Kompleksowe systemy ochrony sieci komputerowej
To nowoczesne spojrzenie na problem bezpieczeństwa w sieci komputerowej. Realizowane dzięki wzajemnej komunikacji urządzeń zapewniających bezpieczeństwo sieci. Jest to tzw. koncepcja Active Security, czyli aktywnego bezpieczeństwa bowiem system ma być odporny nie tylko na istniejące zagrożenia, ale także na nowe pojawiające się. Oto podstawowe własności nowego trendu rozwiązań bezpieczeństwa sieciowego:
automatyczne reagowanie na zmieniające się zagrożenia
centralne zarządzanie bezpieczeństwem teleinformatycznym
skuteczne usuwanie problemów dzięki integracji z aplikacjami pomocy technicznej (helpdesk)
Obecnie systemy te kierują się ku dwojgu rozwiązań, oto one:
bezpieczna brama - polega na umieszczeniu wszystkich funkcji zabezpieczających (takich jak: firewall, system wykrywania i zapobiegania włamaniom, antywirus, antyspyware, koncentrator VPN itp.) w jednym urządzeniu umieszczanym na brzegu chronionej sieci, przykładem takiego urządzenia może być: Cisco ASA (Adaptive Security Appliance) 5500 series, Symantec Gateway Security 5600 series.
Zaletą takiego rozwiązania jest z pewnością obniżenie kosztów zakupu nie trzeba, bowiem kupować wielu urządzeń, ale wystarczy jedno. Dużo łatwiejsze jest zarządzanie, szkolenie administratorów odpowiedzialnych za bezpieczeństwo, łatwiejsza aktualizacja, prostsze rozmieszczenie oraz konfiguracja.
Wada takiego rozwiązania leży z pewnością w jego sile, czyli włamanie i przejęcie jednego urządzenia prowadzi do poważnego zagrożenia bezpieczeństwa całej sieci. Awaria jednego urządzenia spowoduje bardzo duże zakłócenia dla bezpieczeństwa tej części sieci, do której przyłączona jest brama. Także sprawa pojedynczych zasobów urządzenia (takich jak pojemność pamięci czy moc procesora) może tutaj prowadzić do powstania wąskiego gardła dla sieci np. na skutek sprawdzania dużej ilości plików za pomocą antywirusa mogą nie zostać obsłużone żądania połączeń VPN. Jednak tego typu rozwiązania zaczynają dominować i są coraz chętniej stosowane tak, iż to chyba w ich stronę pójdzie świat bezpieczeństwa sieciowego.
Cisco ASA 5500 Series
Rysunek 2.11 Urządzenie Cisco ASA 5500 Series16
Główną i istotną zaletą urządzeń tego typu jest integracja różnych sposobów ochrony w jednym urządzeniu. Urządzenie zawiera w sobie następujące funkcje:
wysokiej wydajności firewall
system przeciwdziałania włamaniom (IPS – Intrusion Prevention System)
sieciowy antywirus
udostępnia funkcje VPN (takie jak IPSec/SSL)
umożliwia definiowanie dostępu na poziomie użytkownika i aplikacji do zasobów sieciowych
umożliwia zdalne logowanie użytkowników
osłabia działania złośliwego kodu
umożliwia aktualizację aktualnych usług jak i dodawanie nowych
zmniejsza koszty operacyjne i wprowadzenia do użytku
zapewnia silne bezpieczeństwo dla aplikacji (posiada wbudowanych 30 inteligentnych silników do kontroli aplikacji od warstwy sieci 2 do 7)
umożliwia wirtualizację usług (w jednym urządzeniu może być uruchomionych wiele wirtualnych firewalli o różnej polityce bezpieczeństwa i administracji)
wspiera standard sieci VLAN (802.1q)
obsługuje protokół routingu OSPF
wspiera protokół PIM (Protocol Independent Muticast) – dla aplikacji czasu rzeczywistego oraz mediów strumieniowych
obsługuje protokół IPv6 oraz QoS
wspiera telefonię IP
