większą wydajność, ponieważ jest to pojedynczy element dedykowany tylko do tego celu, więc całe zasoby sprzętowe są wykorzystywane tylko dla tej funkcji. Np. firewall Cisco PIX 535 może obsłużyć do 500 000 równoległych połączeń jednocześnie je kontrolując.

To kluczowa część systemu operacyjnego firewalli Cisco. Opiera się głównie na inspekcji stanu, dlatego jest bardziej wydajny niż filtrowanie za pomocą proxy i bardziej efektywny niż filtrowanie pakietowe. Oprócz tego utrzymuje strefy graniczne i zapewnia bezpieczne połączenia między tymi segmentami. Dzieje się tak dlatego, że każdy z interfejsów ma przypisany poziom bezpieczeństwa od 0 oznaczającego najmniej zaufaną sieć do 100 tzn. tą obdarzoną największym zaufaniem. Domyślnie do interfejsu sieci wewnętrznej jest przypisany poziom 100, do interfejsu połączonego z siecią zewnętrzną poziom 0, a do interfejsu strefy DMZ 50. Oczywiście poziomy te można zmieniać, w przypadku przypisania takich samych poziomów komunikacja między tymi interfejsami jest zablokowana, ale jest to niezalecane. Działanie tychże poziomów polega na tym, że domyślnie wszystkie pakiety przechodzące z interfejsu o wyższym poziomie na niższy są zawsze przekazywane bez żadnych ograniczeń chyba, że takie wprowadzimy. Dopiero w momencie, gdy pakiet z interfejsu o niższym poziomie pragnie przejść na ten o wyższym, są stosowane różnego rodzaju restrykcje zasad bezpieczeństwa definiowane w regułach dostępu i kanałach conduit, a także statyczna translacja. ASA opiera się na inspekcji stanów, a więc w tablicy stanów ma informacje o bieżących sesjach. ASA zapisuje sesję w tablicy przy nawiązywaniu połączenia wychodzącego, jeżeli reguły bezpieczeństwa na to pozwalają. Pakiety przychodzące są porównywane z informacją o stanach sesji, jeśli pakiet nie pasuje do żadnego z wpisów tej tabeli połączenie zostaje odrzucone. Bezpieczeństwo opiera się na całych połączeniach, a nie tylko na pakietach, co zapewnia wyższy poziom ochrony przed np. przejęciem sesji TCP, czyli tzw. hijackingiem.

Rysunek 2.10 Zasada działania algorytmu ASA (Adaptive Security Algorithm)14.

Zasada działania algorytmu ASA.

  1. Host wewnętrzny inicjuje połączenie ze źródłem zewnętrznym.

  2. Firewall zapisuje informacje o tym połączeniu w tablicy stanów, są to takie informacje jak

- źródłowy adres IP

- port źródłowy

- docelowy adres IP

- port docelowy

- informacja o kolejności TCP

- dodatkowe znaczniki TCP/UDP

- przypisanie wygenerowanego losowo numeru sekwencyjnego TCP.

Taki zapis jest tworzony w tablicy stanów i jest zwany obiektem sesji.

  1. Obiekt sesji jest porównywany z regułami bezpieczeństwa, jeżeli jest niezgodny z regułami to zostaje skasowany z tablicy stanów a połączenie jest odrzucane.

  2. Jeżeli obiekt ten jest zgodny z regułami to zapytanie wychodzi do serwera zewnętrznego.

  3. Serwer odpowiada pakietem na żądanie.

Odpowiedź dociera do zapory, która porównuje go z obiektem sesji. Jeżeli porównanie wypada negatywnie to połączenie z tym hostem zostaje odrzucone, a jeśli wszystko przebiegło pomyślnie jest kierowany do hosta (nadawcy żądania).

Przycinanie to metoda wykonująca w sposób niezauważalny uwierzytelnianie i autoryzację połączeń utrzymywanych w firewallu. Metoda ta wprowadza małe obciążenie i polepsza wydajność proxy. Jest na pewno lepszym rozwiązaniem, jeśli chodzi o wydajność niż programowe systemy, proxy bowiem uwierzytelnia użytkownika w warstwie aplikacji zgodnie z regułami bezpieczeństwa. Korzysta bądź to z zewnętrznego serwera AAA (Authentication Autorization Accounting) takiego jak serwer RADIUS czy TACACS+, bądź wewnętrznej lokalnie zapisanej w firewallu bazie, co jednak nie jest zalecane ze względu na większe obciążenie PIX-a oraz pogorszenie skalowalności systemu. Późniejszy ruch związany z tym połączeniem jest obserwowany przez PIX-a na poziomie stanów, czyli warstwy transportowej a nie aplikacji, co podnosi wydajność systemu.

Proces działania tego rozwiązania składa się z następujących kroków:

Firewalle PIX mogą być łączone w pary w ten sposób, że jeżeli główny firewall przestanie działać jego funkcję może od razu przejąć zapasowy PIX dzieje się to automatycznie. Dlatego rozwiązania takie mogą być stosowane w punktach między segmentami, których dostępność ma bardzo duże znaczenie.

IDS/IPS (Intrusion Detection System / Intrusion Prevention System)

Urządzenia, których głównym celem jest monitorowanie miejsca, w którym zostało umieszczone np. segmentu sieci i rozpoznawania na podstawie bazy danych zachowań czy dany ruch jest jakiegoś rodzaju włamaniem. Systemy takiego typu ma zazwyczaj bazę sygnatur ataków, którą porównuje z działaniami zachodzącymi w czasie rzeczywistym zapisywanymi w dziennikach, które są ciągle monitorowane. Jeżeli takie porównanie wypadnie pozytywnie to urządzenie podejmuje odpowiednie akcje zadane mu przez administratora. Może np. wysłać powiadomienie do administratora za pomocą e-maila, zapisać zdarzenie, zabronić hostowi atakującemu dostępu na jakiś czas lub całkowicie odłączyć sieć od Internetu.

Bardzo ciekawą i efektywną możliwością jest współpraca IDS-a i firewalla. Obrazowo można powiedzieć, że IDS cały czas obserwuje sieć i jeżeli wykryje coś podejrzanego to mówi firewollowi, co odkrył i jak to zablokować. Firewall, który jest swoistym strażnikiem dostępu między światem zaufanym, a niezaufanym blokuje dany typ ruchu wprowadzając odpowiednią regułę narzuconą mu przez obserwatora. Aby taka współpraca była możliwa najczęściej oba urządzenia muszą pochodzić od jednego producenta.

System IDS można porównać do systemu antywirusowego działającego na hoście, który analizuje działanie na pojedynczym komputerze porównując je do swych sygnatur wirusów. Bardzo podobnie działa opisywany system IDS tylko, że operuje na większym środowisku, bo w sieci komputerowej i używa sygnatur ataków, chociaż wiele z nich ma wbudowane także sygnatury działania niektórych wirusów. Natomiast niektóre programy antywirusowe wykrywają prostsze typy ataków np. takie jak skanowanie portów.

Wiele z systemów IDS jest wbudowanych w różnego rodzaju urządzenia wykonując pracę sensora ataków jako dodatkowe zadanie. Takiego prostszego IDS-a można załączyć np. na firewallu PIX. Jednak IDS działający na innym systemie udostępniającym inne usługi lub firewallu nie jest w stanie tak starannie i dokładnie kontrolować ruch sieciowego jak urządzenie przeznaczone tylko do tego celu.

Systemy IDS można podzielić ze względu na miejsce, w którym działają na:

Systemy sieciowe IDS (czyli NIDS) można też podzielić ze względu na sposób analizowania przez nich zdarzeń poprzez technikę:

System IDS porównuje wzorce zapisane w bazie sygnatur ataków z aktualnym stanem dzienników, które są na bieżąco śledzone przez urządzenie, jeżeli któraś z sygnatur zostaje dopasowana to podejmuje odpowiednie działanie.

Jest to najczęściej stosowana metoda stosowana przynajmniej w komercyjnych rozwiązaniach.

Metoda ta opiera się na wcześniejszym zdefiniowaniu reguł, które przewidują „normalne” działanie systemu i te „nienormalne” zachowania (te reguły są zwane heurystykami). Na podstawie tych reguł raportuje pojawiające się anomalie oraz może je blokować. Do takiej anomalii można zaliczyć np. przekroczenie zadanej liczby połączeń w pewnym czasie z jednego adresu IP na porty komputera w sieci wewnętrznej, co powoduje interpretację, że jest to próba skanowania portów.

Profile opisują normalną aktywność użytkownika wszelkie inne działania są uważane za podejrzane. Profile są zazwyczaj tworzone za pomocą takich narzędzi jak metody statystyczne lub algorytmy sieci neuronowych.

Oznacza, że IDS śledzi pakiety jako całości tzn. stara się ustalić łącząc pakiety czy są one wynikiem ataku. Dlatego system taki może rozpoznawać działania intruzów rozłożone w czasie lub pofragmentowane próby ataku.

Urządzenie dekoduje protokoły wyższych warstw takie jak: FTP, HTTP starając się wychwycić w ich wnętrzu charakterystyczne dane mówiące o ataku.