umożliwia tworzenie klastrów dla zapewnienia ciągłej dostępności usług, obsługuje dynamiczną technikę load-balancing dla równomiernego rozłożenia ruchu VPN
Symantec Gateway Security 5600 Series
Rysunek 2.12 Urządzenie Symantec Security 5600 Series17
Firma Symantec specjalizująca się w oprogramowaniu antywirusowym przejęła między innymi firmę Axent, której jedna z koncepcji polegała na produkowaniu oprogramowania zapewniającego aktywne bezpieczeństwo sieci. Zatem w urządzeniu tym zostały zintegrowane podobne sposoby ochrony jak w rozwiązaniu poprzednim. Podstawowe funkcje urządzenia to:
firewall analizujący duże ilości danych
ochrona antywirusowa
zapobieganie intruzom (włączając w to unieszkodliwianie oprogramowania adware oraz spyware)
antyspam
wykrywanie intruzów
filtrowanie po adresach URL z dynamicznym sprawdzaniem dokumentów
technologie SSL i IPSec w odniesieniu do sieci VPN
zredukowane koszty nabycia, maksymalna efektywność ochrony dzięki integracji wszystkich funkcji bezpieczeństwa
pojedynczy interfejs zapewnia dostęp do wszystkich modułów urządzenia
łączy różne technologie detekcji (wykrywanie anomalii w protokołach, przerywanie ataków na różnego rodzaju podatności)
wbudowana redundancja sprzętowa
możliwość dodania opcji wysokiej dostępności i równoważenia obciążenia
automatyczne aktualizacje baz wirusów za pomocą technologii LiveUpdate
system bezpieczeństwa – składa się z wielu pojedynczych urządzeń każde z nich pełni specyficzną funkcję w systemie, ale urządzenia te komunikują się między sobą dla zapewnienia współdziałania dla lepszej odpowiedzi na znane i nowe zagrożenia; przykładem takiego systemu jest: Cisco Self-Defending Network, czy koncepcja Active Security zaprezentowana kiedyś przez firmę Axent.
Zaletą takiego rozwiązania jest zapewnienie bezpieczeństwa sieciowego w głąb tzn. przełamanie jednego zabezpieczenia np. firewalla nie powoduje całkowitego dostępu do sieci, bowiem np. sensor IDS może powiadomić emailem administratora o przeprowadzanym właśnie ataku. Oprócz tego można lepiej dostosować rozmieszczenie urządzeń do konkretnej sieci, awaria jednego z urządzeń powoduje, że system jest mniej sprawny, ale wciąż działa. Występuje podział zasobów między pełnione funkcje prowadząc do lepszej obsługi zwiększonego ruchu. System ten można wprowadzać sukcesywnie dodając urządzenia lub integrując je z urządzeniami będącymi już w posiadaniu.
Natomiast wady tego rozwiązania są następujące. Należy zakupić kilka urządzeń co podraża koszty, muszą to być produkty od jednego dostawcy aby były kompatybilne, co uzależnia nas od jednego producenta. Większa trudność w zarządzaniu i konfiguracji, a także uaktualnianiu poszczególnych urządzeń. Potrzebna jest wiedza na temat wszystkich urządzeń i sposobu ich działania. Dla wzajemnej komunikacji między sobą generują dodatkowy ruch sieciowy.
Cisco Self-defending network (SDN)
Sieć broniąca się sama to nowatorskie rozwiązanie firmy Cisco. Powstało ono z inicjatywy dużej liczby ataków sieci przeprowadzanych z jej wnętrza (ok. 80 % wszystkich ataków). Także możliwość przeprowadzenia ataków typu dnia zerowego, czyli ujawnienie dziury systemowej grozi atakiem z użyciem tego niebezpieczeństwa jeszcze tego samego dnia.
Do tego projektu przystąpiły także inne wielkie firmy z branży komputerowej takie jak m.in. Microsoft, Symantec, McAffe, Trend Micro.