Systemy IDS można też scharakteryzować na sposób podłączenia do sieci na:

Takie urządzenia posiadają dwa lub więcej interfejsów. Taki tryb umożliwia IDS-owi przepływ pakietów przez jego interfejsy, a tym samym śledzenie np. wszystkich pakietów, jeżeli jest umieszczony między siecią wewnętrzną a zewnętrzną. Inaczej można powiedzieć, że jest on wpięty szeregowo w łącze. Bardzo dobrze śledzi wszelkie próby działania intruzów, ale powoduje niewielkie opóźnienia dla całej sieci.

Te urządzenia posiadają jeden lub więcej nasłuchujących interfejsów. Można je wpiąć w wybranym segmencie sieci gdzie chcemy monitorować ruch. Niestety w sieci przełączalnej wykrywają tylko małą liczbę ataków ze względu na to, że są włączone jak każdy host. Atak więc musiałby polegać na rozgłaszaniu lub być skierowany na konkretny IDS, aby mógł go zauważyć. Na szczęście są switche, które umożliwiają przekazywanie całego generowanego ruchu na jeden port, co stanowi dobre rozwiązanie tego problemu. Innym sposobem jest podłączenie koncentratora zamiast przełącznika do tego segmentu sieci, jednak spowoduje to spadek wydajności tego segmentu.

Większość obecnie sprzedawanych rozwiązań IDS posiada jakąś opcję automatycznego odpowiadania na atak, ale koncentrują się one raczej wokół filtrowania niepożądanego ruchu, blokowania komunikacji lub w ostateczności całkowitego odłączenia od sieci.

Podobno niektóre z IDS-ów mają funkcje kontratakowania przeciw intruzom, ale najważniejszymi i najczęściej wykorzystywane funkcje to identyfikacja i śledzenie intruzów.

Koncentratory VPN

Urządzenia tego typu zapewniają dostęp do technologii zwanej VPN (Virtual Private Network). Ten typ sieci można opisać jako „tunel”, przez który płynie ruch sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci np. Internetu w ten sposób, że węzły tej sieci są przeźroczyste dla przesyłanych pakietów. Taki specjalnie utworzony kanał może być kompresowany dla zwiększenia szybkości przesyłanych danych. Najważniejsze jest jednak to, że zazwyczaj jest szyfrowany dla zapewnienia odpowiedniego poziomu bezpieczeństwa sieci wewnętrznej (zaufanej), która jest tworzona na sieci publicznej (niezaufanej). Rozwiązania oparte o sieci VPN są stosowane szczególnie wtedy, gdy zdalni pracownicy muszą łączyć się z siecią firmową. VPN konfiguruje się także, aby połączyć przez Internet np. dwa oddziały firmy leżące w sporej odległości od siebie, bowiem w takim wypadku łącze dzierżawione jest dużo kosztowniejszym rozwiązaniem.

Najczęściej spotykane protokoły VPN to:

Oto kilka powodów, dla których tworzy się sieci VPN:

Do tworzenia takich sieci VPN jest potrzebny punkt styku między siecią wewnętrzną udostępnianą klientom na zewnątrz. Taki punkt stanowią specjalne serwery VPN, do których użytkownicy łączą się lub dwa takie serwery między zaufanymi sieciami w celu tunelowania całego ruchu między nimi w dość tani i bezpieczny sposób.

Obecnie do tunelowania w sieciach VPN jedna z największych światowych firm branży sieci komputerowych – firma Cisco poleca dwie technologie:

IPSec (IP Security) VPN – to jedna z technologii zdalnego dostępu opierająca się na połączeniu dedykowanego klienta VPN i serwera VPN nasłuchującego żądań od klientów. Technologia ta rozszerza się na praktycznie każdego rodzaju programy korzystające z danych, dźwięku czy video. Są to więc także popularne biurowe aplikacje umożliwiające zdalne wykonywania pracy pracownikom mobilnym.

Jest rozwiązaniem całkowicie przeźroczystym dla użytkownika tzn. użytkownik po zalogowaniu do sieci VPN przez specjalną aplikację kliencką jest jakby w wewnętrznej sieci firmy. Zostaje mu przydzielony specjalny wirtualny adres IP, dzięki temu bezproblemowo może korzystać z aplikacji sieciowych opartych na tym protokole. Ten dostęp do niemalże każdej aplikacji jest de facto standardem dla domowych biur, podróżujących pracowników, czy pracowników zdalnych.

Ten typ rozwiązania jest oparty o zbiór protokołów wchodzących w skład IPSec. IPSec służy do ustanawiania bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. VPN oparta na tym zbiorze protokołów składa się z dwóch kanałów pomiędzy połączonymi komputerami. Kanału wymiany kluczy za pośrednictwem, którego przekazywane są dane związane z autentykacją oraz kodowaniem (klucze) oraz kanału (jednego lub większej ilości), które niosą pakiety poddane procesowi szyfracji i autentykacji po obu stronach połączenia, one to zawierają właściwe dane użytkowników. Kanał wymiany kluczy to połączenie UDP (port 500). Natomiast kanały z danymi są transmitowane na protokole ESP (Encapsulation Security Payload - który zapewnia zarówno poufność, jaki integralność danych). Innym protokołem tego typu, ale służącym wyłącznie do ochrony integralności danych jest AH (Authentication Header), nie zapewnie on jednak szyfrowania.

Dla czynności inicjalizujących bezpieczne połączenie bardzo często jest używany protokół IKE (Internet Key Exchange), który automatyzuje proces zapewnienia odpowiednich parametrów wymaganych przez bezpieczne procedury, w innym wypadku należy to zrobić ręcznie, co może nastręczać trudności i być bardzo czasochłonne.

Podstawowe cele IKE to:

Trzeba także dodać, że zarówno protokoły ESP jak i AH mogą działać w dwóch trybach:

SSL (Secure Socket Layer) – to protokół zapewniający poufność i integralność przesyłanych danych, zapewnia również uwierzytelnianie opierające się na szyfrach asymetrycznych oraz certyfikatach X.509. Wielką zaletą tego typu rozwiązania jest to, iż działa on na warstwie transportowej modelu OSI dzięki temu może zapewnić szyfrowanie w warstwie aplikacji gdzie działają takie protokoły jak m.in. telnet, HTTP, POP3.

Proces nawiązywania sesji HTTPS (czyli protokołu HTTP zabezpieczonego protokołem SSL) wygląda w ten sposób:

  1. Użytkownik ładuje stronę wpisując do paska adresu przeglądarki odpowiednią nazwę strony internetowej poprzedzoną charakterystycznym wpisem https:// .

  2. Serwer w odpowiedzi przesyła swój certyfikat (znajduje się tam klucz publiczny serwera) z zapytaniem o certyfikat klienta.

  3. Przeglądarka klienta weryfikuje certyfikat serwera poprzez sprawdzenie, czy został wydany przez zaufany urząd certyfikacji oraz czy jest ważny i zgadza się strona w nim zawarta z aktualnie otwieraną. Jeżeli nastąpił błąd, to przeglądarka wyświetla odpowiednie ostrzeżenie i połączenie powinno być zamknięte.

  4. Użytkownik może przesłać swój certyfikat do serwera, jeśli jest to wymagana to musi to uczynić, jeśli nie to jest to pomijane.

  5. Teraz serwer, jeśli otrzymał certyfikat klienta sprawdza go.

  6. Przeglądarka generuje losowy 128-bitowy klucz szyfrujący jednorazowy dla danej sesji. Następnie jest on szyfrowany za pomocą klucza publicznego serwera i zostaje przesłany do niego.

  7. Serwer odszyfrowuje klucz sesji za pomocą swego tajnego klucza prywatnego.

  8. Doszło do nawiązania połączenia. Wszystkie dane są szyfrowane za pomocą klucza symetrycznego sesyjnego.

  9. Użytkownikowi zostaje wyświetlona strona, której żądał.15

SSL VPN – to technologia opierająca się głównie na protokole SSL, który przedstawiłem wyżej. Główną zaletą takiego rozwiązania jest to, że nie trzeba posiadać specjalnego klienta VPN dla połączenia, ponieważ taką aplikację zastępuje popularna przeglądarka internetowa z obsługą SSL. Dzięki temu umożliwia bezpieczną komunikację wszystkim użytkownikom chcącym skorzystać z sieci VPN.

Ten rodzaj połączeń umożliwia współdziałanie z wieloma aplikacjami, których obsługa może odbywać się poprzez przeglądarkę jak np. dostęp do plików, poczta email, obsługa terminali oraz niektórych aplikacji. Niestety inne rodzaje programów potrzebują odpowiednich modyfikacji, aby mogły zadziałać w tym środowisku. Szerszy dostęp klientów niestety zawęża liczbę dostępnych aplikacji dostępnych za pomocą szyfrowanej strony web.

Ten wstęp teoretyczny jest bardzo potrzebny, aby zrozumieć istotę koncentratorów i rodzaju pracy jaką wykonują. Stanowi on także podstawową wiedzę przydającą się bardzo dla właściwej konfiguracji tych urządzeń.

Koncentrator Cisco VPN z serii 3000

Stanowi rozwiązanie w usłudze świadczenia zdalnego dostępu do sieci w sposób niezawodny, oszczędny dla biznesu, elastyczny o wysokiej wydajności. Ponadto integruje w sobie dwie technologie połączeń dla sieci VPN: IPSec oraz SSL.

Urządzenia tego typu charakteryzują się następującymi cechami:



komentarze

Copyright © 2008-2010 EPrace oraz autorzy prac.