Jednym z głównych założeń tego systemu jest niedopuszczenie do sieci hostów zbyt zarażonych, bądź zagrożonych na atak. Tym samym jest eliminowane w pewien sposób najsłabsze ogniwo systemu bezpieczeństwa: działanie bądź zaniechanie takich działań przez człowieka np. poprzez nieużywanie systemu antywirusowego, czy zbyt rzadkie aktualizacje systemu. Kolejnym ważnym terminem w tej technologii jest skrót NAC (Network Admission Control), to architektura sieci przyznająca prawo dostępu do niej nie tylko na podstawie loginu i hasła, ale także wersji systemu operacyjnego, lub ilość zainstalowanych łat. Np. jeśli dany host jest zbyt narażony na atak może zostać zablokowany port na przełączniku, do którego jest podłączony lub może zostać przepisany do specjalnej sieci VLAN kwarantanny. Tam będzie mógł odwiedzić tylko te strony, z których może pobrać oprogramowanie łatające dziury w jego systemie, ale inne usługi będą zablokowane. Podobną technologię opracowała firma Microsoft nazywa się NAP i służy podobnie jak poprzednia do separowania zbyt zagrożonych komputerów od reszty sieci.
Dane odnośnie zabezpieczenia systemu oraz ataków dnia zerowego zbiera specjalna aplikacja przeznaczona do tego celu zwana agentem bezpieczeństwa Cisco. System ma też posiadać serwery odpowiedzialne za gromadzenie danych o klientach oraz szablonach zabezpieczeń na podstawie, których będzie podejmowana decyzja o dopuszczeniu urządzenia do sieci. Może też nastąpić przekierowanie do specjalnego serwera kwarantanny za pomocą, którego zostanie poprawione bezpieczeństwo hosta. Inny serwer ma jeszcze obsługiwać i skanować klientów niemających specjalnej aplikacji klienckiej Cisco.
zaleceń według Cisco, by sieć komputerowa w firmie była bezpieczna
Wymagać od pracowników, aby wybierali hasła, które nie są oczywiste.
Wymusić na pracownikach, aby zmieniali swe hasła co 90 dni.
Mieć w posiadaniu najnowsze bazy wirusów dla programu antywirusowego.
Uświadomić użytkownikom jak duże ryzyko niesie ze sobą otwieranie nieznanych załączników e-mail.
Wdrożyć kompletny i wszechstronny system bezpiecznej sieci komputerowej.
Kontrolować system regularnie i dostosowywać go do aktualnych wymagań.
Gdy pracownik opuszcza firmę natychmiast zablokować jego dostęp do sieci.
Jeżeli są pracownicy, którzy potrzebują zdalnego dostępu do sieci firmy to skonfigurować i przeznaczyć na ten cel serwer dostępu zdalnego.
Uaktualniać oprogramowania firmowego serwera WWW regularnie.
Nie uruchamiać niepotrzebnych usług sieciowych.
Cisco SAFE
Są to najlepsze praktyki polecane przez Cisco z technicznego punktu widzenia potrzebne przy projektowaniu i implementacji bezpiecznej sieci komputerowej. Tutaj chciałbym przedstawić najważniejsze dobre praktyki polecane przez ten program z podziałem na segmenty, których dotyczy atak.
Routery są celem
Aby uchronić router przed atakiem należy:
wyłączyć usługę logowania poprzez Telnet
wyłączyć usługę SNMP na routerze
kontrolować dostęp użytkowników do routera przez serwer uwierzytelniania np. RADIUS czy TACACS+
wyłączyć nieużywane usługi na routerze
logować się z odpowiednim poziomem uprawnień
autoryzować informacje o aktualizacjach routingu
Switche są celem
Aby uchronić switcha przez atakiem trzeba:
wyłączyć wszystkie nieużywane porty w switchu
porty nieprzeznaczone dla trunkingu nie powinny posiadać tej opcji włączonej
dla portów przeznaczonych do trunkingu pozwalać na trunking tylko tych sieci VLAN, które rzeczywiście tego wymagają oraz skasować domyślne sieci VLAN, najlepiej też nie używać VLAN-u 1
powiązać każdy port switcha z adresami MAC komputerów np. dwoma lub trzema do niego podłączonymi
stosować podział na sieci wirtualne VLAN
po przeprowadzeniu zmian w konfiguracji należy sprawdzić czy są one właściwe
Hosty są celem
Aby uchronić hosty, czyli komputery przed zagrożeniami trzeba:
zwracać uwagę na każdy komponent w systemie
aktualizować system ostatnimi łatami i obserwować ich wpływ na jego działanie
wpierw testować aktualizacje na systemie testowym, a później instalować je na stacjach roboczych
Sieci są celem
Aby zabezpieczyć sieć komputerową można:
aby uniknąć ataku DDoS ograniczyć maksymalne natężenie ruchu odrzucając resztę
w przypadku zalewania pakietami TCP, UDP, ICMP można ten ruch podzielić i także określić maksymalną liczbę pakietów do obsłużenia przez hosta np. typu TCP SYN na port 80 (normalne żądanie strony www)
zgodnie z zaleceniem RFC 1918 (odnośnie prywatnych klas adresów IP) oraz RFC 2827 należy filtrować cały ruch przychodzący z puli adresów prywatnych (co zapobiega w pewnym stopniu podszywaniu się atakującego pod IP z tej puli i prostszą jego identyfikację) oraz filtrować ruch wychodzący o adresach źródłowych nienależących do naszej sieci (eliminuje się wtedy próbę podszycia z naszej sieci)
Aplikacje są celem
Gdy chcemy zabezpieczyć programy należy:
być na bieżąco z ostatnimi aktualizacjami programu
jeżeli jest to możliwe to przejrzeć kod programu pod względem jego bezpieczeństwa (np. jak są wykonywane odwołania do systemu operacyjnego, czy innych aplikacji, na jakim poziomie uprzywilejowania działa, jakiej metody używa do transportu swoich danych przez sieć)
Intrusion Detection System
Aby bronić się przed atakiem za pomocą tej technologii:
zaleca się implementowanie systemów wykorzystujących jak i IDS-y instalowane na poszczególnych komputerach (HIDS) a także sieciowe rozwiązania IDS (NIDS)
biorąc pod uwagę konkretną sieć komputerową oraz jej aktywność należy wyeliminować poprzez odpowiednią konfigurację fałszywe alarmy
niebezpieczne ataki należy eliminować przez odcinanie ich na firewallu lub routerze (stosować tylko w przypadkach, gdy prawdopodobieństwo wystąpienia fałszywego alarmu dla tego zdarzenia jest bardzo małe) lub, co jest bardziej polecane dla ruchu TCP poprzez resetowanie połączenia przez pakiety TCP Reset
bardzo ważne jest umiejscowienie IDS-a w sieci tak, aby obserwował cały przeznaczony dla niego do analizy ruch
Bezpieczne zarządzanie i monitoring
Dobrze zabezpieczona sieć nie może być pozbawiona tych dwóch kategorii narzędzi:
„jeśli zamierzasz zapisywać logi, to nie zapominaj o ich czytaniu” – ta prosta zasada oznacza, że należy monitorować i zapisywać tylko te informacje, które są ważne, aby nie było ich za wiele do przeglądania, bo wtedy nie są czytane, a z kolei mała ich ilość daje nam mało informacji na temat tego co działo się np. w całej sieci
jednym z lepszych rozwiązań jest implementacja tzw. sieci monitoringu out-of –band (OOB) polegającej na budowie osobnej sieci tylko dla informacji monitorujących lub zarządzających, żaden normalny ruch sieciowy nie może być w takiej sieci przesyłany, jeżeli niektóre z urządzeń nie mogą być w taki sposób monitorowane to można np. łączyć się z tą siecią za pomocą zabezpieczonego tunelu po zwykłej sieci danych firmy
w urządzeniach logujących powinien być uruchomiony klient czasu NTP, aby czas i data zdarzeń były zsynchronizowane między urządzeniami i zgodne z czasem rzeczywistym
niekiedy lepszą dla sieci monitorującej jest jej integracja z siecią danych (to tzw. konfiguracja in-band) np. jest to rozwiązanie tańsze oraz lepsze w monitorowaniu dostępności urządzeń oraz łączy
dla bezpiecznej komunikacji danych monitorujących można tworzyć tymczasowy tunel IPSec między urządzeniem monitorującym a siecią zarządzającą
dla konfiguracji urządzeń należy używać bezpiecznych protokołów np. SSH lub SSL
kiedy sieć jest atakowana należy znać stan krytycznych urządzeń sieciowych jak i kiedy ostatnie znane modyfikacje konfiguracji miały miejsce
komentarze
Copyright © 2008-2010 EPrace oraz autorzy prac.